IT Laberthread

[Member]

Danke für's Verschieben @much.

Sehr gerne.

Heute hängt man mit fast allen Anwendungen inklusive Betriebssysteme schon in der Cloud. Das bedeutet es sind zig Kanäle offen, über denen Kommunikation stattfindet. Die Verbindungen werden vom Rechner selber aufgebaut und ein Router/ Firewall hat bei diesen Verbindungen nichts zu melden.

Denke ich verstehe, was du meinst.

Der Faktor Zeit spielt immer eine Rolle. Ansonsten bräuchtest du gar nicht patchen oder nur alle 5 Jahre. Aber du machst es ja auch immerhin einmal im Jahr.

Sehe ich auch so.

Wenn man sich mal den NSO Angriff auf Smartphones anschaut. Das war ein Zero-Day-Angriff, bei dem der Nutzer nicht mal etwas anklicken musste. Das ist ein Extrembeispiel. Man muss sich aber nicht immer blauäugig verhalten, um sich etwas einzufangen. Wenn man ein absolutes Top Angriffsziel ist, dann wird man sich nicht richtig schützen können. Solche Angriffe sind aber extrem teuer. Sobald es aber keien Zero-Day-Exploits mehr sind, weil sie bekannt wurden und Patche entwickelt wurden, sind diese Angriffe für kleines Geld zu kaufen. Dann wird auch unsereiner irgendwann interessant als Angriffsziel. Wenn ich keine Patches installiert habe, bin ich geliefert. Patchen hilft!

Forensic Methodology Report: How to catch NSO Group’s Pegasus

NSO Group claims that its Pegasus spyware is only used to “investigate terrorism and crime” and “leaves no traces whatsoever”. This Forensic Methodology Report shows that neither of these statements are true. This report accompanies the release of the Pegasus Project, a collaborative...

www.amnesty.org

Was noch fehlt, ist die Herleitung, wie man mich als Ziel ausmacht und die Motivation mich anzugreifen.
Weil erstmal steht nur mein Router mit öffentlicher IPv4-Adresse im Internet.
Dass ich einen Rechner habe und wenn ja, wie viele, kann man von außen nicht sehen.
Das ganze funktioniert also erst, wenn irgendwo eingebrochen wird, z.B. beim Cloudanbieter Dropbox und mir dann z.B. ein kompromittiertes Dropbox-Update (rein fiktiv) installiert würde.
Sowas wäre der Traum eines jeden Crackers... und ist so ähnlich auch schon passiert.
Da ist dann aber die Frage, ob mich nicht ein guter, aktueller Virenscanner eventuell schützt.
Weil wenn das Dropbox-Update ausgeführt wird, dann habe ich höchstwahrscheinlich verloren. Bei den WIndows Updates steht dann "Alle aktuellen Updates bis heute installiert".
Am Ar*** bin ich dann aber trotzdem.

Um es mal von einer anderen Seite anzugehen. Ich verfahre in dieser Weise (Updates ja, aber stark verzögert) seit ca. 10 Jahren.
Die Anzahl der von mir erkannten Zwischenfälle liegt in dieser Zeit bei Null.

Warum kommt es nicht zu Problemen?
Alle PCs haben Windows Professional, einen aktuellen Virenscanner, einen aktuellen Webbrowser und eine hosts-Datei als Sperre gegen bekannte gefährliche Internetadressen.
Als Webbrowser wird nur Firefox mit ublock origin benutzt. Als Emailclient nur Thunderbird.
Kein MS-Office, keine Macros, kein Flashplayer, keine Cloudsoftware, keine unnötigen Software Updates, keine unnötigen Autostartprogramme, keine automatischen Windows Updates.
Die Anwender wissen in etwa wie gefälschte Mails aussehen, installieren keine Software und surfen nur auf bekannten, sicheren Seiten (meistens).

 

[Member]

Was noch fehlt, ist die Herleitung, wie man mich als Ziel ausmacht und die Motivation mich anzugreifen.
Weil erstmal steht nur mein Router mit öffentlicher IPv4-Adresse im Internet.
Dass ich einen Rechner habe und wenn ja, wie viele, kann man von außen nicht sehen.
Das ganze funktioniert also erst, wenn irgendwo eingebrochen wird, z.B. beim Cloudanbieter Dropbox und mir dann z.B. ein kompromittiertes Dropbox-Update (rein fiktiv) installiert würde.
Sowas wäre der Traum eines jeden Crackers... und ist so ähnlich auch schon passiert.
Da ist dann aber die Frage, ob mich nicht ein guter, aktueller Virenscanner eventuell schützt.
Weil wenn das Dropbox-Update ausgeführt wird, dann habe ich höchstwahrscheinlich verloren. Bei den WIndows Updates steht dann "Alle aktuellen Updates bis heute installiert".
Am Ar*** bin ich dann aber trotzdem.

