Fragen? Antworten! Siehe auch: Alternativlos
Aber langfristig musst du auch mehr Content draufwerfen, nicht nur mehr Harware. Wo kommt der her? Und wie verhinderst du, von Contentfarmen vergiftet zu werden?
Dafür hat OpenAI jetzt eine Antwort geliefert. Gar nicht. Farm away!
Ich frage mich ja, wie viel Geld Microsoft eigentlich mit ihrem "KI"-Theater verlieren muss, bevor da jemand die Reißleine zieht.
Wahrscheinlich gibt es dieses Limit nicht. Microsoft hatte ja auch ein Programm, wo sie Leute dafür bezahlt haben, Bing statt Google Search zu benutzen. Die kriegen einfach, genau wie die Ransomware-Branche, genug Geld nach, um nie sparen zu müssen.
Und lustigerweise kommt das Geld auch von denselben Idioten.
Offensichtlich lohnt es sich, die Kunden einfach Hackern ans Messer zu liefern. Spart Kosten und die blöden Kunden haben offensichtlich kein Problem damit sondern bleiben Kunden.
Wir erinnern uns: Der Chef meinte damals, da sei ja wohl der Staat gefordert, um seine ranzige, unsichere IT vor Ransomware zu schützen. Wie immer halt. Profite privatisieren, Kosten vergesellschaften. (Danke, Mark)
Welches Problem?
"Nach verheerendem Angriff auf Südwestfalen-IT: 205 Kommunen lassen IT prüfen"
Hunderte Kommunen in NRW lassen ihre IT-Sicherheit überprüfen, die Landesregierung bezahlt das. Sie will das Land künftig besser vorbereitet wissen.Hier also meine Hilfe. Kostenlos sogar.
Erstens: Spart euch das. Die Prüfung ist bereits abgeschlossen. Die Ransomwarer haben euch geprüft und ihr seid durchgefallen. Das Geld gibt man am besten VOR dem erfolgreichen Angriff aus.
Zweitens: Schmeißt die vier apokalyptischen Reiter raus: Windows, Office, Exchange und Active Directory. Lasst euch eure IT als Webanwendung machen und installiert den Leuten dumme Terminals. Irgendwas Linux-basiertes mit Komplett-Lockdown, das keine Daten lokal speichern kann, und als read-only Image verteilt und automatisch geupdated wird.
ChromeOS hat gezeigt, dass das grundsätzlich geht. Sollte vielleicht mal jemand als Produkt anbieten. Sowas wie Chromeos Flex aber ohne Google.
Oder ... gut, ich meine, ihr könnt natürlich einfach weiterpfuschen. Wir sehen uns dann beim nächsten Ransomwarevorfall. *winke*
Früher war die Argumentation immer: root kann /dev/kmem aufmachen und die Platte formatieren, das ist äquivalent zu Kernel-Zugriff. Genau so unter Windows: Admin kann Kernelmodule laden, ist daher äquivalent zu Kernel.
Später hat sich das dann langsam geändert, als Code Signing für Kernelmodule eingeführt und später erzwungen wurde. Ich habe aber schon vor 20 Jahren mit Microsoft verhandelt, dass das eine Security Boundary sein soll, bevor das mandatory war.
Inzwischen kann Admin nicht mehr einfach irgendwelche Module laden, sondern nur noch solche mit valider Signatur. Das ist aus meiner Sicht das Ende der Debatte, denn offensichtlich handelt es sich jetzt um eine Security Barrier.
Ich habe damit ein paar Bugfixes durch-gebullyt gekriegt (am Ende entscheidet nicht die Policy sondern der einzelne Entwickler, ob der Bug gefixt wird; niemand hindert einen Entwickler am Fixen eines Bugs, auch wenn die Policy den nicht so schlimm findet). Aber die offizielle Policy wurde nie geändert.
Das führte zu bekloppten Situationen wie dass die fiesen Ransomwarer eine Lücke aktiv ausnutzen, um von Admin zu Kernel zu kommen, und Microsoft weigert sich die zu fixen, weil die Policy sagt, Admin = Kernel. Nach sechs Monaten (!) haben sie die Lücke jetzt doch zugemacht.
Immer dran denken: DAS sind die Leute, die ihr eure Klöten halten lasst, in deren Cloud ihr eure Kronjuwelen migriert habt.
The invitation to upgrade to Windows 11 will appear after signing in and usually following a reboot. It will only show on Windows 10 Pro and Pro Workstation devices that are eligible for Windows 11 and are not managed by IT departments.Das klingt ja erstmal noch nicht so krass, bis man das Kleingedruckte liest:Note: Managed devices are those that you manage via Microsoft Intune, Configuration Manager, Windows Autopatch, or other third-party management tools. Other devices are considered non-managed.Ransomware funktioniert bei Microsoft-Kunden so gut, dass sie jetzt selber Erpressung als Geschäftsmodell ausprobieren! Die erwähnten Tools sind alles Bezahltools, die Microsoft verkauft. Microsoft sagt hier also den Domain Admins: Entweder ihr kauft unsere Zusatztools oder wir upgraden eure Windows-10-PCs zu Windows-11, mit allen Nachteilen, die das mit sich bringt (wie NOCH mehr Überwachung, "KI"-Scheiß und Werbungseinblendungen).Ich fühle mich an das Schweigen der Lämmer erinnert.
IT RUBS THE WINDOWS 11 LOTION ON ITS SKIN OR ELSE IT GETS THE HOSE AGAIN!
Lasst euch davon mal bitte nicht blenden. Die Polizei ist hier massiv im Hintertreffen. Die Polizei greift spezifische Ziele an. Die Ransomwarer schießen einfach mit der Schrotflinte ins Gehege und holen dann die toten Tiere raus.
Von der Schwierigkeit liegen da Größenordnungen dazwischen.
Ich will die Leistung der Polizei hier nicht kleinreden, im Gegenteil. Wenn sie auf der Lockbit-Darknet-Seite statt der Countdowns für die erpressten Firmen (in ZWEI Tagen veröffentlichen wir eure Daten, wenn ihr nicht zahlt) einen Countdown für das Bekanntgeben des Klarnamens des Chefs der Ransomwaregruppe hintun, dann ist das schon lustig und ich würde sogar sagen, dass das Hack Value hat.
So und jetzt denken wir mal eine Runde weiter. Wenn die Polizei es unter diesen widrigen Umständen schafft, Lockbit einmal die Infrastruktur wegzusnipern, obwohl die hinter Tor war und so weiter, dann haben die mehr als die nötigen Fähigkeiten, um jedem von euch und mir alle Infrastruktur wegzusnipern. Die Idee, dass ihr euch mit ein paar technischen Tricks wie Server im Ausland oder Tor Hidden Service schützen könnt, die ist nicht mehr aufrecht zu erhalten.
Ist das jetzt gut oder schlecht? Kommt auf eure Bild vom Rechststaat an und für wie korrupt ihr die Behörden haltet. Bei mir ist ja nach dem Urteil gegen die Filesharing-Oma ohne Computer nicht mehr viel übrig vom Glauben an den Rechtsstaat.
Ja aber Fefe, du machst doch nichts kriminelles, du musst doch keine Angst vor der Polizei haben?
Es gibt durchaus Dinge, die ich für richtig und wichtig finde, die aus irgendwelchen Gründen in unserem Rechtssystem als verboten gelten. Ich bin beispielsweise ein Sympathisant von frei zugänglichen akademischen Papers. Ich finde es grotesk, dass sich Sci-Hub in einer Diktatur vor dem Zugriff der freidrehenden westlichen DRM-Mafia verstecken muss. Und dass wir uns gleichzeitig dauernd anhören müssen, dass wir einen Fachkräftemangel haben. Ja, äh, vielleicht hätten wir den nicht, wenn wir nicht das Wissen der Welt hinter eine Paywall von unseriösen Aasgeier-Verlagen gepackt hätten!
Wenn unsere Behörden die technische Befähigung haben, um Lockbit plattzumachen, können sie damit auch Raubkopierer plattmachen, oder unliebsame Journalisten. Ich persönlich habe daher immer vertreten, dass der Staat besser nicht alle Zugriffsmöglichkeiten kriegt, und einige Verbrechen dann halt ungesühnt bleiben.
Wie demaskiert man Tor Hidden Services? Mit Trafficanalyse und Timing-Korrelationen. Man generiert Traffic zum Hidden Service und dann guckt man, ob man Pakete dieser Größe kurz danach irgendwo anders wiederfindet. Wenn die Behörden also die Tor Services demaskieren konnten, dann haben sie auch Trafficdaten über allen Traffic da draußen. Auch deinen hier gerade zu meinem Blog.
Update: In diesem Fall haben sie einfach einen PHP-Exploit gegen die Dark-Net-Site gefahren und mussten gar nicht Tor demaskieren. Die obigen Überlegungen sind trotzdem jetzt angemessen bis notwendig, finde ich.
Arnsberg. Die nach einer Cyberattacke seit Wochen reduziert arbeitenden IT-Systeme in Südwestfalen wurden am Montag erneut heruntergefahren.Da brauchst du gar keine Ransomware, um nicht arbeiten zu können!
Komm, Atze, wir setzen am besten auch Exchange, Active Directory, Office und Windows ein. Da haben wir immer was zu patchen und niemand wird die Notwendigkeit unserer Jobs hinterfragen!1!!
Kurze Fassung: Muss man nicht geguckt haben. Halt ein Actionkracher mit einem bisschen Plotsimulation drübergesprenkelt.
Aber das ist nicht der Teil, um den es mir hier geht. Im Vorfeld hat der Film eine Menge Kritik eingefahren, weil er "ein Wahlwerbespot für Donald Trump" ist. Ich habe beim Gucken darauf geachtet, ob ich diesen Vorwurf nachvollziehbar finde.
Nein. Finde ich nicht. Im Gegenteil. In dem Film (ich spoiler mal großflächig) geht es um einen Hobbyimker (Statham), der das Land von einer älteren Dame gepacktet hat, und die wird dann von ein paar Cyber-Scammern ausgenommen, inklusive eines von ihr verwalteten Kontos einer gemeinnützigen Stiftung für kleine Kinder. Sie begeht daraufhin Selbstmord. Das triggert Statham, der loszieht und sich durch die Managementschichten der Ransomwarer hochprügelt und deren Callcenter niederbrennt.
Was hat das mit Trump-Werbung zu tun? Nun, der schnöselige Chef der ganzen Ransomware-Pyramide ist der Sohn der Präsidentin und wird beschützt von dem Ex-CIA-Chef, der das als Gefallen für seine Mutter macht.
Mit anderen Worten: Eine KLARE ANSPIELUNG auf Hunter Biden! Auch der Deep-State-Kram, das ist offensichtlich Qanon-Verschwörungsscheiß!1!!
So ungefähr die Argumentation für "das ist Trump-Werbung". Stimmt aber halt nicht.
Die Statham-Figur ist eine Art Superkämpfer für eine extralegale Vigilante-Organisation namens Beekeepers, die die Bevölkerung retten soll, wenn alle anderen Stricke reißen. Die ist explizit extralegal, d.h. nicht Teil des State und damit kein Deep State.
Mir ist ein anderer Aspekt daran aufgefallen. Früher waren Hollywoodfilme eigentlich immer Hoffnungsverbreiter. Sie zeigen den einen nicht korrupten Cop, der den Fall nicht liegen lässt. Häufig wird der sogar suspendiert, kämpft aber trotzdem weiter!1!!
Alles, um beim Zuschauer den Eindruck zu erwecken, dass man sich vielleicht doch so ein bisschen auf das System verlassen kann. Klar ist das alles schlimm, aber es gibt da immer noch diesen einen Cop kurz vor der Pensionierung, der sich nicht aufhalten lässt. Das System funktioniert doch noch ein bisschen!
Das Narrativ ist jetzt vorbei. Ab jetzt retten uns ehrenhafte Vigilantes.
Auf der anderen Seite haben wir das ja schon länger bei den ganzen Superheldenfilmen. Vielleicht wirkt das jetzt nur neu auf mich, weil das halt ein Actionfilm ist und kein Superhelden-Fließbandmaterial.
Auffällig ist in dem Film auch, dass Statham mehrfach gegen Polizisten kämpft, und gegen Kriminelle aus den unteren Schichten. Jedesmal (außer wenn sie ihn zuerst angreifen) gibt er ihnen eine Chance, die Waffen zu strecken und zu flüchten. Es gibt Tote in dem Film, aber es sind vergleichsweise wenige. Und niemand wird dafür getötet, für die Polizei zu arbeiten, selbst wenn er ihn zu verhaften versucht. Erst ganz am Ende gibt es Law Enforcement-Tote (Secret Service, wenn ich mich recht erinnere). Es könnte fast als Batman-Film durchgehen. Nur halt weitgehend ohne die Verhaftungsszenen, die sonst in dem Genre üblich sind, nachdem der Superheld die Banditen bewusstlos geprügelt hat.
Man könnte sagen, dass in dem Film das staatliche Gewaltmonopol komplett negiert wird. Es gibt Polizei und sie steht ständig überall im Weg herum und schafft selbst kein einziges Unrecht aufzuklären.
Ich habe das als Actionfilm-Zeitenwende empfunden. Und als ziemlich krasse Aussage darüber, wie tief wir die Welt schon in den Boden gestampft haben.
Oh, der Kurs wird sogar noch höher gehen. Hier erklärt das ein Spezialist von Nasdaq. Bei Bitcoin gibt es periodisch einen Punkt, ab dem die Miner nur noch die Hälfte ausgezahlt kriegen. Die "Auszahlung" ist in Bitcoins. Gleichzeitig steigen die Stromkosten und wir haben Inflation in der Realwelt.
Das kann man jetzt den Markt regeln lassen, dann gehen halt lauter Miner pleite, aber dann steht da noch die Hardware rum und man könnte damit einen 51%-Angriff gegen Bitcoin fahren. Das will also niemand. Also gehen halt die Kurse noch.
Das hat nichts mit "dem Erfolg von Bitcoin" zu tun, oder mit was für ein geiles Investment das ist.
Der Preis von Bitcoin ist ja eigentlich auch egal, denn die einzigen Kunden sind Ransomware-Opfer, und die kaufen nicht "drei Bitcoin bitte" sondern "10000 Euro in Bitcoin bitte".
Es gibt jetzt neu Anläufe, Bitcoin-ETFs zu verkaufen. Das ist natürlich ganz super. Also für die Miner jetzt, die damit eine neue Generation "bigger fools" gefunden haben, die ihnen für Bitcoins Dollars geben. Aber falls die ETF-"Investoren" irgendwann ihren ROI haben wollen, dann gibt es großes Heulen und Zähneklappern.
Ich würde ja vorschlagen, dass man lieber ganz ehrlich Bitcoin-Derivate macht. Da weiß vorher jeder, dass das Casino ist. (Kontext)
Oder vielleicht doch dieses hier?
Warum kaufen Leute bei solchen Anbietern?! Mein Kumpel Kris wundert sich auch.
Immerhin kriege ich immer weniger Gegenwind für meinen Kategorienbegriff "Schlangenöl". Ihr glaubt ja gar nicht, was ich mir da früher für anhören musste. Das sei ja unseriös, die Hersteller alle über einen Kamm zu scheren, und im Übrigen seien das ja dekorierte Experten, die Erfahrung in Kriegszonen haben. Nee, klar.
Ich frage mich ja schon eine Weile, wieso die Leute ihr Geld lieber Ransomware-Gangs geben als meinen (öffentlichen! kostenlos verfügbaren!) Vorschlägen zu folgen. Denen geht es halt allen noch zu gut.
Ich schlage als Indikator für den Ernst der Lage vor, wie viele Active-Directory-Webinare Heise anbietet. Wir sind glaube ich bei vier gerade. Da geht also noch was. Techstage hat noch keines im Angebot.
Mir ist ja immer wichtig, dass niemand sagen kann, er sei nicht rechtzeitig von mir gewarnt worden. *zurücklehn*
Lasst mich bei der Gelegenheit noch eine Sache sagen, nach der ich neulich gefragt wurde. Nein, SBOM wird uns nicht vor der Supply-Chain-Apokalypse retten. Das ist Compliance-Theater von verängstigten alten Leuten, die in ihrer selbstverschuldeten Unmündigkeit verharren.
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Jason Statham rächt eine Oma, die Opfer einer Ransomware-Gang wurde!
Ich fände ja noch schöner, wenn Jason Statham die Zuständigen bei Microsoft und co und in der Wirtschaft bekämpfen würde, die uns jetzt auch noch MFA aufdrücken wollen, damit sie vor Gericht sagen können, dass das unsere Schuld gewesen sein muss. Aber fürs erste kann ich auch mit "Jason Statham macht Ransomware-Gang platt" leben.
In a number of interviews with individuals who had been at the forefront of ransomware attacks and their aftermath, RUSI found that individuals were suffering from stress related illnesses, alongside financial, reputational and social harm as a result of ransomware attacks.Ach Gottchen! Reputational harm!? Bloß weil die vorher so massiv verkackt habt, dass Ransomware reinkam? Also DAS ist ja mal ungerecht!!1! Die Armen!1!!Pass uff, morgen gibt es eine Story, dass die Täter auch bloß Opfer sind. Die leiden so unter der Last ihrer geraubten Gelder!
Die Älteren unter euch werden sich noch an eine Zeit erinnern, als Bosch einen Ruf hatte. Sic transit gloria mundi.
Handwerkskammern in NRW offline - Ein Hackerangriff?Ja waren die etwa nicht IHK-zertifiziert? Haben die etwa nicht das Heise-Webinar gekauft?!? (Danke, Pit)
Ransomware: Nach der Erpressung folgt umgehend die nächste ErpressungNEIN!!! Wenn wir unser Verhalten nicht ändern, lösen sich die Probleme nicht von selbst?! Das ist ja unglaublich, Bob!
Online-Kriminelle werden immer dreister und schlachten Opfer von Erpressungstrojanern gleich mehrfach aus.Das ist ja dreist!!1!
Eigentlich dachte man ja früher mal, dass die Menschheit sich dadurch vom Tier unterscheidet, dass sie aus Fehlern lernen kann. Selbst aus Fehlern, die ein anderer Mensch gemacht hat. Aber wie sich rausstellt können wir nicht mal aus Fehlern lernen, die wir selbst gemacht haben.
Ich war heute vor allem mit der Fnord-Show ausgelastet und habe nicht so viel gesehen. Hirne Hacken war lustig, kann ich empfehlen. Linus erzählt, wie er mit Ransomwaregangs verhandelt hat.
Synthetic Consciousness Sentience war Peak Joscha und ht dem Publikum das Hirn durchgehackt :)
Der Demoscene-Vortrag hat inhaltlich nicht viel erzählt, hauptsächlich Videos von Demos gezeigt, aber hat mit seiner Begeisterung für die Sache das Publikum schnell für sich gewonnen.
A New Hope sollte ein Pep-Talk sein, war aber eher das Gegenteil.
Decentralized Energy Production war ganz nett, hätte man aber auch als Lightning Talk machen können. In den ersten Minuten erzählt er, dass der Hersteller Remote Firmware Updates machen kann, dass er sich mit MITM einhängen und das auslösen kann, dass der Pfad relativ zum Server in der Cloud ist aber man da Firmware hochladen kann. Damit war der Drops inhaltlich gelutscht.
Von Loab erwartete ich nichts und war dann sehr positiv überrascht.
Jetzt erst mal ausschlafen.
Update: Name des Vortrags von Joscha korrigiert.
War auch Zeit, finde ich. Nie war jemand Schuld, das war immer schlechtes Wetter und hochgradig kriminelle Energie von kriminellen Kriminellen. Höchste Zeit, dass der EuGH da mal Tacheles redet.
Hat er aber nicht. Es ging zwar ganz vielversprechend an:
Cyberkriminalität: Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten kann für sich genommen einen immateriellen Schaden darstellenAber hier ist der Fall, um den es ging: In Bulgarien hatte das Finanzamt Besuch einer Ransomware-Gang und danach tauchten die personenbezogenen Daten der Bürger in einschlägigen Darkweb-Verkaufsstellen auf.
Daraufhin hatten mehrere Bürger geklagt und das oberste Verwaltungsgericht Bulgariens hat den EuGH gefragt, ob die Bürger jetzt nachweisen müssen, dass die Daten wirklich vom Finanzamt kamen, dass das Finanzamt da ihre Security verkackt hat, und ob da weitergehender Schaden entstanden ist (Identitätsdiebstahl o.ä.).
Die Frage hätte sich mir gar nicht gestellt. Wenn jemand im Darkweb einen Finanzamts-Datenreichtum verhökert, und da sind meine Daten drin, dann hätte sich mir die Frage gar nicht gestellt, ob das Finanzamt Schuld ist. Wer denn bitte sonst?!
Der EuGH sagt jetzt: Das Finanzamt kann nicht einfach behaupten, sie hätten alles richtig gemacht, und das sei schlechtes Wetter gewesen. Und du als Betroffener musst nicht nachweisen, dass jemand mit den Daten im Darkweb bei dir Schaden angerichtet hat.
Auf der anderen Seite sagt das Gericht aber auch, dass alleine aus der Tatsache, dass die Daten veröffentlicht wurden, nicht geschlossen werden kann, dass die Schutzmaßnahmen ungeeignet waren. Das müsse im Einzelfall geklärt werden.
In der Praxis wird das Finanzamt dann auf ihr Schlangenöl zeigen und sagen:
WiR hABeN aLleS GeTAn!1!!
Bei Autos machen die Hersteller das über Mafiamethoden wie "man braucht extra Spezialwerkzeug, und das geben wir nur Vertragswerkstätten".
Das Phänomen gibt es auch bei Zügen, z.B. denen des größten polnischen Herstellers für Schienenfahrzeuge, Newag. Dort ist das aber manuelle Sabotage per Software-Hintertür, nicht Spezialwerkzeug. Haben jetzt ein paar polnische Hacker aufgedeckt, die den Scheiß reverse engineered haben.
So wurde der Service- und Wartungsvertrag für die Impuls-Triebzüge durch die Koleje Dolnośląskie (Niederschlesische Eisenbahnen, KD) neu ausgeschrieben. Hersteller Newag verlor dabei gegen den günstigeren Konkurrenten SPS, der die vorgeschriebenen Inspektionen nach 1.000.000 Kilometer Laufleistung vornimmt.Ach. Ach was. Schöne Züge haben Sie da! Wäre ja zu schade, wenn der Strom nicht mehr die Motoren erreichen würde!1!!Nach Inspektionen und Wartung standen SPS und KD jedoch plötzlich vor einem für die Unternehmen unlösbaren Problem: Der Strom erreichte die Elektromotoren nicht mehr und die Züge konnten nicht mehr fahren.
Ja aber Fefe, Sabotage ist ja eine harter Vorwurf. So klar wird das doch nicht sein in der Realität? Lest selbst:
"Wir fanden heraus, dass der PLC-Code tatsächlich eine Logik enthielt, die den Zug nach einem bestimmten Datum, oder wenn der Zug eine bestimmte Zeit lang nicht fuhr, mit falschen Fehlercodes blockieren würde. Eine Version des Controllers enthielt sogar GPS-Koordinaten, um das Verhalten auf Werkstätten Dritter einzugrenzen."Wenn euch da eine gutartige Erklärung für einfällt, bin ich ganz Ohr.
Weiter hieß es, dass das Verhalten durch eine Tastenkombination in der Kabinensteuerung schnell wieder deaktiviert habe werden können. [...] Als erste Medien darüber berichteten, dass die Drittwerkstätten die Züge wieder flott bekommen hätten, folgte ein Softwareupdate, bei der die Tastenkombination verschwand, so Bazański.Ja gut, jetzt kommt die Führungsetage dieses Herstellers aber mal komplett in den Knast, oder nicht? ODER NICHT?!
Abgesehen von Klagen der Eisenbahnunternehmen gegen den Hersteller haben die polnischen Behörden laut Aussage der Hacker bisher aber kein wirkliches Interesse daran, die Vorgang kartellrechtlich oder unter anderen Gesichtspunkten aufzuklären.Das gefährdet den Wirtschaftsstandort, wenn wir solche Ransomware-Gangs einknasten!1!!
Ich hab ja nur noch Gelächter übrig. Ihr setzt bestimmt auch Windows, Outlook und Active Directory ein. Und wundert euch über die Ransomware.
Bis die Ransomware weg ist, können jetzt keine Taufen oder Beerdigungen online gebucht werden. (Danke, Hans-Christian)
Gehen den Ransomwarern die Opfer aus?
A notorious ransomware group has filed a complaint with the US Securities and Exchange Commission (SEC) over the failure of a victim to disclose an alleged data breach resulting from an attack conducted by the cybercrime gang itself.BWAHAHAHA wie geil! Hey, das wäre bei uns auch ein Geschäftsmodell für Ransomwarer. Auch bei uns gibt es Benachrichtigungspflichten, auch wenn die eher ein zahnloser Papiertiger sind.
Wenn ihr jetzt denkt: Das waren bestimmt die Chinesen!1!! Dann habt ihr völlig Recht:
Industrial & Commercial Bank of China Ltd.’s U.S. unit had been hit by a cyberattack, rendering it unable to clear swathes of U.S. Treasury trades after entities responsible for settling the transactions swiftly disconnected from the stricken systems. That forced ICBC to send the required settlement details to those parties by a messenger carrying a thumb drive as the state-owned lender raced to limit the damage.Das waren in der Tat die Chinesen. Die Bank, nicht die Angreifer. Die Angreifer waren Lockbit, eine russische Ransomwaregang.Na? Seid ihr eigentlich auch so zufrieden mit Windows, Active Directory und Outlook? Industriestandard, hörte ich! So machen das alle!1!!
Als ich kann ja nur raten, in die Cloud zu gehen. Da sind die Daten sicher, hörte ich.
Kein Problem! In Zukunft kann man dann einfach 119 anrufen, schlägt das BSI vor. Da wird einem dann geholfen. Von Schlangenölverkäufern, die einem "Endpoint Security" verkaufen, nehme ich an. Denn andere Lösungen als das und Reporting-Pflichten sind mir beim BSI bisher noch nicht aufgefallen.
Liegt bestimmt an mir. Da arbeiten bestimmt voll fähige Leute, die Dinge verstanden haben, und uns alle retten werden. Die reden nur nicht mit mir.
Nun, das muss nicht immer so lange dauern. Neulich gab es in Ulm einen kommunalen Ransomwarebefall, woraufhin man in den Parkhäusern kostenlos parken konnte.
Die Reparatur davon ging aber GANZ schnell, das könnt ihr mir glauben. (Danke, Björn)
Die Siegener Zeitung macht Liveberichterstattung.
