Hallo zusammen,
ich bin bei meiner täglichen Recherche nach Sicherheitsthemen auf einen sehr brauchbaren Artikel gestossen:
Sichere Konfiguration von IT Systemen
Normalerweise liest man immer recht viel "Schrott", wie Virenscanner und anderes Schlangenöl, aber diesmal muss ich sagen, das alle Empfehlungen gut nachvollziehbar sind. Mir würden auf Anhieb aber auch noch ein paar Weitere einfallen....
Hier nun der Original Artikel:
https://www.golem.de/news/nsa-und-cisa-1...78298.html
Für diejenigen denen die Stichworte noch nichts sagen hier im Anschluss eine kleine Erklärung mit Beispielen:
Der Einsatz von Standardkonfigurationen für Software und Anwendungen:
Wenn jemand Infos hat wie ein System aufgesetzt ist, gelingt es ihm viel leichter dies zu hacken, denn er tappt zunächst nicht im Dunkeln.
Beispiel1: Wenn man in einem Windows System den eingebauten lokalen "Administrator" nicht umbenennt, ermöglicht man einem Angreifer schon sofort Passworte auszuprobieren. Ist der Name des Administrators aber umbenannt, gehen diese Angriffe ins Leere bis der Namen des Admins herausgefunden wurde.
Beispiel2: Die gilt natürlich auch für alle anderen IT Geräte, wobei ich inbesondere Router anspreche, die sich in jedem Haushalt befinden.
Dort lassen sich zwar oft die Admin Namen nicht ändern, aber auf keinen Fall sollte man dann noch das Default Passwort belassen.
Auch in Linux für den "root" User gilt die Passwort Problematik!!!! Daher unbedingt die Anleitung in diesem Forum befolgen um "root" ein anderes Passwort, als von Werk aus, zu geben- auch wenn man den User root gar nicht nutzt.
Eine unzureichende Trennung von Benutzer- und Administratorenprivilegien:
Dies ist oft ein Problem schlechter Betriebssysteme. Da wird nur ein User angelegt der alles darf.
Oder der normale User hat Rechte in Bereiche in denen er gar nichts zu suchen hat.
Mustergültig ist hier Linux Mint zu nennen. Da darf der "normale" User nichts Gefährliches solange er sich nicht mit sudo und dem Passwort autentifiziert.
Noch besser ist administrative Jobs nur durch Ummmelden auf "root" zu machen.
Die Trennung in Administration und Nutzung durch 2 Accounts ist auch in Windows möglich, aber nicht so ausgefeilt.
Dort startet eine Software immer mit den aktuellen Rechten des angemeldeten Users, und darf aber auf andere Software zugreifen.
Linux ist da strikter, jede Software wird im eigenen Kontext ausgeführt, und darf nicht so ohne weiteres auf die andere Programme zugreifen
Sehr blöd wären gleichlautende Passwörter für Benutzer und Admin des gleichen Systems.
(wenn ich Passwörter schreibe, meine ich implizit auch jede andere zur Autentifikation nutzbare Merkmale)
Eine unzureichende interne Netzwerküberwachung:
Nun Hand auf Herz- wer macht das schon? Nicht mal mittlere Firmen haben dieses Thema im Fokus, weil es Arbeit macht und Geld kostet.
Daher prüfen die meisten ihren Netzwerktraffik erst wenn es zu sichtbaren Einbruch kam.
ABER: nur wer den "legalen" Netzwerktraffik kennt, kann Abnormales Verhalten feststellen.
Unter Netzwerktraffik verstehe ich: Welcher Serverdienst mit welchen CLients auf welchen IPs und Ports kommuniziert.
Ausserdem zählen die Protokolle und die "normale" Datenmenge. Wenn man noch weiter gehen will, kann man die dafür genutzten Accounts noch mit einbinden.
Wer diese Kommunikationsbeziehungen des Normalfalles aber gut kennt, kann auf billigstem Wege eine noch deutlich höhere präventive Sicherheit implementieren. Dazu sind die gewollten Kommunikationsbeziehungen in Firewallregeln umzusetzten, und jeder (auch interne) Netzwerktraffik über Firewall zu leiten.
Wer dann noch die Blockade Logs der Firewall auswertet, sieht meist sofort wenn sich etwas in das Netz eingeschlichen hat.
Die fehlende Segmentierung von Netzwerken:
Dieser Punkt knüpft direkt an das zuvor gesagte an. Man zuerst muss wissen welche Kommunikaton mit wem gewünscht ist.
Dann kann man sich auch überlegen ob es klare "Nicht Kommunikation" zwischen bestimmmten Gerätebereichen geben soll.
Ist dieses der Fall, so ist eine Netzwerktrennung/Segmentierung die erste Wahl zur Erhöhung der IT Sicherheit.
Beispiel1: In einer Firma gibt es viele Geräte in Büros, die auch Internetzugang haben (Datenaustausch, Email, Browser,...).
