Sicherheitslücken - Übersicht vom CERT-Bund

azrael783

Active member
Ich arbeite im - wie sagt man doch so schön Neudeutsch - IoT (Internet of Things) Sektor unterwegs und bekomme täglich mehrere Mails mit Warnungen zu Sicherheitslücken von unserer internen CERT Abteilung. Teilweise wurde ich dadurch auch auf Lücken in meinen QNAPs aufmerksam gemacht. Und ja, es ist echt krass was da abgeht. Zum Glück bekommen wir recht selten echt kritische Meldungen ;)
 

blurrrr

Well-known member
Ja, das ist noch immer die Kunst, die Dinge richtig einzuschätzen. Teils wird viel Wind um relativ wenig gemacht, teils werden wirklich kritische Dinge recht salopp heruntergespielt. Wo Du so das Thema QNAP erwähnst... da hat sich ja mittlerweile auch irgendwo ein regelrechtes QNAP-Bashing entwickelt... Ist definitiv nicht so, als wäre Synology völlig fehlerfrei (auch die haben ihre CVE's), aber im z.B. Heise-Newsletter liest man quasi min. 1x/Woche, dass es wieder irgendwelche Probleme mit dem QTS gibt. Finde ich persönlich - als nicht-QNAP-User - schon etwas... naja... "unfair". Kurzum: Die QNAP-Fraktion hat einfach keinen leichten Stand 😜😁
 

Mavalok2

Active member
Ach, das sehe ich entspannt. In der Firma sind die NAS nicht offen im Internet und hinter einer UTM. Privat werkeln die Dinger in einem getrennten physischen Netzwerk ohne Internet. Das soll mal ein Virus aus dem Internet versuchen darauf zu kommen. Aber wer weiß, vielleicht wird irgendwann der Corona Virus auch per Internet übertragen und Computer-Viren per Luft. ;)
Mitunter auch mal ganz interessant zu sehen, wieviel sich da so "täglich" sammelt
Ich bin nicht sicher, dass man sich hier danach besser fühlt. Aber, der Eine oder die Andere würde das NAS vielleicht nicht mehr einfach so offen ins Internet stellen.

MS Exchange ist ja sein Monaten so ein Thema. Immer wieder schöne Sicherheitslücken und zehntausende ungepatchte Systeme, die schon munter kompromittiert werden. Aber viele Firmen sparen lieber, bzw. halten es nicht für notwendig eine eigene IT-Abteilung zu betreiben. Die kostet ja schließlich nur Geld und bringt nichts. Das soll der Sohnemann vom Chef einmal im Quartal am Wochenende machen. Schließlich hat er auch seinen Gaming-PC selbst zusammengebaut. Der ist Experte. :devilish:
 

blurrrr

Well-known member
Ich bin nicht sicher, dass man sich hier danach besser fühlt.
🤣 Ist halt, wie wenn man bei einem leichten Husten anfängt nach Krankheiten zu googlen 🤣
Aber viele Firmen sparen lieber
Bzw. ignorieren einfach den Ernst der Lage und irgendwas umstellen kostet ja wieder Zeit und Geld. Ich bin der Meinung (wie viele meiner Fachkollegen), dass man einen Exchange einfach nicht offen ins Netz stellt, fertig. VPN-on-Demand ist auch einfach implementiert (zumindestens auf iPhones) und wer meint, er müsse da "irgendwen" ranlassen, Schuld selbst (allerdings gibt es auch in Branche auch so einige "Experten", aber ich denke, dass das wohl in jeder Branche so ist).
 