Ist ja komisch. Haben die etwa das Webinar von Heise Security, wie man Active Directory sicher betreibt, nicht besucht?! Genau wie Boeing und alle anderen Ransomware-Opfer. Oder ist es am Ende vielleicht gar nicht möglich, ein Active Directory sicher zu betreiben? Fragen über Fragen. (Danke, Pit)
The US Capital's election agency says a ransomware crew might have stolen its entire voter roll, which includes the personal information of all registered voters in the District of Columbia.Bonus: Die haben nicht die Datenbankserver der Behörde hopsgenommen sondern einen Server bei deren Webhoster, und da lag aber eine Kopie der Daten drauf. Damit es leichter klaubar ist, nehme ich an, denn andere Gründe sehe ich gerade keine."DataNet Systems confirmed that bad actors may have had access to the full voter roll which includes personal identifiable information (PII) including partial social security numbers, driver's license numbers, dates of birth, and contact information such as phone numbers and email addresses," the agency added.Da schreibt sich die nächste Wahlfälschungs-Verschwörungstheorie ganz von alleine!Update: Ach DAS meinte der Trump!
Trigona z.B. hat intern richtig professionelle Standardsoftware eingesetzt. Confluence, von Atlassian.
Beim Patchen waren die weniger professionell, daher wurden sie über die Lücke neulich von ein paar ukrainischen Aktivisten hopsgenommen und ihnen wurden die Server gewiped. (Danke, Christina)
Hier ist mal ein Reporter vorbeigefahren und hat sich die Auswirkungen angeguckt. Ja, die MGM-Hotels und Casinos haben offen.
Aber nicht mal die Slot Machines funktionieren noch. Ein- und Auszahlen geht normalerweise über eine Karte, das klappt nicht. Man kann jetzt Cash einzahlen, aber fürs Auszahlen muss man dann warten, bis ein Typ mit einer Tüte Bargeld rumkommt und einen auszahlt.
Die Restaurants haben auch keine funktionierenden Kassen mehr. Eine Kasse in einem Restaurant geht wohl noch, und darüber wickeln die jetzt alle Restaurants der ganzen Kette ab.
An der Stelle fällt denen natürlich auch echt auf den Fuß, dass sie so viele Menschen wegautomatisiert haben, die sie jetzt nicht mehr haben, um das manuell zu stemmen.
Ganz am Ende haben sie noch die Story, dass ein örtlicher Stripclub für betroffene MGM-Gäste Free Lap Dances anbietet. Als PR-Aktion. Begründung:
When I asked him why they were doing the deal, he said that it was important “to come together as a city” to lift people up during hard times.Kannste dir nicht ausdenken. (Danke, Malte)
Das war damals der Start eines wunderschönes Brauchtums, einer epischen Serie aus Sony-Hacks. Leider verlief das nach einer Weile im Sand, weil Hacker einfach alles bei Sony mindestens einmal penetriert und alle Daten rausgetragen hatten. Aber inzwischen ist eine Menge Zeit vergangen und anscheinend will jemand dieses Brauchtum weiter pflegen. Jedenfalls hat eine Ransomwaregruppe gemeldet, sie hätten da "ALLE DATEN!!1!" rausgetragen. Vorzeigen konnten sie aber wohl nur ein paar lahme Powerpoint-Präsentationen, daher war mir das erstmal keine Meldung hier wert.
Aber jetzt kommt gerade ein bisschen Bewegung in die Sache, denn eine zweite Ransomwaregruppe hat sich gemeldet. Sie sagen, sie hätten tatsächlich Sony gehackt und die andere Gruppe seien bloß Betrüger. Diese zweite Gruppe sagt, sie hätten Zertifikate und Lizenzgeneratoren (also den interessanteren Scheiß!).
Ich für meinen Teil würde das ja begrüßen, wenn wir jetzt wieder wöchentlich einen Sony-Hack haben.
Ja, DAS Outlook. Das aus dem Tödlichen Trio.
Ich hoffe mal für das ZDF, dass das tatsächlich bloß ein Internetausfall war, und dass da nicht jemand die Notbremse gezogen hat, weil sie sich eine Ransomware eingefangen haben.
Das Ergebnis könnte die Bevölkerung verunsichern:
Most ransomware incidents are not due to sophisticated attack techniques, but are usually the result of poor cyber hygiene.Heilige Cybermakrele, Batman! Das ist ja unglaublich!!Gut, mir persönlich kommt diese Erkenntnis gerade verdächtig bekannt vor, aber was weiß ich schon von sowas.
Lustigerweise verkacken sie es gleich im nächsten Satz wieder komplett:
That’s not to say that victims did not take cyber security seriouslyJa, äh, doch! Genau das heißt das!Update: Ich glaube ja, "cyber hygiene" ist das neue "CO2 footprint". Nein nein, liebe Zuhörer, achtet nicht auf den Mann hinter dem hässlichen Vorhang mit der Microsoft-Werbung drauf. Es ist eure Cyber-Hygiene, die euch umbringt!1!!
Daher ergänze ich hier mal im Namen der National Crime Agency: Keine Microsoft-Monokultur zu haben ist wichtiger Teil der Cyber-Hygiene.
Zusammenfassung: Komplettes Versagen auf allen Ebenen. Eine atemberaubend lange Kette an Versagen führte dazu, dass ihre Policy nicht sauber umgesetzt wurde, das Produktionsnetz vom normalen Corpnet zu trennen. Darüber konnte über einen Crashdump (glauben sie!) ein Production Key ins Corpnet kommen.
Ja äh Sekunde, warte mal, sollte das Corpnet nicht auch komplett sicher sein? Ich meine, dort wird der Code geschrieben, der am Ende bei euch Endkunden läuft?
Nein. Das Corpnet ist offensichtlich komplett durchseucht. Ein einziger Key-Leak aus dem Produktionsnetz ins Corpnet hat gereicht für eine Total-Kompromittierung. Microsoft spricht hier von "Assume Breach" wie in der Policy, aber es ist nicht nur eine Policy. Deren Corpnet ist offensichtlich tatsächlich komplett durchseucht und in den Händen irgendwelcher "Threat Actors".
Warum? Lasst mich das kurz aufklären: Weil sie das tödliche Trio einsetzen. Windows, Active Directory und Office. Man nimmt ja immer gerne an, dass die ganzen Microsoft-Kunden einfach alle zu blöde waren, das ordentlich einzusetzen. Nein. So ist das nicht. Microsoft setzt das intern auch ein und hat genau dieselben Probleme wie alle anderen. Wir hören nur selten davon.
Am Ende haben sie nicht etwa ihr Corpnet zugenagelt als Reaktion auf dieses Problem. Nein. Sie haben die lange Liste der Bugs auf dem Weg dieses Exploits gefixt. "Best Practices" heutzutage. Man baut erst einen kaputten Müllhaufen, dann macht man einen Pentest und fixt alle gefundenen Issues. Dann wird man von den Chinesen gehackt und fixt wieder alle gefundenen Issues. Eine Woche später wird man von den Russen gehackt und fixt wieder alle gefundenen Issues. An keiner Stelle versucht man auch nur, eine tatsächlich sichere Software zu schreiben.
Eine Sache noch. Der Key leakte über den Crashdump-Mechanismus aus ihrem Produktionsnetz in ihr Corpnet. Das heißt: Die Dienste in Produktion crashen. Und zwar nicht ab und zu, nein, ständig. Deshalb haben sie überhaupt einen Mechanismus bauen müssen, um Crashdumps aus der Cloud ins Corpnet zu ziehen.
Letzter Punkt: Normalerweise ist beim Übergang Produktion - Corpnet das Corpnet der Teil mit den höheren Privilegien. Hier ist das offenbar anders herum. Da hat das Cloud-Team wohl ein-zwei Mitarbeiter gehabt, die die desolate Lage korrekt eingeschätzt haben, was man hier vor wem schützen muss.
Wenn eure Firma also in die Cloud gezogen ist, weil ihr dachtet, unsere Haus-Installation crasht ständig, und dort ist das in guten Händen und es läuft zuverlässig durch, dann solltet ihr das nochmal neu bewerten jetzt.
Update: Achtet auch mal darauf, wie sie begründen, wieso sie im Prod-Netz dem Corpnet nicht trauen!
Our corporate environment, which also requires secure authentication and secure devices, allows for email, conferencing, web research and other collaboration tools. While these tools are important, they also make users vulnerable to spear phishing, token stealing malware, and other account compromise vectors.
Genau das, worüber auch ihre Kunden sich Ransomware einfangen. Das betrachten sie selber als so ein hohes Risiko, dass sie das Prod-Netz lieber davon trennen.
Wenn wir doch nur eine Firma kennen würden, die diese Software sicher machen könnte!1!!
Mich freut ja besonders, dass hier Teams als Risiko geführt wird ("Conferencing"). Alle Teile dieser Risikobetrachtung sind Microsoft-Software. Microsoft bewertet ihre eigenen Produkte als zu riskant, um sie in die Nähe ihrer Produktionsumgebung zu lassen.
Update: Aufmerksamen Hörern wird schnell auffallen, dass sie das tödliche Trio Windows - Outlook/Office - Active Directory nicht erwähnen. Wird von denen eher wie Sturmschäden behandelt.
Ich finde ja immer bemerkenswert, wie die Zuständigen in solchen Situationen immer optimistisch sind. Wir rufen jetzt hier ein paar Leute an und dann regelt sich das von alleine.
Update: Wobei, ist eigentlich nicht erstaunlich. Die gehen ja auch genau so mit Tool-Käufen um. Wir kaufen jetzt ein SIEM, dann kümmert sich jemand um die Logfiles!1!!
In Episode 2 gibt es nochmal ein schönes Money Quote. Externe Forensiker gucken sich die Logfiles an und finden darin, dass die Angreifer schon länger im System sind, und sich immer am Wochenende und nachts in Ruhe umgeguckt haben im System. Daraufhin der IT-Fuzzy so: Wieso haben wir denn das nicht gemerkt? Sein Kollege dazu: Wann hattest du denn das letzte Mal Zeit, dir Logdateien anzuschauen?
Tja, und so ist das dann halt. Keiner ist Schuld. Hätte man nichts machen können. Wir sind jedenfalls nicht schuld hier.
Update: Oh Mann. Das wird immer schlimmer. In Folge 2 bei 32 Minuten so: Jeder Mitarbeiter im Landkreis war auf seinem PC lokaler Administrator.
Update: Oh und die IT-Mitarbeiter waren auch alle Domain Admins. Mit ihrem normalen Account. Das ist ja unfassbar.
Update: Überlegt mal, wenn das bei DENEN so aussieht, wie das dann bei euren örtlichen Behörden aussehen wird. Die, denen ihr gesetzlich verpflichtend eure Meldedaten anvertrauen müsst.
Update: Die in Kapitel 2 genannte Dienstelister-Firma Suresecure hat einen Blogpost zu der Angelegenheit veröffentlicht.
Auf die Meldung warte ich ja seit Jahren, dass das mal einem Cloudanbieter passiert. Money Quote:
The hosting company's statements revealed that some of the firm's servers had been infected by ransomware despite being protected by firewalls and antivirus.Ach. Sagt bloß. Das ist ja fast, als würde Schlangenöl gar nichts bringen?! Hätte uns doch nur jemand gewarnt!!
Finger weg von der Microsoft-Cloud. Nicht nur jetzt akut. Für immer. Einem Hersteller, der so ein Vorkommnis nicht nur überhaupt stattfinden lässt, sondern dann auch noch die Kunden mit Platitüden und "aber aber aber DIE CHINESEN!!1!" abzuspeisen versucht, dem kann man jetzt und in Zukunft nie wieder trauen. Davon erholst du dich nicht als Anbieter.
Cloud-Anbieter sind mehr noch als reguläre Software-Anbieter auf Vertrauen angewiesen. Die können nicht in den Pool pinkeln und dann so tun als sei nichts gewesen. Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen. Würdet ihr noch Schlafmittel vom Contergan-Hersteller kaufen?
Das Problem ist, dass die Publikationen, die da jetzt aber mal so richtig auf die Scheiße hauen müssten, sich selber völlig ohne Not von Microsoft abhängig gemacht haben. Nur nur weil sie deren Produkte einsetzen, sondern auch weil sie von Microsofts Werbebudgets abhängig sind.
Und so kommt es zur peinlichsten Nummer diesen Sommer. Ja, peinlicher als der "Löwe" in Berlin. Heise Security schreibt einen Fragenkatalog für Microsoft auf. Microsoft antwortet natürlich nicht. Daher der Fragenkatalog. IHR sollt Microsoft die Fragen stellen, die sie schon Heise nicht beantwortet haben. Vielleicht kriegt IHR ja eine Antwort!1!!
Was für eine Zurschaustellung von Hilflosigkeit! Money Quote aus dem Artikel:
Der Verlag setzt selbst auch Microsoft-Dienste wie Microsoft-Teams ein. Deshalb haben wir auch aus der Sicht eines möglicherweise betroffenen Unternehmens nachgehakt und Fragen gestelltJa, äh, und auf die Idee ist keiner gekommen, den ganzen Microsoft-Scheiß sofort rauszuschmeißen?
Aber aber aber Fefe, das ist doch total unrealistisch. Ohne Windows und Outlook und Active Directory kann man doch gar keine Ransomware kri... äh ich meine kann man doch gar nicht arbeiten!!1!
Na dann macht mal alle weiter, ihr Verstrahlten. Hey, wieso stellt ihr nicht Microsoft die Fragen von Heise? Vielleicht kriegt ihr ja eine Antwort!
Seid ihr eigentlich auch so froh, dass wir eine so freie und unabhängige Presse haben?
Update: Versetzt euch mal kurz in Microsofts Management rein. Würdet ihr angesichts dieser Reaktion auf den größtmöglichen Verkacker bei ihnen jemals wieder auch nur einen Dollar in Security stecken? Ist ja offensichtlich völlig überflüssig. Die Kunden sind eh gefangen. Lass uns denen lieber noch "Threat Intelligence" verkaufen oder ähnlichen Scheiß. Solange die Geld-Pipeline den Kunden weiter Abogebühren aus der Nase zieht, ist doch alles gut!
Update: Freut mich, wie viele entsetzte Mails ich gerade zu Grünenthal kriege. Ja, nicht nur gibt es die noch, die verkaufen heute Opioide. Inklusive des am häufigsten verordneten Opioids, Tramadol. Hand aufs Herz, wie viele von euch wussten das?
Update: Hey, wo wir gerade bei Contergan sind ... sagt euch Heinrich Mückter was? Hier ein Spiegel-Artikel von 2007 dazu.
Normalerweise kopiert man in C Strings mit strcpy, aber das weiß nicht, wie lang der Buffer ist, und kann daher nichts prüfen. Wenn man einen zu langen String kopiert, kann ein Angreifer damit die Anwendung übernehmen und Ransomware installieren.
C hat auch noch eine andere Funktion zum String-Kopieren, strncpy. Dem gibt man eine Länge, aber das eröffnet direkt die nächste Lücke. Wenn man einen zu langen String kopiert, überschreibt der zwar nichts hinter dem Bufferende, aber er fügt auch kein terminierendes Nullbyte ein. Das führt dann bei der nächsten Verwendung des Buffers zu Fehlern, wenn auch erstmal "nur" Lesefehlern. Kann aber immer noch die Anwendung crashen.
strlcpy ist ähnlich strncpy, aber garantiert ein Nullbyte. Ausnahme: Wenn man eine Bufferlänge 0 übergibt.
Ist damit jetzt alles gut? Nein. Abgeschnittene Strings sind vielleicht keine Speicherkorruption, aber können ebenfalls ein Sicherheitsproblem darstellen. Z.B. wenn ein Angreifer es schafft, in einer Logzeile am Anfang lauter Müll einzufügen, und damit am Ende seine IP abzuschneiden, die dann nicht im Log steht.
Und es bleibt die Frage, was man tun soll, wenn jemand strlcpy mit Länge 0 aufruft. Oder strlcat und es ist kein 0-Terminator im Zielpuffer.
Am Ende kommt man mit solchen Quick Fixes vielleicht dem Ziel etwas näher, aber es nimmt einem doch nicht die Pflicht, ordentlichen Code zu schreiben, und alle Eventualitäten zu beachten.
Dennoch. Die Funktionen sind aus dem letzten Jahrtausend, und glibc war die letzte große Unix-Implementation, die das nicht hatte. Das war schon irgendwie ein bisschen peinlich, weil es halt eher nach einer Trotzreaktion als nach einem inhaltlichen Argument aussah.
"Ja. Und dann der niederländische Geheimdienst."
if your computer gets hacked by group X and there was a warrant to intercept the traffic of group X, the Dutch services now gain automatic approval to also intercept your communications or hack you.Wenn du "Sicherheitsbehörden" einmal den kleinen Finger hinhälst, sägen sie nach und nach den ganzen Arm ab.
Warum sind die tot? Steht da nicht. Aber anhand der vorgeschlagenen neuen Dimensionen kann man riechen, von wo der Wind weht:
Das neuere DIE-Sicherheitsmodell (Distributed, Immutable, Ephemeral) ist ein Konzept in der Informationssicherheit, das auf die drei Aspekte Verteilung, Unveränderlichkeit und Vergänglichkeit von Daten abzielt.Na? Gemerkt? Hier wird Ergebnis-Kontrolle durch Implementationsdetails ersetzt. Und zwar Cloud-Heini-Implementationsdetails.
Das ist wie wenn du eine Kategorie "Objekt-Orientierte Datenhaltung" einführst. Das bedeutet nichts. Das hilft niemandem. Das ist Verkaufs-Blablah von Cloud-Heinis, die nicht auf die tatsächlichen Auswirkungen ihrer Vorschläge angesprochen werden wollen. Das ist "It's got electrolytes", falls ihr Idiocracy kennt.
Bislang, wenn jemand deine Daten geklaut hat, war die Confidentiality (Vertraulichkeit) beschädigt. das war nicht zu verhandeln. Wenn jemand deine Daten per Ransomware verschlüsselt, war die Availability weg. Wenn jemand deine Daten ändert, war die Integrity futsch.
Die neuen Kategorien geben diese Analyse nicht her. Die lügen dir direkt ins Gesicht, dass es sowas wie "vergängliche Daten" gibt. Gibt es nicht. Daten werden nicht schlecht. Wenn ich die heute auslese, kann ich die morgen, nächste Woche oder in 100 Jahren gegen dich verwenden.
Das neue Modell lügt dir ins Gesicht, dass das für dich als Kunden relevant ist, ob der Dienst die Daten verteilt oder zentral speichert. Spielt überhaupt gar keine Rolle für dich. Für dich ist wichtig, ob jemand unbefugt rankommt.
Was sollen denn die neuen Kategorien dann? Das sind Cloud-Kategorien! Da geht es nicht um Sicherheit, sondern es geht um das Errichten einer Nebelwand. Oh, und natürlich will dir hier jemand was verkaufen. So Golfplatz-mäßig. Habt ihr schon verteilte Datenhaltung?
Immutable kann helfen, wenn es um die Integrität von Daten geht. Wenn es um die Verfügbarkeit oder Vertraulichkeit geht, hilft das nicht. Distributed kann helfen, wenn es um die Verfügbarkeit geht, aber für Integrität tut es nicht viel und für die Vertraulichkeit ist es sogar kontraproduktiv.
Wieso also hier von Zielen auf Implementationsdetails umschwenken? Weil die Leute keinen Bock haben, ihre sinnlosen Schlangenöl-Maßnahmen gegen tatsächliche Auswirkungen bewerten zu lassen. Die Leute wollen lieber "wir haben die Daten verteilt" sagen, als sich auf Diskussionen einzulassen, was dem Kunden das bringt. In praktisch allen Fällen bringt das nämlich gar nichts. Aber man kann sich gegenseitig auf die Schultern klopfen und so tun, als haben hier nicht Geld verbrannt sondern einen Fortschritt erzielt.
Darum geht es hier aus meiner Sicht. Leute haben keinen Bock, ihre Leistung nach Auswirkungen oder anderen konkreten Kriterien bewerten zu lassen. Weil man dann sieht, dass sie nicht nur gar nichts geleistet haben, sondern die Sache sogar schlimmer gemacht haben, weil es jetzt eine Komplexitätsexplosion gab, die in der Zukunft im Weg stehen wird.
Lasst euch also nicht von irgendwelchen Cloud-Heinis verarschen, die euch irgendwelche Modelle reindrücken wollen, die die fundamental in einer Cloud-Umgebung nicht erbringbaren Anforderungen mit Neologismen und Schlangenöl-Bullshit zu übertünchen versuchen.
Besteht weiterhin auf einer Bewertung nach den konkreten Auswirkungen. Lasst euch nicht mit "aber wir haben da drüben eine Komponente immutable gemacht" abspeisen. Wichtig ist, ob eure Daten geklaut werden können oder nicht.
Lieber von einem Spezialisten-Dienstleister in der Cloud machen lassen, haben sie gesagt.
Ohh, nee, warte. Nicht irgendeinen Spezialisten. Bei Microsoft selbst, haben sie gesagt! Da weiß man, dass die das im Griff haben, haben sie gesagt!1!!
Warum machen Leute das? Wenn das vorher selbstgehostet wirklich noch schlimmer war, vielleicht solltet ihr dann einfach bei Fax und Schreibmaschine bleiben?
Schritt 2: Die Hacker haben 10 TB (!) Daten rausgetragen, bevor WD was gemerkt hat. Mit anderen Worten: WD hat völlig überraschend überhaupt gar keine Kompetenz und merkt den Einbruch an der Trafficrechnung.
Immer noch nicht wirklich eine Erwähnung im Blog wert. Doch dann passierte das hier: Hacker veröffentlichen Screenshot des Krisenmeetings über den Angriff bei WD. Ja, meine Damen und Herren. Das Niveau an Überforderung muss man erstmal erreichen.
Ich tippe ja auf Agile Prozesse. Nee, wir brauchen keine Kompetenz. Wir brauchen keinen Plan. Wir machen einfach los und dann wird schon klar werden, was wir eigentlich hätten tun sollen.
Und hey, es funktioniert!1!! Jetzt ist deutlich klar geworden, was man die ganze Zeit schon hätte tun sollen. Damit einem nicht, wissenschon, das SAP Back Office komplett von Ransomware-Gangs rausgetragen wird. (Danke, Kristian)
Vor ca. 3 Tagen haben alle Videobrillen des kroatischen Herstellers Orqa zeitgleich den Betrieb komplett eingestellt und keiner wusste bisher, warum das so ist und wie man das behebt.Diese Videobrillen werden als Videoempfänger und Bildausgabegerät für (Hobby-) Drohnen und Flugmodelle genutzt, um die Flugmodelle aus der Pilotenperspektive zu steuern.
Für die Besitzer dieser (recht teuren, ca 600€) Geräte hieß das, dass diese an einem Sonntagnachmittag - zur besten Hobbyzeit - plötzlich gar nicht mehr fliegen konnten. Quasi die Apokalypse für den Hersteller der Videobrillen, da dieser ausschließlich von diesem einem Produkt lebt.Der Hersteller sprach erst von einem Softwarebug, der mit Zeit/Datum zusammenhängen sollte.
Mittlerweile hat sich aber herausgestellt, dass ein ehemaliger contractor von Orqa vor einigen Jahren schon eine Firmware-"Zeitbombe" in den Bootloader eingebaut hatte, die gezielt an diesem Sonntag die Hardware weltweit funktionsunfähig gemacht hat, um Lösegeld von Orqa zu erpressen - ganz unter dem Vorwand von "Lizenzkosten".
Offensichtlich wurde hier Entwicklung outgesourced und nicht weiter überprüft.Der Vorfall wurde mittlerweile von Orqa auf deren Webseite exakt so bestätigt.
Das Problem wurde bisher noch nicht behoben und die Hardware ist nach wie vor für alle Kunden funktionsunfähig.
Das dürfte außerdem meines Wissens nach einer der ersten dokumentierten Fälle von Ransomware auf Consumerhardware sein.(Unabhängig von dieser Story werden diese Videobrillen - wie viele änhliche Modelle anderer Hersteller - auch aktuell im Ukrainekrieg eingesetzt, um dort mit Sprengladungen bestückte Drohnen zu fliegen. Die Piloten dort werden von dem gleichen Problem betroffen sein, der Ransomwareangriff hat damit aber keinen direkten Zusammenhang)
Dann verdichteten sich die Hinweise, dass das bei deren gemeinsamem IT-Dienstleister Bitmarck gewesen sein wird.
Und jetzt gibt Bitmarck das auf ihrer Homepage zu.
Die kriminelle Energie, die hier bei den hochkriminellen Kriminellen vorlag, war überwältigend kriminell. Bitmarck hat schnell die Behörden informiert und externe Dienstleister eingeschaltet und wirft sicherheitshalber ein paar Nebelkerzen:
Sind Kunden- oder Versicherten-Daten abgeflossen?Das ist selbstredend eine absolute Nullaussage. Wenn man Bitmarck nicht vertrauen kann, dass sie die Daten sichern können, kann man auch ihren Erkenntnissen zu Datenabflüssen nicht trauen.
Nein, nach jetzigem Stand der umfassenden Analysen, die wir umgehend eingeleitet haben, sind keine Daten von Kunden oder Versicherten betroffen.
Update: Wie schlimm ist die Lage? Die Kontakt-E-Mail auf der Bitmarck-Homepage geht zu kekstcnc.com. Das ist eine PR-Agentur. Was tun die so? Nun, ... seht selbst.
we help our clients maintain control of the narrative in the event of a cyberattack, minimizing reputational damage and preserving the trust of stakeholders
Zu spät, würde ich sagen.
Update: Immerhin sind das Profis. Die haben als erstes die Liste der betroffenen Krankenkassen weggemacht. Da weißte, wasde hast.
IT-Sicherheit: EU-Kommission will Cyberschutzschild aufspannenOffensichtlich können die Regierungen nicht hinnehmen, dass die Ransomware-Industrie mehr Schaden als sie anrichtet, und haben schnell ein Notfall-Geldverbrennungsprogramm aufgelegt.Der Entwurf für ein EU-Cybersolidaritätsgesetz sieht den Aufbau einer Cybersicherheitsreserve mit Notfalldiensten vor. Das Budget beträgt 1,1 Milliarden Euro.
Wenn es nach mir ginge, würden diese Leute alle in die Cyberarbeitslosigkeit geschickt, wo sie dann vom Arbeitsamt aufgezwungen kriegen, bis zu ihrem Lebensende Microsoft-Security-Advisories zu sortieren.
Warte, Fefe, irgendwie fehlt da noch was. Da war ja noch gar kein Big Data und kein "KI" am Start?!
Geplant ist dazu etwa der Einsatz Künstlicher Intelligenz (KI) und von Big-Data-Analysen.Never mind.
Fehlt nur noch, dass die Steuergelder beim Täter landen. Bei Microsoft.
Nun, das wurde ihnen sorgfältig antrainiert!
IMPORTANT: When you open the document, a message box appears. Please activate the content/macros in it and also confirm that this document is trustworthy. This is the only way to ensure the full gaming experience. Have fun!NEEEEIIIIINNNN!!!!!!© Volkswagen AG 2023Was zur Hölle? Die haben ja echt den Schuss nicht gehört. Weia.
