Hadmut Danisch

Ansichten eines Informatikers

Bricht die IT-Sicherheit gerade global zusammen?

Hadmut
22.7.2011 12:24

Ist Euch mal aufgefallen, daß es in letzter Zeit eine auffällige Häufung von Berichten über Einbrüchen in Webserver und Datenbanken gab? Rewe, Penny, Bundestag, The Sun, der Hack der Zollfahndung, dem Pentagon sind kürzlich 24.000 Dokumente ausspioniert worden, und jetzt will Anonymous die Nato ausgeplündert haben. Ein Leser fragt mich nun deshalb, ob diese Häufung – wie der Lockheed-Martin-Hack – auf den Diebstahl der Seeds zu den RSA-Tokens zurückzuführen wäre.

Aufgefallen ist diese Häufung vielen. Auch Bruce Schneier schrieb gestern was dazu, mit Verweis auf diese Diskussion hier mit weiteren „Expertenmeinungen”. Es wird da auch die Ansicht vertreten, daß es sich verhalte wie mit den Hai-Attacken: Sie kämen nicht häufiger vor, es würde nur häufiger darüber berichtet. Nichts davon wäre neu, interessant oder für Sicherheitsfachleute relevant.

Diese Auffassung halte ich für grundlegend falsch und arrogant – schlimmer noch, ich halte sie für akademisch. Denn Angriffe haben ja (anders als man an manchen Universitäten glaubt) nicht den Zweck und die Relevanzhürde, den Geist des Sicherheitswissenschaftlers kitzeln zu müssen, um beachtet zu werden. Im Gegenteil sind sogar stinklangweilige und altbekannte Angriffe eine umso größere Gefahr, je alltäglicher sie werden. Kein Ruhmesblatt für Bruce Schneier. Sicherheit hat nämlich nicht nur was mit technologischen Herausforderungen, sondern auch mit schnöder Betriebswirtschaft zu tun, und dazu gehören eben auch die seichten Massenangriffe, und zwar sogar dann, wenn sie objektiv nicht zugenommen haben, sondern nur in der Presse aufgebauscht werden, weil auch das sich letztlich betriebswirtschaftlich ausprägt. Ein Feuerwehrmann kann das Haus auch nicht deshalb abbrennen lassen, weil er das Löschen dieses Hauses für altbekannt und keine Herausforderung hält, oder die Brände in den letzten Jahren nicht zugenommen haben.

Der Gedanke drängt sich freilich auf, daß das mit dem RSA-Hack zu tun hat, die zeitliche Korrelation ist ja verblüffend.

Ich weiß es zwar nicht, aber ich glaube auch nicht, daß das alles mit dem RSA-Hack zu tun hat (siehe zum RSA-Hack auch meine Postings vom 28.5. und vom 7.6.). Eine Korrelation ist noch keine Kausalität. Ich glaube, die Kausalität liegt eher umgekehrt, daß der RSA-Hack nur ein Symptom der gestiegenen (und erfolgreicher und professioneller gewordenen) Angriffe ist.

Hinter den diversen Angriffen stehen ganz unterschiedliche Akteure und Interessen. Und ich glaube weder, daß der, der die RSA-Seeds hat, sie mit verschiedenen Gruppen teilt, noch glaube ich, daß RSA Tokens in so großem Umfang und in einer solchen Weise eingesetzt werden, daß eine Kompromittierung solche Auswirkungen hätte. Ich sehe die Ursachen woanders.

Einen Teil dieser Ursachen habe ich kürzlich schon in meiner Kritik zum Cyberabwehr-Zentrum der Bundesregierung beschrieben (siehe auch den darauf aufbauenden Artikel im Heise Newsticker). Wir sind in der Sackgasse. Jahrelang, nein, jahrzehntelang, haben wir als Gesellschaft, als Industriestaat, die Entwicklung der IT-Sicherheit schleifen lassen, uns auf Voodoo und Notpflaster wie Viren-Scanner verlassen. Über zehn Jahre lang war das wesentliche Universalrezept der IT-Sicherheit, aktuelle Virenscanner installiert zu haben. Viren-Scanner haben die Sicherheit noch nie nennenswert verbessert. Sie waren schon immer nur ein Merkmal fehlender Sicherheit. Ein sicheres System erhält man nicht durch Viren-Scanner. Ein sicheres System braucht keine Viren-Scanner. Viren-Scanner zeigen, daß generell etwas faul ist.

Haben wir sonst noch etwas gemacht? Ich meine, so im Großen und Ganzen und allgemein? Nein, eigentlich nicht. Oder nicht viel. Ganz viele Firewalls haben wir aufgestellt. Deren Wirkung mit dem Anstieg der Komplexität des Netzverkehrs immer mehr nachläßt, und die vor den Angriffen der letzten Zeit offenbar nicht geschützt haben.

Ich stelle mal eine ganz einfache Frage:

Wer kennt eine normale Firma, in der man Kryptographie so richtig umfassend und flächendeckend für alle Anwendungen – E-Mail, Web-Zugriffe, Plattenverschlüsselung, Dokumentverschlüsselung, Signaturen – eingeführt und durchgesetzt hat und es von allen zu benutzen ist?

Ich kenne keine.

Das meiste Krypto-Zeugs ist so kompliziert, umständlich, fehlerhaft, unverständlich, kontraintuitiv, laienuntauglich, daß man es nicht in der Breite und mit Nicht-Fachleuten einsetzen kann. (In meinem letzten Job hatte ich mal eine Zeit lang PGP für Windows im Einsatz. Das war so schrecklich, daß selbst ich als Fachmann das Ding nicht so konfigurieren konnte, daß es stabil und fehlerfrei läuft. Irgendwann habe ich es entnervt wieder rausgeworfen – und alle Kollegen, die es jemals probiert haben (und das waren eh nur die, die sich mit sowas auskennen) haben mir das gleiche gesagt. Wie sollte man sowas aber einer Sekretärin, einen Gechäftsführer, einem Buchhalter hinstellen? Viel zu kompliziert. Letztlich habe ich keine brauchbare Lösung für Windows gefunden. Zwar kenne ich unter Linux gute Lösungen wie enigmail, dafür ist dann Linux wieder so, daß ich es der Sekretärin nicht hinstellen kann.)