Um es mal von einer anderen Seite anzugehen. Ich verfahre in dieser Weise (Updates ja, aber stark verzögert) seit ca. 10 Jahren.
Die Anzahl der von mir erkannten Zwischenfälle liegt in dieser Zeit bei Null.

Warum kommt es nicht zu Problemen?
Alle PCs haben Windows Professional, einen aktuellen Virenscanner, einen aktuellen Webbrowser und eine hosts-Datei als Sperre gegen bekannte gefährliche Internetadressen.
Als Webbrowser wird nur Firefox mit ublock origin benutzt. Als Emailclient nur Thunderbird.
Kein MS-Office, keine Macros, kein Flashplayer, keine Cloudsoftware, keine unnötigen Software Updates, keine unnötigen Autostartprogramme, keine automatischen Windows Updates.
Die Anwender wissen in etwa wie gefälschte Mails aussehen, installieren keine Software und surfen nur auf bekannten, sicheren Seiten (meistens).

Ich finde, du konzentrierst dich immer sehr auf deinen Router als einziges Einfallstor. Stell dir vor dein Haus ist mit einer guten Tür gesichert aber du lädst dir selber immer irgendwelche Leute ein, denen du nur bis zu einem gewissen Grad vertrauen kannst. Dann spielt die Tür keine Rolle mehr. Heute werkeln auf Smartphones, Laptops, PCs so viele Programme und Dienste, die über das Internet kommunizieren, denen du leider nur begrenzt vertrauen kannst. Oft wissen diese Programme gar nicht, dass sie selber kompromittiert wurden. Wie die verlinkte NSO Attacke zeigt, kannst du oftmals gar nichts dagegen unternehmen. Dur wirst auch oft nicht als Ziel vor dem Befall ausgesucht, sondern du bist vermutlich nur ein Kollateralopfer. Es gibt nicht viel zu holen.

Viren machen auch nicht direkt auf sich aufmerksam, sondern verhalten sich meist erstmal unauffällig und dann werden Komponenten nachinstalliert. Ein Virenscanner hilft dir meist nicht weil die Viren noch nicht erfasst wurden. Dann hilft eigentlich nur eine Endpoint Protection wie sie große Betriebe einsetzen. Da geht es um Verhaltenskontrolle und nicht um verdächtige Dateien. Zum Glück sind wir normalen User aber zu uninteressant, deshalb lohnt der Aufwand nicht. Gut möglich, dass du dir einen Virus eingefangen hast und dieser die ganze Zeit im Idle Modus war. Für Hacker warst du nicht interessant genug und weil du rechtzeitig gepatcht hast, konnte auch kein Skriptkiddy mehr deinen Rechner hijacken, verschlüsseln usw.

Es gibt auch Menschen die sind 10 Jahre gut ohne Krankenversicherung ausgekommen. Empfehlen würde ich das trotzdem nicht. Vor allem ist Patchen von normalen Arbeitsrechnern kein großes Problem. Man kann die Installationen so timen, dass sie eine Zeit fallen, in der meist nicht gearbeitet wird. Wenn es dann doch mal ruckelt, dann ist das immer noch besser zu verkraften als einen gehijackten Rechner.

 

[Member]

Ich finde, du konzentrierst dich immer sehr auf deinen Router als einziges Einfallstor. Stell dir vor dein Haus ist mit einer guten Tür gesichert aber du lädst dir selber immer irgendwelche Leute ein, denen du nur bis zu einem gewissen Grad vertrauen kannst. Dann spielt die Tür keine Rolle mehr. Heute werkeln auf Smartphones, Laptops, PCs so viele Programme und Dienste, die über das Internet kommunizieren, denen du leider nur begrenzt vertrauen kannst. Oft wissen diese Programme gar nicht, dass sie selber kompromittiert wurden. Wie die verlinkte NSO Attacke zeigt, kannst du oftmals gar nichts dagegen unternehmen. Dur wirst auch oft nicht als Ziel vor dem Befall ausgesucht, sondern du bist vermutlich nur ein Kollateralopfer. Es gibt nicht viel zu holen.