Wichtiger finde ich Ransomware. Da sagt mein ansonsten wohlinformierter Kumpel folgendes:
Wenn jemand in die Systemlandschaft eindringen will, dann kann er beispielsweise eine Phishing-Mail schicken, in der ein manipulierter Link oder ein Anhang drin ist. Wenn ein Mitarbeiter den öffnet, dann lädt er sich unwissentlich eine Schadsoftware runter oder führt diese direkt im Anhang aus - möglichst klein, kompakt und effizient. Die schaut dann, wie es sie sich ins System einnisten kann und wie ein Angreifer von außen ähnlich einer Fernwartung auf das System zugreifen und Dinge tun kann.Das stimmt in der aktuellen Praxis unter Windows, Office und Active Directory, aber nichts davon ist gottgegeben oder ein Selbstläufer. Wenn du deinen Mitarbeitern eine Arbeits-Infrastruktur hinstellst, bei der sie nicht auf Mails oder Links klicken dürfen, weil das die Sicherheit der ganzen Firma gefährdet, und es dann zu ihrem Job machst, dass sie Mails öffnen und Links klicken, dann hast du meines Gerechtigkeitsempfindens nach alle Schäden verdient, die das nach sich zieht. Das ist wie wenn du den Leuten Dienstwagen gibst, die per Funk zur spontanen Explosion bewegt werden können. Da kannst du auch nicht rummeckern über die Teenager mit den Funkgeräten. Diese Autos hättest du halt nicht in Umlauf bringen dürfen!
Auf diesen Aspekt kann man gar nicht oft genug hinweisen, finde ich. Die lassen das immer alle so klingen, als sei das halt so. Unsere alte Software ist halt schlecht und tötet ab und zu Menschen. JA ÄH DANN VERWENDET DIE HALT NICHT MEHR!
Der Rest des Artikels ist aber lohnenswert. Da erklärt er, wieso die Verwaltungen nichts in Security investieren.
Und was sieht man, wenn man reinguckt? Ich hab mal kurz auf das erste Dokument geguckt, ScanV_4. Auf Seite 15 sehen wir da Java-Code, der eine Datei "verschlüsselt", indem er XOR mit dem Passwort macht.
Da kann ich das ganze Ding direkt zumachen. So macht niemand Verschlüsselung, der mehr als Kindergarten-Niveau Kontakt mit dem Thema hatte.
Ich hab keine Angst vor diesen Leuten. Viel tiefer kann man in Krypto-Fragen nicht ins Klo greifen.
Ich muss euch aber auch sagen, dass ich ansonsten nicht viel Grund sehe, wieso ich diese Dokumente durchgucken sollte. Die Angriffsoberflächen und Risiken unserer Systeme sind wohl untersucht und bekannt. Welche Art von Daten man sehen und korrelieren kann, ist auch bekannt. Was man tun müsste, um weniger angreifbar zu sein, ist auch bekannt.
Was für Überraschungen gibt es denn, an denen ich Interesse hätte? Die könnten neue Angriffsarten gefunden haben, oder sie könnten bisher unbekannte Lücken in Systemen gefunden haben. Das war's. Daran hätte ich Interesse.
Beides ist hier nicht zu erwarten, und nicht nur wegen der "XOR-Verschlüsselung". Die Dokumente da scheinen Handbücher zu sein (das sage ich ganz oberflächlich angesichts des Layouts, ich habe das nicht zu übersetzen versucht). Da würde man keine 0days dokumentieren, denke ich.
Was könnte da noch drinstehen, was andere Leute interessante fänden? Die könnten da ihre C&C-Protokolle dokumentieren. Finde ich absolut uninteressant. Interessiert mich nicht die Bohne. Mich interessiert, wie man verhindern kann, dass die Ransomware überhaupt aufs System kommt, nicht wie das dann nach Hause telefoniert.
Wieso lese ich diese Dokumente jetzt nicht, um nach den Dingen zu suchen? Weil das echten Nachrichtenwert hätte. Davon hätten wir gehört. Oder wir würden davon hören, wenn das jemand noch findet. Die Wahrscheinlichkeit dafür ist zu gering, als dass ich jetzt tausende von Seiten durchgucke.
Bisschen oberflächlich reingucken kann man mal machen, da findet man dann in dem scanv_1.pdf z.B. eine Sektion, wie man bei einem Brand der Appliance den Feuerlöscher auf die Oberfläche und nicht die Flamme in der Luft lenken soll. In dem amezit.pdf sehe ich Compliance-Blablah, was für Tests durchgeführt werden, um festzustellen, ob das System läuft. *gähn*
Das krystalv2.pdf redet darüber, wie sie das Lecken von Staatsgeheimnissen durch organisationellen Aufbau vermeiden wollen. Schon interessanter, aber das ist auch wohlverstanden und untersucht im Westen. Da erwarte ich jetzt keine neuen Einblicke.
In sandworm.pdf geht es offenbar um Protokolle zwischen den Scannern und Backend. Interessiert mich auch überhaupt gar nicht. Mich interessiert, wie ich das System so baue, dass der Scanner nichts findet. Weiter unten sind dann die üblichen Stichwörter. Die machen einen Portscan und gucken nach CVEs. Wenn man bei euch mit einem Port- und Bannerscan CVEs finden kann, dann habt ihr alle Ransomware verdient, die ihr euch einfangt.
Meine Methodologie war, die Dokumente aufzumachen, zufällig auf eine Seite zu springen, einen Absatz in deepl zu pasten, und dann zu gucken, was der übersetzt.
Dass andere Länder solche Programme haben, ist seit Jahren bekannt. Wir haben sowas schließlich auch, minus hoffentlich der Ransomware. Aber unsere Behörden finden auch, dass sie in offensive Security investieren sollten. Was dachtet ihr denn, was das in der Praxis heißen würde?
Schritt 1: Krankenhaus fängt sich Ransomware ein.
Schritt 2: Sophos-Saleslurch tönt auf Twitter rum, mit Sophos wäre das nicht passiert.
Schritt 3: CIO von dem Krankenhaus so: Unser Antivirus war von Sophos.
*schenkelklopf* (Danke, Georges)
Da gibt es zwei Gründe für. Erstens: In Almeria war es erst zu warm, dann zu kalt, die haben massive Ernteausfälle. Da kommt ein Großteil der deutschen Ware her, das ist in Südspanien.
Zweitens: Die Gewächshäuser in Holland hatten teilweise kompletten Ernteausfall, weil sich bei den hohen Energiepreisen das Beheizen nicht gelohnt hätte.
Bleibt noch Nordafrika, aber auch da gab es Probleme.
Der Artikel über die Gewächshäuser ist leider Paywall, daher hier ein paar Money Quotes:
Nirgends auf der Welt sind die Erträge bei vielen Gemüsesorten so hoch wie hier. 35 bis 40 Kilogramm grüne Paprika erntet Wouter van den Bosch pro Quadratmeter. Das ist rund fünfmal so viel, wie Bauern in der Region Almeria schaffen, dem Zentrum des spanischen Gemüseanbaus.Weiter unten in dem Artikel erzählen sie, dass ein Nachbarbetrieb vor einer Weile auf Erdwärme gesetzt hat. Das hat 10 Mio Euro gekostet und die anderen in der Gegend haben das anfangs als PR-Nummer belächelt. Jetzt nutzen sie seine Überschusswärme mit.Aber das niederländische Treibhauswunder hat eine Schwachstelle. Es frisst enorme Mengen Energie. Allem voran Gas. Fast neun Prozent des gesamten nationalen Erdgasverbrauchs gehen in die Treibhäuser.
Update: Wenn es regnet, kübelt es.
Der weltgrößte Anbieter von Obst, Gemüse und Schnittblumen Dole wurde Opfer eines Ransomware-Angriffs. Die Produktion in den USA wurde temporär eingestellt.
Aufgrund schwerwiegender technischer Probleme ist die Stadt Wuppertal aktuell weder telefonisch noch per Email erreichbar.Ja gut. Technische Probleme. Da kann man nichts machen.Wir bitten darum, von Präsenzterminen der der Stadt vorerst abzusehen.
Der Feuerwehrnotruf und der Rettungsdienst sind von der Störung nicht betroffen.
Na, was meint ihr? Ransomware? Outlook + Windows + Active Directory?
Na dann ist der Krieg gegen den Terror ja endlich vorbei. War aber auch Zeit.
Oh und die rechte Hand von bin Ransomware haben sie auch erwischt! Ein Glück!
Ransomware gilt seit Jahren als die gravierendste Bedrohung der Cybersicherheit.Äh... nein. Windows, Office und Active Directory gelten seit Jahren als gravierendste Bedrohung der Cybersicherheit. Und Leute, die das einsetzen.
Und Unternehmen, die kein Schloss an die Tür machen und ihr Dach nicht abdichten und danach von "krimineller Energie" reden, wenn es reinregnet.
Und jetzt: Kommando zurück.
Was machen die IT-Leute dort eigentlich beruflich?
Ich weiß, was ihr jetzt denkt. Ja wie, haben die sich nicht an das BSI Grundschutzhandbuch gehalten?!
Stellt sich raus: Doch. Doch, haben sie.
Da die IT-Sicherheitsmaßnahmen den Standards und der IT-Grundschutz-Methodik des BSI folgten, zeige das "einmal mehr das hochprofessionelle Vorgehen und die kriminelle Energie der Organisation", da "es den Angreifern dennoch gelang, Daten abzuziehen und Lösegeldforderungen zu stellen".Da könnte man jetzt auch den Schluss ziehen, dass die gar nicht wirken und bloß sinnlose Geldverbrennung und Compliance-Theater sind.
Oder, klar, man sagt einfach: Da haben die Täter aber eine ENORME kriminelle Energie gehabt, dass die TROTZDEM erfolgreich waren!1!!
Der Einsender ergänzt:
Wer die Bausteine des BSI zu Exchange, Active Directory und Windows Server kennt, wird den Angreifern weit weniger Professionalität unterstellen. Compliance-Theater vom Feinsten, das zudem auf veralteten Versionen der betrachteten Software fußt: Der aktuellste offiziell freigegebene Baustein für Windows Server bezieht sich auf Version 2012!Na das passt ja mal wieder wie Arsch auf Eimer. (Danke, Andreas)
Neuestes Beispiel: Rackspace macht "forensische Untersuchungen" nach Ransomwarebefall.
Was hat die Ransomware befallen, fragt ihr? Nun, deren Hosted Exchange Server. Ja, richtig! Rackspace betreibt Exchange-Server für Dritte und hat nicht gepatcht.
Die Cloud ist sicher, sage ich euch! Mindestens so sicher wie die Renten!
Albanian prosecutors on Wednesday asked for the house arrest of five public employees they blame for not protecting the country from a cyberattack by alleged Iranian hackers.Prosecutors said the five IT officials of the public administration department had failed to check the security of the system and update it with the most recent antivirus software.
Oh, äh, jahaaa! Die haben ... den Antivirus nicht geupdated!!1!Denn der Grund für Ransomware ist ja bekanntlich der nicht geupdatete Antivirus. Klar.
They are accused of “abuse of post,” which can attract a prison sentence of up to seven years.Bin ich ja grundsätzlich ein Freund von, die IT-Beauftragten in die Haftung zu nehmen, wenn unter ihrer Ägide Dinge verkackt wurden. Aber dann doch bitte nicht bloß den kleinen Admin sondern auch seine fünfzehn Chefs, die ihm nicht die Mittel gegeben haben, das ordentlich zu machen.
Wieso bei Digitalisierung nach Australien schauen, wenn man doch auch einfach auf die Homepage vom Rhein-Pfalz-Kreis gehen kann?Oh und in dem Kontext vielleicht erwähnenswert: Mir schrieb jemand, dass der IHK-Vorfall vom August immer noch mit Hochdruck bearbeitet wird und nicht etwa in der Zwischenzeit repariert wurde.Die hatten ja auch eine Ransomware Attacke. Die dann gleich alles lahmgelegt hat inkl. Telefon und Email. Aber die Zitate erreichen mindestens australisches Niveau:
- "Der Schutz von personenbezogenen Daten hat für uns hohe Priorität."
Okay, "hohe Prioritaet" anstatt "hoechste Prioritaet" klingt jetzt irgendwie wie aus einem Arbeitszeugnis: "Er war ein guter Mitarbeiter und hat meist gute Leistungen erbracht".
- "Wir haben es hier mit höchst unmoralischen Kriminellen zu tun."
Achwas, dass sind keine kriminalisierten Kiffer? No Shit!
- "Sie dürfen davon ausgehen, dass wir nach dem aktuellen Stand der Technik einen hohen Sicherheitsstandard erfüllen."
Genau und darum "drohen [...] wochen – oder gar monatelange Ausfälle".
- "Es kann sprichwörtlich jeden treffen."
Sprichwoertlich natuerlich schon, aber eben nicht wortwörtlich.
- "Unsere Mitarbeiterinnen und Mitarbeiter arbeiten mit Hochdruck daran, die Funktionsfähigkeit der Kreisverwaltung Schritt für Schritt wieder herzustellen."
Aha, dieser Hochdruck besteht also in:
"Die Öffnungszeiten des Gesundheitsamtes in der Dörrhorststraße sind unverändert zu den gewohnten Zeiten (Montag und Mittwoch 8 bis 13 Uhr, Dienstag und Donnerstag 8 bis 12 Uhr und 14 bis 16 Uhr, Freitag 8 bis 12 Uhr)."Wie, Ueberstunden weil wir alles total verkackt haben? Wir haben doch schon 4 - 5 Stunden pro Tag geeoffnet! Was wollt ihr denn noch? Ihr Buerger und Buergerinnen muesst halt einfach den Mehraufwand tragen und wir machen gewohnt unseren Dienst nach Pflicht und dann bin "bin [ich] mir sicher, dass wir gemeinsam diese schwierige Situation meistern werden"!!!!
Na klar: DIE RUSSEN HABEN UNS MIT APT GECYBERT!!1!
Die Strategie funktioniert auch heute noch. Microsoft gerade so:
Im Rahmen der Konferenz Cyberwarcon hat Microsoft seine Einschätzung zu einer neuartigen Ransomware spektakulär ergänzt: "MSTIC stellt fest, dass Iridium die Prestige-Kampagne durchgeführt hat". Das bedeutet letztlich, dass Microsoft den russischen Militärgeheimdienst GRU für Planung und Durchführung einer im Herbst aufgedeckten Ransomware-Kampagne verantwortlich macht. Sollte dies zutreffen, wäre das eine deutliche Änderung der Gefahrenlage, die auch Konsequenzen für die Verteidiger hätte.Nein. Wäre es nicht. Da ist auch nichts spektakulär dran. Das ist alles unglaublich unspektakulär, unsubstanziiertes Hörensagen und reine Energieverschwendung. Und die Heise-Experten reihen sich ein in die Narrativ-Cheerleader.
Ein Game-Changer*gähn*
Hey, bist du auch schon von den Russen gecybert worden? Hast du auch solche Angst vor den Russen? Die Russen, die in der Ukraine Bomben nehmen mussten, weil sie die uralte gammelige Elektro-Infrastruktur nicht gecybert gekriegt haben. Die Russen, die sich beim Hacken vom holländischen Geheimdienste über ihre eigenen Webcams haben filmen lassen. Habt ihr auch solche Angst vor denen?
Solange ihr Active Directory, Windows und Office einsetzt, und nicht immer sofort alle Patches überall ausrollt, werdet ihr irgendwann gehackt werden. Von wem ist dann auch egal, denn die Daten sind dann halt weg.
Insgesamt haben die eine halbe Million Datensätze rausgetragen, aber das war offenbar keine typische Ransomware-Gruppe, die alles mitnimmt, was sie kriegen kann, sondern die haben gezielt nach Amtsträgern und Promis gesucht.
Bisher gibt es anscheinend keine Lösegeldforderungen oder so und man weiß auch noch nicht, wer das gewesen sein könnte. Aber jetzt sind natürlich alle sehr besorgt, klar. (Danke, Daniel)
Da kommen dann gerne Leute und meinen: Aber wir passen da schon gut drauf auf.
Wie sowas in der Praxis aussieht. kann man gerade gut in Australien beobachten. Da hat sich eine private Krankenkasse namens Medibank eine Ransomware eingetreten, und die Ransomware-Gang hat einmal alle Patientendaten rausgetragen. Die wollten 1 US-Dollar pro Patienten-Datensatz Lösegeld haben. Medibank hat nicht gezahlt.
Daraufhin haben die Ransomwarer angefangen, stückweise Dateien zu veröffentlichen, z.B. "abortions.csv" und jetzt "boozy.csv" für Alkoholkranke.
Und wisst ihr, was die Regierung in der Situation im Arsenal hat? NICHTS. Hohle Rhetorik ist alles, was die haben.
The new release was “disgusting and … totally reprehensible,” the prime minister, Anthony Albanese, said on Friday morning.Ach. Aber diese Daten über die Bürger einzusammeln und rumliegen zu haben war OK?He said the government was doing all it could do to limit the impact of the data breach, and support people affected.Lasst mich das kurz aufklären: Nichts. Sie tun nichts. Denn da ist nichts, was sie tun können.The Medibank CEO, David Koczkar, said on Friday that customers who are concerned should call the cybercrime hotline, mental health support hotline, Beyond Blue, Lifeline or their GP.Oh na DAS ist doch mal ein hilfreicher Tipp! Ruft die Seelsorgehotline an!“I unreservedly apologise to our customers,” he said. “The continued release of this stolen data on the dark web is disgraceful.”Disgraceful! Reprehensible! Abominable!1!!“These are real people behind this data and the misuse of their data is deplorable and may discourage them from seeking medical care.”Deplorable! Appalling!Albanese said the release of the data was “already incredibly distressing”.Distressing!!“The fact that the information was published, going to very personal health details of Australian citizens, is disgusting and something that I think is just totally reprehensible and causing a great deal of distress in the community.”Reprehensible! Disgusting!!He said the government had met with state and territory governments and Medibank and agreed to establish a “one-stop shop” to help those affected find advice.Oh, OK? Was genau ratet ihr denn den Betroffenen?He urged all Australians not to access the leaked data, let alone publish it, “because we need to provide a disincentive for this sort of criminal, disgusting behaviour”.Oh. Never mind.Criminal!!
Aber warte, Fefe, fehlt da nicht noch ein bisschen impotentes Faustrecken? Klar! Kommt! Keine Sorge.
“We will get to the bottom of where this has come from [and] hold whoever is responsible for this to account.”Was ist denn, wenn sich die Leute von der Regierung verarscht und im Stich gelassen fühlen?!On Thursday the home affairs minister, Clare O’Neil, told parliament the government was standing by Medibank customers, who were entitled to have their information kept private after the “morally reprehensible and criminal” attack.Morally reprehensible!! Criminal!!!Gehen denen schon die Schimpfwörter aus? Da hatte ich von Australien aber mehr erwartet, muss ich sagen.
“I want the scumbags behind this attack to know that the smartest and toughest people in this country are coming after you,” she said.Oh. OK. Scumbags. Nunja. PG13, wie?Was mal wieder auffällt: Kein Wort dazu, dass man diese Daten vielleicht da nicht hätte rumliegen haben sollen. Kein Wort dazu, dass der Staat das hätte verhindern können, indem man ordentliche Regularien hat. Stattdessen Bullshitbingo wie das hier:
“I received the assurance from Medibank … that if a large data dump occurs, they are fully ready to provide services when and if they are needed to Australians who need them.”Oh, "services", ja? *Klingel* Ihr Anruf ist und sehr wichtig *Fahrstuhljazz* Bitte bleiben Sie in der Leitung *dudel* Vor Ihnen warten noch *knister* zwei tausend fünf hundert drei und siebzig Kunden auf einen freien Sachbearbeiter!Warte mal, Fefe, das ist doch gefundenes Fressen für die Opposition! Die machen doch bestimmt ein riesiges Fass auf jetzt, oder?
The opposition cybersecurity spokesman, James Paterson, said anyone who is contacted by a person purporting to have access to their data should immediately report it to authorities.Paterson has proposed a “safe harbour” provision – involving the nation’s cybersecurity agency, the Australian Signals Directorate – to give companies time in the immediate aftermath of an attack to respond to the crisis without worrying about legal and privacy ramifications.
Ja genau. Das ist das Problem. Unsere guten Firmen könnten betroffen sein von den Auswirkungen ihres Verkackens. Das müssen wir verhindern, während wir den Opfern eine Seelsorgehotline empfehlen.Update: Ich bin mir sicher, dass mit "whoever is responsible" weder Medibank gemeint ist, die das ransomwarebar gespeichert hatte, noch die Regierung, die das nicht verhindert hat. Immer schön Freund-Feind-Rhetorik aufrecht erhalten in der Krisen-PR!
Update: Ihr AHNT ja nicht, was die jetzt herausgefunden haben! Der Russe war's! Das hat bestimmt die CIA herausgefunden!1!!
Vorbildlich! So sollten das noch viel mehr Behörden halten!
Das ging los mit Geschäftsführer-Versicherungen, die in den paar Fällen, wo die Geschäftsführung wegen grober Fahrlässigkeit oder Vorsatz in die Haftung kommt, die Haftung übernehmen. Fortan hatten die Manager also keinen Grund mehr, Fahrlässigkeit zu vermeiden.
Seit dem hat sich ein fetter Markt für Cyberversicherungen aufgebaut. Ich fand ja die ganze Zeit unklar, wieso Versicherungen sowas anbieten würden, denn die Firmen tun ja alle überhaupt gar nichts, um Cybervorfälle zu verhindern, und dass Ransomware explodieren würde, war auch schon echt lange klar. Ich hab mich dazu mal mit einem Versicherungstypen unterhalten, wieso die das machen, das Risiko sei doch gar nicht abzusehen für die. Da meinte der: Naja, das ist ja bei anderen Versicherungen auch so. Und wenn man da Geld verdienen kann, dann wollen da alle Versicherungen hin.
Jedenfalls erfüllt es mich mit großer Genugtuung zu sehen, dass jetzt Cyberversicherer erstmals herbe Verluste einfahren.
„Unter dem Strich betrug die Schaden-Kostenquote fast 124 Prozent nach 65 Prozent ein Jahr zuvor“, sagte Jörg Asmussen, Hauptgeschäftsführer des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Jedem eingenommen Euro in der Sparte standen somit Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber.Immer feste druff. Das, meine Damen und Herren, ist der Markt. Der regelt das gerade. Hätten die mal auf mich gehört.
Das schöne für die Ransomwarer: Der ist ordentlich signiert und gilt als "legitim", kann daher nicht einfach geblacklistet werden.
Da wächst zusammen, was zusammen gehört! (Danke, Felix)
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
New hotness: Schuld an dem Kryptowährung-Scamming ist Nordkorea. Da können WIR doch nichts für, wenn deine Kohle rausgetragen wurde!!1!
Und allen gemein ist: Softwareproblem. Kann man nichts machen.
"Solche Ransomware-Angriffe sind wie Naturkatastrophen. Egal, wie viel man in den Schutz investiert, man kann nicht ausschließen, dass es einen trifft", sagt die Darmstädter Professorin Mezini.*Stöhn*
Was soll das werden? Identity-Politics-Opferolympiade meets Softwareproblem-kann-man-nichts-machen? Endlich sind wir alle Opfer! Der Staat sollte schnell einen Hilfsfonds aufsetzen für uns!!1!
Hey, liebe Berufsopfer! IHR ALLE SEID DER STAAT! Ihr könnt euch nicht alle bekloppt benehmen und dann auf Staatshilfe hoffen! Staatshilfe funktioniert, wenn nur wenige betroffen sind, und genug Unbetroffene einzahlen, um deren Schäden ausgleichen zu können! Euer Verhalten führt aber eher dazu, dass praktisch alle betroffen sind.
Ich habe euch vorher gesagt, was ihr tun müsst. Wenn ihr das nicht tut, ist es an der Zeit für persönliche Verantwortung und eine wichtige Lektion im Leben bezüglich Auf-Warnungen-von-Experten-hören.
Das ist wie mit der Klimakatastrophe. Keiner tut was, und am Ende wollen sie, dass "der Staat" Hilfsfonds aufsetzt. IHR DEPPEN SEID SELBST DER STAAT!
Ach komm, Fefe, das mit dem Hilfsfonds hast du dir doch ausgedacht. So blöde wird niemand sein, das zu fordern! Nun, ... seht selbst.
Deswegen müsse man den Unternehmen helfen, die Schaden erlitten haben. "Ein Hilfsfonds für Ransomware-Opfer wäre angebracht, vergleichbar etwa mit Hilfsfonds in der Corona-Pandemie."Ich krieg Migräne, ey.
Aber eine Sache möchte ich mal ansprechen.
Wir haben hier ein System, in dem Schüler in der Schule auf Windows und Office lernen, und in dem die Unis reihenweise von Ransomware runtergefahren werden.
Klar, kann man sich jetzt denken, das sind Unis, keine Militärbasen. Bei denen geht es um Forschung und Freiheit, nicht um Sicherheit und Lockdown. Aber überlegt euch das mal aus der anderen Perspektive!
Wenn die Unis das nicht schaffen, die die nächste Generation von IT-Personal hervorbringen sollen, die unsere radioaktiven Ruinen erben und uns alle retten sollen, welche Hoffnung gibt es dann überhaupt noch?
Ich fasse mal zusammen: Der Staat sollte verbieten, dass man Lösegeld an Ransomwaregangs zahlen darf, und auch verbieten, dass Versicherungen Lösegeld zahlen oder dass man das von der Steuer absetzen darf.
In erster Näherung klingt das erst mal nicht doof. Wenn du denen den Profit wegnimmst, bricht ihr Geschäftsmodell weg.
Zwei Probleme. Erstens: Nein, tut es nicht. Es gibt schon die ersten Ransomware-Gangs, die gar nicht mehr verschlüsseln. Die haben gemerkt, dass sie durch den Weiterverkauf von den geklauten Daten genug Kohle machen können.
Zweitens: Das ist bloß der Monetarisierungsweg. Das schließt nicht die Sicherheitslücken, über die Ransomware reinkommt. Die stehen noch offen für Leute mit anderen Motiven, wie z.B. ausländische Geheimdienste.
Solange wir die nicht zumachen, ist alles andere bloß performative Security. Fühlt sich an, als täte jemand was, aber ist bloß Theater.
Ich sehe nicht, wie wir jemals mehr Sicherheit kriegen werden. Die Branche hat versagt, die Regierung hat versagt, die Firmen haben versagt. Der letzte Hoffnungsträger ist, dass der Markt da vielleicht ausnahmsweise mal was in unserem Interesse regelt. Wenn wir das auch noch ausschließen, dann werden wir hier nur noch vor uns hinvegetieren, und alles bleibt ewig Scheiße, weil du dann ja nicht mal einen Vorteil am Markt hast, weil du billiger anbieten kannst als die Konkurrenten, die Versicherungen abschließen müssen.
Zumindest einige der Unterzeichner hätten es echt besser wissen müssen.
Update: Wenn euer Backup von einem Angreifer verschlüsselbar ist, war es kein Backup sondern bloß eine Kopie. Was ein Backup zu einem Backup macht, ist dass man sich darauf verlassen kann, damit seine Daten wieder einspielen zu können.