Ich kenne eine Firma, in der sind E-Mail-Verschlüsselung und -Signatur hoffnungslos schon daran gescheitert, da die Rechtsabteilung und das deutsche Recht wollten, daß der Mailserver unter jede Mail die juristischen Angaben zur Firma usw. klatscht, damit man keine Abmahnungen bekommt. Dummerweise konnte man aus Gründen der Inkompatibilität nicht den neuesten Microsoft-Exchange-Server einsetzen, sondern nur eine ältere Version. Und die hat mit dem Anfügen des Footers mit den juristischen Angaben zu Rechtsform, Vorstand usw. knallhart jede Signatur kaputtgemacht und Verschlüsselungen gestört.

Habt Ihr mal eine X.509-Infrastruktur aufgebaut? Ich meine so richtig? So mit allem drum und dran und den richtigen Extensions? Ja? Glückwunsch! Das geht nämlich eigentlich gar nicht. Die Applikationen und Appliances sind inkompatibel miteinander, und man ist viel zu lange damit beschäftigt, die Zertifikate mit allen testen zu können. Auf der einen Seite soll der Schlüssel mindestens soundsoviel Bits haben, wie die diversen Agenturen wie das BSI empfehlen, auf der anderen Seite können viele Geräte so lange Schlüssel nicht verarbeiten. Man kann sich nicht mal für eine einheitliche Schlüssellänge entscheiden, weil es keine gibt, die überall paßt und akzeptiert wird.

Immer mehr Webseiten beruhen auf PHP und Content-Management-Systemen wie Typo3, WordPress und so weiter, und immer mehr und immer wichtigere Daten werden über Webserver verarbeitet. Manche Software ist aber von lausiger Qualität, ein von vielen Köchen verdorbener Brei. Auch bei kommerziellen Anwendungen sieht es nicht besser aus. Geiz ist geil und Outsourcing ist Stand der Betriebswirtschaft. Die wenigsten Programmierer haben aber genug Kenntnisse und Fähigkeiten um Webapplikationen sicher zu programmieren – und wenn sie sie hätten, würde das auch nichts bringen, weil Webapplikationen unter solchem Kosten- und Zeitdruck entwickelt, daß dafür kein Raum bleibt. Und selbst wenn da gute Arbeit geleistet würde – die Outsourcing- und Zeitarbeitsmentalität läßt keine geeignete Wartung zu. Aber selbst wenn auch die Wartung stimmte – wer will denn ein so hochkomplexes System, wie es ein Webserver mit allen Komponenten heute darstellt, wirklich noch überschauen und in jeder Hinsicht im Griff haben? Und bei anderen Applikationen sieht es auch nicht besser aus.

Könnt Ihr Euch noch an den Bug in der Personalausweis-Software erinnern? Wieviele Standardbibliotheksfunktionen in wievielen Programmiersprachen kennt Ihr, mit denen man sich sicher und zuverlässig etwas von einem HTTPS-Server holen kann, ohne dabei Fachwissen haben und einen Teil der Funktionen selbst programmieren zu müssen? Zeigt mir mal eine richtig gute, robuste, einfach zu verwendende und wohldokumentierte Programmbibliothek für SSL und X.509-Zertifikate. OpenSSL gehört jedenfalls nicht dazu. Sonst noch Vorschläge?

Moderne Prozessoren haben einiges an Erweiterungen, was sich zur Verbesserung der Sicherheit nutzen läßt. Etwa daß Daten auf dem Stack nicht als Programm ausgeführt werden können. Oder die Virtualisierungsfunktionen. Aber die Detailfunktionen wie überlauf- und fehlergesicherte Zahlen- und Speicherarithmetiken fehlen. Und daran knüpft die meistverwendete Sprache C an, die hat dagegen nämlich auch keinen Schutz.

Ich glaube, daß die Vielzahl der Angriffe ihre Ursache darin hat, daß die Komplexität – und damit die Fehlerdichte – inzwischen einen Schwellwert überschritten hat. Ab einem gewissen Grad liegen die quantitativen und qualitativen Anforderungen so hoch über dem, was mit derzeitiger Technologie und Administrationsleistung unter Kontrolle zu halten ist, daß das irgendwann mal zugunsten der Angreifer umkippt. Und wenn die Angreifer das merken, Erfolg wittern und systematisch angreifen, wenn sich die Szene vom romantischen Hacker weg zum organisiert Kriminellen bewegt und professionalisiert, oder der „Cyberkrieg” zum politischen Mittel wird, dann schnappt das erst recht um.

Man könnte das alles in den Griff kriegen. Indem man die Prozessoren modifiziert, bessere Programmiersprachen entwickelt, vernünftige Bibliotheken entwickelt, modernere Betriebssysteme. Oder kurz gesagt: Alles wegwerfen und neu schreiben. Drunter wird’s nicht gehen. Aber es wird Jahre dauern – und die Frage aufwerfen, wer das eigentlich tun soll und kann.

Und ich bin mir ziemlich sicher, daß bis dahin – in nächster Zeit – die Zahl der (erfolgreichen) Angriffe und der Schlagzeilen noch deutlich hochgehen wird. Und das wird der Informationstechnik (und deren Akzeptanz) insgesamt noch einige Probleme bereiten.

35 Kommentare (RSS-Feed)

pepe
22.7.2011 13:11
Kommentarlink

> Ein Feuerwehrmann kann das Haus auch nicht deshalb abbrennen lassen,
> weil er das Löschen dieses Hauses für altbekannt und keine
> Herausforderung hält, oder die Brände in den letzten Jahren nicht
> zugenommen haben.

Natuerlich ist es gang und gebe dass gewisse Feuerwehrmaenner nicht zu “langweiligen” Einsaetzen kommen, weil ihre Fachkenntnis dort nicht benoetigt wird. Analog braucht man fuer eine SQL-Injection nicht die Forscher ansprechen sondern eben die Systemintegratoren. Falls es die ueberhaupt gibt.

Unter Forschern ist auch hinlaenglich bekannt, dass X509 fuer die Tonne ist. Schau mal auf der Website von Peter Gutmann. Das hindert die Industrie aber nicht daran diese Systeme zu implementieren. Bei dem ganzen Web20 geraffel hat sowieso niemals irgendjemand ueber ein Design nachgedacht. Es ist ja gerade die Definition dieser Dienste, dass da niemand an irgendeiner Stelle nachdenken oder verstehen musste. Und genau so laeuft es dann auch.


anonym
22.7.2011 13:24
Kommentarlink

“Zwar kenne ich unter Linux gute Lösungen wie enigmail,”

Das gibt es auch für Windows. https://addons.mozilla.org/en-US/thunderbird/downloads/file/124321/enigmail-1.2-sm-windows.xpi?type=application/octet-stream


Hadmut
22.7.2011 13:38
Kommentarlink

@anonym: Nutzt aber nichts, weil die Leute in der Firma ja Outlook nutzen mußten.


