Sonntag, April 28, 2024

Das böse Büro

Uriel Fanellis Blog in deutscher Sprache

Uriel Fanelli

Accher in Latium, Interview mit einem Experten.

Das Böse Büro 0 Comments

Accher in Latium, Interview mit einem Experten.

In Bologna heißt es, je mehr man es verpisst und desto mehr stinkt es, was gewissermaßen das Gegenteil von "in Caciara werfen" ist. Dieses Sprichwort gilt für öffentliche Diskussionen, die am besten NICHT öffentlich geführt werden, aus dem einfachen Grund, dass im Verlauf der Diskussion Details auftauchen, die den Ruf der Teilnehmer NICHT verbessern.

Und es ist das Problem, das entsteht, wenn die Leute, die der Diskussion zuhören, Experten auf einem bestimmten Gebiet sind, die in der Lage sind, aus den Details, die auftauchen, peinliche Dinge abzuleiten. Die Region Latium hat sich offenbar dafür entschieden, es "in caciara zu werfen", wenn das Beste "respektvolles Schweigen der laufenden Ermittlungen" gewesen wäre.

Das Ergebnis ist, dass ihre "Sicherheitsmaßnahmen" bereits in allen Kantinen jeder seriösen IT-Abteilung ein Witz sind, denn was sie sagen "um das Gesicht zu wahren" offenbart Dinge, die definitiv kein Gesicht wahren.

Um dies zu klären, habe ich mich entschieden, einen Experten zu interviewen, dem ich sehr vertraue: mich selbst. 26 Jahre Erfahrung in der IT, einschließlich Supercomputing, Zugangsnetz (sowohl Mobilfunk als auch Glasfaser) und verschiedenen Infrastrukturen, einschließlich Banken. Lasst uns beginnen.

Um dem Ganzen eine „accher“-Atmosphäre zu verleihen, beschloss ich, als Herr Stakkah, kurz für Alfred StaccaStaccah von Cistannotracciandoh, aufzutreten. Sehr gebräuchlicher Name in Pommern, wie jeder weiß.

  • Herr Staccah, wir sehen Sie ziemlich kritisch gegenüber dem, was aus der Untersuchung des Eindringens in die Systeme der Region Latium hervorgeht. Die für den Fehler verantwortliche Person scheint jedoch identifiziert worden zu sein.
  • Sagen wir, sie haben den armen Kerl gefunden, der alles auf sich nimmt. Dies überrascht mich nicht, wenn man bedenkt, wie schlampig die Filter sind. Denn auch wenn es so wäre, wie es heißt, es zeigt deutlich, wie viel Schlamperei da war.
  • In welchem ​​Sinne?
  • Stellen Sie sich vor, nach einem Diebstahl von einer großen Bank entdeckte jemand den Komplizen: Der Metzger vor ihm hatte die Schlüssel zur Bank und sie stahlen sie, weil er sie an einem Nagel hängen ließ. Nun, der Metzger ist sicherlich ein wesentliches Glied in der Kette der Ereignisse, und vielleicht war es nicht ratsam, den Schlüssel an einem Nagel hängen zu lassen, aber finden Sie es nicht seltsam, dass eine Bank den Schlüssel zu allem dem Metzger gegenüber gibt? ? Finden Sie dies eine gute Praxis?
  • Und was würde diese schlechte Praxis des Metzgers entsprechen?
  • Nein, es war kein Beispiel. Und nicht einmal eine Metapher. Ich habe nur erklärt, dass „wir dem Metzger die Schlüssel zur Bank gegeben haben“ kann keine Erklärung sein, im Gegenteil, es verschlimmert die Situation. Und ich meine, selbst wenn die gesamte Cybersicherheit dieser Einrichtung auf den Schultern dieses Kerls lag, das Problem ist, dass alles auf den Schultern dieses Kerls im Innenministerium lag.
  • Das Homeoffice hat dann nichts zu tun?