Update: Mein Kumpel Erdgeist findet, ich sollte auch noch darauf hinweisen, dass sie das Zahlen von Ransomware und das Absetzen von der Steuer nicht verbieten können. Dann nennt man das halt Beraterhonorar und macht es über eine Firma im Ausland, die vom Lösegeldverbot nicht betroffen ist. Außerdem muss man nur zum War on Drugs gucken, wie gut Prohibition hilft. Gar nicht.
Ich finde das ehrlich gesagt nicht so wichtig. Selbst wenn man es verbieten könnte, würde es das Problem nicht lösen. Meinetwegen können wir uns das sparen, dass der Staat und die Kriminellen sich jetzt 10 Jahre lang on-uppen, und am Ende kommt völlig überraschend heraus, dass wir die ganze Zeit recht hatten.
Update: Vielleicht sicherheitshalber nochmal explizit: Ransomware ist nicht wie Niederschlag. Etwas, mit dem man halt zu leben lernen muss. Wir könnten auch anfangen, sichere Software zu produzieren und einzusetzen. Das macht nur keiner, weil die alle glauben, das Investment lohnt sich nicht, weil man dann teurer wäre als die Konkurrenten.
Update: Diese Petition liegt in der Cloud von Microsoft, denen wir das Ransomware-Problem ja ursächlich zu verdanken haben. Genau mein Humor!
Bonus: Auch ihre Security entspricht den Erwartungen. Sie haben jemanden in meinem Namen unterzeichnen lassen. Einmal mit Profis! m(
Immerhin haben sie auch den Drachenlord unterschreiben lassen.
Praktisch alle Firmen sind heute in der Cloud, zumindest über Office 365. Trotzdem haben die alle Ransomware.
Glaubt das mal bitte keine Sekunde, dass euch die Cloud schützt.
Hat die Cloud denn Security-Vorteile? Kommt drauf an. Wenn ihr eure Patches nicht einspielt, dann ja.
Wieviel Zeit habt ihr für das Einspielen der Patches? 24h. Nach initialer Verfügbarkeit des Patches. Nicht nachdem ihr ihn zuerst wahrnehmt. Solange dauert das für einen guten Hacker, um aus einem Patch einen Exploit zu reverse engineeren. Ransomware ist profitabel. Die können sich gute Hacker leisten.
Müssen sie aber im Allgemeinen gar nicht, denn ihre "Kunden" sind alle so freundlich, Wochen bis Monate (bis Jahre!) zu warten mit dem Einspielen von Patches für bekannte und anderswo bereits fröhlich ausgenutzte Sicherheitlücken.
Die Suva möchte gerne in die Microsoft-Cloud gehen. Begründung: Die haben ein Rechenzentrum in der Schweiz und sagen uns zu, dass da keiner aus dem Ausland reinguckt.
Der Datenschutzbeauftragte ist dagegen, weil es in den USA den Cloud Act gibt, was heißt, dass die Amerikanischen Behörden in die Schweizer Cloud gucken können, ob den Schweizern das gefällt oder nicht.
Money Quote:
Die Suva adressiere das Risiko in ihrer Analyse zwar, bezeichne es aber als "höchst unwahrscheinlich". [...]Ja gut, klar. Die benutzen ja auch Windows, Outlook und Active Directory. Vermutlich unter der Annahme, dass ein Ransomwarebefall "höchst unwahrscheinlich" sei.Auch die Zürcher Kantonsverwaltung machte vor kurzem den Schritt in die Microsoft-Cloud. Die Einschätzung, dass ein "Lawful Access" durch US-Behörden höchst unwahrscheinlich sei, teilt der Kanton.
Tja. Da müssen wir mal auf das neueste Windows + Active Directory + Outlook upgraden, um wieder sicher zu werden!1!!
Ich ärgere mich ja an solchen Stories immer über diesen Teil hier:
Eintrittspforte für die Kriminellen war ein Link in einer E-Mail, der von einem Mitarbeiter im Haus angeklickt worden war.Als ob der Mitarbeiter Schuld ist!
Leute, ihr gebt dem Mitarbeiter ein Mailprogramm, das Links klickbar macht, und ihr gebt dem Mitarbeiter einen Browser für Links in E-Mails, und dann furzt ihr ihn an, wenn er auf Links klickt?
Der Mitarbeiter macht genau das, wofür die Software gebaut wurde, die ihr ihm gegeben habt.
Wenn ihr nicht wollt, dass ihr ständig von Ransomware hopsgenommen werdet, dann solltet ihr vielleicht aufhören, auf eure Mitarbeiter zu zeigen, und euch fragen, wieso die Software so ein Ransomwaremagnet ist, die ihr den Mitarbeitern gegeben habt.
Ich weiß nicht, ob ihr da mal drüber nachgedacht habt, aber ich habe hier eine fette Inbox mit lauter Fremden drin, alle mit Links, und ich klicke da ständig auf die Links, ohne dass Ransomware passiert. Habt ihr mal überlegt, ob es vielleicht nicht der Mitarbeiter ist, der hier das Problem ist?
Ach kommt, macht nur alle weiter Outlook, Active Directory, Exchange und Office. Vielleicht noch eine Packung Citrix drüber, damit auch wirklich jeder Geheimdienst 0days gegen euch hat. Und dann schmeißt mal schön alle eure Mitarbeiter raus, weil sie die Software dafür eingesetzt haben, wofür sie angeschafft wurde.
Ich hab ja die Tage eine wütende Mail gekriegt, ich soll nicht immer Kindergärten verunglimpfen. Im Kindergarten gehen es viel gesitteter zu als bei denen, die ich beschimpfen wollte.
Update: Wieso gibt Kärnten das jetzt doch zu? Nun, auf einer ihrer Online-Pressekonferenzen erschien einer der Ransomwarer und postete Details zu dem Angriff und kündigte Veröffentlichungen an, wenn kein Zahlungseingang festzustellen sei.
Aber hey, die Kosten schlagen wir einfach auf die Kosten für Microsoft-Produkte auf, die wir eh schon haben. Die können wir ja auch nicht inhaltlich rechtfertigen.
Update: Ein Highlight der Pressekonferenz war, als ein ORF-Reporter wissen wollte, wie häufig sie denn Backups machen, und ob sie sicher sind, dass das April-Backup noch sauber ist. Antwort: Des muas der IT-Leiter beantworten... - Wir machen die Backups immer, wenn Microsoft sie bereitstellt, also mindestens einmal im Monat (er meinte Updates)
Oh ach so, von DEM Kompetenzniveau reden wir! Hey, versteht ihr, wieso die Ransomwaregang da einbrechen konnte? Wenn die mit einem derartigen Crack-Team am Start sind? Mehr Kompetenz bündeln geht ja gar nicht!
Ein sicheres Internet wollen sie. Bevölkerungsschutz sagen sie. Das sind die Leute, die nicht mal ihre eigene Verwaltung vor Ransomware schützen können. Die wollen jetzt uns schützen. Nee, danke.
Oh, und Kinderpornos bekämpfen, ja? Bitte, liebe Leser: Immer, wenn die euch was von Kinderpornobekämpfung erzählen, an diese Meldung hier denken. Der Grund, wieso es im Netz Kinderpornos gibt, ist weil die Polizei und Staatsanwaltschaft die nicht löschen lassen. Sonst bräche ihnen das Märchen von dem vielen Kindesmissbrauch im Netz weg. Das geht nicht.
Wo sollen denn nächstes Jahr die Gelder herkommen, wenn wir keine Kindesmissbrauchsfotos online lassen?!
Denke doch mal einer an die darbenden Polizeibehörden!!1!
Der für die elektronische Kriegsführung verantwortliche US-General hat bestätigt, dass die Vereinigten Staaten im Ukraine-Krieg offensiv, defensiv und zur Informationsgewinnung Hacking-Operationen durchführen.Ja super. hackt ihr euch mal alle gegenseitig die Wirtschaft kaputt. Wir hier in Deutschland sind ja dank Hackertoolverbot eh nur unbewaffnete Zivilisten und Spielball der Ransomwaregangs.
Hey, das war ja rückblickend eine brillante Idee, lieber Bundestag! Hat euch da eigentlich niemand gewarnt damals?
Update: Als Kontext dazu vielleicht interessant: Nato-Sprecher Jens Stoltenberg im Jahre 2019 zu Cyberangriffen:
For Nato, a serious cyberattack could trigger Article 5 of our founding treaty.
WIR würden dann zurückballern. Aber die Russen sollen sich mal nicht so haben!1!!
Es stecken doch Erpresser hinter dem Totalausfall der Landes-EDV. Dienstagfrüh traten Probleme auf, vor allem betroffen war das E-Mail-Programm Outlook. Am Mittwoch kam eine Lösegeldaufforderung einer internationalen Hackergruppe: Fünf Millionen Dollar soll die Freigabe der Daten kosten.Outlook?! Nicht doch Outlook! Das galt doch bisher als so sicher!!1! (Danke, Alexander)
Auch old and busted: Ransomware-Gang will Lösegeld, sonst veröffentlichen sie die Daten.
New hotness: Ransomware-Gang will Lösegeld, sonst stürzen sie die Regierung.
A ransomware gang that infiltrated some Costa Rican government computer systems has upped its threat, saying its goal is now to overthrow the government.
Ich für meinen Teil finde nicht, dass der Staat die ganzen Dinge über mich wissen muss, die sie gespeichert haben.
Jahrelang haben sie nur an Lizenzkosten für ihre schlechte Software verdient, an Supportverträgen für Großunternehmen, an eigentlich das Kartellamt betreffende Upselling-Reindrückaktionen für Infrastruktur wie Sharepoint und Exchange, jetzt noch an Cloud-Gebühren, die so grotesk sind, dass Cloudflare das Geschäftsmodell hat, ein Cacheing davor anzubieten, um die Kosten geringer zu halten.
Von den paar Brosamen lebt Microsoft im Moment.
Doch damit ist jetzt Schluss.
Jetzt verdient Microsoft auch noch an "Experten", die sie euch in die Firma schicken.
Die kümmern sich da um Probleme, die durch den Einsatz von Microsoft-Produkten überhaupt erst entstanden sind.
Ja nee nee, Moment. Ihr zahlt für die Experten. Das ist kein Kundendienst.
Ich finde ja immer geil, wie Microsoft einfach behaupten kann, sie hätten Experten, und die Leute glauben das dann auch noch. Wenn Microsoft Experten hätte, wieso müssen sie dann immer noch jeden Monate Dutzende von Patches raushauen? Wieso verkacken sie immer noch so viele von den Patches?
Wieso haben wir inzwischen Patch-Testen beim Kunden mit "Preview"-Patches?
Das wird echt eine interessante Frage für Historiker, wie diese Firma jemals so viel Einfluss gewinnen konnte.
Aber hey. Akkurat eingeschätzt, die Kunden. Wer so blöde ist, Windows, Exchange, Active Directory und Office einzusetzen, und dann so blöde war, sich von Microsoft einen Defender andrehen zu lassen, der Probleme fixt, die man ohne Microsoft nicht hatte, und der dann auch noch so bekloppt ist, in die Microsoft-Cloud zu ziehen ... der dann externe Hilfe bezahlt, um die Ransomware wieder loszuwerden ... NA KLAR ist der dann auch so blöde und zahlt auch nochmal für "Experten" von Microsoft.
Idioten von ihrem Geld trennen ist das zweitälteste Geschäftsmodell der Welt.
Haha! Super luschtig! Bis euch auffällt, dass der Hersteller das Feature nicht für den Ukrainekrieg programiert haben wird, sondern gegen reguläre Bauern. Das ist DRM. Wenn die das mit den Russen machen können, können sie das auch mit euch machen. Da ist nichts lustig dran. Das ist eine fucking Dystopie!
Cory Doctorow hat den Finger in der Wunde.
Money Quote 1:
Why are John Deere tractors kill-switched in the first place?Here’s a hint: the technology was not invented to thwart Russian looters.
No, it was invented to thwart American farmers.
Mir ist ja absolut unklar, wieso irgendjemand irgendwo auf der Welt irgendwas von dieser Firma kaufen würde. Das ist nun seit langer Zeit bekannt, wie die ticken. Als die einmal versehentlich eine Debug-Firmware geliefert haben — ironischerweise in die Ukraine! —, hat sich ein weltweiter Schwarzmarkt für Kopien dieser Firmware gebildet. Wie viele rote Warnlampen brauchen die Farmer, bevor sie bei einer solchen Firma nicht mehr kaufen?!Aber Cory Doctorow geht weiter. Wieso haben die überhaupt einen Netzwerk-Zugang, fragt er? Er gibt auch gleich die Antwort: Weil die die Bauern totalüberwachen und die Daten abschnorcheln und das ist die eigentliche Cash Cow bei denen. Money Quote 2:
In the 2017 edition of these exemption hearings, John Deere filed a stunning brief with the Copyright Office: in it, they explained that farmers do not own the tractors they spend hundreds of thousands of dollars on.In fact, the farmers can’t own these tractors, because the software that animates these tractors (and enforces VIN locks and restrictions on using your own data) belongs to John Deere for the full term of copyright — 90 years — and the farmers merely license that code, and they are bound by the terms of service they have to click “OK” on every time they switch on their ignitions.
Those terms specify that even if a farmer repairs their own tractor, swapping a broken part for a working one, they must pay hundreds of dollars and wait for days for an authorized Deere technician to come out to the end of their lonely country road to key in an unlock code.
This is the system that let the Ukrainian Deere dealership brick those tractors between Melitopol and Chechnya.
So sieht das nämlich aus.Willkommen in der Dystopie.
Update: Lacher am Rande: "Aber Fefe, kann man da nicht bei der Konkurrenz kaufen?" Nee, die steht gerade wegen Ransomwarebefall still.
Die Frage hat man sich in China auch gestellt und tauscht bei der Gelegenheit des Vorschreibens inländischer Hardwarelieferanten auch gleich inländische Betriebssysteme vor.
Mit anderen Worten: China ist ab demnächst nicht mehr von Ransomware betroffen.
Es gibt ja diesen schönen Spruch:
The Americans will always do the right thing… after they’ve exhausted all the alternativesEuropa macht das auch so, bis auf den letzten Schritt.Wir bleiben lieber bei einer nicht funktionierenden Alternative, egal wie scheiße die ist.
ich habe gestern ein Fahrzeug bei SIXT abgegeben. Der Mitarbeiter hat sich das Fahrzeug nicht angeschaut, noch musste man etwas unterschreiben oder hat Dokumente off- /online dazu bekommen. Auf Rückfrage dazu gab es nur ein "Die Mailzustellung kann durchaus eine Stunde benötigen" (Die kam sonst immer sofort).Weiß jemand genaueres?Mail ist noch immer nicht da.
Heute dann nochmal Kontakt zu mir bekannten Adressen aufgenommen und siehe da..
Zitat aus MA-Mail:
vielen Dank für Ihre Nachricht. Lieder haben wir aktuelle einen weltweiten Ausfall sämtlicher Sixt Systeme, der schon länger anhält. Wir werden Ihren Fall schnellstmöglich bearbeiten, sobald die Systeme wieder funktionieren.Weltweit? Schon länger? Sportlich!
Bisher so gar nichts dazu online gefunden.Da dort alles über Handheld-Devices läuft, wundert es mich jetzt nicht mehr warum sich nichts angeschaut wird oder unterschrieben werden muss. Alle total hilflos ohne laufende Systeme.
"Softwareprobleme" oder das nächste Ransomware-"Opfer"?
Update: In der App geht wohl noch Car Sharing aber Miete und Leasing ist kaputt. Telefonie ist anscheinend auch betroffen... (?)
Ich kann da Entwarnung geben. Exklusivitätszusagen der 0day-Schwarzmarkthändler sind nichts wert. Klar erzählen die Händler den Diensten, dass sie mehr zahlen müssen, weil der 0day sonst an die Ransomwaregangs geht, aber selbstredend verkaufen sie trotzdem alle Exploits an alle.
Das sind fucking Kriminelle, die 0day-Händler! NATÜRLICH sind Zusagen von denen nichts wert!
Ich bin erstaunt, dass sie da nicht auch noch was von hoher krimineller Energie faseln.
Wer für den Angriff verantwortlich ist, blieb bislang unklar.Oh, das kann ich aufklären. Diejenigen, die die IT-Infrastruktur so haben vergammeln lassen.
Aber stellt sich raus: Da ist noch Luft nach unten. Man kann Single Sign On an die Cloud outsourcen. Dann kann die Firma in der Cloud für jeden deiner Dienste und jeden deiner User inklusive Admins gültige Login-Credentials ausstellen.
What could possibly go wrong?
Es gibt eigentlich nur zwei Möglichkeiten, dachte ich mir, als ich das hörte. Entweder das wird von einem Geheimdienst betrieben, oder alle Geheimdienste haben sich da reingehackt. Das ist ja als wenn du mit einem Bullseye auf dem Rücken rumrennst. So einem krassen Potential zur Berechtigungserlangung kann kein Geheimdienst widerstehen.
Ich sehe sowas bei Kunden eher selten, aber ich habe es schon gesehen. Cyberark z.B. ist mir schon begegnet. Ein israelischer Anbieter. Ich maß dem nie groß Bedeutung zu, bis ich mal an deren Hq in Israel vorbeikam. Hier ist ein Foto von dem Gebäude. Wisst ihr, wer da noch sitzt? Cellebrite. Ja, die mit den Smartphone-Exploits. Da verstand ich, dass wir es hier mit Full Spectrum Identity Services zu tun haben.
Ich erwähne das nicht, um mich über die Leute lustig zu machen, die ihre Login-Software an irgendeinen Cloud-Anbieter outsourcen. Nein. Die haben genug zu leiden.
Ich erwähne das, weil Lapsus (russische Ransomware-Gang) offenbar seit Monaten bei Okta drinnen sitzt. Okta bietet Single-Sign-On-Cloud-Outsourcing an.
Auf er einen Seite ist das natürlich apokalyptisch. Auf der anderen Seite ändert es nichts. Denn die Aufgabe von Login ist, dass sich niemand aus der Cloud einfach bei dir einloggen kann. Wenn du dein Login in die Cloud schiebst, hast du per Definition dein schlimmstes Bedrohungsszenario immanentisiert.
Und jetzt haben wir den Salat. Beziehungsweise den Emmerich-Film. Und ich bin der Jeff Goldblum-Charakter, der die ganze Zeit gewarnt hat.
Mein persönliches Karriere-Highlight in dem Kontext war ja, als ein Kunde von mir wollte, dass ich so einem Provider einen Voice-Print gebe. Ich sollte da anrufen und lauter Phoneme auf Band sprechen. Und dann, so die Erklärung, wenn ich mal mein Passwort resetten muss, dann kann der Computer erkennen, dass ich es bin. Ich habe dankend abgelehnt. Das ist ja eine Sache, ob der Kunde mein Passwort einem ausländischen Geheimdienst in der Cloud gibt, aber meine biometrischen Daten behalte ich lieber für mich, vielen Dank. Der Kunde konnte das gar nicht verstehen. Wir anderen Mitarbeiter bei dem Kunden machen das auch alle und noch nie gab es Ärger!
Vielleicht aus aktuellem Anlass bei der Gelegenheit an meine anderen Kunden: Keine Sorge. Selbstverständlich kriegt jeder Kunde sein eigenes zufällig generiertes Passwort mit ausreichend Entropie. Wenn ein Kunde mein Passwort in die Cloud schiebt, kriegt die Cloud keinen Zugriff auf meine Accounts bei anderen Kunden.
Irgendjemand muss ja hier ein paar Standards haben. :-)
Update: BTW: Glaubt mal gar nicht, ihr condescending Unix neckbeards, dass ihr nicht betroffen seid von dieser Art Irrsinn. Ein Kumpel schildert mir gerade, wie ihn der neue Ubuntu-Installer nach seinem Github-Usernamen fragte, damit er da SSH-Keys runterladen kann. Und über diesen Clownflare-Klassiker von 2019 lachen wir heute noch.
Update: Bei Microsoft scheint Lapsus auch eingedrungen zu sein.
Update: Möglicherweise via Okta? Der Okta-Krater sieht jedenfalls vergleichsweise groß aus.
Update: Hat hier jemand seinen Quellcode bei Gitlab liegen?
Gibt es eigentlich auch Nicht-Kriminelle unter den Crypto-Bros? Ein oder zwei vielleicht? Irgendwo?
Update: Die Story ergibt hinten und vorne keinen Sinn. Die Schwierigkeit passt sich ja automatisch der Hashpower an. Diese Hacker fordern keine Hintertür für ihre Karten sondern dass zukünftig alle Karten keine Bremse mehr haben sollen. Sie sagen, sie hätten bereits einen Weg, in ihren Karten die Bremse zu deaktivieren. Dann würden sie hier also etwas fordern, das ihre Profite schmälert.
Auf der anderen Seite sind Ransomwarer und Crypto-Bros noch nie durch sonderlich viel Verstand aufgefallen.
Hunderte Accounts haben sich im vergangenen Jahr selbst NFTs verkauft, um deren Preis künstlich in die Höhe zu treiben.No shit, Sherlock! Das las ich doch neulich schon in diesem einen Blog... Oh ja, das war mein eigenes Blog.
Weiterhin hat Chainalysis ermittelt, dass auch die Geldwäsche in Verbindung mit NFTs im zweiten Halbjahr deutlich zugenommen hat. Vor allem durch Betrug erbeutetes Kryptogeld sei so gewaschen worden.Auch keine echte Überraschung, denn das ist ja neben Drogenhandel die einzige Anwendung für Cryptocurrencies, und der einzige Grund, wieso Bitcoin und co noch nicht mangels Nachfrage implodiert sind. Du kannst dir praktisch eine beliebige Bitcoin-Transaktion nehmen, und die Bitcoin ist Teil einer Ransomware-Lösegeldzahlung. Die anderen Bitcoins liegen bei HODL-Bros im Cold Wallet und sind nicht Teil von Transaktionen.
Der Hash eines Datenpakets, das von der Urheberin oder dem Urheber der Originaldatei auf einer Blockchain-Infrastruktur mit einem private Key signiert wird, lässt sich mit solchen Tokens öffentlich nachvollziehbar verwalten. So kann digitalen Inhalten ein eindeutiger Besitzer oder eine eindeutige Besitzerin zugeordnet werden.Da hätte Heise vielleicht mal jemanden fragen sollen, der sich mit sowas auskennt. Da stimmt ja gar nichts dran. Erstens: NFTs können von jedem eingestellt werden, in den allerseltensten Fällen ist das der Urheber oder auch nur Rechteinhaber. Zweitens verwaltet da niemand was über die Blockchain sondern die rufen alle die APIs von Opensea auf. Hat man prima sehen können, als Opensea neulich down war. Drittens ist die Zuordnung nicht eindeutig, denn in der Blockchain können zwei NFTs auf denselben Inhalt zeigen. Viertens gibt es keinen Besitzer-Mechanismus, den die Blockchain benutzen könnte. Nur weil da irgendwas steht, heißt das keineswegs, dass das a) korrekt, b) eine natürliche Person und c) tatsächlich der Eigentümer des Tokens (geschweigedenn des im Token verlinkten Inhalts) ist.
Wenn hier einer kassiert, für anderer Leute Arbeit, und zwar sowohl von Konsumenten als auch Produzenten, dann ist das Elsevier!
Aus Sicht eines Forschers bei einer Uni hat Elsevier in der Ransom-Branche auch die älteren Rechte. Schöne Forschung haben Sie da! Wäre ja schade, wenn die nicht in einem Journal publiziert wäre!
Schöne Forschung haben Ihre Mitarbeiter da gemacht! Wäre ja zu schade, wenn Ihre anderen Forscher die Papers nicht lesen könnten, weil Sie kein Abo bei uns abgeschlossen haben!
Und wer bezahlt den Peer Review? Jedenfalls nicht Elsevier, soviel ist klar. Ausgaben schmälern den Profit!
Thales ist ein Bombenbauer und Militärzulieferer.
Hier hat eine Zeitung Thales um Kommentar gebeten und Thales sagt, sie hätten keinen Einbruch bemerkt und noch keine Lösegeldforderungen erhalten und würden jetzt mal gucken.
The fix is to temp disable the anti malware agent on the server. Via the .\Disable-AntiMalwareScanning.ps1 script in the $exscripts directory. Then restart transport service.Ach. Ach was.
Jetzt kommen auch noch Bugs dazu:
Microsoft warned customers today to patch two Active Directory domain service privilege escalation security flaws that, when combined, allow attackers to easily takeover Windows domains.Ach. Ach was. Na sowas.Das liest sich ja fast, als seien Windows + Office + Active Directory grundsätzlich ein hohes Risiko!!1!
Aber keine Sorge, ihr müsst einfach diese Patches hier bei Vollmond über eure Server sprenkeln, und ab dann werdet ihr wieder über triviale Fehlkonfigurationen hopsgenommen statt über Bugs.
Damit hat die Ransomware ein höheres Zuverlässigkeitsniveau als das Betriebssystem darunter.
Tollen Realitätszweig haben wir da. (Danke, Matthias)
Hey, die haben doch jetzt sicher ihre Lektion gelernt, oder? Die machen doch bestimmt ab jetzt alles richtig? Weg mit Exchange, Windows, Office und Active Directory? Gucken wir doch mal!
03.12.2021Ja? Jaa? Jaaaaa?? Exzellenter Anfang!
Im Rahmen des Neuaufbaus der KISTERS Infrastruktur haben wir unsere E-Mail-Server (MS-Exchange)
in die Microsoft Azure Cloud ausgelagert.NEEEIIIINNNNNN!!!
Ausschlaggebend dafür war einerseits unser Ziel, schnellstmöglich wieder per E-Mail erreichbar zu sein, und andererseits eine technische Entkopplung der E-Mail-Server von unserer internen Infrastruktur. Damit berücksichtigen wir gleichzeitig auch die aktuell von BSI und BKA festgestellte besondere Bedrohungslage.Boah was für ein Bullshit-Bingo. Unfassbar.
Denkt euch hier mal bitte ein Obi-Wan-Mem hin. Nein, nicht von mir ausgesucht. Vom BSI und ihren Kunden.
Mir gehen ja langsam die Gründe aus, die Verschwörungstheorie nicht zu glauben, dass Microsoft absichtlich die selber gehosteten Produkte sicherheitstechnisch vor die Wand fährt, damit alle in ihre Cloud migrieren. (Danke, Matthias)
In unserer heutigen Pressekonferenz haben wir von der Staatsanwaltschaft wichtige Erkenntnisse zu verkünden. Es geht, wie bereits angekündigt, um den Cyberangriff gegen den Landkreis Ludwigslust-Parchim.
Hier sind unsere neuen Erkenntnisse:
Bei dem folgenschweren Cyger-Angriff auf kommunale IT-Strukturen in Schwerin und im Landkreis Ludwigslust-Parchim ist die Schadsoftware «DeepBlueMagic» eingesetzt worden.