Subito
22.7.2011 13:42
Kommentarlink

Genau darueber habe ich vor Kurzen auch nachgedacht und bin zu einem aehnlichen Schluss gekommen. Mein Anlass war, dass ich versucht habe, eine sichere PHP-Anwendung zu schreiben und auf SO viele Luecken. Unwegbarkeiten und Unmoeglichkeiten gestossen bin, dass ich die Haende ueber dem Kopf zusammengeschlagen habe.

Nun ist PHP ein besonders “leichtes” Beispiel, aber selbiges gilt fuer diverse andere Sprachen.

Gegen Viren, Trojaner etc bin ich immer mit gesundem Menschenverstand vorgegangen. Wissen wo man hinsurft, wissen worauf man klickt, wissen was einem die Anleitungen im Netz da so erzaehlen. Das Wissen haben aber nur ganz wenige und wenn selbst diese Fachleute Probleme haben… Oh Mann, ganz schoen duester.

Mein derzeitiger Standpunkt ist: Ich waege fuer mich privat ab, in welchem Verhaeltnis der Aufwand zu der vermeintlichen zusaetzlichen Sicherheit steht und entscheide dann je nachdem, welchen Wert ich den Daten zumesse, was ich tue. Meistens bedeutet das: “Egal, was mit den Daten ist, bevor ich mich jetzt 3 Tage hinsetze und was bastel…”

Wie lange es dauern wuerde, ein Betriebssystem – inklusive aller wichtigen Anwendungen und Dienste – neu (und sicher) zu schreiben? Ewigkeiten. Und ich glaube nicht, dass das Know-How ueberhaupt noch existiert. (Abgesehen davon, dass die Kapazitaeten nicht existieren).

Anderer Ansatz:
Unsere Haeuser sind auch nicht sicher und hin und wieder wird eingebrochen. 100% sicher geht nicht. Warum nicht damit zufrieden sein, was wir haben? Einfach nach Moeglichkeit sauber programmieren und den “Luecken” keine Beachtung schenken? Das kann deshalb nicht funktionieren weil der kulturelle Druck, der im realen Leben verhindert, dass wir im Supermark klauen (was ja nun wirklich kein Problem waere), im Internet nicht existiert.

Im Netz sind wir unerkannt, anonym und wenn wir das nicht wollen, weiss keiner, dass wir da sind. Daten klauen ist nicht wie Schokolade klauen. Die Schokolade ist weg, bei den Daten merkt mitunter niemand, dass die unauthorisiert kopiert wurden.

Ich glaube nicht an eine Loesung oder Besserung. Nicht in den naechsten 50 Jahren.


Hadmut
22.7.2011 13:49
Kommentarlink

@Subito: Das mit den Häusern ist ein gutes Beispiel, aber gerade für das Gegenteil.

Für Häuser gibt es Statikvorschriften, Brandschutzvorschriften, Fluchtwege, Abstandsvorschriften, in manchen kommerziellen Bereichen auch Einbruchvorschriften. Und wenn ein Haus einstürzt, weil es schlecht gebaut ist, gibt es eine Untersuchung. Die Polizei berät einen, was man gegen Einbrüche tun kann, und im Handel gibt es viel nützliches Zubehör, wie bessere Schlösser, einbruchshemmende Fensterrahmen, Alarmanlagen und, und, und.

Gibt es für Software alles nicht.


Subito
22.7.2011 13:56
Kommentarlink

@Hadmut das ist auch ein Punkt. Wie ich schon geschrieben habe: Nimmt man Angriffe und Sicherheitsluecken hin, wird das ganze wesentlich schlimmer. Gut zu sehen an den letzten Jahren.

Ausserdem: Fuer Software KANN es soetwas derzeit nicht geben. Es ist technisch schon fast nicht mehr moeglich, etwas nur annaehernd “sicher” zu machen. Uns fehlt es schon am wesentlichen: An der Moeglichkeit, an dem “Baumaterial”. Selbst mit sehr viel Zeit und sehr viel Muehe (behaupte ich) kann keine Anwendung (erst recht keine Webanwendung!) erstellt werden, die nicht (zeitnah) zu exploiten ist.


Hadmut
22.7.2011 15:23
Kommentarlink

@Subito: Doch, doch, man kann. Ein Code-Review fördert häufig immer wieder die gleichen Fehler zutage, und zumindest die bekannten könnte man weitgehend vermeiden.


Claus-Peter
22.7.2011 13:57
Kommentarlink

Um noch mal zum Ausgangspunkt zurück zu kommen: Ich halte die aktuelle Welle von Einbrüchen eher für ein Ergebnis des Sony Hacks: Da sind 120.000.000 Benutzername/Passwort Kombinationen weggekommen. Wenn man diese Datenbank hat findet man sicher genügend Anhaltspunkte um mit einer solchen Kombination in WEB- Mailer, Social Media Profile, CMS System, VPN Gateways einzubrechen (und sich von dort weiter zu hangeln) das man so komplizierte Sachen wie die RSA Seeds gar nicht benutzen muss. Ich denke da kommt im Moment die Häufung der Einbrüche her. Wenn man die DB hat kann das jedes “Script- Kiddie”.


Hadmut
22.7.2011 15:24
Kommentarlink

@Claus-Peter: Der Sony-Hack dürfte aber eher privat genutzte Passworte kompromittiert haben. Wie sollte jemand vom Sony-Hack auf kommerzielle Server schließen, und wie hoch ist die Wahrscheinlichkeit, daß deren Nutzer gerade bei Sony registriert waren und dieselben Passwörter nutzten?


Christian
22.7.2011 14:36
Kommentarlink

Es dauert lange, aber ganz unmöglich ist es nicht, das sichere Betriebssystem zu bauen. Aber du hast recht: wegschmeißen, neu schreiben ist der einzige Weg…
http://de.wikipedia.org/wiki/L4_(Mikrokern)


Die Frage ist doch eher, ist bei RSA was abgefallen, das woanders die Türen öffnet? Haben alle Kunden von RSA ihre Systeme abgesichert oder geändert?

