Bugs, Security-Super-GAUs und andere Bosheiten – „IT“ working as expected?

Datenklau leicht gemacht?

Bequemlichkeit und Unwissen

Wenn man sich die momentane Situation (Spectre, Meltdown, Bugs, Faktor Mensch,…) anschaut und nur ein wenig darüber nachdenkt, sollte grundsätzlich jedem klar werden, dass die Informationstechnologie NIE wirklich sicher sein kann, sobald Daten über Netzwerke ausgetauscht werden. Noch schlimmer wird es in diesem Kontext, wenn von außen (Internet) auf Geräte zugegriffen wird bzw. ein Datenaustausch über das Internet stattfindet (z.B: Surfen).

Innerhalb eines Netzwerkes ohne Außenanbindung (Internet) ist man verhältnismäßig sicher, aber…

Nehmen wir die Daten einfach mit nach Hause

Im Allgemeinen braucht es kein Netzwerk, um Datenklau zu ermöglichen. So kann innerhalb eines Betriebes auch ein Mitarbeiter Daten „absaugen“. Dies geschieht jedoch meist nicht aus einer bösartigen Absicht heraus!

Ich möchte nicht wissen, wie oft Firmendaten per USB Stick auf den heimischen PC transferiert werden, um dann auch außerhalb der Dienstzeiten an einem „Projekt“ weiterzuarbeiten.

Nebst dem Datenaustausch mit dem klassischen USB-Stick, gäbe es hier dann noch:

  • E-Mail (nach Hause)
  • diverse Online-Cloud-Services (Dropbox, Nextcloud, Onedrive…)
  • Das Smartphone als USB-Stick

Das Tolle an den Cloudservices ist, dass NIEMAND weiß, wo die Daten wirklich liegen (vielleicht irgendwo auf einer Serverfarm in den USA) bzw. was mit ihnen gemacht wird.

Passwortsicherheit – Aus Sicht des Anwenders

Anwender sehen ihr Passwort eher als lästig an. „Muss halt sein… nervt!“.

Admins, die es eigentlich gut meinen, ernten Kritik, sofern eine strikte Passwortrichtlinie zum Einsatz kommt. In diesem Zusammenhang meinen viele immer noch, dass der Zwang zur Passwortänderung binnen x Tagen zu einer Erhöhung der Sicherheit führt. Dem muss ich entschieden widersprechen!

Überspitzt formuliert wird aus dem Passwort Test1234 dann halt Test5678.

Besser ist es ein langes (12 Zeichen+) komplexeres Passwort ohne Änderungszwang zu fordern.

Viele User geben ihr Passwort an Kollegen/innen weiter, speichern Passwörter im Browser, legen sich ungeschützte Dateien an, in denen jede User-/Passwortkombination brav mitdokumentiert wird, verwenden unsichere Passwörter, weil ein sicheres Passwort zu schwer zu merken ist, …

Passwortsicherheit – Aus Sicht der Hersteller, Provider usw.

Die meisten Menschen auf dieser Erde, wollen die IT nutzen. Sie wollen sich keine Gedanken darüber machen, warum etwas funktioniert, oder wie etwas funktioniert und das ist auch ihr gutes Recht!

Beispiel „WLAN-Router Installation durch den Provider“:
Provider X stellt einen WLAN-Router zur Verfügung. Der Techniker des Providers kommt, steckt den Router an, checkt die ordnungsgemäße Funktion und geht.

Es wird weder darauf hingewiesen, dass am Router selbst noch per Standardlogin (admin, admin) eingestiegen werden kann, noch dass man bestenfalls bitte für das WLAN ein neues langes Passwort vergeben soll.

Prinzip: Hinstellen, funktioniert, tschüss – also sozusagen „fire and forget“.

Nun redet die Welt schon länger über das Internet of Things (IoT). Vernetzte Kühlschränke, Trockner, Waschmaschinen, Klorollenhalter, Zahnbürsten, Vibratoren, Türöffner, Heizungssteuerungen,…

Wozu überhaupt noch Sicherheitslücken? Der Gau ist doch auch so programmiert! Quasi: „Mit Plug&Play zum Super-GAU“

  • „Jeder“ will alles besitzen und verwenden.
  • Die Wenigsten wollen sich mit den Grundlagen auseinandersetzen um zu verstehen, worauf man achten muss.
  • „Alle“ schreien schließlich, wenn etwas passiert.

Arbeiten mit Adminrechten / Rootrechten

Man arbeitet NICHT mit Admin oder Rootrechten! Diese erhöhten Berechtigungen sind ausschließlich für die Installation / Konfiguration zu verwenden und nicht im „daily-business“.