Aber es gibt auch einen Produktionsbereich in dem nur Produktionssteuerungs- Geräte stehen die zwar untereinander Daten austauschen, aber nicht ins Internet kommunizieren. Meist sind diese Produktionsgeräte auch nicht auf aktuellen Stand der Absicherung. Gerne nehme ich hier als Beispiel Geräte des "internet der Dinge" oder Industrie Komponenten. Hier bietet sich eine Auftrennung der Netzwerke förmlich an.
Benötigt man dafür dann doch noch "gezielte" Kommunikation, zum Beispiel für Updates oder Fernwartung, so kann man dann mittels Firewall oder noch besser, nur temporär hochgefahrener Gateways, Funktion und Sicherheit in Einklang bringen.
Als negativ Beispiel was passiert wenn man das nicht (richtig) tut, seien die iranischen Uran Zentrifugen genannt, die gezielt aus dem Internet zerstört wurden. Beherzigt man diese Trennung, so braucht ein Angreifer physischen Gerätezugang.
Ein mangelhaftes Patch-Management:
Schon bei einem einzelnen Rechner geht hier das Problem los:
Negativ Beipiel war Adobe Flash. Ständig löchrig, aber die Updates nicht im Windows Betriebssystem enthalten.
Manche Software bietet daher eigene Update Funktion an, wie zum Beispiel Opera oder Firefox Browser. Aber oft hat der User nicht das Recht diese auszuführen.
Positiv Beispiel sind die Linux Updates die auch automatisch alle per Depot installierte Softeware erfassen und zentral zum Update anbieten.
In Firmenumgebungen kommt noch ein anderes Problem hinzu: Man hat mehrere tausend Rechner, und verliert den Überblick was wo drauf ist.
Spätestens hier braucht man eine solide Softwareverteilung mit Datenbank und lokaler Scanfunkton der installierten Software.
Die mögliche Umgehung von Systemzugangskontrollen:
Ich denke das ist jedem klar was hier gemeint ist.
An einfache Dinge wie am Monitor klebende Accounts mit Passwort kommt jeder.
ABER: Schon mal dran gedacht das ein Firmenrechner der mit Softwareverteilung aufgesetzt ist, ein aktiviertes PXE Netzwerk Boot Protokoll hatte.
Wenn dann der Admin zu faul oder unfähig war nochmals das BIOS umzukonfigurieren und PXE abzusschalten, ist dieser Rechner unauthentifiziert hoch angreifbar während jedes Bootsvorganges in einem Netzwerk. Das gilt insbesondere in fremden Funknetzwerken, wie Hotel- oder ICE WLAN.
Wer PXE nicht kennt nur eine kurze Beschreibung:
1. Rechner bootet, und sendet Broadcast Paket ins angeschlossene Netz: Wer hat für mich eine DHCP Adresse.
2. Ein beliebiger, nicht überprüfbarer DHCP Server antwortet auf dieses Paket mit der gewünschten IP und weiteren Daten, wie der zusätzlichen IP eines Softwareverteil Servers.
3. Der Rechner der die IP erhalten hat und die Info eines Softwareverteil Servers, frägt nun bei diesem Server nach ob es Installationen für ihn gibt. Auch hier findet keinerlei Überprüfung statt.
4. Der Server sendet Antwort und Datenpakete und übernimmt die Kontrolle..... was vom Platte Löschen, bis zum Start eines beliebigen Betriebssystems über Netzwerk, und danach beliebiger (Datenklau/Zerstörung) Aktion geht. All diese Vorgänge setzten keinerlei Accounts oder Passwörter, oder andere Sicherheitsüberprüfungen voraus.
UND ES GEHT AUCH IM HOTELNETZ AN DEM SICH DER FIRMENLAPTOP AUF DIENSTREISE ANMELDET.
Ich könnte noch eine schier unendliche Liste veröffentlichen wie sich Zugangskontrollen umgehen lassen....
Es gibt auch kaum ein System wo ich nicht auf Anhieb einen AngriffsVektor finde, aber ich bin auf der "Guten" Seite. Daher hier keine Anleitungen.
Aber es nervt wenn man in der eigenen Firma gestandenen Administratoren erklären muss was für Ignoranten sie sind wenn sie sich nur an die Microsoft Checkliste halten.
Schwache oder falsch konfigurierte Methoden für Multi-Faktor-Authentifizierungen (MFA):
An dieser Stelle warne ich vor allem vor dem falschen Glauben das die Sicherheit erhöht wird wenn man sich einen "tollen" extrenen CloudDienst zur 2-Faktor Authentifikation einkauft. Ohne Namen zu nennen: Sehr viele von denen hatten schon selber massive Sicherheitslöcher und Einbrüche in ihrer Coud. Und wer so einen Dienst in Anspruch nimmt verliert selber die Kontrolle wer tatsächlich in seine Systeme hineinkommt.
Hinzu kommt das man nun einen Dritten absolut vertrauen muß. Und das zu Zeiten des Partiot Akt. Nun Dumme sterben nie aus.... und die Welt gehört längst den Lemmingen.
Ausserdem beachte man den User. Je mehr man den traktiert, umso eher wird er ausweichen versuchen.