  • Es würde zu lange dauern, die Flut von Bullshit zu entlarven, die das Innenministerium beschuldigt. Drehen wir es aus der richtigen Perspektive: Glauben Sie, dass ein Netzwerk, das Dienste über das Internet anbietet, nur deshalb sicherer ist, weil wir Mitarbeiter in einem Gebäude eingesperrt haben, während Piraten überall hinziehen können?
  • Fügt das Homeoffice Unsicherheit hinzu?
  • Hier ist der seltsame Glaube. Sie kennen das Konzept von "Perimeter" und "Perimetersicherheit" nicht. Entweder befinden Sie sich innerhalb eines Perimeters oder Sie befinden sich außerhalb des Perimeters. Es ist klar, dass sich alle Computer in einem Netzwerk in einem bestimmten Umkreis befinden sollten, unabhängig davon , wo sie sich physisch befinden. Und das ist möglich. Auch im Homeoffice. Der Perimeter muss gut gebaut sein. Aber Perimeter bedeutet nicht unbedingt "physische Infrastruktur".
  • Was bedeutet es?
  • Das bedeutet zum Beispiel, dass fast alle ernsthaften multinationalen Unternehmen den Leuten erlauben, Firmenpost mit einem Firmenhandy zu lesen. Nehmen wir den interessanten Fall einer Person, die nach Stunden E-Mails liest. Dies, Ma'am, ist bereits Home Office , aber die Peons merken es nicht, weil wir ein Handy anstelle eines Computers benutzen. Wenn dies Ihrer Meinung nach jedoch gefährlich ist, sollten wir alle Mitarbeiter bitten, die Firmenzellen im Unternehmen zu verlassen, die nur mit dem Firmen-WLAN verbunden sind. Herzlichen Glückwunsch: Wir haben das erste „im-mobile phone“ der Geschichte erfunden: Der Kürze halber nennen wir es Tischfernsprecher oder Fernsprechtischapparat. Brillant.
  • Aber das Handy kann geschützt werden, wenn der Domänencontroller die Kontrolle darüber übernimmt.
  • Übernehmen Sie die Kontrolle über ein Handy, das mit einem Markt verbunden ist, von dem Sie jeden Müll installieren können? Interessant. Mit einigen Technologien und einer bekannten Handymarke zwar möglich, aber wie viele tun es? Und … war es geschehen? Sein Vorschlag, alle vom Büro aus zur Arbeit zu bringen, bedeutet also einfach, dass sie per E-Mail auf ihrem Mobiltelefon oder über eine App auf ihrem Mobiltelefon kontaktiert werden… und der Vektor des Angriffs wird das Mobiltelefon und nicht der PC sein . Ist das alles seine Verbesserung?
  • Wie entsteht das Problem?
  • Es entsteht dadurch, dass es, wie gesagt, einen Umkreis gibt. Entweder Sie befinden sich innerhalb des Perimeters (und damit GETRENNT von außen), oder Sie haben Kontakt nach außen (über Ihr Heimnetzwerk oder Ihren Telefonanschluss) und befinden sich dann NICHT im Firmennetzwerk. VPNs können dafür eine Netzwerkaufteilung erzwingen. Aber es gibt viel zu sagen über das VPN.
  • In welchem ​​Sinne?
  • In dem Sinne, dass ich höre "sie haben den VPN-Benutzernamen und das Passwort genommen". Interessant. Aber ein VPN hat mehr: Es hat Zertifikate und Schlüssel. Die normalerweise nicht für Domänenbenutzer zugänglich sind, sondern nur für Administratoren und nur während sie als solche angemeldet sind. Dies setzt jedoch voraus, dass Sie jemandem erlauben, sich im VPN als Administrator am Laptop anzumelden. Wer hat diese Richtlinie geschrieben?
  • Aber ein Virus könnte den Laptop treffen und trotzdem Anmeldeinformationen und sogar Zertifikate und Schlüssel stehlen.