Viren machen auch nicht direkt auf sich aufmerksam, sondern verhalten sich meist erstmal unauffällig und dann werden Komponenten nachinstalliert. Ein Virenscanner hilft dir meist nicht weil die Viren noch nicht erfasst wurden. Dann hilft eigentlich nur eine Endpoint Protection wie sie große Betriebe einsetzen. Da geht es um Verhaltenskontrolle und nicht um verdächtige Dateien. Zum Glück sind wir normalen User aber zu uninteressant, deshalb lohnt der Aufwand nicht. Gut möglich, dass du dir einen Virus eingefangen hast und dieser die ganze Zeit im Idle Modus war. Für Hacker warst du nicht interessant genug und weil du rechtzeitig gepatcht hast, konnte auch kein Skriptkiddy mehr deinen Rechner hijacken, verschlüsseln usw.

Es gibt auch Menschen die sind 10 Jahre gut ohne Krankenversicherung ausgekommen. Empfehlen würde ich das trotzdem nicht. Vor allem ist Patchen von normalen Arbeitsrechnern kein großes Problem. Man kann die Installationen so timen, dass sie eine Zeit fallen, in der meist nicht gearbeitet wird. Wenn es dann doch mal ruckelt, dann ist das immer noch besser zu verkraften als einen gehijackten Rechner.

Ich weiß nicht, ich glaube wir haben, was das angeht, einfach eine andere Philosophie.
Meine Aussage war, dass ich bezweifle, dass dir im Fall des Falles dein kleiner Update-Vorsprung den Arsch rettet.
Dafür habe ich auch Beispiele gebracht.
Das Thema Router war eigentlich mehr die Einleitung des Beitrags und ich halte das so auch für richtig und wichtig.
Dass es keine anderen Angriffe gibt, habe ich nicht geschrieben, im Gegenteil.

Und übertragen auf den Alltag, könnte man auch sagen, die neuesten Updates sind so, wie wenn ich draußen nur mit Baustellenhelm spazieren gehe.
Der Baustellenhelm erhöht definitv meine Sicherheit. Sollte irgendwo ein Ziegelstein vom Dach fallen, bin ich geschützt.
Es ist zwar extrem unwahrscheinlich, dass mich beim Spazieren gehen ein Ziegelstein trifft, aber wenn er es tut, dann bin ich geschützt.
Wahrscheinlichkeiten. Es wird selten drüber geredet, aber dennoch spielen sie eine Rolle. Meiner Meinung nach.

 

[Member]

Und übertragen auf den Alltag, könnte man auch sagen, die neuesten Updates sind so, wie wenn ich draußen nur mit Baustellenhelm spazieren gehe.
Der Baustellenhelm erhöht definitv meine Sicherheit. Sollte irgendwo ein Ziegelstein vom Dach fallen, bin ich geschützt.
Es ist zwar extrem unwahrscheinlich, dass mich beim Spazieren gehen ein Ziegelstein trifft, aber wenn er es tut, dann bin ich geschützt.
Wahrscheinlichkeiten. Es wird selten drüber geredet, aber dennoch spielen sie eine Rolle. Meiner Meinung nach.

Das trifft es eigentlich ganz gut. Allerdings fallen nicht nur Ziegelsteine vom Dach, sondern wesentlich häufiger kackt auch mal ein Vogel von oben herunter. Da hilft dir dann schon ein Basecap. Umso länger du ungeschützt unterwegs bist, desto größer ist die Wahrscheinlichkeit von einem Vogel getroffen zu werden.

Während die Ziegelsteine die Profihacker darstellen, die eher gezielt lukrative Ziele angreifen, ist die Vogelkacke ein Skriptkiddy welches eine lange bekannte und bei dir nicht geschlossene Sicherheitslücke ausnutzt. Umso länger du vulnerabel bist, desto höher die Wahrscheinlichkeit angegriffen zu werden. Exploit Kits, welche bekannte Sicherheitslücken ausnutzen gibt es for free im Netz. Weniger bekannte oder unveröffentlichte Sicherheitslücken kosten dagegen Geld und werden gezielter eingesetzt.

 

[Member]

... ist die Vogelkacke ein Skriptkiddy welches eine lange bekannte und bei dir nicht geschlossene Sicherheitslücke ausnutzt.