Carsten

Affe AK47
http://www.youtube.com/watch?v=GhxqIITtTtU


Ralf Muschall
22.7.2011 15:03
Kommentarlink

Ich denke, wenn man von Grund auf rangeht, kommt heraus, dass man nicht mal grob festlegen kann, was man von einem “sicheren” System will. Da das offiziell geschehen müsste, kämen folgende Anforderungen zustande:

* Rootkits von zornigen jungen Männern sollen nicht laufen, aber eine Video-DVD von Sony soll erfolgreich welche installieren

* Viren sollen nicht gehen, aber Bundestrojaner sollen

* Mail soll verschlüsselt werden, aber die Stasi soll sie trotzdem lesen können

@Subito: Wissen, wohin man klickt hilft nur gegen breit gestreute Viren (weil drive-by-Downloads nunmal häufiger auf Schweinkramseiten installiert werden als auf z.B. danisch.de). Gegen gezielte Angriffe ist das kein Schutz.


Claus-Peter
22.7.2011 15:43
Kommentarlink

@Hadmut: Glaubst Du wirklich, das “normale” Benutzer zwischen ihren Firmen und privaten PW unterscheiden? Glaub ich nicht. Und viele verwenden sicher auch ihren Firmen(mail)account für den Zugang zum PSN. Würde ich einen ziemlich hohen Betrag drauf wetten.
Und 120Mio Datensätze sind seeehhhr viele. Könnte man mal eine von Deinen Knobelaufgaben draus machen und die Wahrscheinlichkeit für einen Treffer ausrechnen.


Hadmut
22.7.2011 15:47
Kommentarlink

@Claus-Peter: Erstens glaube ich, daß das durchaus die meisten (wenn auch nicht alle) tun. Vor allem die, die administrativen Zugang zu irgendwas haben.

Zweitens weiß ich, daß die meisten Firmen eine Passwort-Expiry einsetzen, man das Passwort also regelmäßig ändern muß, die Leute aber ganz sicher nicht ihre privaten Paßworte bei Sony mitändern.

Drittens zeigt die Erfahrung, daß die Leute häufig unterschiedliche Benutzernamen verwenden.

Viertens läßt ein Eintrag bei Sony ja noch lange nicht erkennen, daß man damit bei einem bestimmten Server einbrechen kann. Meinst Du, die probieren die alle durch?

Ich kann es nicht ausschließen, aber es erscheint mir einfach nicht plausibel.


Michl
22.7.2011 17:38
Kommentarlink

Mehr Angriffe, mehr Berichte, ich denke es ist beides. Den Grund für den Hype sehe ich in den Zielen und der Öffentlichkeit. Hinter verschlossenen Türen wird viel mehr gehackt als die Medien wissen. Es ist also nicht nur mehr sondern mehr in der Öffentlichkeit, weil die Hacker es veröffentlichen. Für die Medien ist interessant dass es große Konzerne oder Regierungen trifft, noch mehr Öffentlichkeit. Das Ziel ist ferner ein anderes. Das im dunkeln ist eher Wirtschaftskrieg (will keiner der Beteiligten gerne in den Medien sehen). Anonymous führt eher Krieg gegen Staaten, wie sie sehr schön in der Antwort auf die kürzlichen Verhaftungen formuliert haben. Wie ich finde ein Anfang aber eine ungenügende Methode. Die Staaten wollen das in den Medien, sie werden es benutzen um die Überwachung weiter zu intensivieren und unsere Rechte weiter einzuschränken.

Ich bin vor Jahren, als es ganz neu war, auch mal an PGP gescheitert 🙂 Heute ist PGP echt einfach und Linux kann man inzwischen auch jeder Sekretärin hinstellen. Der Geschäftsführer ist da eher das Problem.

@Ralf > * Mail soll verschlüsselt werden, aber die Stasi soll sie trotzdem lesen können

Das haben die doch einfach gelöst. Ist diese Epost oder DE-Mail oder wie das heißt nicht genau dafür? Auf dem Client verschlüsseln und auf dem Epost-Mailserver entschlüsseln, bevor man sie weiterleitet. Das bewirbt man dann als sicher.

@Hadmut > Zweitens weiß ich, daß die meisten Firmen eine Passwort-Expiry einsetzen, man das Passwort also regelmäßig ändern muß

Erschreckenderweise nicht die Adminpasswörter und nicht alle Benutzer (vor allem die am meisten gefährdeten nicht).


Michl
22.7.2011 17:42
Kommentarlink

Vergessen: Dass RSA der Grund ist, sehe ich weniger. Eher die von Dir ganz richtig bemängelten Systeme und Komplexitäten. RSA wird eher im medienlosen Wirtschaftkrieg für einen Anstieg gesorgt haben.


Alex
22.7.2011 19:09
Kommentarlink

Ich würde ja vermuten, dass der Hauptgrund ist, dass gezeigt wird wie einfach es noch immer ist, mit sql injections zig systeme zu übernehmen.
Soweit ich das sehe, ist keine der Einrichtungen die hier gefangen wurde, auch nur ansatzweise abgesichert.

Dazu eine gewisse ‘Radikalisierung’ breiter Bevölkerungsschichten gegenüber das ‘Schweinesystem’ – wohl als Konsequenz auf die ewigen Einschränkungen der Rechte, moralischer Verkommenheit der Führungs’elite’ aber insbesondere auch auf die Einsicht, dass “akzeptable” Handlungen nichts bewirken.

(Rewe etwa wurde auf die Sicherheitslücken hingewiesen, und hat nichts unternommen, see http://www.gulli.com/news/16602-rewede-schwere-sqli-sicherheitsluecke-bleibt-trotz-hinweis-bestehen-2011-07-14)


rjb
22.7.2011 19:37
Kommentarlink

Die Frage ist, ob es überhaupt noch auf Hardwareebene Sicherheit gibt, seitdem Grafikkarten Coprozessorfunktionalität plus RAM-Zugriff haben. Stichwort WebGL. Ob die Software Sicherheitsanforderungen erfüllt, ist womöglich eh schon wurscht.