Beispiel: Ich hatte immer freiwillig Passwörter im 25 Zeichen Länge Bereich, mit etlichen Zusatzzeichen, weil ich die im Unterbewusstsein eintippe.
Aber seit wir in der Firma Teams eingeführt haben, musste es zwangsweise eine 2-Faktor Authentifizierung mittels Handy sein.
Da bin ich mit der Eingabe meiner sicheren Passwörter ohne Tastatur verrückt geworden. Zigmal falsche Eingaben auf den kleinen Bildschirmflächen.
Folglich habe ich meine Passwörter nun geändert. So kurz wie nötig, und leicht eintippbar auf dem Handy. Toller Sicherheitsgewinn.
Fazit. Zugangskontroll Systeme hoste man besser selber. Zero Trust to Strangers
Es gibt immer 2 Ebenen denen man vertrauen muß: Dem Gerät UND dem User.
Die 2-Faktor Cloud Lösung mag die Userkontrolle verbessern, bringt aber nichts bei der Gerätekontrolle, und kann selber zum Sicherheits Risiko werden, wenn wieder mal der Anbieter gehackt wird. Dazu muss man nun noch einer 3. Komponente vertrauen: Dem Anbieter der 2-Faktor Cloud Lösung.
Und mal eine Überlegung am Rande: Was ist wenn der (temporär) ausfällt? Bleibt dann die Produktion stehen, überlebt das der Betrieb? Und wer haftet für den Schaden durch Produktionsausfall?
Was ich für besser halte ist ein kaskadiertes Absicherungs System.
- Gerätekontrolle mittels Zertifikat.
- Userkontrolle direkt auf dem Gerät durch Passwort + 2.Faktor , wie z.Bsp: Hardwaretoken, persönliches Merkmal wie Fingerprint, Irisscan, Sprachprobe, Tippverhalten, ....
Unzureichende Zugriffskontrolllisten für Netzwerkfreigaben und Dienste:
Hier gehts wie am Anfang schon erwähnt darum zu wissen wer was darf. Also was "normal" ist. Nur nicht an Netzwerkbeziehungen, sondern auf Datei Ebene, oder Dienstezugang. Problem ist hier die Art und Weise wie Freigaben sich im Laufe der Jahrzehnte entwickelt hat.
Man hat (früher) funktionstechnisch gedacht. Wer darf wohin zugreifen.
Der Einfachheit halber hat man dann nicht die einzelnen User verrechtet sondern Usergruppen festgelegt.
Diese Zugriffsgruppen haben dann typischerweise Berechtigungen in Verzeichnisebenen unterhalb einer Baumstruktur erhalten.
Um es ganz kompliziert zu machen konnte man dann auch Rechte darüberliegender Baumstrukturen vererben.
Am Schuß war es schwer festzustellen welche effektiven Rechte ein User wo überall hatte.
ABER: früher hatte man viel weniger Daten und ein ganz anderes Sicherheitsdenken.
Wer dann über 30 Jahre in einer Firma war, und ab und zu den Bereich wechselte, hat dann nach und nach Zugänge angesammelt.
HEUTE muss man eigenltich managen WER WELCHE INFORMATIONEN (WANN) ZUGREIFEN DARF.
Es braucht also einen Informationsbezogenen Zugriff und nicht mehr einen globalen.
Ausserdem muss der aktiv gepflegt werden.
Viele Firmen sind heute noch damit hoffnungslos überlastet. Insbesondere wenn es keinen zentralen Datenpool gibt, sondern viele dezentrale System.
So lassen auch auch immer wieder die berühmten "leaks" erklären, wo Leute Daten veröfentlichen, auf die sie eigentlich gar nicht hätten zugreifen dürfen.
Man sollte aber nicht annehmen das Admins alle faul und dumm wären. Das Problem ist die gewachene Struktur.
Es täte daher nicht schlecht mal eine komplett neue Gesamtlösung (mit Sicherheit per Design) zu erarbeiten, alle Daten umzuziehen, und die alten Strukturen abzuschalten.
Ein mangelhafter Umgang mit Anmeldeinformationen:
qualitativ schlechte Zugangsdaten, schlecht gesichert, unendlich gültig, Gruppenzugang unbekannt wer es beuntzt....
Typische Beispiele: Anmeldeinformationen werden nicht gesichert publiziert.
Sei es (absichtlich) auf Monitorrändern, oder (versehentlich) in öffentlich zugänglichen Datenspeichern.
Oder auch versenden eines Accounts per nicht End to End verschlüsselter Kommunikation oder Mail gehört dazu.
Aber es gibt noch eine Menge mehr zu beachten.
Auch die Nutzung von bekannten Standard Accountnamen wie "Admin" oder " Administrator" oder "root" fällt in diese Rubrik.
Ich habe in meinen Serverlogs bereits Anmeldeversuche in allen verschiedenen Sprachen dieser Welt für besagte Accounts gesehen.
Passwort Richtlinien sollte auch schon jeder gehört haben. Ich erspare sie mir.
Mathematisch zählt bei Brutal Force nur die Zeichenlänge und der Zeichenumfang pro Stelle.