(Ich kenne zig Systemadmins die permanent mit Adminrechten unterwegs sind – ein NO GO!)

Updates

Softwareupdates können Nebenwirkungen haben, stimmt. Dies wurde in der Vergangenheit leider viel zu oft durch MS vorgemacht. Dennoch sind sie ein notwendiges Übel.

Unter „Linux“ läuft dies meiner Erfahrung nach problemlos(er) ab. Ein Riesenvorteil gegenüber Windows ist, dass sämtliche installierten Pakete über die Paketverwaltung aktualisiert werden können. (Einfacher geht es einfach nicht mehr!)

Generell sollten Updates immer zeitnah eingespielt werden!

Meltdown und Spectre

Unterm Strich ein ziemlicher GAU, ja. In Summe jedoch nur ein weiterer Fingerzeig, dass die IT ganz einfach nicht sicher ist!

Fakt ist, dass:

  • Es die Sicherheitslücken schon Jahrzente gibt.
  • Ein Ausnutzen der Sicherheitslücke nicht protokolliert wird.
  • Intel meint, dass sich die Prozessoren „as expected“ verhalten.
  • AMD weniger betroffen ist.
  • der Anwender „übrigbleibt“, wenn etwas passiert.

Wie kann man eigentlich ausschließen, dass es in den vergangenen Jahrzehnten nicht bereits unzählige Übergriffe gegeben hat?

Hilft nur patchen, patchen und nochmals patchen…

Details: https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125.html

 

Fazit

Eine Verbesserung der Gesamtsituation kann nur dann erreicht werden, wenn möglichst flächendeckend ein gewisses Grundverständnis für die IT geschaffen wird. (Bsp: Passwörter sind nicht lästig, sondern in vielen Fällen als letzte Bastion zu sehen. Ein Kühlschrank, der von überall aus dem Internet erreichbar ist, ist nicht cool!).

Die Kommunikationskultur der Hersteller in Richtung der Verbraucher MUSS verbessert werden (Transparenz!)

Sicher war die IT noch nie!

Teslacrypt-Entwickler geben auf … oder doch nicht

Wie man unter Anderem in diesem Artikel liest haben die Teslacryptentwickler aufgegeben. Allerdings ist der Artikel für mich nicht ganz schlüssig.

Denn etwas weiter unten im Text steht auch:

Dazu wechselten die Cyberkriminellen, die für die Verbreitung der Malware hauptverantwortlich waren, den Anbieter und setzen mittlerweile auf CryptXXX.

Also was nun?

Aufgegeben, oder eben doch nur die „Waffe“ gewechselt?

 

Gefaktes UPS-Mail (Trojaner)

Trojaner per UPS-Email

Eins vorweg: Dieser Trojaner ist für Linuxsysteme nicht relevant und somit ungefährlich.

Heute  haben mich ein paar gefakte Emails, die angeblich einen nicht erfolgreichen Zustellversuch seitens UPS meldeten, erreicht.

In der Email befindet sich als Anhang eine Zip-Datei die offensichtlich meist den Namen UPS_Lieferschein<Nummer>.zip trägt.

In der Zip wiederum findet man eine ausführbare Datei (EXE) DIE MAN AUF KEINEN FALL AUSFÜHREN SOLLTE.

Am besten die Mail sofort komplett löschen! Es kann nämlich passieren, dass ein installierter Virenkiller (noch) nicht „anschlägt“ und der Trojaner unbehelligt seinen „Dienst“ tun kann.

Per Onlinescanner wird der Trojaner als „Trojan-Downloader.Win32.Tiny.brm“ erkannt.

Einfach zu installierende Firewallappliance

Wer auf der Suche nach einer einfach zu konfigurierende Firewall ist, die noch dazu auf Opensource basiert, sollte sich die Kwickserver Firewall genauer anschauen. Der Firewallserver ist sehr genügsam was die Hardware angeht und benötigt annähernd keinen Usereingriff während der Installation.

Genaueres erfährt man auf www.kwickserver.info

Festzuhalten gilt es ausserdem, dass „Kwick“ auch an einem Mailserver arbeitet, der ebenfalls vielversprechende Features bietet. Das Mailserverprojekt befindet sich jedoch zur Zeit noch im Alphastadium. Genaueres erfährt man ebenfalls auf der Homepage.

Internet zugemüllt?

Vor kurzem war ich damit beschäftigt, diverse Firewall-Logdateien – ich spreche jetzt nicht von irgendeiner Softwarefirewall- auszuwerten. Es ist doch unglaublich, wieviel Müll über teilweise „normal“ wirkende Internetseiten, unsichtbar für den normalen Anwender, auf einen PC einprasselt.

Weiterlesen