Mavalok2

Active member
dass man einen Exchange einfach nicht offen ins Netz stellt
Du meinst Internet oder? Und wie sollen da die E-Mails ankommen? :) Ich weiß, Du meinst OWA (Outlook Web App / Access), was im Moment auch das größte Problem zu sein scheint. Aber ja, der Komfort steht der Sicherheit immer im Weg. Wir haben eine WAF (Web Application Firewall) und noch ein paar andere Filtersysteme im Einsatz. Und ja, die Benutzer sind immer happy, wenn ich ein paar Schrauben mehr anziehe und es da und dort wieder mal ein wenig klemmt.
 

blurrrr

Well-known member
Und wie sollen da die E-Mails ankommen?
Jo, "Internet" mein ich mit "offen ins Netz" und wie die Mails da ankommen sollen? Zum Beispiel über Mailgateways, mitunter auch mehrere, welche div. Scans durchführen (sowohl ein-, als auch ausgehend). OWA/ActiveSync/etc. meine ich übrigens im selben Zuge "auch" (aber nicht nur), für solche Dinge gibt es im Zweifel noch immer VPN-Zugänge. Je nach Gestaltung der Arbeitsumgebung von "extern" z.B. WebVPN + Zugriff auf div. Ressourcen via Web (wie z.B. OWA), oder eben ein externer "Firmen"-Client (z.B. Arbeitslaptop/Handy), da dann via regulärem VPN-Client (Laptop) und ggf. VPN-on-Demand auf dem Handy (im besten Fall läuft dann auch sämtlicher Traffic durch das Firmennetz (und die entsprechenden Firewalls), da es reine Firmengeräte sind - entsprechende Bandbreite der Firma natürlich vorausgesetzt, 100MBit, 1G oder direkt 10G Ethernet darf es dann da schon sein - je nach Firmengröße/Mitarbeiteranzahl natürlich). Als das große Exchange-Theater anfing, hab ich die Kunden mit Exchange halt kurzerhand auf VPN-on-Demand umgestellt, alle Ports ausserhalb dicht gemacht und fertig war der Drops, ganz einfache Kiste (waren auch alles iPhones, da ist das relativ einfach).

Wenn man das ganze Geraffel dann noch zonentechnisch trennt... Jo, lass die Smartphones doch via VPN an den Exchange (HTTPS-only), aus dem Netz kann man dann eh nichts anderes machen, als den Exchange via HTTPS zu kontaktieren und dann auch nur die mobilen VPN-Clients mit Exchange-Zugriff... Wenn die Firmen-Handys dann noch über ein MDM zugenagelt sind, ggf. "immer" das VPN anhaben und dann zusätzlich noch alles über die Firmenfirewall läuft... Wo ist da noch der große Unterschied zu den regulären internen Clients (abgesehen von dem eingeschränkten Netz, in welchem sie via VPN hocken)?

Aber... das führt hier jetzt auch etwas zu weit, können uns da sehr gern noch anderweitig austauschen, aber eigentlich soll das hier ja alles eher für Laien sein, da übertreiben wir grade schon dezent (wollen ja auch niemanden verwirren hier) 😁
 

FSC830

Active member
Hat alles seine zwei Seiten, das Sicherheit diametral zur Anwenderfreundlichkeit ist, ist hinlänglich bekannt.
Leider hat man aber den Eindruck, das viele Security Verantwortlichen das größere Bedrohungspotential bei den eigenen Angestellten sehen.
Da werden dann den Mitarbeitern die Admin-Rechte genommen, USB Ports gesperrt, Webseiten gesperrt, so das an ein vernünftiges Arbeiten nicht mehr zu denken ist. :cautious:
Das mag für einen Großteil des Unternehmens funktionieren, wenn aber der Support und die Service Mitarbeiter davon betroffen sind, ist Schluss mit Lustig.
Die müssen häufig mal ein Tool zum Testen installieren oder gar bei Kunden ein Update einspielen.
Und dann ist das Dilemma da: im RZ gibt es häufig keinen Internet Zugang, der eigene Notebook darf nichts ins Kundennetz, per USB ist auch nichts möglich, weil der Port gesperrt ist...!? Also was macht man? Man nimmt einen eigenen, voll bedienbaren Notebook mit und umgeht damit so ziemlich alles.
Oder die Krönung: manche Hersteller erlauben den Zugriff auf ihr Supportportal nur über 2FA. Also meldet man sich an, und wartet auf den Zugangstoken, der 15 Minuten Gültigkeit hat. Die Mail mit dem Token kam dann nach nur einer Stunde an. Login natürlich nicht mehr möglich.
Beim ersten Mal dachte ich noch, Sh...it happens. Beim zweiten Mal wurde ich stutzig, beim dritten Mal habe ich mir den Mailheader vorgenommen.
Resultat: die Mail wurde unmittelbar nach dem Login versandt und traf 1 Minute später im Unternehmen ein. Dort ging es über weitere Mailserver und Virenscanner, bis die Mail nach 1 bis 2 Stunden beim Empfänger landete! Geht es noch!???
U.a. hängen da Servicezeiten dahinter und unsere Security baut so einen Mist. Und die davon zu überzeugen, das es so nicht gehen darf, war ein hartes Stück Arbeit, das musste über die Managerschiene abgesegnet werden. :cautious:(n)