Denn es wird bei jedem vernünftigen System nur ein Hashwert daraus ermittelt und übertragen.
Und ein Wesen eines Hashes ist die größtmöglicher Veränderung des Hashwertes schon bei minimalster Änderung nur einer Stelle des Passwortes.
ABER: Wehe man verwendet etwas das so umgangssprachlich ist, das es schon in Hashwert Wörterbüchern abgespeichert ist.
Ein Hashwert ist übrigens nie eindeutig. Es gib mehrere Passwörter die durchaus den gleichen Hash ergeben können.
Zurückrechnen in das Passwort läßt sich das nicht, da unwiederbringbar Informationen bei der Hashberechnung weggeschmissen werden.
ABER: Man braucht ja nicht das original Passwort zu hacken, es reicht ein Anderes zu kennen das den gleichen Hash ergibt.
Ausserdem ist es leider oft einfacher das Passwort, oder Teile davon zu erraten. Oft sind Namen, Daten, Jahreszahlen etc enthalten die in Bezug zu der Person stehen.
An dieser Stelle verweise ich auf den lustigen Film "Spaceballs". Wie lautet doch das Passwort zum Abzapfen der Athmosphäre nochmal? " 1-2-3-....."
Noch schlimmer steht es aber bei den allermeisten "primitiv" Geräten, die sich im Internet der Dunge tummeln.
Da kann man getrost von 0 Absicherung ausgehen, bevor einem nichts Anderes nachgewiesen wird.
Kleine 1-Chip Computer mit eigenem Webinterface und Internet Zugang. Das default Passwort im Internet recherchierbar.
Kein Wunder wenn es tausende "offene" Webcams im Internet gibt, auf die man sich "just for fun" draufschalten kann, um zu sehen was da gerade vor der Linse passiert. Gängige Foren bieten die auch für zahlende Kundschaft schön sortiert an (IP, Account, Passwort oder gleich nur URL) , nach Kategorie wo die Kamera steht und was zu sehen sein könnte. Schlafzimmerblick inclusive. Ich schreibe das hier offen um euch zu sensibilisieren.
Wer sich eine Kamera oder ein Mikro mit eigener IP und Internet Gateway Einstellung in die Wohnung stellt, muss real damit rechnen das die Infos ins Internet unbefugt gestreamt wird. Insbesondere wenn man den Account nicht bearbeitet! Aber auch das hilft nicht immer, etliche Geräte haben einen fest eingebrannten Werks Account - eine Hintertür "Backdoor". Und wenn Kamera/Mikro an eine Cloud gesendet werden zwecks Auswertung (Einbruchsmeldung, etc.) .........
Eine uneingeschränkte Codeausführung:
Dies ist ein typisches Windows Problem aufgrund der veralteten Sicherheits Architektur. Aber andere Systeme sind da auch empfänglich, insbesondere ungesicherte Einplatinen Computer.
Historisch früher hat man seinen Rechner als Administrator aufgesetzt und mit dem gleichen User gearbeitet. Obwohl Windows recht früh schon (fortschrittlich) Unserprofile unterstützte, aber man wurde da nicht gezwungen. Und Faulheit siegt bekanntlich.
Das war privat absolut kein Problem solange man nicht Netzwerk und Internet hatte.
Ich kenne auch noch alte Apple Systeme aus der NU Bus Zeit die zu der Zeit noch nicht mal Userprofile kannten.
Jeder der an der Tastatur saß hatte überall Vollzugriff- ungefragt.
Heute ist das zum Glück auf richtigen Rechnern (meist) nicht mehr der Fall.
Positiv Beispiel ist mal wieder Linux Mint. Beim Installieren wird ein anzulegender Usernamen abgefragt.
Dieser ist per definition nachher nur "USER", und darf selbt mit Rechteanfrage mittels Sudo & Passwort nicht alles.
Im Hintergrund wird aber auch der Admin "root" angelegt. Das ist ein fortschrittliches 2-stufiges System.
Ausserdem erhält jede Datei auch ein "Ausführbarkeits Attribut". Klar kann das per Berechtigung geändert werden, aber ein Trojaner kann das nicht selber.
Ausserdem sind auch Cross Angriffe nicht machbar, wie ein Programm mit Datei als Parameter aufrufen und ihm einen nicht für es bestimmten Dateityp unterzujublen.
Sowas ist unter Windows leider noch Gang und Gäbe. Da gib es keine Absicherung der Software gegeneinander. Programm 1 darf Programm 2 starten.
Jedes Programm das "normal" startet hat die Rechte des aktuell angemeldeten Users. Wehe der ist Administrator.
Und ganz "tolle" Software erkennt bei Übergabe von falschen Dateitypen das sie nicht gemeint ist, und führt dann komfortabel eine Virus exe Datei aus.
Service muss sein.
Nun danke ich für eure Aufmerksankeit, und wünsche einen störungsfreien IT Betrieb.
