Auf Heise war folgende Nachricht zu lesen:
„Verschlüsselungstrojaner Erebus: Hoster zahlt 1 Million US-Dollar Lösegeld
Eine Linux-Version der Ransomware Erebus hat Server eines Hosters verschlüsselt und so Webseiten von Kunden lahmgelegt. Auf den Servern soll veraltete, von Sicherheitslücken durchsiebte Software zum Einsatz gekommen sein.“
Ich könnte mir vorstellen, dass es so etwas wie „Lesson Learned“ auch auf der Seite von Angreifern gibt. Bisher waren primär Windows Systeme im Fokus. Die Schadsoftware WannaCry hat weit über hunderttausend Systeme infiziert - aber wenig Geld gebracht. Aus rein ökonomischen Gesichtspunkte war der Angriff gegen den Hoster sehr viel erträglicher. Linux rückt auf einmal voll ins Licht der Schweinwerfer.
Schlimmer als nicht gepatchte Linux Systeme sind häufig die Zugänge von privilegierten Benutzern (auf neudeutsch Administratoren) und privilegierten Diensten per SSH. Im Grunde sollte SSH die Sicherheiterhöhen, indem es die unverschlüsselten Protokolle Telnet, rsh und FTP abgelöst hat. Die SSH Schlüssel, bestehend aus privaten und öffentlichen Schlüssel, bieten im Grunde einen besseren Zugangsschutz, als ein Passwort.
Tatu Ylönen, ein Finne, hat 1995 des SSH Protokoll erfunden und in den üblichen RFCs standardisiert. Vielleicht ist dieser Artikel für Sie von Interesse: http://www.csoonline.com/article/3196974/data-protection/unmanaged-orphaned-ssh-keys-remain-a-serious-enterprise-risks.html
Ich kann leider aus eigener Erfahrung alle Aussagen von Herrn Ylönen bestätigen, da ich u.a. bei großen deutschen Finanzdienstleistern und Telekommunikationsunternehmen tätig war. Dabei wurde eines immer wieder deutlich: Die Situation war komplett unterhalb des Radars vom Management. SSL hatte den Heartbleed Bug. Wenn sie nur die OpenSSL Bibliotheken aktualisiert haben und nicht alle Zertifikate, dann sind sie auch heute noch von Heartbleed betroffen. Bei SSH ist dies ähnlich. Die einmal erzeugten Zugangsschlüssel bleiben ewig gültig. Durch die Tatsache, dass in der Grundkonfiguration bei allen Linux Produkten die Zugangsschlüssel von den Personen selbst und nicht zentral verwaltet werden, führt über die Jahre zu unfassbar viele Zugangsschlüsseln. Dabei ist es wichtig zu verstehen, dass 80% alle SSH Schlüssel nicht von Personen, sondern von automatisierten Diensten (z.B. Backup, Montoring, Cluster Steuerung, Managed File Transfer) genutzt werden.
Ich erlebe im verschiedenen Projekten, speziell im Bankenumfeld, dass die Kunden mit Hochdruck in die Cloud wollen. Der Kostendruck (Stichwort Negativzinsen) ist brutal. Die Konsequenzen, wenn ein Finanzdienstleister sein aktuelle Linux- bzw. Unix-Infrastruktur 1:1 in die Cloud verlagert, sind erheblich, vielleicht sogar existentiell.
Gerade Finanzdienstleister sind seitens des BaFin und auch der Bundesbank mit den MaRisk Anforderungen AT 4.3.1, AT 7.2, AT 9 nicht nur im Fokus, sie liegen so Quasi auf dem Seziertisch.
Sie sind kein Finanzdienstleister? Dann freuen Sich sie sich auf die EU-DSGVO.
Ich halte es für dringend angeraten, mögliche Altlasten zu bereinigen und mit dem Outsourcing- oder dem Cloud-Partner klare und messbare Vereinbarungen in Bezug auf den Umgang mit Verschlüsselung, mit privilegierten Benutzern und Diensten und in Bezug auf Transparenz und Nachvollziehbarkeit zu vereinbaren. Es gibt herstellerneutrale und sehr effiziente Wege, um rechtzeitig den eigenen Keller aufzuräumen. Ein echtes Heimspiel haben sie nur in ihrem Netz!
