Die Mutter aller Hacks: solarwinds123
Eigentlich ist das so doof, dass man es nicht glauben kann und für Fake News oder Satire halten muss. Von der aber ist die Realität bekanntlich nicht mehr unterscheidbar. [Update]
Es geht doch seit einigen Tagen so langsam ansteigend herum, dass die Amerikaner gemerkt haben wollen, dass irgendwer (laut Pressemeldungen sind sie sich sicher, dass es a) die Russen waren und b) die Chinesen waren) im Prinzip fast ganz Amerika gehackt und datenmäßig abgezogen hat, also Behörden und Firmen rauf und runter. Nichts genaues erfährt man bisher niemals gar nicht nichts, und es heißt, dass die Amerikaner sich gerade schwer täten, das Ding überhaupt zu erkennen und die Größe der Ausbreitung und des Schadens überhaupt nur abzuschätzen. Schön. Gerüchteweise sei auch Microsoft selbst gehackt, die Azure Cloud betroffen. Es gibt einige Erklärungen und Verlautbarungen, aus denen man bisher aber auch nicht so wirklich schlau wird. Der Lacher wäre ja, der Bundesnachrichtendienst wäre es gewesen und tut dann vordergründig so, als könne man hier nicht mal den Bundestrojaner zum Laufen bringen.
Die Gefahr jedenfalls sei, so heißt es, „ernst”. Klar, sonst wäre es ja keine.
Es heißt, man habe auch geheime Regierungssysteme infiltriert, selbst die für das Atomwaffenarsenal, und sogar die Schutzsysteme. Und monatelang Zeit gehabt, sich darin umzusehen.
Soviel jedenfalls spricht sich herum: Der Alles-und-jedes-Hack sei nicht primär über Software von Microsoft gelaufen, sondern eine Überwachungs- und Managementsoftware namens Solar Winds Orion.
Ich muss gestehen, von der Software noch nie gehört zu haben. Aber auch einige Leute, die ich gefragt habe, kannten diese bisher nicht. Dass man allerdings Überwachungs- und Managementsoftware einsetzt, ist normal und sogar im Rahmen der Sorgfalt zwingend, sobald man eine gewisse Menge echter oder virtueller Maschinen verwaltet, weil man das irgendwann von Hand nicht mehr sorgfältig, zuverlässig und auch von der Quantität her kann. Nur ist es andererseits eben auch kein Geheimnis, dass so manche Überwachungs- und Managementsoftware sicherheitstechnisch schlampig ist und selbst ein Sicherheitsloch darstellt, eben weil sie Zugriff auf alle Maschinen hat. Was, nebenbei bemerkt, ein Grund ist, warum man im Linux-Umfeld Systeme wie Prometheus verwendet, die kein Management, sondern nur über eine im wesentlichen rechtelose REST-Schnittstelle einfache Daten und Betreibsparameter abfragen und gegebenenfalls Alarm schlagen, aber nicht auf die Maschine einwirken oder auf deren Nutzdaten zugreifen können. Das hat einen Grund.
Nun geht das Gerücht herum, man mag es kaum glauben, aber es mehren sich die Quellen (die wohl voneinander abschreiben), etwa diese und diese, wonach das Standardpasswort für einen Update-Server, über den man an alles rankommt, “solarwinds123” gewesen sein soll.
SolarWinds, whose software was backdoored to allow hackers to breach U.S. government agencies, was warned last year that anyone could access its update server using the password "solarwinds123", per @bing_chris and @razhael. https://t.co/2mRGTKHu87
— Zack Whittaker (@zackwhittaker) December 15, 2020
Da kann man sich als Sicherheitsfuzzi noch so die Finger wund schreiben: Wenn das dann stimmt und sowas passieren kann, dann kann man das eigentlich alles aufgeben.
Aber wie gesagt: Ich habe es ja selbst miterlebt, dass eine „Kryptoexpertin” mit Auszeichnung dafür promoviert wurde, dass sie die Auffassung vertrat, dass sichere Passwörter möglichst kurz sein müssten, damit man sie sich gut merken kann und sie nicht unter die Tastatur schreiben muss.
Von solchen Leuten scheint das alles wohl gemacht worden zu sein.
Update: Angeblich egal, ob das Passwort gut oder schlecht war, denn angeblich stand es im Klartext in einem GIT-Repository:
Was reading about a sophisticated attack on FireEye leveraging Solarwinds. Hmmm how that would happened?🤔. Then realized their password was *****123 🤣 #FireEye #SolarWinds pic.twitter.com/foGzEOdytG
— Vinoth Kumar (@vinodsparrow) December 14, 2020