Claus-Peter
22.7.2011 19:40
Kommentarlink

@Hadmut: OK, ein Beispiel. Wir feiern eine Party und haben zufällig eine Datenbank mit vielen E-Mail Adressen und Passwörtern rumliegen und unterhalten uns über einen Medienkonzern der grad ein paar Probleme bekommt weil er wohl einige Sachen gemacht hat die nicht so die feine englische Art sind. Irgendwie kommt die Idee auf das der Chef sich bestimmt bald den Strick nimmt. Na ja, reicht ja schon wenn das in der Zeitung steht, oder? OK, wir haben doch da noch so ne Datenbank rumliegen.

Der “select” ergibt 100 Treffer von E-Mails aus den richtigen Domains. Wir scannen mal die WEB- Seiten von denen ob da irgendein CMS läuft. Wir finden vielleicht 3 Webseiten. Leider haben unsere User/PW Kombinationen keinen Zugriff. Blöd. Probieren wir die Sachen doch mal auf Facebook (wir können uns mit 5 Accounts anmelden, aber das bringt uns nicht weiter). LinkedIn: Diesmal 3 Treffer. Spannend. Einer der Leute ist wohl fürs Layout zuständig und hat ein paar Kontakte in Werbeagenturen.
Nochmal ein paar Anfragen an die DB mit den E-Mail Adressen der Kontakte. Ha, Treffer. CMS login klappt! Wen sollen wir (medial) sterben lassen?

Ich denke das dieses Szenario sehr wahrscheinlich ist. Und nebenbei stoßen wir beim Scannen vielleicht auch noch auf ein paar SQL- Injections. Kann man ja immer mal brauchen.

Vor diesem Szenario zu Deinen Punkten:
1. die die es tun reichen. Wenn es nur ein Prozent ist haben wir immer noch 1,2Mio potenzielle Treffer.
2. Passwort Policy? In Firmennetzen ja, auf Web- Serven in CMS Systemen? Eher nicht. Und ich kenne einige Firmen in denen der Chef angefordert hat das er sein Passwort nicht ständig ändern möchte.
3. wir matchen aber auf E-Mail Adressen. Außerdem sind viele Menschen erstaunlich unkreativ (ich zum Beispiel ;-))
4. wie oben beschrieben. Wenn ich ein bestimmtes Ziel habe kann ich gezielt suchen. Die Versuche die scheitern werden nie bekannt. Nur die die klappen. Wie viele Hacks sind so in den letzten Wochen bekannt geworden? 10? 100? Wie viel Prozent sind das von den 120Mio Datensätzen die bekannt sind? Verschwindend wenige.

Klar ist, das nicht alles auf diese Geschichte zurückzuführen sein wird. Und ich glaube auch, wie einige Kommentatoren geschrieben haben, das sich die Sache gerade hoch schauktelt (sowohl medial als auch das Leute sich von den Hacks “inspirieren” lassen. Trotzdem halte ich den Sony Hack für den Ausgangspunkt….


Hadmut
22.7.2011 19:50
Kommentarlink

@Claus-Peter:

Naja gut, möglich ist sowas immer. Es wäre aber schon extrem dämlich, wenn Leute für einen privaten Eintrag bei Sony und für Web-Management der Firma das gleiche Paßwort verwenden. Zugegebenermaßen gibt es viele Leute in Firmen, die genau solche Dämlichkeiten treiben, aber die haben selten Zugang zu Web-CMS. Wenn das wirklich so gelaufen ist, sollte man diese Leute ungespitzt durch die Decke schießen.


Pasukaru Nosekai
22.7.2011 20:47
Kommentarlink

Ich sehe das ganz anders: Hier geht es schön nach dem Hegel`schen Prinzip voran: These-Antithese-Synthese.
Schon lustig, dass kurz nachdem alle NATO-Staaten ihre “Cybercom`s” aktiviert haben, die “Hackerangriffe” losgehen wie nie zuvor. Im Oktober 2010 hat die USA 1600 “Cyberkrieger” an die “Front” gebracht, es wurden Gesetze verabschiedet, die besagen, das Cyberangriffe wie reale Angriffe zu behandeln seien und ein Kriegsgrund sind.

Das Ganze ist (wieder einmal) ein ganz bewusst inszeniertes Schauspiel für ganz reelle politische Ziele.


Hadmut
22.7.2011 20:58
Kommentarlink

Alles von den Geheimdiensten angerichtet?

Erstens paßt es nicht, weil Anonymous und Co. nicht ins Feindbild passen.

Zweitens muß man sehr aufpassen, daß man sich mit dieser Sichtweise nicht den Blick auf die Realität verbaut. Ist ist halt so herrlich bequem und zum eigenen Weltbild passend, wenn man sich mit dieser These einfach alles so einfach und leicht erklärt. So sind auch Götter, Kobolde und Klabautermänner entstanden.


Claus-Peter
22.7.2011 22:11
Kommentarlink

@Hadmut: Du würdest nie glauben was ich jeden Tag zu Gesicht bekomme: Mitarbeiter die das Passwort zum öffnen der Kasse auf ihrem Monitor kleben haben. Administratoren die mit ihrem Admin- Account auf Warez- Seiten surfen. Hardwaremanagement Tools auf denen nach Jahren noch das Standard- Hersteller- Passwort funktioniert.
Alles, und noch viel mehr, schon erlebt.

Wir brauchen neue Betriebsysteme, Software etc. die sicher ist? Ja, auch. Aber erst mal brauchen wir Menschen die mit der Technik umgehen können.


Hartmut
22.7.2011 23:03
Kommentarlink

Hat sich einer von Euch schon mal gefragt, warum sich irgendjemand außerhalb akademischer Runden für wirkliche IT-Sicherheit einsetzen sollte?
Der Privatmensch ist und bleibt wehrlos, und das weiß er normalerweise auch. Die meisten größeren bis ganz großen Firmen tun meiner Erfahrung nach alles, um effektive Sicherheit zu verhindern, z.B. durch Einrichtung von Proxy-Produkten, die mitm den Webtraffic abschnorcheln sollen, entweder weil Firmen sich dazu rechtlich verpflichtet sehen oder weil sich daraus immer ein guter Kündigungsgrund basteln lässt.
Und wenn man die Politik fragt, dann sind zusätzliche Arbeitplätze für Admins und unfähige “Sicherheitsprofis” prima. Ganz nebenbei könnte man auch Gesetze bzgl. Schadensersatz verabschieden, falls der schlampig administrierte Server als Angriffsplattform missbraucht wird, aber da hat nicht nur die mittlerweile umsatzstarke Security-Lobby was dagegen.
Jede Zunahme an Komplexität bringt mehr und schneller Geld in Umlauf. Unser Geld nur noch Umlauf-Wert,; Ohne Kreditzunahme, immer höhere Bürgschaften, Schaffung von überflüssigen Produkten und Dienstleistunge wie “innovativen” Finanzprodukten würden wir feststellen, dass es nicht mehr viel zu kaufen gibt, was 10 Jahren wertstabil zu bleiben verspricht. Wir gleichen die galoppierende Inflation momentan nur geschickt durch ein Überangebot virtueller oder wertloser Dienstleistungen aus, und Virenscanner wie IDS sind nur ein kleiner Teil dieses Wirtschaftssystems.