  • Klar, und wenn meine Großmutter ein Rad hätte, wäre es eine Schubkarre. Wissen wir, dass dies passiert ist? Okay, dann sagen wir einfach, wir wissen es. Auch hierfür gibt es Abhilfen wie die Zwei-Faktor-Authentifizierung, von denen einer der beiden Faktoren (ein RSA-Token, ein Yubikey oder ein Authentifikator auf dem Handy) das Problem abmildern könnte. Aber es gab kein 2FA. Sind wir also immer noch am Punkt „Wer hat die Perimetersicherheit entworfen?“?
  • Aber so effektiv es auch ist, was können wir tun, wenn der Sohn unseres Administrators zu Computern geht, ein Konto erstellt und auf die Pornoseite geht?
  • Herr Stakkah: Mir ist klar, dass man krank werden kann, wenn man mit Prostituierten rumhängt. Dies bedeutet jedoch nicht, dass Sie sich beim Besuch einer Pornoseite Computerviren einfangen. Es kann auf kleineren Pornoseiten passieren, aber die größeren sind sehr sicher, manchmal mehr als Google oder Microsoft. In jedem Fall geht es darum, dass Computer überwacht und auditiert werden können. Wenn Sie sich INNERHALB des Perimeters befinden, sollten Sie NUR mit Unternehmens-Proxys ins Internet gehen, die offensichtlich Pornos und gefährliche Websites blockieren. Einige verfügen sogar über Antivirenprogramme, die Malware während der Übertragung blockieren.
  • Aber wenn es immer noch ein unbekannter Virus ist, wird es nicht funktionieren.
  • Wahr. Wir reden immer davon, Sicherheitsprobleme zu MINDERN, und wir reden von "Best Practices", nie von "Dingen, die mit Sicherheit immer und in jedem Fall funktionieren". Aber soweit bisher veröffentlicht, ist die eingesetzte Malware seit Jahren bekannt und es gibt mindestens 3 bekannte und bestimmte Botnetze. Wo ist Nulltag? Hier geben wir eine weitere schlechte Praxis ein: Die Daten sind noch verschlüsselt, die Auswirkungen des Angriffs sind noch vorhanden, es ist nicht bekannt, wie viele Hintertüren nach der Infektion geöffnet sind, aber die Namen der Malware beginnen zu laufen . Eine Einladung. Siehe unter „Es war besser, die Klappe zu halten.“ Auf jeden Fall fragt man sich, warum es möglich gewesen wäre, von „innerhalb“ des Perimeters Pornoseiten zu besuchen. War der Perimeter geschlossen? Über die Praxis der gemeinsamen Nutzung eines Computers innerhalb des Umkreises (Kinder oder nicht) fällt ein erbärmlicher Schleier. Es sollte nicht einmal MÖGLICH sein. Und es gibt Mittel, um es zu vermeiden. ABER die Mängel sind immer noch zahlreich und aus dem, was sich herausstellt, offensichtlich. Zum Beispiel gab es keine Sicherung.
  • Aber das stimmt nicht: Das Backup existierte, aber es war verschlüsselt.
  • Nein, das Backup ist per Definition offline . Ein Backup, das online bleibt (und daher bearbeitet werden kann), ist kein Backup. Es ist nur eine Spiegelung, eine Schattenkopie, nennen Sie es wie Sie wollen, aber das Backup ist per Definition offline. Und diese Geschichte soll den Skeptikern verdeutlichen, was die Gefahr ist und was der Unterschied ist: denen, die glauben, dass das Backup online sein kann und in diesem Punkt Produkte von mehr oder weniger cialtronic-Firmen kaufen. Wenn das Backup offline ist (zB auf Band und das Band ist aus den Schubladen), kann niemand es ändern. Also sorry: eine Schattenkopie existierte, wenn man einen Spiegel wollte, aber kein Backup.
  • Aber Sie können die Sicherung mit einer Versionierung versehen und dann möglicherweise nur die letzte Kopie ändern.
  • Aus dem Backup-System, sicher. Das Problem tritt auf, wenn jemand Ihr Dateisystem verschlüsselt, wo sich die alten "unveränderlichen" Versionen befinden. Ich wiederhole: Offline bedeutet Offline. Ich weiß, es ist unbequem, ich weiß, es ist teuer, aber man fragt sich, ob es das auf Dauer wirklich ist.