Ich verstehe die Analogie und das stimmt so auch. Aber was würde das Skriptkiddie denn tun?
Bei mir nutzt keiner einfach eine Sicherheitslücke aus.
Natürlich kann ich das Skriptkiddie zum Kaffee einladen und an meinen freigeschalteten Windows PC setzen.

Umso länger du vulnerabel bist, desto höher die Wahrscheinlichkeit angegriffen zu werden.

Ansich ja. Aber zum Internet hin, bin ich gar nicht so verletzbar. Es darf mich jeder gerne heute schon angreifen.
Tatsächlich werde ich schon seit einigen Jahren täglich gescannt und wahrscheinlich auch angegriffen.

Exploit Kits, welche bekannte Sicherheitslücken ausnutzen gibt es for free im Netz. Weniger bekannte oder unveröffentlichte Sicherheitslücken kosten dagegen Geld und werden gezielter eingesetzt.

Klar gibt es Exploit Kits. Dann sollen sie mal Sicherheitslücken auf einem PC ausnutzen, der vielleicht gar nicht existiert.
Wenn es jemand schafft, meinen Router zu kompromittieren und in meinem Heimnetzwerk unterwegs zu sein, dann sehe ich so oder so schwarz.
Ob ein paar zusätzliche Windows Sicherheitspatches einen so guten und gewillten Angreifer auf Dauer davon abhalten, nicht auch dein System zu übernehmen, ist unbelegt.

Mir ist das alles viel zu unwahrscheinlich.
Wenn ich generell auf Unwahrscheinlichkeit setze, dann würde ich Lotto spielen und mich beim Spazieren gehen vom Blitz treffen lassen.
Ich verstehe natürlich deine Bestrebungen alles maximal abzusichern. Das ist in Ordnung und damit liegst du auch nicht falsch.
Ich schreibe hier nur meine Privatmeinung.
Und die ist, das ich mich nicht mehr verrückt mache und jeden Tag versuche, jede Software zu patchen, um eine tausendprozentige Sicherheit zu erreichen, die es ohnehin nicht gibt und nicht geben kann.
In der Rolle eines IT-Sicherheitsfachmanns, müsste ich das natürlich anders sehen.

 

[Member]

Ansich ja. Aber zum Internet hin, bin ich gar nicht so verletzbar. Es darf mich jeder gerne heute schon angreifen.
Tatsächlich werde ich schon seit einigen Jahren täglich gescannt und wahrscheinlich auch angegriffen.

Wenn es jemand schafft, meinen Router zu kompromittieren und in meinem Heimnetzwerk unterwegs zu sein, dann sehe ich so oder so schwarz.

Deshalb hatte ich im vorletzten Beitrag noch mal den Router angesprochen. Ich habe den Eindruck du überschätzt diesen in einer Sicherheitsstrategie. Initial werden glaube ich kaum noch Angriffe von außen über den Router ausgeführt. Du fängst dir einen Virus ein und der baut eine Verbindung zu einem Control & Command Server auf. Alles weitere geschieht dann über diese Verbindung. Da ist dein Router im Normalfall raus weil er nur eingehende Verbindungen blockiert. Über komplexere Firewallregelungen geht natürlich mehr, aber dann wird das Arbeiten auch schnell sehr unkomfortabel.

Wenn ich generell auf Unwahrscheinlichkeit setze, dann würde ich Lotto spielen und mich beim Spazieren gehen vom Blitz treffen lassen.
Ich verstehe natürlich deine Bestrebungen alles maximal abzusichern. Das ist in Ordnung und damit liegst du auch nicht falsch.

Patchen nimmt seit Jahren an Bedeutung zu. Früher dachten Sicherheitsexperten es würde reichen wenn man sein Netzwerk verrammelt und verriegelt. Die ersten Windowsversionen stellten überhaupt keine Sicherheits-Updates zur Verfügung. Heute weiß man, dass das bei der durchschnittlichen Nutzung schlichtweg nicht möglich ist. Alle Anwendungen und IoT Devices sind an irgendwelche Clouddienste angebunden. Viele Dienste lassen sich gar nicht mehr ohne Internet betreiben. Von daher trifft Patch es ja auch ganz gut. Es wird immer nur ein Loch gestopft, bis das nächste Loch da ist. Betriebssysteme, Software - alles viel zu komplex mit viel zu vielen Abhängigkeiten um das einmalig sicher zu entwickeln.