Ich weiß ja nicht, wie es euch geht, aber mir fällt gerade wie Schuppen von den Augen, was für eine lächerliches Kasperletheater das immer war, wenn sie nach Terrorangriffen stolz verkündet haben, der Täter käme wahrscheinlich aus dem Dunstkreis von Al Kaida.
... außerdem trug der Täter Socken und Turnschuhe.
Whoa langsam langsam, Inspektor Clouseau! Nicht so schnell mit den Erdbeben-Erkenntnissen! Es gibt nur soundsoviel Breaking News, die man pro Woche aushalten kann!!1!
Habt ihr auch noch rausgefunden, ob die Angreifer lieber Kaffee oder Tee trinken?
Update: Wobei ich da vielleicht nicht zu laut ranten sollte. Ich habe ja auch zuerst rausgefunden, welche Software die Ransomware-Opfer eingesetzt haben: Windows, Office und Active Directory.
Was soll die tun? Erkennen, wenn der PC angegriffen wird, und dann die Heuristiken hochtunen. Klar haste dann auch lauter False Positives, die den Admin ablenken, aber irgendwas ist ja immer.
Und wisst ihr was? Die Unternehmen werden ihnen das mit abkaufen. Na klar! Lieber noch eine Decke aus magischen Schlangenöl-Globuli drüberpacken als dass irgendwer mal drüber nachdenkt, sein Verhalten zu ändern. Nein, nein, wir fahren weiter Windows mit Office und Active Directory. Wie alle anderen. Und wenn wir dann hopsgenommen werden, dann zeigen wir auf Defender und sagen: Schaut her, wir haben doch alles getan!!1!
Und unser Staat befördert das auch noch, indem das BSI und Bafin den Einsatz von Schlangenöl explizit empfehlen oder gar vorschreiben. Klar hilft das nichts. Aber wir können nachher sagen, wir hätten was getan.
Sind diese ganzen Zertifikate am Ende völlig werlose Geldverbrennung? Compliance-Ringelpiez statt ernsthafter, evidenzbasierter Security?
Auf der nach oben offenen Bullshit-Bingo-Skala fehlt da nur noch "kriminelle Energie" und dass man mit Hochdruck daran arbeite.
Wenn ich mal einen Tipp abgeben sollte, so aus der Ferne, ohne jeden Feindkontakt: Windows + Office + AD?
Wieso fragt eigentlich nie jemand vorher einen qualifizierten Dienstleister? Wieso ist immer erst nachher Geld dafür Response-PR? Vorher machen alle bloß sinnloses BSI-Compliance-Theater.
Ja, das Response-Zeug ist PR. You heard me. Alles, was da zu erwarten ist, ist: "Die waren technisch aber SUPER FIT, die Angreifer!!1!" und "also gegen SOVIEL kriminelle Energie hätte man auch nichts machen können!1!!"
Dann noch ein paar belanglose Indizien, dass es DIE RUSSEN!1!! waren.
Und natürlich interne Erkenntnisse, die man nicht rausgibt. Dass auch Daten weggekommen sind, von deren die Kunden nicht wussten, dass man die hat. Daten, die man eigentlich schon längst hätte löschen wollen, aber da lag noch ein Backup rum. Nichts davon hilft bei der Abwehr der nächsten Ransomware-Iteration.
Dafür müsste man Windows, Office und AD abschaffen.
Kurzer Hinweis am Rande: Citrix lügt hier.
Citrix sagt: Das ist critical. Und dann: Das ist ein unauthenticated Denial of Service.
Ein unauthenticated Denial of Service ist maximal high, nie critical. Critical heißt Remote Code Execution. Critical heißt "ich spiel dir darüber ne Ransomware ein".
Kann sein, dass der Web-Azubi bei Citrix das nicht wusste, klar. Aber wenn da Critical dran steht, dann ist das ein Fall von "Mittagessen fällt aus, wir installieren den Patch JETZT". Das Wort nimmt man nicht in den Mund, außer die Scheune brennt.
Gut, bei Citrix kann man sagen, auch bei DoS brennt schon die Scheune. Aber das wäre dann immer noch high, nicht critical. Diese Worte haben eine Bedeutung! High heißt: "du fixt das jetzt oder deine User können morgen nicht arbeiten". Critical heißt "du fixt das jetzt oder deine User können morgen nicht arbeiten und deine Firmendaten werden im Darkweb versteigert".
Medixtixx hat allerdings die Zugangsdaten zu den ganzen VPN-Routern in den Praxen. Die alle zu resetten wird sich eine Weile hinziehen.
Wie kann man so sträflich seine Aufsichtspflichten verletzen?
Aktuell gab es mal wieder eine außerplanmäßige Datenschutzmaßnahme, bei einem Hersteller von Arztsoftware. Naja, denkt man sich, besser Daten verschlüsselt als Daten weggekommen. Aber die Ransomware-Gangs gehen ja inzwischen dazu über, die Daten vorher zu kopieren und dann gewinnbringend weiterzuverkaufen. In dem Artikel sind diese beunruhigenden Absätze:
Derzeit geht das Unternehmen davon aus, dass vor allem die eigenen IT-Systeme Ziel des Angriffs waren – und nicht die Systeme der Kunden. Derzeit arbeite Medatixx gemeinsam mit IT-Sicherheitsspezialisten an der Auswertung und Lösung des Problems. Auch Ermittlungsbehörden und die zuständige Datenschutzbehörde seien bereits eingeschaltet.Ja, äh, wie jetzt? Geht davon aus? Prinzip Hoffnung oder was? Dasselbe Prinzip, das euch überhaupt erst in diese Lage gebracht hat?
Es könne jedoch nicht ausgeschlossen werden, dass auch beim Unternehmen gespeicherte Daten entwendet wurden – und dass somit möglicherweise auch die angeschlossenen Arztpraxen vom Angriff betroffen sein könnten.Ja, äh, und wieso hat das Unternehmen überhaupt Daten von Dritten gespeichert?!?
Wie können die Arztpraxen so mit den Daten ihrer Patienten umgehen, dass eine Ransomware beim Softwarelieferanten Auswirkungen auf die Daten haben kann?!?
Das sollte sein wie bei Lagnese! Wenn die nen Ransomwarevorfall haben, betrifft mich das überhaupt nicht, obwohl ich bei denen schonmal Kunde war!
Kann mir das mal jemand erklären, wieso Speiseeis-Hersteller ein höheres Datenschutzniveau haben als Patientendaten in Arztpraxen!?!? (Danke, Christian)
Mediamarkt-Saturn hatte gerade eine außerplanmäßige Datenschutzmaßnahme. Dabei hatten die so tolle Pläne!
HODL!!1!
On 4 November, Romanian authorities arrested two individuals suspected of cyber-attacks deploying the Sodinokibi/REvil ransomware. They are allegedly responsible for 5 000 infections, which in total pocketed half a million euros in ransom payments.Ransomware ist so gut wie besiegt!Wie die wohl reingekomemn sind? Über "unintentional debugging credentials" vielleicht?
Aber dasselbe Muster gibt es auch anderswo! Die Cops nehmen auch seit Jahren immer wieder plakativ den größten Warez-Server vom Netz, und jetzt aktuell irgendwelche Ransomware-Gangs, und da wird dann auch immer erklärt, es sei das größte Cybercrime-Ding der Welt gewesen.
Ich würde also gerne mein Muster erweitern. Nur gibt es in beiden Fällen keine offensichtlichen Top-Täter wie bin Laden. Was also tun?
Auf Drogenbusts könnte man das eigentlich auch mal anwenden, und auf Waffenlager.
Nach wem benennen wir das also am besten? Fangen wir aus aktuellen Anlass mit den Ransomware-Busts an. Die heißen ab jetzt: Sie haben die rechte Hand Putins erwischt:
Während in Deutschland eine Stadtverwaltung nach der anderen von Verschlüsselungserpressern lahmgelegt wird, wurde das gefährlichste dieser kriminellen Syndikate von US-Strafverfolgern, Geheimdiensten und europäischen Polizeibehörden zerschlagen.Da könnte man jetzt Einwände haben.
Kommt in der Praxis nicht vor. Es waren IMMER die Russen. Gerade wenn nicht dransteht, dass es die Russen waren, wissen doch alle: Es waren doch die Russen. So haben wir die Bevölkerung jetzt konditioniert, so ist es also ab jetzt.
Da mache ich mir im Moment nicht viel Sorgen, aber selbst wenn. Das hat uns bei bin Laden ja auch nicht gestört.
Finde ich nicht gut. Erstens will ich diesen Attribuierungsscheiß nicht noch validieren, indem ich deren Narrativ übernehme. Zweitens kapiert das außerhalb der Branche niemand.
Stimmt inhaltlich auffallend, aber zu der Transferleistung sind glaube ich da draußen viele nicht fähig und das funktioniert auch nur, wenn du den Namen schonmal gehört hast.
Weitere Vorschläge nehme ich unter der bekannten E-Mail-Anschrift entgegen.
Nach dem Cyberangriff auf den IT-Dienstleister der Landeshauptstadt und des Kreises Ludwigslust-Parchim haben auch andere Städte in Mecklenburg-Vorpommern mit IT-Problemen zu kämpfen. Neben der Stadt Greifswald meldete auch die Stadt Stralsund, von Ausfällen betroffen zu sein, obwohl beide Städte keine Kunden des Kommunalservice Mecklenburg (KSM) und der Schweriner IT- und Servicegesellschaft (SIS) sind, deren Server am Freitagmorgen Ziel des Angriffs mit einer Schadsoftware wurden.Pass uff, Atze, alles gar kein Problem. Wir installieren einfach nochmal neu Windows mit Outlook und Active Directory drüber. Dann läuft das wieder. Bis die nächste Ransomware kommt, dann können wir nochmal ordentlich Zahltag machen!
Update: Nach Hackerangriff: Stadt Witten weiter offline. Ohoooo! Hackerangriff! Erzähl mir mehr! Lass mich raten? Kriminelle Energie? Staatsanwaltschaft ermittelt? Das war bestimmt ein fieser Nation State, denn sonst hat niemand soviel technisches Knowhow, um euer Windows, Outlook und Active Directory anzugreifen!1!! (Danke, Ulf)
Auch bei recyclelten Kunststoffen bedeutet es nicht notwendigerweise, dass das verwendete Material vom Verbraucher aus der gelben Tonne stammt. Es gibt Recyclate, die direkt aus der Produktion zurück in den Kreislauf geführt werden.Tja, das ist aber bedauerlich, dass die eine Paywall haben, und ich daher den Artikel hier nicht verlinken kann!Die Süddeutsche hatte am Freitag einen Artikel dazu im Wirtschaftsteil.
Einige Unternehmen betreiben Greenwashing, in dem sie Rezyklate aus Herstellungsprozessen verwenden, nicht aber aus der gelben Tonne. Dennoch prahlen Sie auf der Verpackung mit "100% Recycling", was für Verbraucher recht irreführend sein könnte. Coca-Cola wird da genannt. Außerdem rechnet der Artikel mit Coral ab, deren schwarze Kunststoffverpackungen wegen der Farbe gar nicht oder schwer recycelbar sind.Na das passt ja mal wieder wie Arsch auf Eimer! :-)Als Bonbon bietet die Zeitungsseite noch eine Anzeige der Haftpflichtkasse. Die haben sich Ransomware eingetreten…
4. Soziale Sicherheit bürgerfreundlich gestaltenBINGO!!! Oder wie ist es hiermit?
1. Moderner Staat und digitaler AufbruchSchon wieder Bingo!!!!
Die sind alle so. Guckt mal:
2. Klimaschutz in einer sozial-ökologischen MarktwirtschaftEin inhaltsfreies Herumgeseier, das die Intelligenz des Lesers beleidigt. Ich kann fühlen, wie meine Hirnzellen sterben, wenn ich das lese!3. Respekt und Chancen in der modernen Arbeitswelt
6. Innovation fördern und neue Wettbewerbsfähigkeit erreichenOh ja! Im Gegensatz zur letzten Regierung, die *papierraschel* Innovationen fördern und Wettbewerbsfähigkeit erreichen wollte. Das hat dann zu Projekten mit 5 Blockchains geführt. Und dazu, dass Bitterfeld die Bundeswehr gerufen hat, weil sie Ransomware hatten. Und zu hochinnovativen Abschaltvorrichtungen in Dieselautos.
7. Offensive für bezahlbares und nachhaltiges Bauen und WohnenNa endlich mal frische Ideen hier!!1! Bezahlbaren Wohnraum hat noch nie jemand als Ziel formuliert in diesem Land!1!!
Gibt es denn gar nichts an dem Papier, dem ich etwas abgewinnen kann? Nein, gibt es nicht. Ich zitiere mal aus Kapitel 8, "Freiheit und Sicherheit, Gleichstellung und Vielfalt in der modernen Demokratie". Ja, schon wieder so eine Bullshit-Überschrift. Schmerz lass nach. Freiheit und Sicherheit sind ein Zielkonflikt, ihr Flachzangen! Ihr könnt nicht einfach sagen, ihr wollt beides!
Wir wollen unser sicheres Land noch sicherer machen. Jede und jeder in Deutschland soll sich sicher fühlen – ob auf der Straße, zu Hause oder im Netz. Dafür kommt es vor allem auf mehr präventive Sicherheit anOh super, präventive Sicherheit! Also Pre-Crime, ja? Wie in Bayern? "Gefährder" ohne Verfahren oder auch nur Anklage wegsperren? Freiheit bezieht sich dann nur auf die anderen, nehme ich an?
Wir wollen Freiheit und Sicherheit gewährleisten und die Bürgerrechte stärken.Das ist ein Zielkonflikt, ihr Knallchargen! Im Übrigen: Erinnert sich noch jemand an das letzte Mal, als in Deutschland die Bürgerrechte gestärkt wurden? Homo-Ehe? Und davor? Nix?
9. Zukunftsinvestitionen und nachhaltige StaatsfinanzenNa endlich will mal jemand in die Zukunft investieren! Nicht wie bisher in die Vergangenheit!1!! Mann, ey. Was für ein Scheiß ey.
Ach komm, Fefe, bleib doch mal bei deinen Leisten. Was sagen sie denn zu Digitalisierung und IT?
Die digitalpolitische Strategie der Bundesregierung wird neu aufgesetzt (u.a. KI-Strategie, Datenstrategie, Blockchain-Strategie). Kompetenzen in der Bundesregierung werden neu geordnet und gebündelt. Den Gigabit-Ausbau treiben wir engagiert voran.*mike drop*
Nee, sorry, da weiß ich echt nicht, worüber ich mich zuerst aufregen soll.
Alles anzünden.
Update: Falls sich übrigens jemand dachte: OK, Blockchainstrategie, KI-Strategie und Datenstrategie, das sind drei der vier roten Warnlampen, dass hier jemand faselt, der keine Ahnung hat. Aber immerhin haben sie nicht Wasserstoff als Lösung für das Energieproblem erwähnt! Für den habe ich schlechte Nachrichten:
Eine europäische digitale Infrastruktur, ein gemeinsames Eisenbahnnetz, eine Energieinfrastruktur für erneuerbaren Strom und Wasserstoff sowie Forschung und Entwicklung auf dem Niveau der Weltspitze sind Voraussetzungen für die europäische Handlungsfähigkeit und Wettbewerbsfähigkeit im 21. Jahrhundert. Dafür werden wir die Initiative ergreifen.
Oh, und: Strom war schon immer erneuerbar, ihr elenden Vollversager! Die Stromerzeugung war es nicht! Boah und bei "Dafür werden wir die Initiative ergreifen" kommt mir echt das Frühstück wieder hoch. Das von letzter Woche. Initiative ergreifen, sagen sie im Jahre 2021! Als das Kind schon im Brunnen nach Luft schnappt! Initiative!! Die halten sich hier auch noch für die Helden in der Geschichte!!
Die schlechte Nachricht: Nicht die Behörden tun das, es ist eine Ransomware.
Nee, pass uff, Atze, wir müssen hier nicht in ordentliche IT investieren. Wir machen einfach Windows + Active Directory + Outlook, und wenn wir dann gehackt werden, dann sagen wir, es waren fiese Angreifer:
Unbekannte verschlüsseln interne DatenAußerdem sind ja nicht wir Schuld, sondern der Dienstleister!!1!
Ersten Erkenntnissen zufolge ist der zuständige IT-Dienstleister KSM "Opfer einer Schadsoftware geworden", wie Sternberg sagte.Dann faseln wir noch was von krimineller Energie und rufen die Polizei, um von unserem eigenen Totalversagen abzulenken.
Die Kriminalpolizei Schwerin hat mit Ermittlungen begonnen.Oh und solange keine Beweise vorliegen, behaupten wir einfach, es sei nichts weiter passiert.
Man gehe davon aus, dass zwar die eigenen Daten verschlüsselt worden seien, nicht aber an externe Stellen weitergegeben wurden. Lösegeldforderungen gebe es bislang nicht.Hauptsache wir gehen der Frage aus dem Weg, wieso uns jemand Ransomware aufspielen konnte. Das wäre peinlich, wenn uns das jemand fragen würde. Ein Glück ist auf die Medien Verlass, die springen lieber auf das Angreifer-Narrativ auf als die relevanten Fragen zu stellen.
Gehen Sie weiter! Gibt nichts zu sehen hier!
Für einen Lacher empfehle ich die Homepage des zuständigen IT-Dienstleisters. Ich zitiere mal:
Ich bin mal gespannt, ob jemand die fragt, was "angelehnt" an der Stelle bedeuten soll.
- Unterstützung bei dem Aufbau eines Informationssicherheitsmanagements (ISMS)
- Erstellung von Sicherheitskonzepten (angelehnt an BSI-Standard 100-2) und Umsetzung der Sicherheitskonzepte
Oh na ein Glück. Die kennen sich mit Notfällen aus! Dann haben sie ja sicher ein ordentliches Backup und in zwei Stunden ist alles wieder online!
- Unterstützung bei der Auswahl von Maßnahmen dem jeweiligen Schutzbedarf entsprechend
- Durchführen von Risikoanalysen und Business Impact Analysen (BIA)
- Erstellen von Notfallvorsorge-Konzepten und Notfallhandbüchern
So viel Text und nichts davon dient konkret der Konstruktion eines sicheren Arbeitsumfeldes oder der Abwehr von Angreifern. Das ist eine schöne Repräsentation der "IT-Security" in Deutschland im Moment. Eine metrische Tonne aus Bürokratie und Compliance, aber niemand tut irgendwas konkretes zur Abwehr konkreter Gefahren. Stattdessen "Informationssicherheitsmanagement". Nee, klar.
- Beratungsleistungen zur Umsetzung der Anforderungen gemäß Bundes- und Landesdatenschutzgesetze
- Datenschutzrevision von Verfahren, Anwendungen und IT-Systemen
- Durchführung von Schulungs- und Sensibilisierungsmaßnahmen im Bereich Informationssicherheit und Datenschutz
Lass es mich mal so formulieren: Wenn die tatsächlich Notfallvorsorge-Konzepte gehabt hätten, wären wir jetzt nicht in dieser Situation. Dann hätte niemand mitgekriegt, dass da was verschlüsselt wurde.
Das ist auf allen Ebenen so. Auch bei der Softwareentwicklung denkt man lieber nicht über strukturelle Sicherheit und solide Fundamente und robuste Strukturen nach, sondern man klöppelt halt irgendwelchen Frameworkscheiß zusammen und dann sprenkelt man ein bisschen "Sensibilisierungsmaßnahmen" und "Informationssicherheitsmanagement" darüber, wirft ein paar Code-Analyse-Tools drüber, am besten in der Cloud, und dann schmeißt man die ganzen Warnungen weg, weil so viel davon False Positives sind. Oh warte, ich vergaß: Dann lässt man einen Fuzzer laufen.
Dann wird man gehackt und erklärt: Aber wir haben doch alles getan!!1!
Ich persönlich bin ja schon begeistert über den ersten Satz auf der Webseite von diesem IT-Dienstleister:
Die KSM AöR tritt für einen geeigneten, annehmbaren und technisch realisierbaren Datenschutz ein.HAHAHAHAHA! Da weißte doch direkt, was die meinen. Nee, das ist technisch nicht realisierbar. Was sagen Sie, andere haben das aber realisiert gekriegt? Nee, das geht gar nicht. Glauben Sie uns, wir wissen, was wir tun!
Also den Teil, der offensichtlich kriminell ist. Den wollen die Ransomware-as-a-Service-Anbieter lieber nicht selber machen.
Ja, äh, warte mal. Wenn du so einen RaaS-Dienst anbieten würdest, und deine Kunden wären alles Kriminelle, was hält dich dann eigentlich ab, die über den Tisch zu ziehen? Wieso würdest du die eingenommenen Lösegelder in der versprochenen Höhe mit deinen "Kunden" teilen?
Stellt sich raus: Diese Idee kam auch den RaaS-Leuten. :-)
Cyber criminals using a ransomware-as-a-service scheme have been spotted complaining that the group they rent the malware from could be using a hidden backdoor to grab ransom payments for themselves.Was für eine Gemeinheit!! Man findet aber auch kein vertrauenswürdiges Personal mehr!
Mich nervt ja langsam dieses Gefasel von "Impfdurchbrüchen".
Das ist für mich dasselbe wie "Ransomware-Angriff". Da hat jemand Muffensausen und will die Schuld auf jemand anderen umlenken. Das böse Virus hat die Impfung durchbrochen!!1!
Leute, die Impfung war nie ein 100%-Ding. Und: Als ob es hier um Schuld ginge!
Die Impfung funktioniert und sie hat jetzt schon viele viele Leben gerettet. Einige werden trotzdem erkranken. Das war von vorneherein klar. Dass das jetzt passiert ist kein Versagen der Impfung oder der Politik oder der Ärzte oder der Impfbefürworter oder von irgendwem. Das war die ganze Zeit klar und da müssen wir jetzt halt durch.
Tut euch mal einen Gefallen und denkt nicht die ganze Zeit über die Leute nach, die trotz Impfung krank werden. Denkt über die Leute nach, die noch am Leben sind, weil wir Lockdown und Impfung hatten und die Kurve erfolgreich flachgehalten haben, so dass die ganze Zeit noch Krankenhausbetten zur Verfügung standen. Das ist eine geradezu unglaubliche Leistung. Denkt mal zurück an die Panik und die Horrorszenarien, die wir erfolgreich verhindern konnten.
Ich für meinen Teil hab auch keinen Bock mehr über Impfgegner nachzudenken. Die hatten alle mehr als genug Gelegenheiten und was ihnen jetzt passiert, dass passiert ihnen dann eben. Die anderen sind nach Stand der Technik geschützt. Das muss dann halt reichen.
Es gab schon immer Deppen, die begründete Warnungen in den Wind geschlagen haben, und sich dann aus dem Genpool entfernt haben. Ich finde das auch nicht schlecht. Die hinterlassen ja was. Geschichten, die man nachfolgenden Generationen erzählen kann. So gesehen sind das edle Spender, die sich selbst geopfert haben, damit zukünftige Generationen besser gewarnt sind.
Ohne solch edle Helden hätten wir keine Sicherheitsgurte in Autos, keine Geschwindigkeitsbegrenzungen in Städten. Wenn sich nur noch ein paar edle BMW-Fahrer für den Rest von uns um Leitplanken wickeln, werden wir auch eine Geschwindigkeitsbegrenzung auf Autobahnen kriegen. Unsere Türme hätten keine Gitter, die versehentlich runterfallen verhindern. Unsere Treppenhäuser hätten keine Geländer. Unsere Bergstraßen keine Leitplanken. Unterm Strich sind diese Leute Teil des Prozesses. Die wird es immer geben, und sie sind unter dem Strich gut für die anderen.
Ich hab bloß keinen Bock mehr, von denen mit Telegram- und Facebook-Bullshittheorien geflutet zu werden. Wenn die sich doch bloß jemand anderen zum Missionieren suchen könnten! Es gibt ja nun echt genug Auswahl.
Sind das eigentlich die gleichen Idioten wie die Cryptocurrency- und Gold-Scammer? Die auch praktisch wöchentlich Termine für den Weltuntergang und den Faschismus und die Abschaffung des Bargelds und Trumps Einmarsch in Europa hatten, und nie ist irgendwas davon eingetreten. Nicht mal die fucking Wahlen hat der Tiefe Staat verschoben gekriegt! Was ist das denn bitte für eine jämmerliche Verschwörung, wenn die nicht mal die Wahlen verschoben kriegen?!
Kommt, helft mir mal. Bei den Crypto- und Gold-Scammern sehe ich zumindest das Geschäftsmodell im Hintergrund, wieso die so hartnäckig Scheiße verbreiten. Aber bei den Impfgegnern? Haben die einen Schwarzmarkt für Ivermectin, Hydroxychloroquin und Vitamin D oder was ist da das Scam-Geschäftsmodell?
Das ist die zentrale Beschaffungsplattform der öffentlichen Hand für Aufträge.
Ich zitiere mal:
wie bereits berichtet hat in der Nacht vom 08.09.2021 auf den 09.09.2021 ein Ransomware-Angriff mit Lösegeldforderung auf unsere Server stattgefunden. [...]Die wichtigen Punkte hierbei sind:Die Forensik hat die bisherige Annahme bestätigt, dass das Eintrittstor ein Atlassian Confluence Server (Drittanbieter) war, dessen Software von einem uns verbundenen Unternehmen eingesetzt wurde.
Oh und natürlich rollen sie wieder die "Angriff!!1!"-Rhetorik aus, damit das aussieht, als hätte "der Angreifer" Schuld und nicht sie, weil sie ihn reingelassen haben.
Ich hab so langsam keinen Bock mehr auf diese Branche.
Update: Ein Leser schreibt mir gerade, das sei nicht die zentrale Plattform sondern ein externer UI-Anbieter, der die verkackten Steinzeit-Vergabeplattformen hinten zusammenführt. Der Bund hat auch noch mal eine eigene Vergabeplattform.
Die Chuzpe muss man erst mal haben, diese künstlich herbeigeführte und staatlich erzwungene Unsicherheitsstrategie auch noch "Cybersicherheitsstrategie" zu nennen!
Na gucken wir doch mal!
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Ja, das wäre eine gute Idee gewesen. So vor 30 Jahren. Wurde leider nichts draus, denn wir hatten CDU-Regierungen.
Das wäre wahrscheinlich glaubwürdiger, wenn nicht die CDU die Zerstörung des Mittelstandes vorangetrieben hätte die letzten 50 Jahre. Konzerne kriegen Bailouts, den Mittelstand lässt man pleite gehen.
Die 1980er Jahren haben angerufen. Sie wollen ihre abgedroschenen Bullshit-Slogans zurück haben.
Ich bin ja ehrlich gesagt erstaunt, dass sich die Partei mit der Bildungsministerin, die wegen plagiierter Dissertation zurücktreten musst, es wagt, sich öffentlich zum Thema Bildung zu äußern.