  • Ist es nicht einfach, im Nachhinein zu reden?
  • Natürlich. Aber das Wort "dann" bezeichnet einen Zeitpunkt. Lassen Sie uns versuchen , diesen Moment zu erkennen: der erste Angriff dieser Art etwa zehn Jahren aufgetreten vor und es gibt Spuren von ähnlichen Dingen seit 1989 jedoch solche , die auf eine starke Verschlüsselung wurde nur ein Geschäft im Jahr 2006. Wir im Nachhinein eingetaucht werden dann für eine. Jahrzehnt. Es ist für mich genauso einfach zu sprechen wie für diejenigen, die diese Infrastruktur verwaltet haben. Aber für den Manager dieses Rechenzentrums scheint es nicht ganz einfach zu sein.
Accher in Latium, Interview mit einem Experten.
Accher in Latium, Interview mit einem Experten.
https://www.varonis.com/blog/a-brief-history-of-ransomware/
  • Berühren'. Doch die Region Latium scheint nicht die einzige zu sein, die angegriffen wird.
  • Hier kommen wir zu einem anderen katastrophalen Verständnis des Managements des „Danach“, also der Kommunikation. Ein Unternehmen, das nichts damit zu tun hatte, mischte sich ein, es hieß, „das passiert auch in den Niederlanden“, indem es Nachrichten aufblähte oder sogar erfand.
  • Aber Engineering erlitt gleichzeitig ein paar Angriffe.
  • Sogar seinen Heimrouter und seine Zeitung. Alles, was dem Internet ausgesetzt ist, wird ständig angegriffen. Ich kann mir vorstellen, dass die Website des Weißen Hauses in diesem Moment angegriffen wurde, ohne dass ein Computer eingeschaltet wurde. Weil es auf allen Seiten passiert. Engineering ist eine mir bekannte Beratungsfirma, die an geschäftskritischen Projekten arbeitet, daher ist es offensichtlich, dass sie ständig Angriffe erhalten haben. Ich kann Ihnen sagen, dass Engineering, wie Accenture, Mc Kinsey, Roland Berger und andere, selbst in diesem Moment angegriffen werden. Aus dem einfachen Grund, dass sie IMMER angegriffen werden oder zumindest VERSUCHT angegriffen werden. Es war töricht, diese Nachricht zu veröffentlichen.
  • Aber die Caciara tut nicht weh.
  • Sie haben gerade dem Beratermarkt erzählt, dass Sie einen zufälligen Mistregen riskieren, wenn Sie die Region Latium berühren. Wirklich eine Einladung, ihr Lieferant zu werden: Wer dies in Zukunft tut, wird so tun, als würde er nicht erwähnt, oder einen Vermittler in den Weg stellen, um seinen Namen zu verbergen. Was sicherlich die Kosten erhöhen wird, da niemand Risiken eingeht, ohne Geld zu verdienen. Schaden über Schaden über Schaden. Zumindest inkompetente Nach-Unfall-Kommunikation .
  • Aber selbst in den Niederlanden haben sie ein solches Problem, einen echten Notfall.
  • Der gesamte Planet befindet sich aus zwei Gründen in einem Sicherheitsnotstand. Erstens, dass Investitionen in Sicherheit immer als Belastung und nicht als Wert betrachtet werden, zweitens, dass alle digitalisieren wollen, alle die Märkte versprochen haben, aber kaum jemand die Kosten und Auswirkungen all dessen GUT eingeschätzt hat. Die Folge ist, dass der Bedarf an Spezialisten enorm ist, Nicht-Spezialisten sich als Spezialisten ausgeben und so weiter. Aber Holland geht es nicht schlechter als Italien: Es hat einfach mehr Fintech und mehr Digitalisierung. Diese Sache mit der Erwähnung von Holland macht keinen Sinn und war nur für Caciara. Den Franzosen geht es sozusagen nicht besser.