Der entscheidende Effekt, warum Du mit Deiner Progrnose zunehmender, erfolgreicher Angriffe meiner Meinung nach richtig liegst: Die Cracker-Szene hat sich darauf eingestellt und bildet mittlerweile ein eigenes Ökosystem, in dem man sich alle notwendigen Komponenten von der Putze, die den Keylogger anstöpselt über “sichere” Server bis zum Investor für komplizierte Angriffe alles zusammenstellen (lassen) kann.
Allerdings bin ich sicher, dass die Informationstechnik damit keine Probleme bekommen wird. Ich habe heute schon den Eindruck, dass die meisten erfolgreichen Angriffe als Einzelschicksale unglaublich schlampiger Firmen hingestellt werden. Dass man mit der betriebswirtschaftlich notwendigen Software keine Sicherheit herstellen kann interessiert nur Menschen, die es vielleicht besser könnten, die aber aus obigen Gründen niemand machen lässt.


Anna Freud
23.7.2011 12:51
Kommentarlink

“Das meiste Krypto-Zeugs ist so kompliziert, umständlich, fehlerhaft, unverständlich, kontraintuitiv, laienuntauglich, daß man es nicht in der Breite und mit Nicht-Fachleuten einsetzen kann.”

Ich will das folgendermaßen erweitern: “Das meiste Informatik-Zeug ist so kompliziert, umständlich…”.

Ich habe mir letztens Ihre “Einführung in DNS” durchgelesen oder sagen wir besser: versucht, durchzulesen (aber es ging durchaus). Dieses Problem fällt mir aber schon länger auf und regt mich auch auf. Es ist nicht Schuld der Informatikermenschen, dass Informatik in einer ganz eigenen Sprache, mit ganz eigenen Begriffen usw. funktioniert, aber ich lege es den Informtaikmenschen durchaus zur Last, dass ihr Interesse, ihr Wissen in der Öffentlichkeit verständlich zu vermitteln, ziemlich gering ist. Im Gegenteil, viele dieser Wissenden brüsten sich dann etwas überheblich mit ihrer überlegenen Kenntnis und machen sich über die Unkenntnis der meisten Anderen lustig. Didaktisches Feingeefühl geht da gegen Null. Wie Sie recht gut beschreiben, Herr Danisch, kommt der Bumerang aber früher oder später zurückgeflogen. Es ist ein wenig wie mit dem Kapitän eines Schiffes, der eine Crew unter sich hat, der er nie erzählt hat, wie man ein Schiff halbwegs adäquat steuert und der nun, mitten im Sturm, dasteht und merkt, wie antiproduktiv das war und wie unfähig er jetzt, wo es darauf ankommt, ist, die Crew zu koordinieren – weil sie mit der Sprache seiner Befehle gar nichts anfangen können und auch kaum verstehen, was für Probleme es eigentlich gibt.

Ich wäre manchmal schon froh, wenn es ein, von verständigen Menschen empfohlenes, Einführungswerk oder besser noch eine kleine Serie von Werken für Noobs geben würde (optimaler Weise irgendwo im Netz). Ich meine, die meisten Menschen wissen schon gar nicht, was die jeweiligen Unterschiede verschiedener hackingmethoden sind (für die ist gehackt = gehackt), aber noch weniger verstehen sie dieses ganze – für Laien so klingende – Kauderwelschgeschwurbel der Informatiksprache, zwischen irgendwelchen Zertifikaten, Proxys, Servern, SQL-Injections usw.. Aber nahezu niemand klärt über die Grundlagen(begriffe) auf (so wie sie Herr Danisch das mit dem DNS in Angriff genommen haben) oder gar, wie diese Begriffe in der Sprache funktionieren. Und hernach wundert sich die informierte Welt über die Uninformiertheit der Uninformierten und über die rückwirkenden Schädigungen auch für die Informierten (lang gähne die Kybernetik!). So als ob es keine Erklärung geben würde außer der Dummheit der Anderen, die natürlich einzig Schuld der Anderen sei.

Die meisten Menschen verstehen schon die Relevanz informatischer Sachkenntnis nicht nur nicht, sie habe gar wirkliches Ressentiment gegen dieses I-Wort. Was manchmal nicht verwunderlich ist. Aus einem Büro, in dem ich ein halbes Jahr ausgeholfen habe, habe ich hören können, dass man sich schlicht allein gelassen fühlt. Von überall heißt es “Macht EDV! Bedient Computer!”, aber niemand bedenkt, dass man das erstmal lernen muss. Und weil das mittlerweile schon eine Alltagserfahrung ist, von PC-technischen Sachlagen überfordert und trotzdem irgendwie alleingelassen zu sein, ist man eben schon im vorraus anti und erträumt eine PC-lose Welt.

Ich wäre sehr dafür, dass Informatiker mal aus ihrer Wissensenklave heraustreten. Ich würde mir das auch wünschen, weil bspw. auch mein ganzes Wissen über Informatik zusammengesucht ist wie die Flicken eines Quilt (mit Löchern) und manches davon ist garantiert falsch. Aber ich kann niemanden fragen (oder muss für eine Stunde Information 300€ bezahlen ohne wirkliche Garantie, dass man es auch verständlich erzählt, aber mit Garantie bei Nachfragen blöd angeschaut und belächelt zu werden).
Stattdessen kann man aber, wenn man mal den einen oder anderen Informatiker nach dem Abhalten von Einführungsvorträgen und dgl. fragt, solche Sätze hören wie: “Achso, Informatik für Rentner! Ne, sowas mache ich nicht!”.