Dass die Partei, die gerade vor aller Augen den Afghanistan-Abzug brutaltsmöglich verkackt hat, es wagt, und was von außenpolitischer Sicherheit zu erzählen.
Dass die Partei es wagt, uns was über Klima zu erzählen, die erst die erneuerbaren Energien kaputtaltmaiert und deren Kanzlerkandidat dann ein Kohlekraftwerk bauen lässt.
Die Partei, die auf Melden einer Sicherheitslücke in ihrer verkackten Wahl-App reagiert, indem sie die meldende Sicherheitsforscherin vom LKA verfolgen lässt, die erzählt uns jetzt was von digitaler Modernisierung. Die Partei von Schwarz-Schilling und seinen Kupferkabeln. Die Partei hinter dem Hackertoolverbot, das dazu führte, dass unsere Wirtschaft nicht auf einen Pool von Experten zurückgreifen kann, die sie gegen Ransomware verteidigt. DIE Partei erzählt uns jetzt was von digitaler Modernisierung. Nee, klar.
When I think Modernisierung, I think CDU!
Genau mein Humor!
Das ist der Gewöhnungseffekt von Youtubes Willkürherrschaft. Jeder lebt ständig in der Furcht, ihm könnten ohne Angabe von Gründen irgendwelche Zugänge weggenommen werden. Wir leben in einer Gesellschaft der Almosenempfänger.
Jedenfalls, warum ich das hier erwähne: Die haben eine Stellungnahme veröffentlicht. Da steht das hier drin:
Das Handelsblatt hat nun mithilfe von professionell gefälschten Dokumenten einen Gastzugang für einen nicht existierenden Apothekeninhaber erzeugt. Dazu wurden eine gefälschte Betriebserlaubnis und ein gefälschter Bescheid des Nacht- und Notdienstfonds vorgelegt. Unter der gefälschten Apotheken-Identität wurden insgesamt zwei Impfzertifikate ausgestellt.Ich bin ja nun echt kein Freund des Handelsblattes, sei die mich wegen Paperboy verklagt haben. Aber das ist ja mal echt schäbig, jetzt so zu tun, als seien die Journalisten daran Schuld, dass dieser windige Betreiberverein offensichtlich keinerlei Plausibilitätsprüfung durchgeführt hat.
Wer sich jetzt denkt: Hey, so eine Pressemitteilung kann ich nur ernst nehmen, wenn die auch noch was von krimineller Energie faseln! Für den habe ich gute Nachrichten:
Diese hat bis zum heutigen Donnerstagmittag keine Hinweise auf andere unberechtigte Zugänge ergeben, deren Erstellung in betrügerischer Absicht nur mit erheblichem Aufwand und krimineller Energie denkbar ist.Jaja. Wie alle anderen, auch noch so primitiven Angriffe von bescheidener Spam-Ransomware war auch hier äußerste kriminelle Energie im Spiel! Die Angreifer haben erheblichen Aufwand getrieben!!1! Die haben auf einem Kopierer den Kopieren-Knopf gedrückt!!1!
Den eigentlichen Elefanten im Raum sprechen sie dabei lieber gar nicht erst an:
Daher ist davon auszugehen, dass die über 25 Millionen Impfzertifikate, die bisher über Apotheken ausgestellt worden sind, alle von rechtmäßig registrierten Apotheken ausgestellt wurden.Ach, und damit sind die dann automatisch sauber? Ich finde ja, nur Apotheken, die keinen Esoterik- und Homöopathie-Scheiß im Angebot haben, sollten Zertifikate ausstellen dürfen.
Da muss man sich dann halt entscheiden. Entweder Wissenschaft oder halt nicht.
Heise spricht dann noch einen wunden Punkt an:
In der offiziellen Stellungnahme grenzt der DAV das Problem geschickt auf die Existenz der staatlich verordneten Gastzugänge ein. Insgesamt seien knapp 17.900 Apotheken beim Portal registriert, von denen nur 470 über den Gastzugang zugreifen. Warum der DAV den Zugang dann auch für Vereinsmitglieder sperrt, lässt der Verband offen.Ja, äh, in der Tat. Die Antwort würde auch mich interessieren. LOL
Völlig überraschend, ich weiß!
Ändern nichts an den Gründen für ihren Ransomware-Befall und sind dann schockiert -- SCHOCKIERT!1!! --, dass sie wieder befallen werden.
Macht ihr mal ruhig weiter alle Windows + Outlook + Active Directory. Schafft Arbeitsplätze in Osteuropa.
"Dieser Angriff hat auf alle Bereiche des Leistungsspektrums des Landkreises unmittelbare Auswirkungen und betrifft somit auch die Anliegen der Bürgerinnen und Bürger, die zurzeit nicht bearbeitet werden können", teilte der Kreis am Freitagnachmittag mit.Angriff, ja? Katastrophe, wie? Ist der Russe mit dem Cyberpanzer gekommen oder was? Nein! Wir reden hier mal wieder von einem stinknormalen Fall von "wir haben jahrelang inkompetent alles schleifen lassen und jetzt regnet es rein"-Ransomware.
Ich muss gar nicht raten, was der Landkreis einsetzt. Windows und Outlook und Active Directory. Wie immer wenn Organisationen von Ransomware betroffen sind.
Ich bin mal gespannt, wie viel das kosten muss, bis jemand was lernt.
Oh ach, und ein ordentliches Backup hattet ihr auch nicht? Na sowas! Hätte euch doch nur vorher jemand gesagt, dass man Backups braucht!!1!
Der Landkreis hat den Angaben zufolge Strafanzeige gestellt und arbeitet eng mit den Strafverfolgungsbehörden zusammen.Ja aber klar! Der übliche PR-Move. Damit es so aussieht, als seien da irgendwelche Leute Schuld UND NICHT WIR HIER, die wir jahrzehntelang brutalstmöglich unsere Infrastruktur auf Verschleiß gefahren haben. Nein, nein! Nicht WIR sind Schuld! Der Russe war's!
Aktuell werde eine Microsoft-Sicherheitslücke bei den Druckern vermutet.No shit! Ein Windows-Problem? Wie ... unerwartet! Hätte uns doch nur jemand rechtzeitig gewarnt!
Ja super! Das ist ja eine brillante Idee! Klar, das sollte der Steuerzahler tragen, die Kosten dafür, dass ich mein Dach nicht repariert habe und es jetzt reinregnet!1!!
Unfassbar.
Ich gehe mal davon aus, dass die Ransomwaregangs sich freuen und die Lösegeldforderungen entsprechend um den Steuersatz des Opfers erhöhen werden.
Update: Einige Leser meinen jetzt, das sei ein toller neuer Weg zur Steuervermeidung. Du ransomwarest dich einfach selber von irgendeiner Steuerparadies aus und schon sind deine Profite außer Landes. Das wollte ich eigentlich den Security Nightmares überlassen, aber ja, ihr habt Recht.
zu deinem Blogpost wg. der TU, du schreibst “aber das wäre dann ein menschlicher Angreifer, keine Ransomware."In der Liste fehlt mir neben dem Passwortmanager nur noch "Single Sign-On".
So funktioniert aber "moderne" Ransomware: Auf den Client kommt es klassisch via Mail / Macro / Download - und "loitetered" dann da auf den Client rum. Sobald der Ransomware Support dann Zeit hat, loggt er sich manuell auf dem Client via Backdoor ein und schaut sich manuell im Netzwerk um - und das er über die abgesnifften (Windows)Adminpasswörter zu einem privatekey kommt für den SAP rootzugang ist nicht allzu weit :)Ach ja, und der Backupserver ist im ActiveDirectory angebunden - und falls nicht, steht das Passwort im Passwortmanager wo alle PWs stehen und man snifft halt das Masterpasswort ab.
Und das ist noch der "die haben sich was gedacht" Case aus dem Pentesteralltag :)
zu deinem Post über den 'Angriff' auf die TU und die Backup-Strategie: es gibt wohl Backups und die könnte man auch hochfahren. Will man aber nicht riskieren bevor man nicht den Weg der Angreiferin durch die Infrastruktur nachvollzogen hat. Diese Argumentation kommt so wohl von einem externen Beraterunternehmen, dass engagiert wurde. Finde ich jetzt nicht viel besser, aber hey: jedes System der Uni, das auf Unix lief, steht noch :DHmm. Na gut, dann gäbe es immerhin einen Grund für das Verhalten, auch wenn ich den wenig nachvollziehbar finde.
Erstens stellt sich die Frage, ob das dann tatsächlich nur eine Ransomware war. Diese Empfehlung ergibt nur Sinn, wenn es da auch menschliche Angreifer gab, die sich explorativ in der Infrastruktur bewegt haben. Das würde natürlich das Bedrohungsszenario ändern,
Ich weiß ja nicht, von was für Angreifern die da ausgehen (DIE CHINESEN!!1!), aber normalerweise installierst du alle Systeme neu, achtest diesmal darauf, dass die auf dem aktuellen Patchstand sind, dann spielst du die Backups der Daten ein, und dann sind die Angreifer erstmal draußen. Die Hauptbedrohung ist an der Stelle, dass die irgendwelche Hintertüren haben oder Passwörter ausgespäht. Daher installierst du alles neu und vergibst neue Passwörter.
Wenn du postulierst, dass die Angreifer über eine Sicherheitslücke reingekommen sind, die du nicht kennst, und für die es keinen Patch gibt, dann kannst du eh nie wieder irgendein System betreiben.
Aber gut. Die Berater dort kennen hoffentlich die Details, die ich nicht kenne, insofern will ich mal annehmen, dass es dann auch sachliche Gründe für diese Empfehlung gab und sich da nicht bloß jemand fiskalisch gesundstoßen wollte.
Update: Ein paar Details, wie es dazu gekommen ist, findet man im Heise-Forum.
Einen "Cyberangriff", wissenschon.
Inzwischen geht wohl Mail wieder, aber das ist nur ein "temporärer Not-Dienst".
Da frage ich mich ja schon: Wie schwierig kann das sein, einen fucking E-Mail-Dienst neuzustarten? Sowas hat man doch wegautomatisiert bzw hat direkt ein Backup-Image, das man einspielt, und fertig. Und von der Konfiguration hat man auch ein Backup. Da kommen schon die ersten Fragezeichen.
Wisst ihr, ich mecker ja schon seit einer Weile hier herum, dass Ransomware kein Cyberangriff ist, sondern eher sowas wie ein kaputter Dachziegel und dann regnet es halt rein. Schöne Metapher, aber wie sieht sowas denn konkret aus? Nun, da hat die TU Berlin jetzt mal ein tolles Beispiel geliefert, eines für die Geschichtsbücher:
Der nach der Attacke Ende April eingerichtete IT-Notfallstab strebt laut seiner Prioritätenliste an, das SAP-Kernsystem bis Ende Juni wieder funktionsfähig zu machen.So und DAS meine ich mit "da war ein Loch im Dach". Ein SAP-System läuft normalerweise auf einem Unix. Eine Ransomware betrifft Windows. Wenn eine Ransomware unter Windows es schafft, "das SAP-Kernsystem" überhaupt nur zu betreffen, dann ist da so dermaßen massiv verkackt worden, dass "es war ein Loch im Dach" eine viel zu schwache Metapher ist. Das ist eher "the front fell off". Das ist wie wenn jemand ein Atomkraftwerk mit einem Loch im Containment betreibt.
Ich habe mich ja, unter uns, schon seit Jahrzehnten gefragt, für wen die SAP eigentlich eine Windows-Version anbietet. So blöde kann doch niemand sein, dachte ich mir in meiner jugendlichen Naivität, ein SAP unter Windows zu betreiben. Da hast du doch garantiert ein Active Directory und ein Outlook und ein Office und Makroviren und Ransomware am laufenden Meter. NIEMAND kann so blöde sein, war ich mir sicher. Unter Windows?!
Ich meine, ihr macht euch jetzt möglicherweise keine Vorstellung, was das heißt, wenn "das SAP" betroffen ist. Mit dem SAP macht man z.B. Inventar (gut, betrifft die Uni jetzt vermutlich nicht so), man zahlt damit Gehälter aus, eine Uni würde damit vielleicht die Studenten verwalten, und ihre Noten.
Wenn "das SAP" von einer Ransomware betroffen ist, dann stelle ich mir vor, dass die TU gerade keine Gehälter zahlen kann. Oder vielleicht machen sie das manuell? Jemand guckt durch die Kontoauszüge der letzten Monate und macht einfach dieselben Zahlungen nochmal von Hand?
Das ist mal RICHTIG Kacke, da hängen Existenzen von ab! Leute, die ihre Miete nicht mehr zahlen können, wenn das Gehalt nicht kommt!
Ich will hier nicht in sinnlose Übertreibungen eskalieren, aber wenn eine Organisation "ein SAP" betreibt, und das nicht nach einem Vorfall (und zwar egal was für ein Vorfall!!) innerhalb von ein paar Stunden komplett rekonstruiert und wieder betriebsbereit hat, dann ist das institutionelles Versagen einmal durch alle Schichten. Da müssten Köpfe rollen, und zwar einmal bis ganz nach oben durch alle Schichten, die da hätten Einfluss nehmen können.
Oh, und: Ein Backup, von dem du nicht getestet hast, ob du es wieder einspielen kannst, ist kein Backup. Wenn die für ein derart zentrales System keine Backupstrategie hatten, dann ist das absolut nicht zu entschuldigen.
Wohlgemerkt: Ich arbeite hier schon mit abgeschwächten Forderungen. Wenn jemand seriöses die IT betrieben hätte, hätte es einen Hot Standby gegeben, und das SAP hätte auf einem Netzwerk-Storage seine Daten gehabt, auf das außer dem SAP niemand Zugriff hat. Dann kann ein Angreifer, der die Windows-Terminals übernimmt, zwar immer noch die Passwörter von blöden Admins (die Windows benutzen) sniffen sich damit im SAP einloggen und alles kaputtmachen, aber das wäre dann ein menschlicher Angreifer, keine Ransomware.
Und das ist die technische Universität Berlin! Wie sieht denn das dann erst an der Humboldt-Uni oder der Freien Universität aus, wenn die TU schon kein Notfall-Wiederherstellungsplan hatte!?
Wow.
Da haben ja Doktoranden, die ihre Word-Dokumente einmal auf der Platte und einmal auf einen USB-Stick speichern, eine bessere Backup-Strategie!
Meine Fresse!!! Das ist echt unfassbar.
EINEN MONAT frickeln die da jetzt schon rum! Einen fucking Monat!!
Heilige Scheiße.
Ich weiß, ich weiß, totes Pferd. Weitergehen, gibt nichts zu sehen hier.
Ihr werdet euch vielleicht gefragt haben, wieso eine Pipeline überhaupt von Ransomware betroffen ist. Die Steuersysteme irgendwo im Feld werden ja hoffentlich nicht am Internet hängen.
Nun, jetzt gibt es ein paar Details.
Erstens: Die Ransomware hat nicht die Pipeline-Operation betroffen sondern deren Rechnungswesen. Die Pipeline hätte ungehindert weiter operieren können, aber sie hätten die Daten nicht erheben können, wer wieviel abgenommen hat.
Zweitens: Die haben Lösegeld gezahlt und eine Entschlüsselungssoftware gekriegt, aber die war langsamer als ein Backup einspielen (Überraschung!!1!). Also haben sie lieber Backup eingespielt.
Drittens: Natürlich haben sie in die Kameras gelächelt und gelogen:
"Quickly after learning of the attack, Colonial proactively took certain systems offline to contain the threat. These actions temporarily halted all pipeline operations and affected some of our IT systems, which we are actively in the process of restoring," the company said.Eine glatte Lüge!Auch erwähnenswert: Die US-Regierung, die ja wohl hoffentlich informiert gewesen sein wird, dass das eine Lüge war, hat als Notfall-Antwort nicht etwa der Pipeline-Gesellschaft einen Vogel gezeigt und den Hahn wieder aufgedreht, sondern sie haben die Sicherheitsregeln für Kraftstoff-Transport gelockert.
Wo wir gerade bei Leuten waren, die mal an ihren Schamhaaren aufgehängt werden sollten: Angreifer versucht aus der Ferne das Trinkwasser in einem Wasserwerk in Florida zu vergiften.
Ich finde bei solchen Meldungen immer beachtlich, wie sie es schaffen, völlig unerwähnt zu lassen, in was für beschissenem Zustand das System war, dass da jemand aus der Ferne eine Hintertür oder Ransomware installieren kann.
Wie? Nein, nicht Ransomware. Ein "DDoS"!!1! Am ersten Schultag nach den Winterferien brach das Ding unter der Last zusammen!
Also mit SO vielen Schülern konnte niemand rechnen. Nach Ferienende? Äh, ich meine, mit so vielen Angreifern konnte niemand rechnen!1!!
Update: Die Pressemeldung von denen liest sich allerdings tatsächlich nach einem DDoS:
Der Angriff erfolgte ab ca. 8:00 Uhr von mehreren Bot-Netzen, die laut Protokoll auf Serverstandorte in Singapur zurückzuführen sind. Diese automatisiert in sehr kurzer Zeit erzeugten Anfragen wirkten auf das System, als würde ein Vielfaches der normalen Nutzerzahl gleichzeitig zugreifen. Die Analyse ergab auch, dass im Zeitraum zwischen 7:30 Uhr und 11:00 ca. 200.000 „normale“ Nutzeranfragen an die Server erfolgten, gleichzeitig jedoch weitere Anfragen in Millionenhöhe über die genannten Botnetze kamen.
Kriminelle hatten per sogenanntem DDoS-Angriff Daten verschlüsselt, um dann Geld für die Freigabe zu erpressen.Meine Güte, diese Bürger"journalisten" von der "Bild" werden immer besser! Wie sie jetzt schon Fachbegriffe über ihren Text sprenkeln, damit er glaubwürdiger wirkt!
Falls das hier jemand fachfremdes liest: Ein DDoS-Angriff ist ein Angriff, bei dem ganz viele verschiedene Leute gleichzeitig auf einen Server zugreifen. Die Idee dabei ist, die Leitung zum Server zu überlasten, nicht den Server selbst. Um den Server selbst zu überlasten braucht man normalerweise kein DDoS, nur ein bisschen Hirnschmalz.
Den Unterschied zwischen "Leitung überlastet" und "Server überlastet" erkennt man als Laie im Allgemeinen an Details wie dass schon die DNS-Anfrage scheitert ("We have trouble finding that site", "Server not found", "Check if there is a typo", "IP address could not be found"), oder dass die Verbindung selbst schon in einen Timeout läuft (du klickst auf einen Link zu der Site aber der Browser zeigt erstmal weiter den alten Fensterinhalt an und schreibt unten links "Connecting ..." in die Ecke).
Wenn man auf den Link klickt und schnell ein leeres Fenster kriegt, in dem dann aber keine Inhalte erscheinen, dann kann das sowohl Leitungs- als auch Serverüberlastung sein, spricht aber im Allgemeinen eher für Serverüberlastung.
Wenn es ewig dauert, bis die Site antwortet, aber dann flutschen alle Elemente in der Seite auf einmal rein, dann sind weder Server noch Leitung überlastet sondern der für den Server zuständige Admin ist grob inkompetent und hat was falsch konfiguriert.
Hier jedenfalls wichtig: Ein DDoS-Angriff ist etwas völlig anderes als eine Ransomware. Ransomware heißt, dass jemand auf dem Server Code zur Ausführung bringen konnte. Das ist bei DDoS nicht das Ziel. DDoS versucht das nicht mal zu erreichen.
Es gibt da einige beachtenswerte Details.
Erstens: Die Codequalität und das Design sind auffallend schlecht.
Zweitens: Wenn man einen Bug meldet, mit dem zero-click remote code execution geht, dann stuft das Teams-Team das nicht etwa als critical ein (dafür ist critical gedacht, um genau diesen Fall abzudecken), sondern als … "important, spoofing". Warum "important, spoofing"? Weil das noch in scope ist, um an dem Bug-Bounty-Programm teilzunehmen. Wenn es nicht in scope wäre, wären die Melder juristisch auch nicht an die Teilnahmebedingungen gebunden und könnten direkt 0days an Ransomware-Gangs verkaufen. Das ist also sowas wie der Mittelfinger von Microsoft an die Melder des Bugs.
Drittens:
angular expression filtering can be bypassed by injecting a nullbyte char in unicode \u0000, e.g.{{3*333}\u0000}
Mit dem Nullbyte-Trick haben wir in den 90er Jahren Perl-Webapps aufgemacht. Das ist immer noch ein Problem bei Web-Entwicklern?!Tja und die Remote Code Execution geht dann, weil dieser ranzige Gammelclient in Electron implementiert wurde, das ist im Wesentlichen ein Webbrowser mit Javascript, aber das Javascript hat Zugriff auf Filesystem und Systemresourcen und kann Prozesse starten. WAS FÜR EINE GROSSARTIGE IDEE!! Lasst uns mehr "Anwendungen" mit Electron machen! Wenn es eine Programmierumgebung gibt, in der wir Injection voll im Griff haben, dann ist es ja wohl Javascript!!1! (Danke, Bernd)
Heise hat diesen Sprung gerade bei Schlangenöl vollzogen.
Die Funde bestätigen einmal mehr die von heise Security bereits 2007 in Antiviren-Software als Einfallstor dokumentierte Tatsache, dass eigentlich immer, wenn ein Sicherheitsforscher "auf Antiviren-Software drauf haut", unten kritische Sicherheitslücken herauspurzeln.Seht ihr? Heise ja doch schon immer gesagt, dass Antiviren die Angriffsoberfläche erhöhen!1!!
Das illustrierten Forscher 2014 erneut und es scheint sich nicht grundsätzlich geändert zu haben.Ist ja ein Ding!
Das Grundproblem ist, dass AV-Software unzählig viele Dateiformate analysieren und dazu auspacken muss.Hey, die Argumentation kommt mir irgendwie bekannt vor. Wenn ich mir nur erinnern könnte, wo ich das zuerst gehört habe…
Nun, liebe Heise Security, herzlich willkommen im Club. Freut mich, dass ihr den Sprung geschafft habt!
Ich will nicht unerwähnt lassen, dass ihr die Erkenntnis auch schon deutlich früher hättet haben können. Aber hey. Wichtig ist, was hinten rauskommt.
Jetzt müsst ihr nur noch aufhören, den MS Defender zu loben. Denn auch der funktioniert nicht. Sonst gäbe es keine Ransomware.
Schwere Zeiten für die AV-BrancheDas höre ich gerne, aber an der Stelle sei auch mal gesagt: No thanks to you, Heise! Seit Jahrzehnten schreibt ihr regelmäßig, dass alle sich Schlangenöl installieren sollen. Und jetzt plötzlich:
Sie müssen sich neue Geschäftsfelder und -modelle erarbeiten – und konkurrieren dabei mit innovativen Firmen, die ohne den Klotz "Antivirus" am Bein oft agiler auftreten können.Jetzt ist das plötzlich ein "Klotz"?
Ich meine, versteht mich nicht falsch, ich freue mich ja immer, wenn sich die von mir vertretene Position durchsetzt, aber da hätte ich doch ein bisschen mehr Selbstreflektion erwartet an der Stelle.
Immerhin berichtet ihr ja seit Jahren auch über die nicht abebbende Ransomware-Welle, die ja völlig mysteriös existiert, obwohl alle auf euren Rat Schlangenöl installiert haben. Da hätte man ja schon auf die Idee kommen können, irgendwann auf dem Weg, dass vielleicht die Versprechungen der Schlangenölbranche alle nicht das Papier Wert sind, auf dem ihr die Wieselformulierungen nicht ausgedruckt habt?
Jetzt einfach so zu tun als sei das ja alles eh die ganze Zeit klar gewesen, das finde ich ziemlich unehrlich von euch.
Mich ärgert auch, dass ihr in dem Artikel "der Defender von Microsoft ist gut genug" behauptet. Wenn er das wäre, dann gäbe es keine Ransomware.
Das ist ein Bullshit-Konzept von Großkonzernen wie Microsoft. Die wollen damit sagen, dass Leute, die Bugs in ihren Produkten veröffentlichen, unverantwortlich handeln.
Also eigentlich wollen sie damit sagen: DIE sind Schuld, nicht wir, dass unsere Produkte kacke sind, es jeder weiß, und eure Daten nicht sicher sind, wenn ihr sie uns anvertraut.
Es gibt ein Vorbild für diese PR-Kampagne, und ich hatte sie auch schonmal hier im Blog: Jaywalking. Wurde von den Automobilkonzernen erfunden, um die Schuld an den ganzen toten Kindern im Straßenverkehr von sich weg zu den Opfern zu schieben. Unser Produkt tötet Kinder? Na hätten die sich mal "responsible" verhalten und nicht auf der Straße gespielt!
Und jetzt gibt es Iteration 3 von dem Konzept: "Responsible AI". Unsere KI-Produkte töten Menschen? Das heißt nicht, dass KI grundsätzlich verwerflich ist, nein, nein, das heißt, dass hier KI nicht "responsible" eingesetzt wurde!!1! Das war ein bedauerlicher Einzelfall, vergleichbar etwa mit Nazi-Fanartikeln bei Polizisten. Das ist eine ganz fiese Nummer und ihr solltet euch da nicht verarschen lassen.
Ihr mögt Accenture nicht? Dann guckt bei PwC! Oder bei Microsoft. Oder bei Google. Oder bei Tensorflow. Es sind auch schon ansonsten reputable Forschungseinrichtungen auf den Zug aufgesprungen. Klar, man will nicht das Blut an den Händen haben, aber auf die Forschungsmittel will man auch nicht verzichten. Da muss eine PR-Kampagne her.
Wisst ihr, was mir jetzt noch fehlt?
Responsible Crypto Currency.
Ich bin ehrlich erstaunt, dass die Ethereum Foundation das noch nicht gemacht hat. Die haben ja auch ein fettes PR-Problem. In deren Umfeld suchen Journalisten seit Jahren nach seriösen Marktteilnehmern und finden keine. Die eine Hälfte ist Schall und Rauch-Projekte, groß angekündigt und dann hat man nie wieder was gehört, und der Rest sind Scammer und Ransomware-Erpresser. Regelmäßig verlieren Leute ihre Einlagen wegen eines "Hacks" oder Währungen müssen geforkt werden, weil es da ein bedauerliches anders nicht korrigierbares Sicherheitsproblem gab. Man würde denken, wenn es eine Branche gibt, die mal irgendwas mit responsible braucht, dann wären es die.
Oh, wartet, einen hab ich noch vergessen. Responsible encryption. Das war der Euphemismus für "ihr müsst alle Hintertüren für den Staat einbauen in eure Krypto-Produkte".
Kurz: Wenn irgendwo responsible draufsteht, ist das vergiftet. Einen klareren Indikator für "ist vergiftet" gibt es gar nicht. Das ist jedenfalls nie responsible und schon gar nicht zu eurem Nutzen.
Responsible AI, my ass.
Ich bin mir sicher, wir werden jetzt genau das beobachten, was wir immer beobachten: Lauter Vollidioten in großen Organisationen patchen das nicht, dann installiert sich darüber Ransomware und Geheimdienst-Malware.