Gruss
 

Jagnix

Member
Ist definitiv nicht so, als wäre Synology völlig fehlerfrei (auch die haben ihre CVE's),

Das ist korrekt. Aber es ist schon sehr merkwürdig. Auch Synos sind von vielen Usern dem Internet ausgesetzt. Da sind die Foren aber nicht regelmäßig voll das die NASen übernommen wurden. Oder eine akute Sicherheitslücke besteht.
 

FSC830

Active member
Ich weiß, es war gemein, vielleicht sogar bösartig, aber habe ich nicht mal gesagt QNAP steht für "Quality Not Applied Product" :devilish::devilish:.
Aber dafür laufen bei mir mehr als ein halbes Dutzend... :ninja:

Gruss
 

Mavalok2

Active member
über Mailgateways
Äh ja, wie sonst. Für mich ist dies so selbstverständlich, dass ich gar nicht mehr dran gedacht habe, dass es wohl auch welche gibt, die dies ohne machen. Ist wie mit Sommerreifen ins Skigebiet im Winter fahren. Soll es auch geben.
Da werden dann den Mitarbeitern die Admin-Rechte genommen, USB Ports gesperrt, Webseiten gesperrt, so das an ein vernünftiges Arbeiten nicht mehr zu denken ist.
Der durchschnittliche User benötigt dies auch nicht, bzw. ist wohl besser so.
Unlängst kommt ein Mitarbeiter zu mir: "Kannst Du mal prüfen was da auf dem USB-Stick ist?"
Ich beäuge den und sehe, dass ist keiner der Firmen-Sticks. Ich: "Wo hast Du den her?"
Er: "Auf der Strasse gefunden."
Ich: "Geht's noch. Willst Du dass ich Dich aus dem Büro prügle. Ab damit in dem Müll. Du weißt genau ... Security Policy ... Firmen Regeln ... þ[#œłæð ĸßœ#ĸ łĸ€æ ... oder so ähnlich." :)
Aber immerhin hat er ihn nicht gleich am eigenen PC angeschlossen. Und jetzt fragst Du noch, wieso die Ports gesperrt sind. Bei uns in der Firma leider nicht bei allen Geräten, geht leider nicht wirklich. Aber ich frage mich bei solchen Dingen, wie lange noch nicht.

Bei den gesperrten Websites handelt es sich zu über 95% um private Nutzung. Gebräuchliche und sichere Sites kann man dann ja trotzdem freigeben.
Dort ging es über weitere Mailserver und Virenscanner, bis die Mail nach 1 bis 2 Stunden beim Empfänger landete! Geht es noch!???
Vermutlich Greylisting. Hatten wir früher auch im Einsatz. Hat durchaus seine Vorteile, aber leider überwiegen die Nachteile. Die permanenten Morddrohungen der Mitarbeiter nerven auf Dauer einfach. :D
 

Mavalok2

Active member
aber eigentlich soll das hier ja alles eher für Laien sein, da übertreiben wir grade schon dezent
Ich denke es kann nicht schaden, wenn auch der geneigte Laien ein wenig Einblick in die Problematik der Sicherheit in den Firmen bekommt. Hier ist es alles andere als einfach. Wie viel mal bekomme ich zuhören: "Bei mir zuhause geht das ja auch. Und ist auch ganz billig." Ähm ja, was will man da sagen.
 