Und vorgreifend bezüglich des “Suchs dir doch in Wikipedia zusammen!”-Arguments: für keine Fachkenntnis würde man das ernstlich anempfehlen, weil da potentielles (und evtl. genauso kryptisch formuliertes) Halbwissen Laien zur Selbstbildung nahe gelegt wird; für (semiprofessionelle) Kenntnisse der Informatik sollte man das folglich auch nicht tun.

Das ist übrigens keine Frage von Bringschuld, sondern von Kooperation.


Hadmut
23.7.2011 13:11
Kommentarlink

Ja, mmh, nun, ganz so ist es auch nicht. Man kann auch nicht alles auf für Laien verständlichem Niveau erklären, weil Wissen und Technik da eben so verdammt weit vom Normalbürgerwissen weg sind.

Es ist zutreffend, daß unter Wissenschaft meist verstanden wird, einfache Dinge kompliziert darzustellen, was natürlich schlecht ist. Wenn man allerdings komplizierte Dinge einfach darstellt, ist das zwar eine Kunst und Tugend, man läuft aber immer auch große Gefahr, zu stark zu vereinfachen und damit das ganz gefährliche Halbwissen zu transportieren. Viele Dinge im Bereich der Informatik sind (teils notwendigerweise) so komplex, daß man sie einem Laien nicht mehr kompakt rüberbringen kann, weil einfach zu viel reinspielt. Man braucht halt durchaus 10-15 Jahre Beschäftigung mit den Themen, bis man flächendeckend einigermaßen durchblickt.

Es ist so ein bischen eine schlechte Nebenwirkung der Generation „Wikipedia und Forum” (und des degenerierten Expertentums), daß mittlerweile jeder glaubt, sich mit ein paar Webseiten zum Experten machen zu können. Ein Effekt, den mittlerweile jeder Arzt ständig erlebt. Es gibt ja schon die Internet-Hypochonder.


Claus-Peter
23.7.2011 13:43
Kommentarlink

@Anna: Schön das es solche Menschen wie Dich gibt. Leider, so meine Erfahrung, muss an sie mit der Lupe suchen.
Meine Erfahrungen sind eher folgende: Schulung für Excel (unterstes Niveau, z.B. wie öffne ich eine Datei und wo speichere ich sie ab). Ich frage einen Teilnehmer warum er nicht zuhört (ca. 48 Jahre). Den Scheiss lern ich nimmer!
Anderes Beispiel: Training für Supportmitarbeiter eines großen Unternehmens. Es ging darum wie man auf einem Rechner ein zweites Windows 7 einrichten und starten kann: Mitarbeiter steht auf und sagt das das ja eh kein Anwender hat und braucht und verlässt den Raum…

Ich wäre froh wenn mir in meinem Job mehr Menschen begegnen würden die gerne etwas mehr wissen würden. Leider hab ich die Erfahrung gemacht, das es gar niemanden wirklich interessiert…

Ich bin gerne bereit mein Wissen weiter zu geben. Ich habe das versucht. Ich habe der Schule, in welche mein Sohn geht, angeboten das ich kostenlos für Schüler und wenn gewünscht auch Lehrer und Eltern einige Kurse über Medienkompetenz halte. Es kam genau KEINE Reaktion.

Also (und diese Frage ist ernst gemeint), was kann ich tun das jemand zuhört?


Michl
23.7.2011 16:46
Kommentarlink

@Anna Das Problem ist weniger dass die Informatiker nicht wollen sondern dass es nur wenige kompetente gibt. Viele erklären nicht deswegen keinen DNS weil sie ihr Herrschaftswissen nicht weitergeben wollen, sondern weil sie es weder verständlich erklären können noch überhaupt selbst vollständig verstehen. Es gibt Ausnahmen, wie man hier sieht, aber es sind wenige.

@Claus-Peter Nichts. Man kann sich nicht mit den unteren 90% aus der Gauß’schen Normalverteilung der Intelligenz unterhalten und erwarten dass sie eine Einsicht zeigen, die für die oberen 10% normal ist. Ich weiß dass diese Sicht nicht gut ankommt, aber es ist meine Erfahrung uns sie bestätigt sich immer wieder, u.a. dadurch dass ich vergleichbare Probleme mit den oberen 10% nie hatte.


Claus-Peter
23.7.2011 20:48
Kommentarlink

@Michl: Diese Ansicht kommt wirklich nicht gut an, bei mir zum Beispiel. Das ist genau diese überhebliche Einstellung wegen der uns die NichtTechies hassen. Und sie ist aus meiner Erfahrung auch falsch: Die Leute sind nicht zu dumm. Sie haben schlicht kein Interesse an dem Wissen.

Deshalb die Frage: Was können wir tun das sich das ändert?

Ich hab noch kein Rezept dafür gefunden.


unwichtig
24.7.2011 12:28
Kommentarlink

@Claus-Peter
Die Frage klingt für mich so wie nach der, wie wir Sie zu ihrem Glück zwingen können.

Für – ich vereinfache mal – junge Menschen gibt es die Schulpflicht. Damit erreicht man aber auch nicht, dass jeder wenigstens Lesen und Schreiben kann (was ja offensichtlich auch nicht fürs überleben notwendig ist – mehr dazu, aber in die entgegengesetzte Richtung argumentiert, finder man hier: http://omnisophie.com/lit_aufbrechen.php … sehr zu empfehlen, finde ich). Wenn es sich bei den Totalverweigerern dann auch noch – wie Ihren Beispielen dargestellt – nicht mal Ihre Sorgeberechtigten sind, haben Sie keinerlei Chancen mehr (ok, vielleicht könnten Sie ja jene “bestechen” – aber wie absurd wäre denn das?).