Und dann müssen wir uns in der Presse wieder vollsülzen lassen, was für fiese böse gemeine Angreifer es da draußen doch gibt.
Was mich daran am meisten ärgert: Wir sind das Land mit den Winterreifen.
Aktuell ist die Software AG von Ransomware runtergefahren. Und natürlich versuchen die das genau so zu framen wie alle anderen von fieser KI-Malware "Angegriffenen":
Am 3. Oktober sei es zu dem Angriff mit Schadsoftware gekommen, teilte das Unternehmen mit.Aha. Soso. Immerhin ist ihnen klar, dass das ihre Schuld ist, sonst würden sie das nicht im Passiv formulieren sondern im Aktiv. "Verbrecher haben uns angegriffen" oder so. Ja so ist das halt, wenn man die Infrastruktur soweit runterkommen lässt, dass sich an der Wand Schimmel bilden kann. Dann hat man irgendwann Schimmel an der Wand. Ein fieser Schimmelangriff hat bei der Software-AG die ansonsten tadellos gepflegte Wand attackiert!1!!
Oh und als die Angreifer merkten, wie weit bei der Software AG die Tür offen stand, haben sie schnell noch an Daten rausgetragen was sie konnten. Auch merkt man langsam, dass die Lösegeldforderungen sich dem Marktwert anpassen. Jetzt wo die "Angriffe" soweit automatisiert und gestreamlined sind, dass man da nur noch einen Knopf drücken muss und die Daten sprudeln von überall rein. Angeblich wollen die über 20 Mio Dollar haben.
Aber Fefe, wieso kloppst du denn so auf der Software AG herum? Woher weißt du denn, dass die wirklich ihre Infrastruktur herunterkommen ließen? Vielleicht waren die ja unschuldig!!1!
Nun, … Exhibit A: Kurze Durchsage des CTO der Software AG im Jahre 2015:
Dwelling on Security Concerns Can Stifle Innovation, CTO SaysJa aber echt mal! Dieser ganze Security-Scheiß hält doch nur auf bei den ganzen Innovationen, für die die Software AG berühmt ist! All die hochinnovativen Produkte, die die so haben! Ihr wisst schon! Sowas wie… äh… hey was machen die eigentlich? Früher haben die mal eine Datenbank namens Adabas, die dann eines Tages SAP kaufte, um das Überleben der Software zu sichern. Mit der Kohle hat sich die Software AG dann umorientiert und macht jetzt "Enterprise Integration" und "Internet of Things". Genau die Felder, auf denen man Security offensichtlich nicht braucht. Das bremst nur.
Der Lacher ist auch, wieso die überhaupt auf Security kamen in dem Gespräch. Das lag daran, dass die Software AG eine Innovations-Messe (nein, wirklich!) in Las Vegas (nein, wirklich!!) gemacht hat, und da in ihrem PR-Sprechblasenwald Security so häufig vorkam wie im alten Witz, das S in IoT stünde für Security. Daraufhin fragte ein Journalist und der CTO machte dann seinem Ärger Luft. Wenn man immer nur auf Security achten würde, hätten wir weder Autos noch Flugzeuge.
An der Stelle hab ich mich ganz doll fremdgeschämt denn was da aufhielt war Safety nicht Security. Aber hey, wieso würde sich ein CTO mit so Minutiae auskennen. Der ist Manager, der steht über den Details.
Wenn der CTO Security (Sicherheit gegen Angreifer) und Safety (Sicherheit gegen Unfälle) nicht auseinanderhalten kann, dann haben deren Produkte wahrscheinlich weder das eine noch das andere, steht zu befürchten. *grusel*
Update: Die Adabas-Story ist etwas komplexer als ich dachte. Es gibt Adabas und Adabas D. Adabas gehört nach wie vor der Software AG aber ist sogar noch Pre-SQL. Es gibt auch ein Adabas D, das basiert auf einem Zukauf. Das hat SAP gerettet, war mein Stand, aber das war anscheinend auch nur eine Lizenzierung und gehört auch noch der Software AG. SAP hat da offenbar bloß eine sehr weitgehende Lizenz erworben. SAP hat ihre Version MaxDB genannt.
Ich sehe das ja aus Sicht der Softwareentwicklung. Softwareentwicklung ist heutzutage darauf optimiert, möglichst schnell ein möglichst beschissenes Produkt auf den Markt zu rotzen, und dann die Kunden in den Lock-In zu zwingen und ihnen für die "Wartung" über die Jahre die Kohle aus der Tasche zu ziehen. Das Modell, dass man den Leuten ein gutes Produkt verkauft, das keine Wartung braucht, gibt es gar nicht mehr.
In meine Kindheit gab es Computerspiele aber es gab noch kein WWW und die Leute hatten zuhause kein Internet. Die Kunden machten auch keine Accounts auf und registrierten sich nicht beim Hersteller. Es gab schlicht keinen Weg Patches an die Kunden auszurollen.
Heute funktionieren Spiele bei der Auslieferung normalerweise so schlecht bis gar nicht, dass es Multi-Gigabyte-Day-1-Patches gibt.
Damals gab es Marktdruck, funktionierende Produkte zu haben, und im Großen und Ganzen haben die Produkte dann auch funktioniert. DAS GEHT also. Wir haben uns nur als Konsumenten so vollständig verarschen lassen, dass es das heute nicht mehr gibt.
Insofern: Macht ihr mal ruhig alle weiter so. Schließt am besten auch noch ein Abo auf Active Directory ab. Und hey, wenn ihr schon dabei seid, schließt am besten auch gleich ein Abo mit den Ransomware-Leuten ab!
Aber keine Sorge, damit müsst ihr euch nicht auseinandersetzen. Gleich nebenan zündeln sie an einem Buschbrand, der euch davon ablenken wird: den einheitlichen EU-Patenten. Damit wird unsere Industrie endlich so richtig von Erpresserbanden geschröpft, die jetzt keine Ransomware mehr programmieren müssen sondern einfach ein paar Bullshit-Patente vollstrecken. Klar, die Vorversion des Vorstoßes ist vom Verfassungsgericht aus formalen Gründen (!) kassiert worden, und das verstößt gegen gleich drei internationale Abkommen, aber seit wann scheren sich CDU und SPD um die Verfassungsmäßigkeit ihrer Vorhaben, oder gar um internationale Abkommen!
Aber was wenn ihr arbeitslos seid und von Softwarepatenten nicht direkt betroffen wäret (außer dass alles teurer wird)? Nun, keine Sorge, auch dafür ist vorgesorgt: In sozialen Netzen wollen sie jetzt mit KI Antisemitismus "aufdecken". Und die Person muss noch geboren werden, in deren Online-Äußerungen eine freidrehende KI nicht irgendein kodiertes Anzeichen für Antisemitismus finden kann. Dabei ist das die älteste Lektion der Computerei: Man kann soziale Probleme nicht technisch lösen. Das führt nur zu neuen Problemen. In diesem Fall einem tollen Synergieeffekt für den Unterdrückungsstaat: Die Bürger verschwenden ihre Zeit damit, sich gegenseitig zu canceln und haben keine Zeit mehr, dem Staat auf die Finger zu gucken.
Laut Bericht des NRW-Justizministers starb eine Patientin, die wegen des Angriffs auf die Server der Klinik in ein weiter entferntes Krankenhaus nach Wuppertal gebracht werden musste.Das ist zu 100% Verantwortung der Uniklinik. Ransomware müsst ihr euch wie Schimmel an der Wand vorstellen. Wenn im Operationssaal Schimmel an der Wand ist, dann ist nicht der Schimmel der Täter, sondern der Zuständige, der das soweit runterkommen ließ, dass sich da Schimmel bilden konnte.
Grotesk, wie sie das jetzt auf die Ransomware zu schieben versuchen! Und nicht nur auf die Ransomware, auf jeden der nicht bei drei auf den Bäumen ist!
Die Sicherheitslücke, die die Hacker ausnutzten, habe sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware befunden, teilt die Uniklinik mit.Wenn ihr da den Bullshit zur Seite baggert, bleibt als Aussage übrig, dass WIR NICHT SCHULD SIND, denn die Software war MARKTÜBLICH, d.h. die anderen sind alle genau so scheiße aufgestellt wie wir.
Ich weiß ja nicht, wie es euch geht, aber in meiner Welt entschuldigt das gar nichts.
Aber wartet, geht noch weiter.
In dem Zeitfenster, das die Softwarefirma zum Schließen der Lücke benötigte, seien sie Täter in die Systeme eingedrungen.Wenn ihr hier den Bullshit beiseite baggert, bleibt die Lüge übrig, dass der Zulieferer für das Updaten von Software halt Zeit brauchte. Nein, brauchte er nicht. Das kann man alles komplett wegautomatisieren. Seit Jahren. Hätte die Uniklinik machen können, HAT SIE ABER NICHT. Daher: Was sie uns hier eigentlich sagen wollen, ist dass es nicht ihre Schuld ist, sondern der Zulieferer war zu langsam.
Die würden gerade ihre eigene Mutter beschuldigen, wenn es irgendwie ginge, um sich selbst aus der Schusslinie zu bringen. Ich fände es gut, wenn da mal ein paar Leute ihren Job verlieren. Wie wäre es, wenn ihr mal ein paar überflüssige Verwaltungsjobs wegmacht und mit dem Geld euren Keller entschimmelt?
Aber der größte Hammer an der Story ist in meinen Augen das hier:
die Täter hätten nach Kontakt zur Polizei die Erpressung zurückgezogenOh ach so?
Die IT-Experten haben mittlerweile den Zugang zu den Daten wiederherstellen können.Ja, äh, was für eine Ausrede bleibt euch denn dann noch, liebe Uniklinik?!
Könnt ihr mir nochmal erklären, wieso jetzt irgendjemand anderes als ihr für den Tod dieser Patientin die Verantwortung tragt?
Sagt mal, … gibt es da nicht persönliche Haftung für die Vorstände bei solchen Sachen? Mir war irgendwie so.
Update: Ein Vögelchen zwitschert mir gerade, dass das die Citrix-Lücke vom letzten Jahr war, über die die Ransomware reinkam. Ja, Shitrix. Das sollte strafrechtliche Konsequenzen haben, wenn jemandes Krankenhaus über ein halbes Jahr nach Bekanntwerden der Lücke und Verfügbarkeit von Patches über die Lücke angegriffen wird. Ab in den Knast mit den Zuständigen.
Update: Das BSI sagt auch, dass es Shitrix war.
Ein Sprecher der ZAC bestätigte, dass die Hacker eine Sicherheitslücke in einer Software genutzt hätten, die bei vielen Unternehmen genutzt werde. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) handelte es sich um ein Programm der Firma "Citrix". Eine seit Januar bekannte Schwachstelle in VPN-Produkten der Firma werde für Cyber-Angriffe ausgenutzt.
Dann erzählen sie was von Fällen, bei denen Leute gehackt wurden, bevor Citrix Patches fertig hatte. Ich bin ja auch ein Freund davon, Citrix öffentlich mit Scheiße zu bewerfen für ihr Verhalten bei der Lücke, aber in diesem Fall kam die Ransomware offensichtlich deutlich viel später als es Patches gab. MONATE später. Ein fucking halbes Jahr später.
Ja aber Fefe, was wenn die Ransomware-Leute über eine Backdoor reinkamen, die sie sich installiert haben, bevor es einen Patch gab? Mal abgesehen davon, dass da mehr Konjunktiv als in einer CDU-Rede über ihre Visionen für die Zukunft ist: NA DANN HÄTTE MAN VIELLEICHT MAL NACH BACKDOORS GUCKEN MÜSSEN? Wenn man sich nicht sicher ist, vielleicht ein paar zentrale Infrastrukturkomponenten neu aufsetzen? Das ist alles kein Hexenwerk. Aber bei der Methode "Kopf in den Sand" hat man halt unbefriedigende Ergebnisse.
Update: ACH NEE, die Uniklinik hat ein Statement veröffentlicht. Ich fasse mal zusammen: Sie sagen, sie haben alle Patches noch am selben Tag installiert, und das danach von zwei externen Firmen prüfen lassen, ob die Lücke jetzt auch wirklich zu ist.
Dann wundere ich mich über die vorherige Aussage derselben Leute, dass die mit der Wartung beauftragte Firma noch nicht dazu gekommen war, das zu patchen. Was stimmt denn jetzt? War das jetzt gepatcht oder nicht? Und wenn es gepatcht war, wie sind die dann reingekommen?
Lasst mich mal kurz wild spekulieren. Sie haben irgendwelche Workarounds ausgerollt, die nicht gereicht haben (sich später als unzureichend herausstellende Workarounds gab es wirklich und dafür trifft die Schuld zu 100% Citrix). Dann haben sie turnusmäßig einen Pentest machen lassen. Da geht es häufig nicht um Security sondern um Compliance. Der Kunde will im Wesentlichen eine Checkbox vom Pentester angekreuzt haben, dass alles OK ist. Entsprechend gibt es da einige Marktteilnehmer, die dann auch nicht so genau hingucken, denn wenn man was findet, macht das ja dem Kunden bloß Ärger, den keiner gebrauchen kann. Ich spekuliere weiter: Dem Pentester haben sie dann auch nicht gesagt, wonach er gucken soll, und vielleicht sogar noch, dass sie ja bei Citrix den Workaround eingespielt haben. Das hätte bei einigen Pentest-Anbietern gereicht, und schon fällt das hinten runter. Oder so.
Könnte so gewesen sein. Würde die Faktenlage erklären. Und dann könnte den Pentester eine Teilschuld treffen. Insiderinformationen habe ich in dieser Angelegenheit keine, insofern werden wir das wohl nie ausfinden. Wenn es tatsächlich stimmt, dass die noch am selben Tag alle Patches eingespielt haben, dann stellt sich zwar immer noch die Frage, wieso sie keine Backdoors gesucht und gefunden haben, aber dann wäre meinem Gerechtigkeitsgefühl nach Citrix in der Haftung. Wird natürlich alles nie passieren. Weil wir uns alle in einem großen Müllhaufen aus überkomplexen Frickelsystemen bewegen, deren Kontrolle uns längst entglitten ist. Mehr als Best Practices geht da in der Praxis nicht, und wenn die tatsächlich Patches noch am selben Tag einspielen, dann sind sie (so schmerzhaft das ist!) dem Rest der Industrie an der Stelle sogar weit voraus. Übliche Einspiellatenzen sind eher so im Monatsbereich.
Stellt sich raus: Genau so ist es.
Aber kommen wir mal von den billigen FDP-Witzen weg. Ich hab hier gerade eine Cryptowährung, deren Implementation ich angucken soll, Die hat einen distributed ledger, wie das so üblich ist bei Blockchain-Kram, und dann setzt sie auf SGX von Intel und Remote Attestation und Signaturen von sogenannten Validator-Nodes im Netz.
Bei Bitcoin ist das ja so, dass die Existenz der Transaktion im Ledger heißt, dass sie OK ist. In diesem System heißt die Anwesenheit im Ledger eigentlich gar nichts, entscheidend ist die gültige Signatur einer Validator-Node mit Remote Attestation, dass die Software in der SGX-Enklave auch sauber war. Bin ich jetzt kein Freund von. Erstens war SGX die Default-Angriffsoberfläche für praktisch alle Side-Channel-Angriffe nach Spectre. Zweitens holst du dir damit eine weitere Instanz in die TCB, von der im Risikomodell alles abhängt: Intel und ihre SGX- und Attestation-Infrastruktur. Und bei einer Kryptowährung geht es zumindest nominell um große Werte, da willst du niemandem einen finanziellen Anreiz dich zu bescheißen geben.
Aber gut, nehmen wir mal an, SGX sei sauber.
Wenn wir jetzt SGX vertrauen und nicht dem Ledger, wieso haben wir dann überhaupt einen Ledger?
Hab ich die mal gefragt. Antwort war: Na sonst fallen wir unter Finanzsektorregulierung.
Und DAS, meine Damen und Herren, ist die tiefere Wahrheit hinter dem ganzen Blockchain-Bullshit, den man gerade so hört. Das sind alles Tech-Bros, die sich im Keller einen runterholen, weil sie glauben, sie hätten den Regulator weggetrickst.
Was übrigens eine falsche Vermutung ist. Aber das rauhe Erwachen gönne ich den Tech Bros, sollen die mal ruhig selber rausfinden, wie das so ist.
Update: Um Missverständnissen aus dem Weg zu gehen: Ich spreche hier nicht von GNU Taler, das ich mir auch kürzlich angeguckt habe. Taler ist kein Blockchain-basierter Ansatz. Das Taler-Team sind auch keine Tech-Bros, die den Regulator umgehen wollen, sondern deren Ziel ist im Gegenteil, dass empfängerseitig Transparenz herrscht (aber nicht senderseitig!). Ich kann anonym für Dinge bezahlen, aber der Händler muss Steuern zahlen. Taler ist ein Bezahlsystem, keine Kryptowährung. Von den Zielen her ein sehr interessantes Projekt. Mir jedenfalls viel sympathischer als diese libertären Fieberträume der Silicon-Valley-Tech-Bros, die am Ende nur einer Gruppe helfen: Ransomware-Gangs beim einsammeln ihrer erpressten Gelder.
Wer sich jetzt denkt, naja, ist ne Klinik, das sind Ärzte und keine IT-Fachleute! Für den habe ich noch diese Meldung hier. Was macht Equinix? Die betreiben Rechenzentren. Unter anderem die, in denen DE-CIX, ECIX und AMS-IX stehen.
Ja macht ihr mal ruhig alle weiter Windows mit Office und Active Directory. Es schmerzt ja offensichtlich noch nicht genug. Ich habe auch noch von keinem Fall gehört, wo ein betroffener Laden danach nicht wieder Windows mit Office und Active Directory ausgerollt hat.
Bei so großen Firmen kann man immerhin argumentieren, es ist ja nicht ihr Geld, das sie da verbrennen, sondern das ihrer Investoren. Aber kleinere Firmen?
Der Fall hat ein paar Besonderheiten.
Brett Callow, a threat analyst at security firm Emsisoft, said a sample of the file-encrypting malware was uploaded to VirusTotal, a malware analysis service, referencing an internal Honda subdomain, mds.honda.com.Da wäre mein Rechtsempfinden gewesen, dass man diese Art von Ansage über Samples von Virustotal nicht macht. Da müsste es so eine Art ärztliche Schweigepflicht geben. Es ist ja im Interesse aller, dass da weiterhin Samples hochgeladen werden. Der Fluss könnte abbrechen, wenn Firmen befürchten müssen, dann ihre dreckige Wäsche in der Presse ausgerollt zu bekommen.Aber gut, zu dieser Domain …
“The ransomware will only encrypt files on systems capable of resolving this domain but, as the domain does not exist on the clear net, most systems would not be able to resolve it. mds.honda.com may well exist on the internal nameserver used by Honda’s intranet, so this is a fairly solid indicator that Honda was indeed hit by Snake,” said Callow.Das ist vor allem ein Indikator dafür, dass die Malware extra für den Angriff auf Honda customized wurde, und zwar von jemandem mit Insiderwissen über deren Netzwerkstruktur.
Es handelte sich um geheime Daten wie die Specs zu einem Mörserabwehrsystem.
A source with knowledge of the incident told TechCrunch that the defense contractor paid a ransom of about $500,000 shortly after the incident in mid-January, but that the company was not yet fully operational.California-based Communications & Power Industries (CPI) makes components for military devices and equipment, like radar, missile seekers and electronic warfare technology. The company counts the U.S. Department of Defense and its advanced research unit DARPA as customers.
DIE machen Electronic Warfare! Die, die von einer Ransomware monatelang runtergefahren werden.
Den Besitz von Ransomware unter Strafe stellen!
Boah DAS ist ja schlau! Da hätte ich auch selber drauf kommen können!1!!
Ransomware droht dein Business runterzufahren, wenn du nicht zahlst. Die Cloud auch.
Ransomware basiert darauf, dass du deine Daten da nicht ohne Hilfe rausextrahiert kriegst. Die Cloud auch.
Wieso betrachten wir Ransomware als Erpressung aber Microsofts Windows-7-Supportgebühren für Behörden nicht?
Gut, bei der Cloud kriegst du einen Account Manager. Ich hörte aber, bei Ransomware kümmert sich auch ein Account Manager darum, dass du deine Daten entschlüsselt kriegst. Jetzt wo ich drüber nachdenke... Ich habe noch nichts Negatives über den Kundendienst von Ransomware-Anbietern gehört. Im krassen Gegensatz zu allen anderen Teilnehmern der Softwarebranche.
OK, niemand will Ransomware haben. Die müssen ihren Scheiß unter Vortäuschung falscher Tatsachen unterjubeln.
Genau wie die Antivirusindustrie!
Update: Jetzt kommt hier jemand und argumentiert, aber bei Cloud würde der Kunde ja freiwillig mitmachen.
Genau wie bei Ransomware!
Er ist bei Ransomware nur vorher nicht gut darüber informiert, welche Auswirkungen sein Click haben wird.
Hey, genau wie bei Cloud-Anbietern! :-)
Update: Es soll ja Leute geben, die ihre Daten in die Cloud schieben, um sich vor Ransomware zu schützen!
Warum stehen die Schlange? Nun, die Uni Gießen war nach einem Ransomware-Incident offline. Dann sind sie einmal rumgelaufen und haben desinfiziert (mit dem Schlangenöl-Image von der c't und nicht für Rotgrünblinde geeigneten Farbaufklebern zum Markieren der "fertig desinfizierten" PCs).
So und jetzt hat die Uni allen die Account-Passwörter resettet und man muss sich ein neues abholen. Das hat zu obiger Schlangenbildung geführt, weil man dafür persönlich hingehen und seine Identität mit dem Personalausweis o.ä. nachweisen muss.
Wer also bei der Schlange an die Schlange an der Essensausgabe in einem Dickens-Roman dachte, liegt nicht völlig falsch. Auf eine Art stehen hier unterprivilegierte Menschen für Internet an :-)
Update: Wenn ihr euch übrigens fragt, wie es kommen kann, dass eine Uni so runtergefahren wird, dann hat dieser Artikel die Antwort:
Der Präsident nennt es eine "digitale Naturkatastrophe".
Oh, eine Naturkatastrophe! Kommt aus heiterem Himmel und man kann nichts machen? Ja gut, dann ist das auch nicht verwunderlich, wenn die Uni Gießen komplett auf dem falschen Fuß erwischt wird und erstmal eine Woche offline ist.
Ich hätte ja gerne mal Statistiken, wie viele geile Forschungserkenntnisse jetzt fertig geworden sind, wo man endlich ohne Ablenkung und Störungen durcharbeiten kann.
Die Uni Gießen ist übrigens immer noch offline. Am Wochenende wollen die jetzt eine Schlangenöl-Aktion machen.
Das HRZ hat für das kommende Wochenende eine Hotline zur ersten Welle des Viren-Scans eingerichtet.Ist wie bei Kunst. Der Schlüssel ist die willentliche Aussetzung der Ungläubigkeit. Ist ja auch eine Art Performance-Kunst, was die da gerade machen.
Ich hatte mal mit einer Airline eine Diskusszion zu dem Thema. Die sagten, das Entertainment sei hermetisch vom Rest der Elektronik abgenabelt, da könne gar nichts passieren. Ich meinte daraufhin, naja, wenn das Bordentertainment Absturzmeldungen anzeigt, ist das möglicherweise egal, wie abgenabelt das war.
Auf die Idee mit der Ransomware kam ich damals nicht. Das war noch nicht so ein Ding wie heute.
Update: Freut mich, dass da kaum jemand drauf reingefallen ist. Das ist ja leider nicht selbstverständlich, dass die Leute mal zwei Kommentare runterscrollen. Gut, war auch ohne das Original ein ziemlich offensichtlicher Photoshop.
Wer das geglaubt hat, für den habe ich ein paar total sichere Bitcoin-Investments im Angebot!1!! (Danke, Rene)
The researchers found that for care centers that experienced a breach, it took an additional 2.7 minutes for suspected heart attack patients to receive an electrocardiogram.“Breach remediation efforts were associated with deterioration in timeliness of care and patient outcomes,” the authors found. “Remediation activity may introduce changes that delay, complicate or disrupt health IT and patient care processes.”
Das wird jetzt inhaltlich niemanden wirklich überraschen.
Dass Managed Service Providers ein Einfallstor für Hacker sind!1!!
a managed service provider is a company that manages a customer's IT infrastructure using remote administration toolsAch komm, Fefe, damit konnte ja wohl niemand rechnen, dass das ein besonders attraktiver Multiplikator für Ransomware ist!1!!Dass diese Kriminellen aber auch immer so unberechenbar sind!
Komm, da packen wir jetzt noch ein-zwei Lagen Schlangenöl drauf, dann ist das wieder sicher!
An der Stelle sei auch nochmal an diesen und diesen Rant im Blog erinnert, die ich rückblickend nur als prophetisch bezeichnen kann.
Übrigens habe ich gerade ein vergleichbares Problem mit Spotify. Die haben nämlich einfach alle Alternativlos-Folgen in ihr Programm aufgenommen, ohne dass wir ihnen das erlaubt hätten. Und ihr werdet nicht glauben, was die mir jetzt sagen, nachdem ich sie über ihr strafbares Verhalten in Kenntnis gesetzt habe: Sie wollten gerne, dass ich für sie unbezahlt die Arbeit des Ausfüllens eines Webformulars in ihrer Gammel-IT übernehme. Denn, Zitat,
ohne das offizielle Formular können wir den Prozess leider nicht lostreten.Muss man wissen. So eine Straftat geht ja erst dann richtig los, wenn das Opfer noch beim Täter das Webformular ausfüllt. Vorher ist der Täter gar nicht wirklich der Täter.
Ich bin mal gespannt, ob der Richter das auch so sehen wird.
Und insgeheim hoffe ich ja, dass der Richter das auch so sieht. Denn dann fällt Google ja auch nicht mehr unter das Leistungsschutzrecht. Immerhin haben die ein Webformular, das die Verlage noch nicht ausgefüllt haben. Und die ganzen Bittorrent-Raubmordkopierer können auch nicht mehr belangt werden, wenn sie sich bloß irgendwo ein Webformular einrichten. Bei Google Docs zum Beispiel!1!! Full Circle!
Das wäre ein Preis, den ich zu zahlen bereit wäre, um die Urheberrechts-Abmahnindustrie kaputtzumachen.
Das Webformular verlangt übrigens, dass man erstmal den Client installiert. Ja nee, klar.
Ich frage mich ja so ein bisschen, wie entspannt Spotify damit umginge, wenn ich einfach ihren Content irgendwo kommerziell ausschlachten würde, und ihnen dann sagen würde, ich kann den Prozess erst lostreten, wenn sie mein Webformular ausgefüllt haben. Und das Webformular erfordert dann die Installation von einer schönen Ransomware oder so.