blurrrr

Well-known member
Leider hat man aber den Eindruck, das viele Security Verantwortlichen das größere Bedrohungspotential bei den eigenen Angestellten sehen.
Das ist kein "Eindruck", das "ist" einfach so (die Praxis zeigt es immer wieder)... ☺️
Da werden dann den Mitarbeitern die Admin-Rechte genommen, USB Ports gesperrt, Webseiten gesperrt, so das an ein vernünftiges Arbeiten nicht mehr zu denken ist.
Ein Mitarbeiter braucht keine Admin-Rechte um vernünftig zu arbeiten, er soll Dinge "bedienen", nicht "administrieren". USB-Geräte haben mitunter auch nichts an den Endgeräten zu tun und div. Webseiten braucht es nicht zum arbeiten. Viele brauchen nichtmals "Internet" um zu arbeiten, da reichen auch einfach nur die Mails.
wenn aber der Support und die Service Mitarbeiter davon betroffen sind
Die brauchen tendentiell auch nur Zugriff auf a) das Remote-Support-Tool und b) das interne Ticketsystem, c) ggf. das interne Wiki (was auch immer).
Dort ging es über weitere Mailserver und Virenscanner, bis die Mail nach 1 bis 2 Stunden beim Empfänger landete! Geht es noch!???
->
Vermutlich Greylisting.
Ich würde das "vermutlich" mal durch "sehr wahrscheinlich" ersetzen. Alternativ natürlich eine völlig verzockte Config, oder ein massives Mailaufkommen und irgendein Single-Core-Gateway mit 200Mhz und 16MB RAM 🤣
st wie mit Sommerreifen ins Skigebiet im Winter fahren. Soll es auch geben.
"Muss"! Oder meinste der "Spass" kommt erst mit den Ski? Das fängt schon weit vorher an, wenn man schon 100m vor der Kurve anfängt, das Lenkrad einzuschlagen 😜:ROFLMAO:
Er: "Auf der Strasse gefunden."
Genau für solche "Anwendungsfälle" gibt es auch präparierte Sticks zu kaufen... oder "spezielle" Handy-Ladekabel und und und und und... Egal was man sich da so vorstellen kann, ich behaupte einfach mal: "Gibt es schon" (sicherlich nicht alles öffentlich zugänglich). Vieles ist auch schon recht günstig zu haben... also falls euch in den großen Buden mal auffällt, dass rund um das Gebäude USB-Sticks mit Ente verteilt rumliegen -> sofort Schotten dicht machen 🤣 Da sich das ganze preislich auch massiv im Rahmen bewegt... ich mein, was zahlt man für die Daten die man "haben" will? Wenn jemand 100.000€ auf den Tisch legt, pfff... da holt man doch einfach mal 10 von den USB-Sticks, packt die den Leuten teils Zuhause in den privaten Briefkasten und wartet mal eine Woche und guckt wo die Dinger so landen. Alternativ - man kennt die Firma, ggf. die Partner/Distributoren, faked da einfach mal ein Schreiben und lässt es einfach als Werbegeschenk erscheinen (z.B. jetzt passend zu Weihnachten! 😉), vom Thema Social-Engineering mal ganz zu schweigen.....

Übrigens, da hat das BSI auch was schönes zu geschrieben ("Social Engineering – der Mensch als Schwachstelle" (um nochmal das Ding von oben aufzugreifen ☺️). Ist also nicht nur "einfach so" in den Raum gestellt, hat schon alles Hand und Fuss. Ich habe erst gestern nochmal einem Kunden erklärt, wie das alles zusammenhängt und was ein einziges komprimitiertes Mailkonto der Firma im schlimmsten Fall anrichten könnte (das ist dann wieder der Punkt mit der Vertrauensbasis... Wenn man vom Vorgesetzten eine Mail bekommt mit einer Handlungsanweisung auf einer Website (ggf. noch im eigenen CI-Design), werden die meisten Leute da blindlings die/ihre Daten eingeben. Wenn der Chef der Buchhaltung von einer Buchhaltungsmitarbeiterin eine Mail mit einem Dokument zur Prüfung bekommt (z.B. vorgegaukelte Unsicherheit bei einem fiktiven Szenario, wie "Sag mal, ist diese Rechnung von unserem Stammlieferant korrekt? Ich finde dazu keinen Wareneingang?") wird sicherlich auch der Chef bei der Mail von seiner jahrelangen Mitarbeiterin gedanklich NICHT bei dem Thema "IT-Sicherheit" sein... usw. usw. usw.
Bei den gesperrten Websites handelt es sich zu über 95% um private Nutzung. Gebräuchliche und sichere Sites kann man dann ja trotzdem freigeben.
(y) Da könnte man sogar noch weiter gehen... Geil finde ich ja immer die, die dann in die IT-Abteilung gerannt kommen (und NICHT zur Social-Media-/Marketing-Abteilung gehören) und rumheulen, dass Facebook und Twitter nicht gehen.... Das ist wie wenn sich der Spähtrupp von Einbrechern bei Opfern beschwert, dass die Fenster abgeschlossen sind und man garnicht vernünftig in die Bude linsen kann, ob sich der Bruch auch wirklich lohnt... 😆