Für IT Beratung kann man mich auch privat ansprechen und wenn es in das kommerzielle Maß geht ggf. buchen.
ich bin bei meiner täglichen Recherche nach Sicherheitsthemen auf einen sehr brauchbaren Artikel gestossen:
Sichere Konfiguration von IT Systemen
Normalerweise liest man immer recht viel "Schrott", wie Virenscanner und anderes Schlangenöl, aber diesmal muss ich sagen, das alle Empfehlungen gut nachvollziehbar sind. Mir würden auf Anhieb aber auch noch ein paar Weitere einfallen....
Hier nun der Original Artikel:
https://www.golem.de/news/nsa-und-cisa-1...78298.html
Für diejenigen denen die Stichworte noch nichts sagen hier im Anschluss eine kleine Erklärung mit Beispielen:
Der Einsatz von Standardkonfigurationen für Software und Anwendungen:
Wenn jemand Infos hat wie ein System aufgesetzt ist, gelingt es ihm viel leichter dies zu hacken, denn er tappt zunächst nicht im Dunkeln.
Beispiel1: Wenn man in einem Windows System den eingebauten lokalen "Administrator" nicht umbenennt, ermöglicht man einem Angreifer schon sofort Passworte auszuprobieren. Ist der Name des Administrators aber umbenannt, gehen diese Angriffe ins Leere bis der Namen des Admins herausgefunden wurde.
Beispiel2: Die gilt natürlich auch für alle anderen IT Geräte, wobei ich inbesondere Router anspreche, die sich in jedem Haushalt befinden.
Dort lassen sich zwar oft die Admin Namen nicht ändern, aber auf keinen Fall sollte man dann noch das Default Passwort belassen.
Auch in Linux für den "root" User gilt die Passwort Problematik!!!! Daher unbedingt die Anleitung in diesem Forum befolgen um "root" ein anderes Passwort, als von Werk aus, zu geben- auch wenn man den User root gar nicht nutzt.
Eine unzureichende Trennung von Benutzer- und Administratorenprivilegien:
Dies ist oft ein Problem schlechter Betriebssysteme. Da wird nur ein User angelegt der alles darf.
Oder der normale User hat Rechte in Bereiche in denen er gar nichts zu suchen hat.
Mustergültig ist hier Linux Mint zu nennen. Da darf der "normale" User nichts Gefährliches solange er sich nicht mit sudo und dem Passwort autentifiziert.
Noch besser ist administrative Jobs nur durch Ummmelden auf "root" zu machen.
Die Trennung in Administration und Nutzung durch 2 Accounts ist auch in Windows möglich, aber nicht so ausgefeilt.
Dort startet eine Software immer mit den aktuellen Rechten des angemeldeten Users, und darf aber auf andere Software zugreifen.
Linux ist da strikter, jede Software wird im eigenen Kontext ausgeführt, und darf nicht so ohne weiteres auf die andere Programme zugreifen
Sehr blöd wären gleichlautende Passwörter für Benutzer und Admin des gleichen Systems.
(wenn ich Passwörter schreibe, meine ich implizit auch jede andere zur Autentifikation nutzbare Merkmale)
Eine unzureichende interne Netzwerküberwachung:
Nun Hand auf Herz- wer macht das schon? Nicht mal mittlere Firmen haben dieses Thema im Fokus, weil es Arbeit macht und Geld kostet.
Daher prüfen die meisten ihren Netzwerktraffik erst wenn es zu sichtbaren Einbruch kam.
ABER: nur wer den "legalen" Netzwerktraffik kennt, kann Abnormales Verhalten feststellen.
Unter Netzwerktraffik verstehe ich: Welcher Serverdienst mit welchen CLients auf welchen IPs und Ports kommuniziert.
Ausserdem zählen die Protokolle und die "normale" Datenmenge. Wenn man noch weiter gehen will, kann man die dafür genutzten Accounts noch mit einbinden.
Wer diese Kommunikationsbeziehungen des Normalfalles aber gut kennt, kann auf billigstem Wege eine noch deutlich höhere präventive Sicherheit implementieren. Dazu sind die gewollten Kommunikationsbeziehungen in Firewallregeln umzusetzten, und jeder (auch interne) Netzwerktraffik über Firewall zu leiten.
Wer dann noch die Blockade Logs der Firewall auswertet, sieht meist sofort wenn sich etwas in das Netz eingeschlichen hat.
Die fehlende Segmentierung von Netzwerken:
Dieser Punkt knüpft direkt an das zuvor gesagte an. Man zuerst muss wissen welche Kommunikaton mit wem gewünscht ist.
Dann kann man sich auch überlegen ob es klare "Nicht Kommunikation" zwischen bestimmmten Gerätebereichen geben soll.
Ist dieses der Fall, so ist eine Netzwerktrennung/Segmentierung die erste Wahl zur Erhöhung der IT Sicherheit.
Beispiel1: In einer Firma gibt es viele Geräte in Büros, die auch Internetzugang haben (Datenaustausch, Email, Browser,...).