@Anna Freud:
Ich bin mir nicht sicher, dass es zu den diversen Informatik-Themen keine gute Literatur gibt. Für (den Aufbau von) Betriebssysteme(n) kenne ich z.B. das Buch von Tannenbaum (ob es auch für absolute Laien gut verständlich ist, kann ich schwer beurteilen – schon zu lange her und damals hatte ich schon gewisses Grundwissen, war aber erstaunt ob der Eingängigkeit). Insofern würde es mir eher einleuchten, wenn Sie den Umstand bemängeln, dass gute Standardwerke als solche für die Allgemeinheit nicht ausgezeichnet sind. Aber wer wäre denn dann dafür zuständig, dies zu tun? Oder allgemein: wer ist in der Informatik (oder in Jura, Medizin oder sonst wo) dafür zuständig und befugt (Thema Werbung/Monopol), den Laien das jeweilige Fach verständlich (und am besten noch in kurzer Zeit / mit kurzen Texten) nahezubringen?


michael
25.7.2011 11:57
Kommentarlink

@unwichtig “…Aber wer wäre denn dann dafür zuständig, dies zu tun? Oder allgemein: wer ist in der Informatik (oder in Jura, Medizin oder sonst wo) dafür zuständig und befugt (Thema Werbung/Monopol), den Laien das jeweilige Fach verständlich (und am besten noch in kurzer Zeit / mit kurzen Texten) nahezubringen?”
Zumindest in unserem Staat hätte diese Funktion das sog. Bildungssystem. Genauer gesagt, müsste das zum einen in der Schule eine durch alle Klassenstufen gehende Beschäftigung sein, je nach Alter angepasst. Die rudimentären Kenntnisse, die meist nur auf die grundlegende Handhabung verschiedener Office Software einer bestimmten Marke abzielen und als Fach ‘Informatik’ den Lehrplan genüge tut, bringen’s jedenfalls nicht.
Und als zweites die Erwachsenenbildung z.B. die VHS, die ja inzwischen so verteuert wurde, dass sich das eigentlich die grosse Mehrheit der Leute nicht leisten kann, auch wenn sie es wollten. Und auch da wird ja eigentlich eher nur die Handhabung verschiedener Software beigebracht, aber nicht die ‘Grundlagen für IT-Laien’. Selbst wenn’s so ein Kurs gäbe, wäre der kaum besucht, weil die meisten die Notwendigkeit ja schon gar nicht einsehen …

Das Bild geht ja (leider) immer mehr dahin: Der Laie/User muss nur den richtigen Button drücken (oder heute: an der richtigen Stelle drüber wischen), dann macht der Rechner/sonstiges Gerät und die Software den Rest, ohne dass der User weitere Hintergrundkenntnisse braucht und im Sinne der menschlichen (Denk-)Trägheit möglichst auch sein Hirn nicht mehr einsetzt.


Michl
25.7.2011 15:13
Kommentarlink

@Claus-Peter Das ist keine Überheblichkeit, das ist bittere, messbare Erfahrung. Ich meinte das nicht auf IT-Themen bezogen sondern generell. Was Michael schreibt bestätigt das. Wer ist denn für die Inhalte in Schulen verantwortlich? Und wo sehen die Inhalte besser aus? Dort wo die intelligenteren für die Auswahl der Inhalte und für das lehren und lernen verantwortlich sind. Schaut euch mal an einer nichtstaatlichen Hochbegabtenschule um. Da funktioniert der Informatikunterricht anders.

Wenn Du denkst dass Interesse das Problem ist kannst du erst Recht nichts dagegen tun. Wenn jemand interessiert ist ist er es und wenn nicht nicht. Wenn er denkt etwas nicht zu brauchen wird er nicht interessiert sein. Vielleicht wäre es sinnvoll die Themen Deiner Vorträge nach den Notwendigkeiten der Teilnehmer auszurichten, dann wäre sicher höheres Interesse vorhanden.


anonym
27.7.2011 14:07
Kommentarlink

Man muss nicht unbedingt alles neu machen. Aber man muss die Löcher flicken, statt nur das Wasser zu schöpfen.

“It is essential to look beyond the current situation, and understand that if the current dynamics continue unchecked, we are headed toward a deep crisis: the ad hoc nature of Internet identity cannot withstand the growing assault of professionalized attackers.

A deepening public crisis of this sort would mean the Internet would begin to lose credibility and acceptance for economic transactions when it should be gaining that acceptance. But in addition to the danger of slipping backwards, we need to understand the costs of not going forward.”

Soweit ein Kommentar von Kim Cameron zu einem Teilbereich der IT-Sicherheit, dem Identitätsmanagement.

http://www.identityblog.com/?p=352/#lawsofiden_topic3


Alex
19.10.2011 11:43
Kommentarlink

>> Zeigt mir mal eine richtig gute, robuste, einfach zu verwendende und >> wohldokumentierte Programmbibliothek für SSL und X.509-Zertifikate.

http://jce.iaik.tugraz.at/sic/Products/Core-Crypto-Toolkits/JCA-JCE


Jens der Andere
21.10.2011 14:04
Kommentarlink

@Anna Freud: Mein erster Chef war Professor der Physik. Von dem habe ich gelernt: “Ein sicheres Kennzeichen dafür, daß Du etwas begriffen hast, ist, daß Du es einem Laien erklären kannst.”

Aber: Man kann nicht immer alles in fünf Minuten erklären. Zumindest nicht so, daß es wirklich Sinn macht. Das gilt für Informatik, für Medizin, Physik, Chemie, Kunstgeschichte, Theologie aller Stilrichtungen und ziemlich jedes andere Thema.

Klar.

Das ist “Da reden wir später ‘drüber, dafür bist Du noch zu klein” für Erwachsene.

Manchmal fehlt einfach benötigtes Vorwissen, damit eine Erklärung Sinn macht.

Ich zitiere mal für ein fieses Beispiel aus Wikipedia:

“Die Quantenchromodynamik (QCD) ist eine Quantenfeldtheorie zur Beschreibung der starken Wechselwirkung. Sie beschreibt die Wechselwirkung von Quarks und Gluonen, also der fundamentalen Bausteine der Atomkerne.”

Beide Sätze erklären QCD. Jeder Physiker wird weise nicken.
Inzwischen sollte das Schulstoff sein, aber der Normalbürger meiner Generation hätte mit dem ersten Satz so seine Probleme.

(Keine Sorge, die zitierten Sätze sind die “einfache” Erklärung.)

Ein guter Wissenschaftjournalist oder Autor kann das Thema so aufbereiten, daß ein Laie sich vorstellen kann, worum es geht – denn diese beiden Sätze aus der Wikipedia werden für sich keinen interessierten wirklich glücklich machen. (Wer den ersten Satz aus dem Wikipedia-Artikel begreift, braucht den Wikipedia-Artikel üblicherweise nicht…)

Aber volkstümliche Aufbereitung von Wissen ist keine Bringschuld, sie funktioniert nicht immer in fünf Minuten und auch da gibt es Spezialisten, die nichts anderes machen.

Aber zu erwarten, daß sich ein komplexes Gebiet dem Laien sofort und ohne eigene kognitive Leisung erschließt?
“Open Brain Surgery in Six Easy Lessons”.