Nein, ist es nicht. Eine Malware auf deinem Endpunkt kann alles tun, was du auch tun kannst. Das heißt insbesondere: Daten in der Cloud löschen. Wenn du Geschäftsführer-Credentials hast: Die Cloud löschen. Wenn du Admin-Credentials hast: Die Backups löschen.
Die einzige garantierte Strategie gegen Malware ist, sie sich gar nicht erst einzufangen. Dass heißt in der Praxis: Den Mitarbeitern einen Arbeitsplatz zur Verfügung zu stellen, der gegen sowas nicht so anfällig ist. Das schränkt leider die Flexibilität deutlich ein. Daher werden Firmen in der Regel einen Kompromiss suchen.
Einer der Kompromisse wäre, wie ich glaube ich auch schon mal skizziert habe, eine Append-Only-Datenstruktur. Was man mit Daten tun kann, ist durch die Zugriffs-Möglichkeiten definiert. Wenn man eine Datei hat, kann man da Dinge überschreiben oder anfügen oder die ganze Datei löschen. Wenn man allerdings ein API hat, bei dem man nur Dinge am Ende anfügen kann, und statt löschen geht nur "als veraltet markieren", und die Software beinhaltet ein Rollback-Feature, mit dem man die Änderungen einzeln zurücknehmen kann, dann kann auch eine Malware nichts verschwinden lassen – solange sie an dasselbe API gebunden ist.
Das kann man über eine Cloud implementieren, aber man kann es auch in-house implementieren. Wichtig ist bloß, dass es auf einem separaten Rechner implementiert wird, der sich keine Malware einfangen wird. Das heißt: Der hat keine User-Accounts, bietet sonst keine Dienste an, hat keinen Browser und kein Office drauf und auch sonst keine Anwendungssoftware, und niemand liest auf ihm seine Mail.
Das BSI war da bisher eher zurückhaltend und hat lieber gearbeitet als Terrorpanikmache herumzuschwadronieren, scheint sich aber jetzt unter dem Cyberclown auf BKA-Linie einzuschwingen von der Strategie her.
So erkennen sie Emotet (!) zum "König der Schadsoftware", die "auch in Deutschland besonders aktiv" sei (berufen sich dafür auch noch auf Kaspersky, die Könige der Cyberterrorpanikmache!). Auch Ransomware wird immer mehr und wird uns alle umbringen. Die Lage ist so schlimm, dass
In den Regierungsnetzen würden 61 Prozent der Cyber-Attacken "nur durch Eigenentwicklungen" der Behörde abgewehrt.Ja nee, klar. Ob sie damit sowas hier meinen?
Oh ach ja, unsere Identitäten werden uns auch in nie dagewesenem Umfang gestohlen, und das BSI bringt die Wortschöpfung der "digitalen Hilflosigkeit aufseiten der Anwender" in den Umlauf.
Ich sehe mich da ja eher als Teil der Aufklärung als der Vernebelung und propagiere daher eher den Begriff der selbstverschuldeten Unmündigkeit aufseiten der Anwender.
Nichts davon ist gottgegeben.
Aber wenn ihr alle Windows mit Outlook und Active Directory einsetzt, dann kriegt ihr halt auch alle die typischen Probleme von Windows mit Outlook und Active Directory. Da ist nichts magisch oder überraschend dran.
Wenn ich das BSI wäre, würde ich ja mal die eine Statistik anfertigen, die hier wirklich inhaltlich weiterhilft:
Oh ach, gucke mal, wie überraschend!!1! Also DAMIT konnte ja wohl NIEMAND rechnen! Aber lasst uns mal lieber darüber reden, wie fies, böse und gemein Emotet ist, und nicht darüber, wie fundamental wir unsere Arbeitsplatz nicht gegen Steinschlag abgesichert haben.
Emotet & Co machen klar, dass es jeden treffen wird.Jeden mit Windows und Outlook und Active Directory.
Auf den ISD 2019 saß ich in einer Veranstaltung, wo u.a. ein Heise-Zuständiger erzählt hat von deren Emotet-Problem. Und der meinte dann so: Der Rechner war noch Windows 7. Den hätten wir mal früher auf Windows 10 updaten sollen.
Dass a) Windows 7 noch im Support war und Patches bekam und b) Emotet auch Leute mit Windows 10 betrifft? Schwamm drüber! Da drängt sich mir immer der Eindruck auf, es geht bei so Aktionismus nicht darum, das Problem zu lösen, sondern man muss gesehen worden sein, wie man an einer Lösung gearbeitet hat.
Ich stellte dann noch die ketzerische Publikumsfrage, wieso Heise denn ihre eigenen Tools nicht einsetzt. Da kam dann ausweichendes Gemurmel. War ja auch eine rhetorische Frage.
Ich will hier nicht Heise an den Pranger stellen, das betrifft genau so alle anderen. Wenn ihr alle Windows und Outlook und Active Directory einsetzt, dann werdet ihr auch alle von Problemen von Windows, Outlook und Active Directory betroffen sein.
Ach komm, Fefe, da tun wir drei Schichten Schlangenöl drauf, dann passiert schon nichts!!1!
New hotness: Ransomware auf deiner Digitalkamera verschlüsselt deine Fotos.
Finde ich jetzt nicht weiter überraschend. Die Spezialexperten haben die Software auf so einer Kamera in ähnliche Komplexitätshöhen wie einen PC gehievt. Das ist im Moment ein Proof of Concept, und zwar einer Schlangenölbude. Ich würde mir da noch nicht viel Sorgen machen. Das Archiv mit den Fotos ist ja im Allgemeinen auf dem PC und der Infektionsvektor hier geht vom PC auf die Kamera. Wenn es so weit kommt, habt ihr eh schon Totalschaden.
Ach komm, Fefe, da kaufen wir eine Familienpackung abgelaufenes Schlangenöl, und dann wird das schon!1!! Und wenn wir trotzdem die Daten verlieren, heulen wir rum und stellen Forderungen an die Politik, die damit dann einen tollen Überwachungsstaat installiert!
Ransomware ist kein Hackerangriff und kein Notstand sondern Ergebnis von fahrlässigem Herunterkommenlassen der Infrastruktur.
Das ist wie wenn die die Nationalgarde wegen Schlaglöchern in den Straßen und Schimmelbefall im Keller rufen würden.
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
Die andere Sache, die ihr immer als Lösung verkauft, ist dass die Leute geschult werden müssen, nicht überall drauf zu klicken.
Ich will jetzt hier nicht groß auf Heise draufkloppen, weil das ja anderswo auch so läuft. Aber lasst uns doch mal jetzt endlich eine Sache gemeinsam festhalten. Antiviren helfen nicht. Und "die Leute schulen" hilft auch nicht.
Bei der Gelegenheit sei mal an die Geschichte von "vom Auto überfahren werden ist Schuld des Fußgängers" erinnert, denn ich sehe da Parallelen. Genau wie die Autoindustrie uns eingeredet hat, dass wenn jemand angefahren wird, dann er da wohl nicht hätte sein sollen, genauso redet uns die Softwareindustrie seit Jahren ein, dass Anwender halt nicht auf alles draufklicken sollen. Die aktuelle Inkarnation davon ist, wie man bei Windows 10 und Smartphones "Consent" gewährt, indem die einem kurz (wenn man Glück hat!) eine Liste mit angeforderten Permissions vor der Nase aufpoppen und danach gilt der Anwender als selber schuld.
Ein Browser, bei dem man nicht auf alle Links draufklicken darf, weil einem sonst das System von Ransomware übernommen wird, ist nicht akzeptabel. Eine Arbeitsumgebung, bei dem man keine Dokumente öffnen darf, die einem zugeschickt werden, ist nicht akzeptabel. Das ist der Job von Sachbearbeitern eines Verlages, Dokumente zu öffnen, die ihnen zugeschickt werden. Wir sollten hier uns auch nicht von irgendwelchen Diskussionen ablenken lassen, wie gut oder nicht gut die Malware getarnt war. Eine Arbeitsumgebung, in der man nicht überall draufklicken darf, ist nicht akzeptabel. Nehmt die Hersteller in Haftung.
Und an Heise: Haben eure Sachbearbeiter etwa Admin-Privilegien unter Windows?!
Diese haben dann recht schnell alle Windows-10-Arbeitsplätze im Netz infiziert, an denen die Benutzer lokale Admin-Rechte hatten. Das war eigentlich bereits per Policy untersagt. Allerdings gab es einige Ausnahmen, etwa auf einigen gerade eingerichteten Rechnern für eine interne Schulung, deren Software lokale Adminrechte erforderte.Ja nee, klar, da macht man dann halt ne Ausnahme. Wenn die Gammelsoftware von 1995 Admin-Rechte haben will. *stöhn*
Jetzt gab es mal wieder Notfall-Patches für RDP, und zwar Notfall-Patches auch für eigentlich aus dem Support rausgefallene Plattformen wie XP. Der Bug ist wohl Pre-Auth, d.h. daraus könnte man einen schönen Wurm bauen.
Ich lehne mich mal ein bisschen aus dem Fenster und sage eine Ransomware-Welle an, die diese Lücke nutzt, weil die Firmen alle zu blöde sind, existierende Patches auszurollen. Irgendein inkompetenter, selbsternannter Pseudo-Security-Fuzzy steht da immer im Weg. Und wird noch bezahlt für seine Sabotage! Von der geschädigten Firma selbst!
Ich stell mir das ja immer vor wie Steve Jobs mit seinem Krebsleiden auf dem Weg zum Quacksalber.
Insofern ärgere ich mich auch nicht mehr über solche Ransomware-Wellen. Das ist schlicht Darwin bei der Arbeit. Firmen, die solche Leute in den Weg gestellt haben, die haben die Konsequenzen nicht nur verdient, sie brauchen sie. Ohne negatives Feedback lernt der Mensch nicht.
On the data website, the hackers included an email address to contact them. That email is also the contact address for at least one previous ransomware campaign.Jetzt stellt sich natürlich die Frage, ob die da auch über Ransomware reingekommen sind, oder ob das ein "richtiger" Angriff war.
Das heißt natürlich: Nicht wegen der Ransomware, sondern wegen der himmelschreienden Inkompetenz der Betreiber, die es zuließen, dass ihre Infrastruktur von Ransomware runtergefahren werden konnte.
Nach dem Datenleak bringt Barley eine Musterklage gegen Twitter, Facebook und Co ins Gespräch. Ein anderer Vorschlag ist die Verbesserung der IT-Sicherheit.Also ich fände das ja einen guten Schritt, wenn wir für Software mal ähnliche Regeln wie für Hardware einführen. Wenn Hardware in deinem Gesicht explodiert, dann muss der Hersteller zahlen. Wenn Software alle deine Daten löscht und Ransomware reinlässt, dann kriegst du höchstens ein paar Mitleidssimulations-Textbausteine und wenn es hoch kommt ein paar vage Heilsversprechungen bezüglich zukünftiger Nachbesserungen. Es wird höchste Zeit, dass sich das mal ändert.
Im Moment hat niemand einen Anreiz, seine Software so zu schreiben, dass sie wartbar ist oder auch nur deterministisches Verhalten an den Tag legt.
Was wir sehen ist die logische Fortführung von "Time to Market" als einzigem verbleibendem Erfolgsfaktor: Pfusch, wo du hinguckst.
Auf der anderen Seite hätte ich dann gerne auch den Staat in der Haftung. Wenn das Bürgeramt meine persönlichen Daten weiterverhökert, dann will ich dafür auch jemanden persönlich in der Haftung sehen.
Datensparsamkeit ist geil! Wann wolltet ihr damit anfangen?
„Das sind Fälle, bei denen sind hundert Prozent der Server und Computer des Netzwerks ausgefallen“, sagte ein BSI-Sprecher.Ja das ist wie bei Ericsson. So ein Ausfall passiert halt. Da ist niemand Schuld dran, nein, nein! Das ist wie schlecht Wetter, müsst ihr wissen! Das passiert, und dann ist niemand Schuld, und da muss man dann halt durch. Wir schaffen das!!1!
Aber nun wollen wir mal die Kirche im Dorf lassen. Nur weil unsere Profitmaximierung zu euren Lasten geht, heißt das ja nicht, dass unser Geschäftsmodel verwerflich ist! Nein, nein! Ihr könnt euch doch Schlangenöl installieren!11!
Für einen solchen Angriff müssen die Kriminellen allerdings erst die Schutzmaßnahmen des Seitenbetreibers umgehen und auf dem Rechner des Opfers muss es eine noch nicht behobene Sicherheitslücke geben, über die sich die Schadsoftware unbemerkt einnisten kann. Bekannte Varianten solcher Angriffe werden von Antivirensoftware allerdings entdeckt und blockiert.Wow. Fast jedes Wort in diesem Statement ist eine dreiste Lüge.
Schutzmaßnahmen?! Des Seitenbetreibers!? Die meisten Werbenetzwerke sind eigenständige, externe Firmen, mit denen der Browser dann direkt interagiert. Der Seitenbetreiber kann gar keine wirksamen Schutzmaßnahmen haben in so einer Konstellation.
Gelegentlich kann man Sicherheitslücken gar nicht beheben, weil der Hersteller der Software sich schlicht weigert, den Bug als Sicherheitsproblem anzuerkennen, oder weil die Lücke noch gar nicht bekannt ist, oder weil das Update sich wegen eines Konflikts mit dem Schlangenöl nicht installieren ließ. Oder weil der User in einer Firma arbeitet, die seine Updates für ihn managed, und damit im Verzug ist. Wieso ist jetzt plötzlich das Opfer Schuld, wenn ich mal fragen darf? Der Angriff geht von euch aus! Wieso heißt ihr eigentlich Spiegel? Weil sich das als Oberfläche so gut zum Koksen eignet?
Schadsoftware ist auch nicht nur gefährlich, wenn sie unbemerkt ist. Ransomware ist sehr gut zu bemerken. Nachdem sie die Daten verschlüsselt hat.
Und dass Antivirensoftware alle bekannten Varianten erkennt, ist auch eine offensichtliche Lüge.
Für eine Publikation, die vorgeblich der Wahrheitsfindung dient, und für die Aufklärung der mündigen Bürger arbeitet, ist das eine ganz schöne Häufung an alternativen Fakten.
Das waren bestimmt die Russen!1!!
Update: Ich lass das hier mal so stehen.
Update: Oh das wird ja noch besser! Stellt sich raus, dass Die Spiegel-Online-Anleitung zum Adblocker-Ausschalten diesen Passus enthält:
Haben Sie ein Anti-Virusprogramm installiert? Auch diese Programme können wie ein Adblocker funktionieren. Bitte prüfen Sie in den Einstellungen, ob Ihr Programm Werbeanzeigen blockiert, und erstellen Sie eine Ausnahmeregel für SPIEGEL ONLINE.
Geil! Also das Schlangenöl, das euch vor unserer Malware schützen soll, das schaltet bitte auch ab. (Danke, Jens)
Keynotes sind ja eher nicht so mein Gebiet, ich mache lieber Technik oder Entertainment. Keynotes sind überhaupt eine sehr merkwürdige Art des Vortrags. Ich habe mir mal gezielt ein paar Keynotes angeguckt, um zu sehen, was da von mir erwartet wird, und das ist ein ganz eigenes Genre.
Ca ein Viertel sind so "I have a dream"-Visionen, auch partiell "We shall overcome" (hier ist ein Problem, aber wir schaffen das!1!!), die Hälfte sind so Marketing-Blablah-Geschichten und Selbstbeweihräucherung der Branche, und ein Viertel sind so "wir werden alle störben"-Doomsday-Warnungen.
Das ist alles nicht so mein Metier. Ich bin eher ein Freund von Gedankengängen mit Erkenntnisgewinn am Ende.
Wenn man sich populäre TED-Talks anguckt, dann sind die Gedankengänge von der Komplexität her immer auffällig auf Ernie-und-Bert-Niveau. Ich glaube, dass das System hat. Der Zuschauer wird nicht überfordert und kann sich bestätigen, dass er zu den oberen 50% gehört, weil er das alles schon vorher wusste. Ich habe beobachtet, dass auch immer die Vortragenden am populärsten sind, die non-threatening sind, und zwar im körperlichen wie auch im übertragenen Sinn. Wo man keine Angst haben muss, dass er Chef das sieht und sich denkt: Ich feuer meine Leute und stell lieber den ein.
Ach naja. Ich mach mir da immer viel zu viel Sorgen. Publikumsbeschimpfung geht immer. :-)
Update: Die Veranstaltung stellt sich gerade als im Wesentlichen eine Schlangenöl-Verkaufsevent heraus. Ich bin ja immer wieder fasziniert, wie die Leute "Ransomware zieht dir Geld aus der Tasche" klar unmoralisch finden, aber "Schlangenölbranche zieht dir Geld aus der Tasche" ist halt Kapitalismus.
Ein mir neuer Aspekt, der mich gerade echt flasht, ist dass die Sales-Drohnen jetzt ernsthaft mit folgender Argumentation rumlaufen: Durch die EU-Datenschutzverordnung drohen ja Strafen bis zu 4% des Jahresumsatzes. Also werden bestimmt auch die Malware-Leute anfangen, ihre Schutzgelder entsprechend hochzudrehen. Also sollten Sie das als drohenden Schaden sehen. Also müssen Sie jetzt auch soviel (oder zumindest "entsprechend mehr" Geld für unser Schlangenöl ausgeben.
Wie geil ist DAS denn?!
Update: Oh und meine Keynote lief glaube ich ganz gut. Falls jemand wissen will, worum es ging: Ich erkläre, was Externalisierung von Kosten ist (Umweltverschmutzung, Atommüll, Bankenskandal), dass das gemeinhin als unmoralisch und verwerflich gesehen wird, und stelle dann die These in den Raum, dass das Verbreiten von schlechter Software auch Externalisierung von Kosten ist. Dann erkläre ich, wie Security-Bugs auch Bugs sind, und erzähle die Anekdote, wie ich herausfand, dass Format String Bugs gefährlich sind, und in Panik meine Quellen durchging, ob ich das auch mal falsch gemacht habe. Hatte ich nicht. Weil das vor Bekanntwerden der Security-Implikationen auch schon ein Bug ist, und ich meinen Code sorgfältig geschrieben hatte. Security-Probleme sind also Pfusch, schlussfolgere ich an der Stelle.
Dann geht es mir um die Frage, wieso wir Pfusch dulden, und beobachte, dass das immer ökonomische Argumente sind. Als letzten Teil versuche ich, das ökonomische Argument für Pfusch zu demolieren. Erstens ist der Vergleich einer billigen Pfusch-Lösung mit einer ordentlichen, sicheren Lösung unlauter, weil nur die eine die Anforderungen erfüllt. Zweitens, so habe ich bisher beobachtet, kostet das gar nicht mehr, etwas ordentlich zu machen, weil einem das noch vor Produktlaunch auf die Füße fällt, wenn man bei auch nur einem der Module gepfuscht hat. Da würde ich echt gerne mal ein paar wissenschaftliche Untersuchungen zu sehen, inwieweit man das nachmessen kann. Vielleicht irre ich ja.
Update: Jahresumsatz, nicht -profit. Mach ich jedesmal falsch, weil es so ungeheuerlich ist :-)
New hotness: Peak Milka! Da steht eine ganze Schokoladenfabrik seit der Petya-Ransomware still, die sonst pro Tag bis zu 4,5 Millionen Tafeln produziert hätte.
Update: Offizieller Tweet.
Update: Die Zentralbank der Ukraine und Rosneft sind gecybert worden. (Danke, Kristian)
In diesem Sinne: Viel Spaß beim Hören!
Apple ist im Vergleich zu Microsoft aus meiner Sicht deutlich schlimmer (allerdings ist das Beobachtung von außen, nicht von innen). Dass Apple-User nicht alle drei Sekunden von Ransomware ausgenommen werden, liegt eher daran, dass der Marktanteil zu insignifikant ist. Und dass die Kriminellen ihnen nicht zutrauen, Bitcoins zu überweisen :-)
The second argument to InternetOpenA is 1 (INTERNET_OPEN_TYPE_DIRECT), so the worm will still work on any system that requires a proxy to access the Internet, which is the case on the majority of corporate networks.Einmal mit Profis arbeiten! Zu blöde zum Killswitch-Programmieren!1!!
Und die Punchline:
Security experts say the tool exploited a vulnerability that was discovered and developed by the National Security Agency of the United States.Voll die Security, die diese Agency schafft, wa?Und die Krankenhäuser sind nicht alles:
Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.Apropos Ransomware: Screenshot aus der S-Bahn Frankfurt.
Mir wird ja immer ganz schlecht, wenn ich mir vorstelle, wieviele Milliarden sinnlos als Lizenzgebühren für Windows auf solchen Info-Bildschirme ausgegeben wird.
Update: Ihr werdet jetzt sicher genau so schockiert sein wie ich, dass Virustotal eine 0% Erkennungsrate ausweist. Wie jetzt, Schlangenöl hilft nicht?! Fürs Archiv: Virustotal-Screenshot. Und wenn die AV-Hersteller wieder was von Behavior-Voodoo und Cloud-Magie erzählen, zeigt ihnen dieses Foto von einem Lab in einer Uni, bei der die Rechner der Reihe nach umkippen. Hier ist ein relativ apokalyptischer Feed. In Russland sind u.a. ne dicke Telco und das Innenministerium betroffen. Ja, äh, Leute, habt ihr alle noch nie von Patchen gehört!?
Hier gibt es übrigens Full Spectrum Cyber Pew Pew, falls ihr auf Wargames steht. Also den 80ies-Film jetzt.
Update: Bei diesem Dropper sehen die Erkennungsraten inzwischen schon besser aus, 32 von 62.
Update: Wer sein Full Spectrum Cyber auf wannacrypt eingeschränkt haben will: Übersicht.
Update: #ThanksObama!
Update: OH:
I can confirm FedEx was hit at an enterprise level. All computers to be shut down until Monday.
Ich bin mir fast sicher, dass Deutschland flächendeckend betroffen ist, aber alle schon im Wochenende waren, als die Fäkalien den Deckenventilator trafen.
Update: Diese Ransomware verbreitet sich im Intranet übrigens über die SMB-Lücke fort, die ich in den IoT-Folien als Belege dafür zitiert habe, dass die etablierten Sicherheitsexperten auch nicht wissen, wie man sichere Software schreibt. Das ist jetzt der 10. oder so Fall seit Anfang der Heise-Tour, dass eine Meldung kommt, die mir gerade zu 100% in die Argumentation passt. Ich fürchte mich gerade davor, da mein Karma auf Jahre hinaus verbraucht zu haben. Da muss ich dann wohl bald mal wieder einen Perl- oder PHP-Audit machen, um wieder Karma aufzubauen.
Update: Wannacrypt hatte einen DNS-basierten Kill-Switch drin. Der hat eine bestimmte Domain aufgelöst, und wenn die da ist, dann verbreitet er sich nicht weiter. Ein Typ hat das gesehen und die Domain registriert und da schlugen sofort tausende von Zugriffen auf.
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Update: Das Hotel dementiert.
Update: Ausgesperrt, nicht eingeschlossen. Der ORF berichtet auch.
City officials said ransomware left police cameras unable to record between Jan. 12 and Jan. 15. The cyberattack affected 123 of 187 network video recorders in a closed-circuit TV system for public spaces across the city, the officials said late Friday.Update: Hey, das eignet sich doch eigentlich auch super als Ausrede, wieso die Beweise gerade futsch sind. Wenn das der Verfassungsschutz hört, dann müssen die gar nicht mehr manuell schreddern!
Ich fand das bisher nicht berichtenswert, denn wer seine Datenbank ohne Passwort ans Internet hängt, der braucht ärztliche Betreuung und nicht meine Häme.
Aber es stellt sich raus, dass das Problem bereits 68% der öffentlichen MongoDBs betrifft.
Nun kann man sagen: You had me at "public mongodb instances". Aber Scheiße Bernd, 68% ransomwared?! Holla.
Hatten wir da nicht gerade noch Witze drüber auf den 33c3 Security Nightmares? :-)
Jetzt kann doch jemand mit Gewinnerzielungsabsicht urheberrechtsverletzende Werbung schalten und dann die Webseiten in Anspruch nehmen!
Oder übersehe ich da was?
Und wenn Webseiten für Urheberrechtsverletzungen bei Dritten haften, dann doch sicher auch für Malware! Wir können also endlich die Verlage für die Malware in Anspruch nehmen, die über deren Werbenetzwerke verbreitet wird!
Vielleicht wird Ransomware damit zu einer Art Geschäftsmodell, aber nicht nur für den Erpresser sondern auch für den Erpressten. Der kann sich ja die Kohle von dem Verlag zurückholen, der ihm die Malware-Werbung eingeblendet hat!
Oder übersehe ich da was?
Lohnt es sich ab heute, auf so viele schmierige Internetbanner wie möglich zu klicken?
Update: Ist das eigentlich transitiv? Wenn das über eine Kette von Werbenetzwerken geht, kann ich die dann alle der Reihe nach in Anspruch nehmen?
Update: Ein Einsender schlägt vor, die Leistungsschutzrecht-Verfechter zu priorisieren.
Update: So langsam muss mal offen die Frage stellen, ob sich eigentlich mehr Leute über Ransomware oder über Windows 10 ärgern.
Schlimmer: Beim Aufräumen finden sie auf ihrem Server eine Hintertür.
Einmal mit Profis arbeiten!
Klarer Fall von: "Wenn Sie wieder Zugriff auf die Brennstäbe haben wollen, zahlen Sie 2 Bitcoin an …"
Das kann sicher nicht schaden, wenn mal jemand die Autobranche zu ordentlicher Softwarequalität zwingt, und von mir aus kann das auch gerne das BSI sein. Aber … wo ist denn da das Geschäftsmodell? Ich vermute eher Auto-Ransomware als Trend für die Zukunft. Das Auto fährt erst weiter, wenn der Fahrer ein paar Bitcoins überweist.
Na bei der BBC und der New York Times, wenn sie keine Adblocker aktiv hatten!
Update: Eine Sache möchte ich mal ganz klar und direkt ansagen bei der Gelegenheit. Die Verlage stellen es bei solchen Gelegenheiten gerne so dar, als seien sie hier die Opfer, die von marodierenden Malware-Verbreitern gehackt oder missbraucht wurden.
Nein, sind sie nicht.
Die Verlage sind die Täter.
Die Verlage haben eine Infrastruktur geschaffen, über die fremder Leute Content eingeblendet wird. Diese Infrastruktur funktioniert jetzt gerade genau so, wie sie gedacht und ausgelegt worden ist. Lasst die nicht mit ihrem Opfergehabe davon kommen! Zeitungen haften selbstverständlich für den Inhalt ihrer Printausgaben. Genau so selbstverständlich müssen wir sie auch für die Inhalte ihrer Digitalausgaben in Haftung nehmen. Das geht ja mal gar nicht, dass die bei Werbung den Profit einsacken aber bei der Haftung dann die Schultern zucken!
Das sind Verlage, keine Banken!1!!
Aber hey, des einen Problem ist des anderen PR-Gelegenheit: Putin versorgt von der Krim aus ein kleines Städtchen in der Ukraine mit Gas.