 

[Member]

Du fängst dir einen Virus ein

Das ist die Kritik, die ich bei dir da habe. Nein, ich fange mir keinen Virus ein!

und der baut eine Verbindung zu einem Control & Command Server auf. Alles weitere geschieht dann über diese Verbindung. Da ist dein Router im Normalfall raus weil er nur eingehende Verbindungen blockiert. Über komplexere Firewallregelungen geht natürlich mehr, aber dann wird das Arbeiten auch schnell sehr unkomfortabel.

Ja, das stimmt. Aber ohne einen Virus auf meinem PC, gibt es auch kein Control & Command.

Patchen nimmt seit Jahren an Bedeutung zu. Früher dachten Sicherheitsexperten es würde reichen wenn man sein Netzwerk verrammelt und verriegelt. Die ersten Windowsversionen stellten überhaupt keine Sicherheits-Updates zur Verfügung. Heute weiß man, dass das bei der durchschnittlichen Nutzung schlichtweg nicht möglich ist. Alle Anwendungen und IoT Devices sind an irgendwelche Clouddienste angebunden. Viele Dienste lassen sich gar nicht mehr ohne Internet betreiben. Von daher trifft Patch es ja auch ganz gut. Es wird immer nur ein Loch gestopft, bis das nächste Loch da ist. Betriebssysteme, Software - alles viel zu komplex mit viel zu vielen Abhängigkeiten um das einmalig sicher zu entwickeln.

Da bin ich ganz bei dir.

 

[Member]

Hab mir auch immer gedacht wie unwahrscheinlich es ist, dass es gerade mich erwischt. Und dann hat so ein Scriptkiddy meinen Pi gehackt und eine Spammailsoftware drauf installiert. Der Pi hatte keine wichtige Funktion, hat mir aber das Netzwerk überlastet und da ich gerade unterwegs war hab ich einen Freund bitten müssen in die Wohnung zu gehen und das Teil abzuschalten, da ich remote nicht mehr an meinen PC kam.
War aber selber schuld, Standardinstallation und schwaches Passwort. Das Scriptkiddy war übrigends aus China, hab die IP gegoogelt und diese wurde bereits 1000x reportet.

 

[Member]

Hab mir auch immer gedacht wie unwahrscheinlich es ist, dass es gerade mich erwischt. Und dann hat so ein Scriptkiddy meinen Pi gehackt und eine Spammailsoftware drauf installiert. Der Pi hatte keine wichtige Funktion, hat mir aber das Netzwerk überlastet und da ich gerade unterwegs war hab ich einen Freund bitten müssen in die Wohnung zu gehen und das Teil abzuschalten, da ich remote nicht mehr an meinen PC kam.
War aber selber schuld, Standardinstallation und schwaches Passwort. Das Scriptkiddy war übrigends aus China, hab die IP gegoogelt und diese wurde bereits 1000x reportet.

Das klingt für mich so, als hätte der Raspi mit geöffnetem SSH-Port (22) und schwachem Passwort am Internet gehangen (Portforwarding?).
Da sollte man vorher Wissen, welche Risiken das birgt. Hätte man kommen sehen können.
Einige mögen mir widersprechen, aber das Verlegen des Port 22 auf einen sehr hohen Port, über 1024 lässt die simplen SSH-Scan-Skripte schonmal ins leer laufen,
weil die stumpf auf Port 22 verbinden wollen. Das andere wäre dann ein sicheres Passwort. Habe auch schon die Empfehlung gehört die Anmeldung nur mit Zertifikaten zu erlauben.
Finde ich weniger praktisch, sicherer dürfte es aber sein.

Ich hatte sowas ähnliches vor ein paar Monaten mal kurz laufen lassen, aber als SSH-Teergrube (langes Video von SemperVideo)
Da sollen die SSH-Scan-Skripte der Angreifer dann jeweils möglichst lange drin stecken bleiben.
Allerdings haben die sich schon ein Stück weit dran angepasst und arbeiten jetzt mit kürzeren Timeouts - wer hätts gedacht.
Da ist so mancher in den Youtube-Kommentaren davon überzeugt, damit würde man den SSH-Angreifern so richtig das Leben schwer machen, was leider Unsinn ist.

 

[Member]

SSH Port ändern.
Verbindung nur über Key zulassen. Keine Passwörter.
Fail2ban laufen lassen. Schützt auch andere Dienste.
Und dann gibt es noch Portknocking.