Aber es gibt auch einen Produktionsbereich in dem nur Produktionssteuerungs- Geräte stehen die zwar untereinander Daten austauschen, aber nicht ins Internet kommunizieren. Meist sind diese Produktionsgeräte auch nicht auf aktuellen Stand der Absicherung. Gerne nehme ich hier als Beispiel Geräte des "internet der Dinge" oder Industrie Komponenten. Hier bietet sich eine Auftrennung der Netzwerke förmlich an.
Benötigt man dafür dann doch noch "gezielte" Kommunikation, zum Beispiel für Updates oder Fernwartung, so kann man dann mittels Firewall oder noch besser, nur temporär hochgefahrener Gateways, Funktion und Sicherheit in Einklang bringen.
Als negativ Beispiel was passiert wenn man das nicht (richtig) tut, seien die iranischen Uran Zentrifugen genannt, die gezielt aus dem Internet zerstört wurden. Beherzigt man diese Trennung, so braucht ein Angreifer physischen Gerätezugang.
Ein mangelhaftes Patch-Management:
Schon bei einem einzelnen Rechner geht hier das Problem los:
Negativ Beipiel war Adobe Flash. Ständig löchrig, aber die Updates nicht im Windows Betriebssystem enthalten.
Manche Software bietet daher eigene Update Funktion an, wie zum Beispiel Opera oder Firefox Browser. Aber oft hat der User nicht das Recht diese auszuführen.
Positiv Beispiel sind die Linux Updates die auch automatisch alle per Depot installierte Softeware erfassen und zentral zum Update anbieten.
In Firmenumgebungen kommt noch ein anderes Problem hinzu: Man hat mehrere tausend Rechner, und verliert den Überblick was wo drauf ist.
Spätestens hier braucht man eine solide Softwareverteilung mit Datenbank und lokaler Scanfunkton der installierten Software.
Die mögliche Umgehung von Systemzugangskontrollen:
Ich denke das ist jedem klar was hier gemeint ist.
An einfache Dinge wie am Monitor klebende Accounts mit Passwort kommt jeder.
ABER: Schon mal dran gedacht das ein Firmenrechner der mit Softwareverteilung aufgesetzt ist, ein aktiviertes PXE Netzwerk Boot Protokoll hatte.
Wenn dann der Admin zu faul oder unfähig war nochmals das BIOS umzukonfigurieren und PXE abzusschalten, ist dieser Rechner unauthentifiziert hoch angreifbar während jedes Bootsvorganges in einem Netzwerk. Das gilt insbesondere in fremden Funknetzwerken, wie Hotel- oder ICE WLAN.
Wer PXE nicht kennt nur eine kurze Beschreibung:
1. Rechner bootet, und sendet Broadcast Paket ins angeschlossene Netz: Wer hat für mich eine DHCP Adresse.
2. Ein beliebiger, nicht überprüfbarer DHCP Server antwortet auf dieses Paket mit der gewünschten IP und weiteren Daten, wie der zusätzlichen IP eines Softwareverteil Servers.
3. Der Rechner der die IP erhalten hat und die Info eines Softwareverteil Servers, frägt nun bei diesem Server nach ob es Installationen für ihn gibt. Auch hier findet keinerlei Überprüfung statt.
4. Der Server sendet Antwort und Datenpakete und übernimmt die Kontrolle..... was vom Platte Löschen, bis zum Start eines beliebigen Betriebssystems über Netzwerk, und danach beliebiger (Datenklau/Zerstörung) Aktion geht. All diese Vorgänge setzten keinerlei Accounts oder Passwörter, oder andere Sicherheitsüberprüfungen voraus.
UND ES GEHT AUCH IM HOTELNETZ AN DEM SICH DER FIRMENLAPTOP AUF DIENSTREISE ANMELDET.
Ich könnte noch eine schier unendliche Liste veröffentlichen wie sich Zugangskontrollen umgehen lassen....
Es gibt auch kaum ein System wo ich nicht auf Anhieb einen AngriffsVektor finde, aber ich bin auf der "Guten" Seite. Daher hier keine Anleitungen.
Aber es nervt wenn man in der eigenen Firma gestandenen Administratoren erklären muss was für Ignoranten sie sind wenn sie sich nur an die Microsoft Checkliste halten.
Schwache oder falsch konfigurierte Methoden für Multi-Faktor-Authentifizierungen (MFA):
An dieser Stelle warne ich vor allem vor dem falschen Glauben das die Sicherheit erhöht wird wenn man sich einen "tollen" extrenen CloudDienst zur 2-Faktor Authentifikation einkauft. Ohne Namen zu nennen: Sehr viele von denen hatten schon selber massive Sicherheitslöcher und Einbrüche in ihrer Coud. Und wer so einen Dienst in Anspruch nimmt verliert selber die Kontrolle wer tatsächlich in seine Systeme hineinkommt.
Hinzu kommt das man nun einen Dritten absolut vertrauen muß. Und das zu Zeiten des Partiot Akt. Nun Dumme sterben nie aus.... und die Welt gehört längst den Lemmingen.
Ausserdem beachte man den User. Je mehr man den traktiert, umso eher wird er ausweichen versuchen.