Naja, so oder so... die Technik macht sicherlich nur einen Bruchteil aus (ist aber dabei auch nicht aussen vor zu lassen) und trotz Sensibilisierungen und sonstigen Maßnahmen... es hat schon seinen Grund, warum das Thema Social Engineering so erfolgreich ist. Alles eine Frage der Psychologie... Da muss nur was von der "richtigen" Person kommen und schon ist das Hirn einfach "aus" (was das Thema Sicherheit angeht). Kennt man auch aus anderen Bereichen (eigentlich jetzt ein sehr schönes Beispiel)... der "Enkel-Trick". Würde das nicht vernünftig funktionieren, würde es auch niemand machen... Würden die Fake-Rechnungen nicht min. in 1/100 Fällen funktionieren, würde es vermutlich auch niemand machen, usw. Unterm Strich kann man halt sagen, dass der ganze Mist doch nur funktioniert, weil zuviele Leute a) nicht groß darüber nachdenken und Dinge in Frage stellen und/oder b) Angst vor Strafe haben und daher einfach lieber schnell mal 50-100€ irgendwohin überweisen, bevor sie es mit einem vermeintlichen Anwalt und angedrohten Gerichtskosten zu tun bekommen.

Jetzt steht man da als Admin und was sagt man da? Richtig.... "isso"... werden wir sicherlich auch nichts dran ändern, ausser wieder und wieder Security-Awareness-Schulungen zu geben, die Systeme zuzunageln (jaja, die armen User... kein Facebook... kein Twitter... blubb...) und auch da gibt es dann genau die gleiche Antwort: "isso", oder anders und ganz einfach formuliert (und das jetzt als Schlusswort)...: Wärt ihr nicht so, wie ihr seid, müssten wir auch nicht so sein, wie wir sind... 😇
 
Zuletzt bearbeitet:

FSC830

Active member
Tja, ist alles richtig was ihr schreibt. Aber trotzdem benötigt eine bestimmte Abteilung bei uns Rechte Software zu installieren. Die müssen nämlich Kundensysteme testen, und das 0815 Image der Firma ist für den Controller, Kaufleute und Vertriebler geeignet, nicht aber für den Service Kollegen, der meist vor Ort seine Arbeit verrichten muss.
Da helfen weder ein Ticketsystem oder Remote Zugriff, wenn vor Ort festgestellt wird, das man evtl. ein Gerät mit neuer Firmware versehen muss, sich aber das Flashtool leider nicht installieren kann, weil die Rechte fehlen :cautious:.
Denn leider geht nicht alles per Web, USB oder sogar noch seriell.
Und vom Proxy wurden dann auch mal die Zugänge zu den Partnerportalen gesperrt. Da hat man immerhin recht schnell gemerkt, das das ein Fehler war.
Aber wenn man alle in eine Schublade packt, damit man ein schön einheitliches Image hat, dann kommt eben so etwas dabei heraus.