  • Um auf das Thema zurückzukommen, es ist jedoch klar, dass sich alles um diesen Herrn drehte, der von zu Hause aus arbeitete
  • Und denen, die ihm unsichere Wege gegeben haben, es zu tun. Und an diejenigen, die einen Spiegel genommen und als Backup ausgegeben haben. Aber das ist nicht die einzige Katastrophe, die ich sehe.
  • Und welche siehst du?
  • Den Zeitungen zufolge eskalierte die Malware, nachdem sie den Home-Office-Computer getroffen hatte, die Privilegien auf Domänencontrollern und hakte sich selbst an ein Botnet an. Von denen er dann die echte Ransomware installierte. Die Tatsache, dass jemand aus dem Inneren des Netzwerks heraus Kontakt zu einem Botnet aufnehmen kann, verwirrt mich jetzt schon. Sie sind bekannte und überwachte IPs. Daher gab es keine IDS, Alarmsysteme, Ausreißererkennung. Tatsächlich wusste niemand genau, was die Computer in diesem Netzwerk taten.
  • Aber das ist Science-Fiction, nicht wahr?
  • Nein, es ist seit mindestens 15 Jahren im Geschäft, in jeder seriösen Unternehmensstruktur. Es stimmt, dass privat NICHT perfekt ist, und es gibt auch Unternehmensstrukturen, die zehn, fünfzehn Jahre zurückliegen. Ich nenne sie "Kim Jong-uns Geburtstagspartys": der Ort, an dem sich Drehbuch-Kiddies versammeln, um zu feiern, Rockmusik zu spielen und andere Dinge zu tun, die der Teufel mag. Es gibt auch viele in der PA. Und einige scheinen darauf ausgelegt zu sein.
  • Meinst du Latium?
  • Ja, laut den Zeitungen, nachdem Sie die Domäne bestiegen haben, in der ein typischer "Büro"- oder "Backoffice"-Computer angeschlossen war; oder wie es in der lokalen Sprache heißt, die Malware griff Produktionsmaschinen an. Aber das sollte nicht möglich sein, es sei denn, die Produktionsmaschinen befinden sich im selben Netzwerksegment, es gibt eine Firewall dazwischen, Sie greifen nicht über Bastion Host oder Jumpbox, wie Sie wollen, darauf zu. Hier haben wir Produktionsmaschinen, die direkt aus dem Netzwerk, in dem sich die Mitarbeiter befinden, erreicht werden können, ohne jegliche Trennung oder Trennung. All das riecht nach Entenbrust, und ich schikaniere sie. Offensichtlich…
  • Offensichtlich?
  • All dies ist offensichtlich so wahr wie das, was die Zeitungen geschrieben haben. Das Problem ist, ob Sie Journalisten die Wahrheit gesagt oder alles erfunden haben. Das Interview mit dem vermeintlichen Täter an allem, sowie die Tatsache, dass Engineering auf eine sakrosankte Pressemitteilung zurückgreifen musste, lässt mich denken, dass Sie Zugang zu Dokumenten einer laufenden Untersuchung haben und diese veröffentlichen, was eine große Katastrophe ist .Katastrophe. Aber ja, lassen Sie uns Details einer Untersuchung nennen, während die Post nach den Schuldigen sucht, was könnte möglicherweise schief gehen?
Accher in Latium, Interview mit einem Experten.
Accher in Latium, Interview mit einem Experten.
  • Aber es ist legal, dies zu tun.
  • Es ist auch legal, mir jetzt einen Blowjob zu geben, aber sie tut es nicht. Es muss nicht alles legal sein.
  • Aber die Leute haben ein Recht darauf, es zu erfahren. Und sie wollen es wissen.
  • Übrigens saugt sich mein Schwanz nicht von selbst. Aber, ich wiederhole, was die Leute wollen, ist nicht wirklich relevant, wenn eine Untersuchung im Gange ist und gerichtsmedizinische Untersuchungen im Gange sind. Die Tatsache, dass ich einen Blowjob möchte oder informiert werden möchte, zwingt niemanden zu etwas. Es ist auch nicht ratsam, auf einen Sündenbock hinzuweisen.
