Ransomware
Ein Leser fragt an.
Ransomware und Insolvenz
In einem Kommentar steht die Bemerkung, dass aktuelle Ransomware sich erst lange Zeit nach der Infiltration des Systems aktiviert, damit sie schon in den verschiedenen Backup-Instanzen präsent ist.
Ich bin zu lange raus. Ist das so? Und wenn, warum zum Geier sollte man die aktive Seite einer Installation ins Backup einbeziehen? Das ist doch Schwachsinn. Ich sehe das grundsätzliche Problem dabei sowieso in der Vermischung von Programm und Daten. Getrennte Programm- und Datenbereiche gab’s schon als Architektur. Stichwort “Harvard”. Bei Unix ist das im Dateisystem manifestiert. Erst IBM und Microsoft haben jede Menge Einfallstore implementiert, ob nun gewollt oder aus Dummheit, sei dahingestellt. Ich meine z.B. den MBR. Auch das moderne BIOS, also UEFI, ist mir viel zu mächtig. Stichwort “Killswitch”.
Wie auch immer, für mich ist das Ganze ein Kompetenz- und Architekturproblem. Für mich steht das wie ein “Elefant im Raum”.
Vorsicht, da ist ein Denkfehler drin: „Harvard“. Die Harvard-Architektur bezieht sich – als Gegensatz etwa zur Von-Neumann-Architektur – auf den inneren Aufbau von Computern und Prozessoren, und beschreibt, dass der Programm- und Datenspeicher getrennt sind. Das hat man in der Frühzeit gemacht, man brauchte das auch für Vektorrechner und ähnliches, weil die Steuerung und das Rechenwerk getrennt waren. Zur Zeit meines Studiums kam das auch noch vor, denn Signalprozessoren wie der DSP56000 hatten getrennte Programm- und Datenspeicher. Und wenn man das strikt durchzieht, hat man Rechner, die nicht mehr Turing-fähig sind, weil man die Daten nicht mehr auslesen kann, also schon etwas wie eine einfache IF-Anweisung in Abhängigkeit von den Daten nicht mehr möglich ist. Das passt recht gut zur Signalverarbeitung, weil es dort sogenannte „flache“ Algorithmen gibt, wie etwa die Fouriertransformation oder die Faltung, bei denen der Algorithmus unabhängig von den Daten immer exakt gleich abläuft, dem Algorithmus die Daten „egal“ sind. Also so etwas wie a=b*c , egal wie b und c aussehen, aber kein IF b>0. Das ist eine Prozessorarchitektur und keine Administrationsvorgehensweise. Das hat nichts damit zu tun, beim Backup Programme und Daten getrennt zu halten.
Aber ja: Abgesehen von dieser Verwechslung hat der Leser da völlig recht.
Es gibt jede Menge Malware, die erst verzögert – oder auf Befehl – schädlich aktiv wird und sich bis dahin nur ausbreitet, ohne Schadwirkung zu zeigen. Ob die damit in Backups kommen will, kann ich so nicht sagen, aber das Ziel ist in der Regel, dass sich die Malware möglichst weit ausbreiten und auf möglichst alle Rechner verteilen kann, bevor sie bemerkt und bekämpft wird, und damit die Wirkung auf allen Rechnern gleichzeitig losschlagen können, und man nicht die anderen Rechner ausschaltet, wenn man es auf dem ersten Rechner bemerkt.
Die Trennung zwischen Daten und Programmen beim Backup und bei der Installation predige ich seit Jahren.
Eigentlich nämlich sollte – nach meiner, aber nicht nur nach meiner – Auffassung ein Backup der Software im Prinzip überflüssig sein und zeigen, dass man seine Struktur nicht im Griff hat. Denn eigentlich sollte die Installation der Maschinen stets regelbasiert vollautomatisch mit aktueller frischer Software erfolgen können, eben um sich keinen kontaminierten Mist einzuhandeln. Insbesondere nach einer Kompromittierung ist das aus genau dem vom Leser genannten Grund eigentlich nicht zu vertreten, alte Software wieder einzuspielen, wenn man nicht aus irgendwelchen anderen Umständen heraus sicher ausschließen kann, dass sie nicht kompromittiert ist.
Im Prinzip muss die gesamte Installation und Konfiguration vollautomatisch frisch erfolgen, und deshalb ein Backup der Software gar nicht erforderlich sein. Und erst dann, wenn die Infrastruktur wieder hergestellt ist, wird sie aus dem Daten-Backup mit den Daten befüllt (ich sagte dazu immer „betanken“, weil es mich an die Situation erinnert, wenn bei der Herstellung eines Autos ganz am Schluss, wenn alles fertig ist, ein paar Liter Benzin eingefüllt werden, damit das Ding starten und losfahren kann.
Im weiteren Sinne muss man deshalb nämlich auch in der Lage sein, in kurzer Zeit mit Ersatzhardware alles neu aufsetzen zu können. Dazu gehört heute etwa auch, in der Cloud ein Schattensystem aktivieren zu können, auch wenn ich allgemein aus Sicherheitsgründen kein Freund der Cloud bin.
Der Fall riecht sehr danach, als ob die den typischen Windows-Murks hatten, lauter Windows-Rechner, die alle die wichtigen Daten lokal halten und unstrukturiert rumpfuschen.
Im Prinzip muss das alles so sein, dass wenn die Firma komplett abbrennt, in kurzer, definierter Zeit mit festem Ablaufplan eine Ersatzinfrastruktur in der Cloud gebucht wird und hochfährt, und die Leute dann remote per Einfach-Client (Webbrowser) darauf zugreifen können, etwa aus dem Home-Office.
Aber das interessiert die meisten heute nicht.
Quality is a myth. Und Windows ist Standard. Und Windows ist eben nicht nur Software, sondern auch das „PC“-Konzept, die Daten auf jedem Rechner so ein bisschen rumliegen zu lassen.
Man hat damit ein recht billiges – billig in strukturellem Denken – System geschaffen, das mit Word, Excel und so weiter, vor allem mit den damals ersten arbeitsplatzfähigen Festplatten, alles irgendwie lokal rumzumurksen und das alles irgendwie so als eine Goldene Installation („golden image“) zu betrachten. Ich kann mich noch erinnern, wie man sich damals herumärgern musste, welche CDs man in welcher Reihenfolge einlegen und installieren musste.
Es gibt zwar auch automatische Installationssysteme für Windows, aber ich habe die in der freien Wildbahn nur selten, und wenn, dann nur rudimentär gesehen. Ich war in einem Konzern, bei dem man, wenn man einen physischen oder virtuellen Windows-Rechner hatte, und irgendeine Software brauchte, ein Ticket aufmachte, und dann saß da irgendwo in der Welt ein Support-Heini, der sich dann auf dem Rechner eingeloggt und die Software installiert hat. Auch, weil man ja für jede Installation Lizenzen zahlen muss und keinesfalls Software überall installieren will.
Das ist alles ein ziemlicher Scheiß.
Unter Linux haben sich da weit bessere Systeme wie Puppet oder Ansible etabliert, bei denen man eigentlich nur das Kochrezept und nicht die Zutaten archivieren muss. Alles andere passiert dann automatisch.