Im übrigen, mal eine ganz kleine Anekdote am Rande:
Ich war mal im nagelneuen Hochsicherheits RZ eines namhaften deutschen Unternehmens, da waren die Entwicklungsdaten und sonstiges, demensprechend der Zugang: Karte, Fingerabdruck und PIN (Iriserkennung war in der Planung).
Was passierte, wenn die Unternehmensleitung Zutritt hatte: mit deren Karte und PIN wurden alle Kameras deaktiviert!
Ein Schelm, wer Arges dabei denkt. :p

Gruss
 

blurrrr

Well-known member
Die müssen nämlich Kundensysteme testen
Für sowas gibt es komplett vom Rest getrennte Netze... ggf. auch mit eigener Internet-Leitung... 😜
Ich war mal im nagelneuen Hochsicherheits RZ eines namhaften deutschen Unternehmens, da waren die Entwicklungsdaten und sonstiges, demensprechend der Zugang: Karte, Fingerabdruck und PIN (Iriserkennung war in der Planung).
Kein Handvenenscanner? Wobei das System quasi auch schon durch ist (ebenso wie die Fingerabdrücke, als auch die Iris-Erkennung) 😜😁
Was passierte, wenn die Unternehmensleitung Zutritt hatte: mit deren Karte und PIN wurden alle Kameras deaktiviert!
Ein Schelm, wer Arges dabei denkt.
Tjo, irgendwie muss man es ja wieder verhunzen... wäre ja schon irgendwie komisch, wenn es mal nicht so wäre 🤣

EDIT: Selbiges denk ich mir übrigens, wenn eine Whitelist-Anfrage nach der nächsten kommt. Ist alles nicht richtig, aber trag doch mal ein, weil wir müssen ja... Anstatt die Gegenseite den Mist mal in Ordnung bringt... 🤣

EDIT2: Ganz übersehen:
"Bei mir zuhause geht das ja auch. Und ist auch ganz billig." Ähm ja, was will man da sagen.
Genau DAS ist auch das ALLERgrösste Problem in meinen Augen... Die Leute verstehen einfach nicht, dass es eben NICHT wie Zuhause ist. "Mal eben" WLAN für ein komplettes Büro-Gebäude oder sonstige "grössere" Geschichten... "Warum müssen das denn die teuren APs sein? Können wir da nicht einfach die Fritz!Repeater nehmen? Die sind och so schön günstig und Zuhause funktionieren sie doch auch sehr gut!"....jo... machen... eeeeeeiiiinnnfach machen. Lernen durch Schmerzen und auch wenn es erst günstig erscheint, hinterher wieder alles abreissen und "vernünftig" machen (weil es eben nicht vernünftig läuft), ist dann BESTIMMT auch wieder billiger gewesen, als es direkt richtig zu machen. Was bleibt am Ende der ganzen Aktion? Nein, nicht die wirtschaftliche Fehlentscheidung von oben, die sch... IT steht mal wieder im Rampenlicht, die haben es ja verbockt (wie immer!) 🙄:ROFLMAO:
 

Mavalok2

Active member
(y) Genau so ist es. Und genau das Thema WLAN war exakt so wie Du es beschrieben hast in unserer Firma. Zuerst billige APs, (zu) großer Aufwand im Unterhalt / Administration, aber Hauptsache billig, dann ewige Reklamationen von den Usern. Vor kurzem auf vernünftige APs umgerüstet, seither kein administrativer Aufwand mehr und keine Reklamationen der User mehr. Was ist jetzt wirklich billiger?
Aber trotzdem benötigt eine bestimmte Abteilung bei uns Rechte Software zu installieren.
Dafür gibt es Gruppen mit unterschiedlichen Berechtigungsstufen. Es gibt ja mehr als nur eingeschränkte Benutzer und Domänen-Admins. Für das Installieren von Software könnte z.B. ein lokaler Admin nur für das Installieren selbst ja schon ausreichen. Aber natürlich will man selbst dies nicht jedem unter die Nase reiben. Aber Mitarbeitern an entsprechender Position müssen entsprechend überprüft, instruiert und dann dem entsprechend vertraut werden. Ansonsten geht es einfach nicht. Einem Administrator, dem man nicht vertraut oder vertrauen kann, ist wertlos und müsste sofort gekündet / freigestellt werden.
 

Letzte Anleitungen

Statistik des Forums

Themen
586
Beiträge
8.668
Mitglieder
204
Neuestes Mitglied
sina27
Oben