Beispiel: Ich hatte immer freiwillig Passwörter im 25 Zeichen Länge Bereich, mit etlichen Zusatzzeichen, weil ich die im Unterbewusstsein eintippe.
Aber seit wir in der Firma Teams eingeführt haben, musste es zwangsweise eine 2-Faktor Authentifizierung mittels Handy sein.
Da bin ich mit der Eingabe meiner sicheren Passwörter ohne Tastatur verrückt geworden. Zigmal falsche Eingaben auf den kleinen Bildschirmflächen.
Folglich habe ich meine Passwörter nun geändert. So kurz wie nötig, und leicht eintippbar auf dem Handy. Toller Sicherheitsgewinn.
Fazit. Zugangskontroll Systeme hoste man besser selber. Zero Trust to Strangers
Es gibt immer 2 Ebenen denen man vertrauen muß: Dem Gerät UND dem User.
Die 2-Faktor Cloud Lösung mag die Userkontrolle verbessern, bringt aber nichts bei der Gerätekontrolle, und kann selber zum Sicherheits Risiko werden, wenn wieder mal der Anbieter gehackt wird. Dazu muss man nun noch einer 3. Komponente vertrauen: Dem Anbieter der 2-Faktor Cloud Lösung.
Und mal eine Überlegung am Rande: Was ist wenn der (temporär) ausfällt? Bleibt dann die Produktion stehen, überlebt das der Betrieb? Und wer haftet für den Schaden durch Produktionsausfall?
Was ich für besser halte ist ein kaskadiertes Absicherungs System.
- Gerätekontrolle mittels Zertifikat.
- Userkontrolle direkt auf dem Gerät durch Passwort + 2.Faktor , wie z.Bsp: Hardwaretoken, persönliches Merkmal wie Fingerprint, Irisscan, Sprachprobe, Tippverhalten, ....
Unzureichende Zugriffskontrolllisten für Netzwerkfreigaben und Dienste:
Hier gehts wie am Anfang schon erwähnt darum zu wissen wer was darf. Also was "normal" ist. Nur nicht an Netzwerkbeziehungen, sondern auf Datei Ebene, oder Dienstezugang. Problem ist hier die Art und Weise wie Freigaben sich im Laufe der Jahrzehnte entwickelt hat.
Man hat (früher) funktionstechnisch gedacht. Wer darf wohin zugreifen.
Der Einfachheit halber hat man dann nicht die einzelnen User verrechtet sondern Usergruppen festgelegt.
Diese Zugriffsgruppen haben dann typischerweise Berechtigungen in Verzeichnisebenen unterhalb einer Baumstruktur erhalten.
Um es ganz kompliziert zu machen konnte man dann auch Rechte darüberliegender Baumstrukturen vererben.
Am Schuß war es schwer festzustellen welche effektiven Rechte ein User wo überall hatte.
ABER: früher hatte man viel weniger Daten und ein ganz anderes Sicherheitsdenken.
Wer dann über 30 Jahre in einer Firma war, und ab und zu den Bereich wechselte, hat dann nach und nach Zugänge angesammelt.
HEUTE muss man eigenltich managen WER WELCHE INFORMATIONEN (WANN) ZUGREIFEN DARF.
Es braucht also einen Informationsbezogenen Zugriff und nicht mehr einen globalen.
Ausserdem muss der aktiv gepflegt werden.
Viele Firmen sind heute noch damit hoffnungslos überlastet. Insbesondere wenn es keinen zentralen Datenpool gibt, sondern viele dezentrale System.
So lassen auch auch immer wieder die berühmten "leaks" erklären, wo Leute Daten veröfentlichen, auf die sie eigentlich gar nicht hätten zugreifen dürfen.
Man sollte aber nicht annehmen das Admins alle faul und dumm wären. Das Problem ist die gewachene Struktur.
Es täte daher nicht schlecht mal eine komplett neue Gesamtlösung (mit Sicherheit per Design) zu erarbeiten, alle Daten umzuziehen, und die alten Strukturen abzuschalten.
Ein mangelhafter Umgang mit Anmeldeinformationen:
qualitativ schlechte Zugangsdaten, schlecht gesichert, unendlich gültig, Gruppenzugang unbekannt wer es beuntzt....
Typische Beispiele: Anmeldeinformationen werden nicht gesichert publiziert.
Sei es (absichtlich) auf Monitorrändern, oder (versehentlich) in öffentlich zugänglichen Datenspeichern.
Oder auch versenden eines Accounts per nicht End to End verschlüsselter Kommunikation oder Mail gehört dazu.
Aber es gibt noch eine Menge mehr zu beachten.
Auch die Nutzung von bekannten Standard Accountnamen wie "Admin" oder " Administrator" oder "root" fällt in diese Rubrik.
Ich habe in meinen Serverlogs bereits Anmeldeversuche in allen verschiedenen Sprachen dieser Welt für besagte Accounts gesehen.
Passwort Richtlinien sollte auch schon jeder gehört haben. Ich erspare sie mir.
Mathematisch zählt bei Brutal Force nur die Zeichenlänge und der Zeichenumfang pro Stelle.