„Verschlüsselungstrojaner Erebus: Hoster zahlt 1 Million US-Dollar Lösegeld
Eine Linux-Version der Ransomware Erebus hat Server eines Hosters verschlüsselt und so Webseiten von Kunden lahmgelegt. Auf den Servern soll veraltete, von Sicherheitslücken durchsiebte Software zum Einsatz gekommen sein.“
Ich könnte mir vorstellen, dass es so etwas wie „Lesson Learned“ auch auf der Seite von Angreifern gibt. Bisher waren primär Windows Systeme im Fokus. Die Schadsoftware WannaCry hat weit über hunderttausend Systeme infiziert - aber wenig Geld gebracht. Aus rein ökonomischen Gesichtspunkte war der Angriff gegen den Hoster sehr viel erträglicher. Linux rückt auf einmal voll ins Licht der Schweinwerfer.
Schlimmer als nicht gepatchte Linux Systeme sind häufig die Zugänge von privilegierten Benutzern (auf neudeutsch Administratoren) und privilegierten Diensten per SSH. Im Grunde sollte SSH die Sicherheiterhöhen, indem es die unverschlüsselten Protokolle Telnet, rsh und FTP abgelöst hat. Die SSH Schlüssel, bestehend aus privaten und öffentlichen Schlüssel, bieten im Grunde einen besseren Zugangsschutz, als ein Passwort.
Tatu Ylönen, ein Finne, hat 1995 des SSH Protokoll erfunden und in den üblichen RFCs standardisiert. Vielleicht ist dieser Artikel für Sie von Interesse: http://www.csoonline.com/article/3196974/data-protection/unmanaged-orphaned-ssh-keys-remain-a-serious-enterprise-risks.html
Ich kann leider aus eigener Erfahrung alle Aussagen von Herrn Ylönen bestätigen, da ich u.a. bei großen deutschen Finanzdienstleistern und Telekommunikationsunternehmen tätig war. Dabei wurde eines immer wieder deutlich: Die Situation war komplett unterhalb des Radars vom Management. SSL hatte den Heartbleed Bug. Wenn sie nur die OpenSSL Bibliotheken aktualisiert haben und nicht alle Zertifikate, dann sind sie auch heute noch von Heartbleed betroffen. Bei SSH ist dies ähnlich. Die einmal erzeugten Zugangsschlüssel bleiben ewig gültig. Durch die Tatsache, dass in der Grundkonfiguration bei allen Linux Produkten die Zugangsschlüssel von den Personen selbst und nicht zentral verwaltet werden, führt über die Jahre zu unfassbar viele Zugangsschlüsseln. Dabei ist es wichtig zu verstehen, dass 80% alle SSH Schlüssel nicht von Personen, sondern von automatisierten Diensten (z.B. Backup, Montoring, Cluster Steuerung, Managed File Transfer) genutzt werden.
Ich erlebe im verschiedenen Projekten, speziell im Bankenumfeld, dass die Kunden mit Hochdruck in die Cloud wollen. Der Kostendruck (Stichwort Negativzinsen) ist brutal. Die Konsequenzen, wenn ein Finanzdienstleister sein aktuelle Linux- bzw. Unix-Infrastruktur 1:1 in die Cloud verlagert, sind erheblich, vielleicht sogar existentiell.
Gerade Finanzdienstleister sind seitens des BaFin und auch der Bundesbank mit den MaRisk Anforderungen AT 4.3.1, AT 7.2, AT 9 nicht nur im Fokus, sie liegen so Quasi auf dem Seziertisch.
Sie sind kein Finanzdienstleister? Dann freuen Sich sie sich auf die EU-DSGVO.
Ich halte es für dringend angeraten, mögliche Altlasten zu bereinigen und mit dem Outsourcing- oder dem Cloud-Partner klare und messbare Vereinbarungen in Bezug auf den Umgang mit Verschlüsselung, mit privilegierten Benutzern und Diensten und in Bezug auf Transparenz und Nachvollziehbarkeit zu vereinbaren. Es gibt herstellerneutrale und sehr effiziente Wege, um rechtzeitig den eigenen Keller aufzuräumen. Ein echtes Heimspiel haben sie nur in ihrem Netz!