  • Und warum ist es unklug zu verraten, dass es einen Täter gibt?
  • Erstens, denn wenn Sie einen Mann in einer unsicheren Einrichtung arbeiten lassen, können Sie ihm nicht vorwerfen, das Problem verursacht zu haben . Sie müssen sehr sicher sein, dass Sie nachweisen können, dass alles von den Pornoseiten stammt, die Ihr Sohn besucht. Wird beispielsweise keine Spur gefunden, liegt nicht alles am Einsatz des Computers, sondern an der Sicherheit der Homeoffice-Infrastruktur. Aber das ist auch nicht der Punkt.
  • Und welches'?
  • Das Problem ist, dass es seit Kaiser Titus kein Sicherheitsverfahren mehr ist, eine schwarze Ziege zu nehmen, sie des Bösen zu beschuldigen und sie aus einer Schlucht zu werfen. Die Region Latium ist jetzt nicht mehr sicher, im Gegenteil.
  • Weil'?
  • Denn sobald klar ist, dass die Region auf Störungen reagiert, indem sie einen zufälligen Mitarbeiter aus einer Gletscherspalte wirft , und genau wissen, dass die Perimetersicherheit scheiße ist, werden die anderen Mitarbeiter wie gewohnt reagieren: Sie werden NUR das tun, was angefordert wird, WENN es verlangt wird , wenn es SCHRIFTLICH gewünscht wird , und sie werden so wenig wie möglich tun . Da Sicherheit ein Thema ist, das Proaktivität erfordert, haben wir eine IT-Abteilung praktisch entmannt. Um Vorwürfe von Kollegen zu vermeiden, werden sie auch die Teamarbeit einstellen, damit kein Kollege sagen kann, "aber er war derjenige, der gestern dort gearbeitet hat". So wird die Kommunikation auf das notwendige Minimum reduziert. Ergebnis: ein absolut dysfunktionales Team. Was könnte möglicherweise falsch laufen?
  • Warum sagen Sie "ein zufälliger Mitarbeiter"?
  • Herr Stakkah: Weil wir davon ausgehen, dass der fragliche Computer angegriffen wurde, weil „der Sohn damit spielt“ oder andere Spekulationen über Pornofilme. Aber wenn Sie mit einer Infektion konfrontiert sind, müssen Sie sich nicht nur fragen, "wo hat der Angriff begonnen", sondern "wo könnte er beginnen?". Vielleicht waren es zehn oder hundert infizierte Computer, und der Angriff begann erst damit. Die Tatsache, dass die Privilegieneskalation von diesem Computer im Heimbüro aus begann, bedeutet jedoch nicht, dass er der einzige Computer war, der kompromittiert wurde. Es könnte sich um einen zufälligen in einer Gruppe von 100 infizierten Computern gehandelt haben. Und vielleicht begann die Infektion von einem anderen Computer aus.
  • Aber das ist Spekulation.
  • Wir sprechen über Malware, die Domänencontroller übernommen hat. Und dann ging es für Produktionsserver. Aber vom Domänencontroller aus sehen Sie die gesamte Domäne. Am sichersten ist es für den Hacker, alles zu infizieren, auch die Computer anderer Kollegen im Homeoffice. Sicher, es ist Spekulation, aber es ist nicht selbstverständlich, dass jemand nur Sonntagsbesteck stiehlt, aber nicht Samstagsbesteck. Das wäre wirklich Spekulation. Aber es ändert nichts an dem Punkt.
  • Das ist'?
  • Herr Stakkah: Das heißt, dieser Mitarbeiter arbeitete in einer Perimeter-Situation, die genauso unsicher war wie jeder andere Mitarbeiter im Homeoffice . Angenommen, nur er wurde gewaschen, ist reines Delirium. Jeder mag Pornos, das Baby ist seit ein paar Milliarden Jahren Mainstream auf diesem Planeten.