Denn es wird bei jedem vernünftigen System nur ein Hashwert daraus ermittelt und übertragen.
Und ein Wesen eines Hashes ist die größtmöglicher Veränderung des Hashwertes schon bei minimalster Änderung nur einer Stelle des Passwortes.
ABER: Wehe man verwendet etwas das so umgangssprachlich ist, das es schon in Hashwert Wörterbüchern abgespeichert ist.
Ein Hashwert ist übrigens nie eindeutig. Es gib mehrere Passwörter die durchaus den gleichen Hash ergeben können.
Zurückrechnen in das Passwort läßt sich das nicht, da unwiederbringbar Informationen bei der Hashberechnung weggeschmissen werden.
ABER: Man braucht ja nicht das original Passwort zu hacken, es reicht ein Anderes zu kennen das den gleichen Hash ergibt.
Ausserdem ist es leider oft einfacher das Passwort, oder Teile davon zu erraten. Oft sind Namen, Daten, Jahreszahlen etc enthalten die in Bezug zu der Person stehen.
An dieser Stelle verweise ich auf den lustigen Film "Spaceballs". Wie lautet doch das Passwort zum Abzapfen der Athmosphäre nochmal? " 1-2-3-....."
Noch schlimmer steht es aber bei den allermeisten "primitiv" Geräten, die sich im Internet der Dunge tummeln.
Da kann man getrost von 0 Absicherung ausgehen, bevor einem nichts Anderes nachgewiesen wird.
Kleine 1-Chip Computer mit eigenem Webinterface und Internet Zugang. Das default Passwort im Internet recherchierbar.
Kein Wunder wenn es tausende "offene" Webcams im Internet gibt, auf die man sich "just for fun" draufschalten kann, um zu sehen was da gerade vor der Linse passiert. Gängige Foren bieten die auch für zahlende Kundschaft schön sortiert an (IP, Account, Passwort oder gleich nur URL) , nach Kategorie wo die Kamera steht und was zu sehen sein könnte. Schlafzimmerblick inclusive. Ich schreibe das hier offen um euch zu sensibilisieren.
Wer sich eine Kamera oder ein Mikro mit eigener IP und Internet Gateway Einstellung in die Wohnung stellt, muss real damit rechnen das die Infos ins Internet unbefugt gestreamt wird. Insbesondere wenn man den Account nicht bearbeitet! Aber auch das hilft nicht immer, etliche Geräte haben einen fest eingebrannten Werks Account - eine Hintertür "Backdoor". Und wenn Kamera/Mikro an eine Cloud gesendet werden zwecks Auswertung (Einbruchsmeldung, etc.) .........
Eine uneingeschränkte Codeausführung:
Dies ist ein typisches Windows Problem aufgrund der veralteten Sicherheits Architektur. Aber andere Systeme sind da auch empfänglich, insbesondere ungesicherte Einplatinen Computer.
Historisch früher hat man seinen Rechner als Administrator aufgesetzt und mit dem gleichen User gearbeitet. Obwohl Windows recht früh schon (fortschrittlich) Unserprofile unterstützte, aber man wurde da nicht gezwungen. Und Faulheit siegt bekanntlich.
Das war privat absolut kein Problem solange man nicht Netzwerk und Internet hatte.
Ich kenne auch noch alte Apple Systeme aus der NU Bus Zeit die zu der Zeit noch nicht mal Userprofile kannten.
Jeder der an der Tastatur saß hatte überall Vollzugriff- ungefragt.
Heute ist das zum Glück auf richtigen Rechnern (meist) nicht mehr der Fall.
Positiv Beispiel ist mal wieder Linux Mint. Beim Installieren wird ein anzulegender Usernamen abgefragt.
Dieser ist per definition nachher nur "USER", und darf selbt mit Rechteanfrage mittels Sudo & Passwort nicht alles.
Im Hintergrund wird aber auch der Admin "root" angelegt. Das ist ein fortschrittliches 2-stufiges System.
Ausserdem erhält jede Datei auch ein "Ausführbarkeits Attribut". Klar kann das per Berechtigung geändert werden, aber ein Trojaner kann das nicht selber.
Ausserdem sind auch Cross Angriffe nicht machbar, wie ein Programm mit Datei als Parameter aufrufen und ihm einen nicht für es bestimmten Dateityp unterzujublen.
Sowas ist unter Windows leider noch Gang und Gäbe. Da gib es keine Absicherung der Software gegeneinander. Programm 1 darf Programm 2 starten.
Jedes Programm das "normal" startet hat die Rechte des aktuell angemeldeten Users. Wehe der ist Administrator.
Und ganz "tolle" Software erkennt bei Übergabe von falschen Dateitypen das sie nicht gemeint ist, und führt dann komfortabel eine Virus exe Datei aus.
Service muss sein.
Nun danke ich für eure Aufmerksankeit, und wünsche einen störungsfreien IT Betrieb.
Für IT Beratung kann man mich auch privat ansprechen und wenn es in das kommerzielle Maß geht ggf. buchen.