  • Stimmt, aber es ist sehr theoretisch. Die Fakten sagen, dass alles von diesem Computer aus begann.
  • Nein. Laut dem, was ich gelesen habe, steht, dass der Angriff mit bestimmten Anmeldeinformationen durchgeführt wurde . Sie sind zwei verschiedene Dinge. Es ist das Wort "alles", das kostenlos ist. Ich wiederhole, wenn wir dem Metzger gegenüber die Schlüssel zur Bank geben, geht der nächste Diebstahl zwar beim Metzger los, und vielleicht hätte er die Schlüssel nicht an einem Nagel an der Wand hängen lassen sollen, aber wir müssen Fragen Sie sich immer, wer die Entscheidung getroffen hat, dem Metzger die Schlüssel zu geben. Die Schlamperei ist immanent.
  • Gut, wechseln wir das Thema. Draghi hat eine Sicherheitsbehörde eingesetzt.
  • Das ist gut, aber diese Agenturen lösen nichts, sie beschränken sich auf das Bewerten und Standardisieren: Ihre Hauptaufgabe besteht nicht darin, Unternehmen oder die PA zu beraten, sondern gemeinsame Praktiken zu geben und die Regierung zu informieren, wie es das Bfdi in . tut Deutschland. Aber gemeinsame Praktiken sind notwendig, aber nicht ausreichend, und das Problem ist nicht nur die IT.
  • Was bedeutet es?
  • Das heißt, wenn wir Mitarbeiter haben, die im Homeoffice in einem unsicheren Umkreis arbeiten, das Netzwerk nicht sehr segmentiert ist und es keine Ausreißererkennungssysteme gibt, und mehr, eine gute Untersuchung fast immer eine böse Einkaufspolitik findet, oder wenn er ein Beschaffungssystem bevorzugt, das dem Menschen nicht verständlich erscheint, sondern nur den Komodo-Affen. Auf diese Weise wächst eine zu teure Infrastruktur mit inkonsistentem Design. Diese Infrastruktur schluckt das Geld, das für die Sicherheit aufgewendet werden musste, und verfügt außerdem nicht über die Einfachheit, die eine Überwachung und Einbindung in einen beschreibbaren und beobachtbaren Perimeter ermöglicht.
  • Könntest Du das erläutern?
  • Laut Leaks in der Presse ging die Post zurück zum Sündenbock, indem sie sich die Protokolle ansah. Nun, ich weiß nicht, was eingeloggt war, aber wenn das für die Post reicht, dann gibt es viele Systeme, die die Protokolle kontinuierlich beobachten und Alarme ausgeben können. Aber die Post brauchte dafür zwei Tage: Entweder gab es keinen Katalog von Daten und Protokollen, oder es gab kein automatisches System, das sie ausliest, um Alarme auszulösen. Wenn Protokolle obligatorisch sind, ist das Netzwerk nun beobachtbar. Wenn jemand Protokolle führt und jemand nicht, dann ist das Netzwerk nicht wirklich beobachtbar. Ein konsistentes Netzwerk produziert konsistente Protokolle in einem hoffentlich ziemlich homogenen Format und sendet sie an ein Überwachungssystem. Wenn es sich um ein entworfenes Netzwerk handelt. Wird das Netzwerk hingegen von Verträgen diktiert, dann tauchen Stücke auf, ohne dass es ein Projekt gibt. Und wenn Sie kein Projekt haben, funktioniert nichts.
  • Ich verstehe immer noch nicht.
  • Gehen wir Schritt für Schritt vor. Wir wollen nicht, dass das noch einmal passiert, oder? Wenn Sie also nicht glauben, dass das Problem dadurch gelöst wird, dass eine schwarze Ziege aus einer Gletscherspalte geworfen wird, müssen Sie verstehen, in welchem ​​​​Zustand sich die Sicherheit dieser Infrastruktur befindet und WARUM sie sich in diesem Zustand befindet. Nehmen Sie alle Verträge und sehen Sie, wie viel sie für die Sicherheit ausgegeben haben. Wenn die Zahl ausreicht, werden wir verstehen, welches Sicherheitskonzept sie verfolgten. Abgrenzung? Legitimation? Welche Gestaltung gab es? Warum gehörten zum Stand der Technik nicht getrennte Produktions- und Backoffice-Maschinen? In jedem Fall ist das Problem höher.
  • Vielleicht hatten sie nicht genug Budget.
  • In diesem Fall gibt es mehrere Tricks, um daraus herauszukommen. Beispielsweise entziehen Sie unsicheren Systemen Kapazitäten und verwenden das Budget für Sicherheitssysteme. Kurz gesagt, diese Malware existiert seit Jahren, weil es möglich war, die Domänencontroller anzugreifen, bleibt unter der Überschrift "OS Security Patch". Warum waren die Server nicht aktuell genug, um eine alte und bekannte Malware einzuschleusen? Weil Wartung und Patching als Opex betrachtet werden und Finanzkontrolleure es vorziehen, Investitionskosten zu sehen. Sie kaufen lieber neue Server oder kaufen die neueste Version des Betriebssystems und fragen Sie "aber im neuen Betriebssystem sind diese Patches vorhanden, oder?". Das Problem ist, dass das neue Betriebssystem nach einem Monat ohne Patches bereits anfällig ist.
  • Aber das Homeoffice kam wegen des Covids, es war unberechenbar.
  • Ballen. Das Homeoffice gibt es schon seit Jahrzehnten, Cisco hat in Italien vor fünfzehn Jahren von zu Hause aus arbeiten lassen. Wenn dieser CED einhundertdreißigtausend Tote braucht, um den Stand der Technik zu implementieren, werden die Hacker offensichtlich immer weiter vorne sein. Und dann, ich wiederhole, wenn sie geschäftliche E-Mails von ihrem Handy liest (und vielleicht antwortet), macht sie Home-Office. Vielleicht kein Smartworking, aber Home-Office auf jeden Fall. Entsprechend wird das Homeoffice seit Jahrzehnten genutzt: Es ist einfach so, dass sich noch nie jemand genug über das Handy als Angriffsfläche Gedanken gemacht hat und wer sein Arbeitshandy mit nach Hause bringt, macht Homeoffice ein anderes Werkzeug als den Computer.
  • Kommen wir also zurück zum Budget. Aber jetzt kommt der Recovery Plan, der die Digitalisierung forciert. Sollten wir also mehr in Sicherheit investieren?
  • HIER müssen wir eines ein für alle Mal verstehen. Erzwingen Menschen und Organisationen sein digital funktioniert nicht. Es funktioniert, wenn Sie nur eine zufällige Beschaffung durchführen möchten. Die Digitalisierung erfordert einen radikalen Kulturwandel: sonst bekommen wir, was schon da ist, also WEBSITES NUR ZU BÜROZEITEN GEÖFFNET: https://www.repubblica.it/tecnologia/blog/stazione-futuro / 2020/09/15 / news / i_siti_web_della_pa_che_chiudono_la_notte_and_il_weekend-299509713 / Und wenn es keine Kultur der Informationssicherheit gibt, weil die Investitionen in die Sicherheit schon früher niedrig waren, wird der Anteil auch weiterhin so sein. Die gleichen Fehler werden gemacht, nur größer.
  • Es gibt also keine Hoffnung?
  • Im Gegenteil: Aber bei den IT-Führungskräften der öffentlichen Verwaltung braucht es einen gigantischen Umsatz. Wir müssen zunächst eine Kultur beseitigen, die von Ihnen verlangt, Ihr Budget auf eine bestimmte Art und Weise auszugeben, die Sie auf eine bestimmte Art und Weise beschaffen muss, die Sicherheit (z. Geld auf das Problem zu werfen hilft nicht, es nährt nur das Problem. Das erste, was ein Tumor tut, ist der Aufbau der Blutgefäße, die zur Nahrungsaufnahme dienen.
  • Würde es helfen, eine bestimmte Quote von Investitionen in Sicherheit vorzuschreiben?
  • Wir müssen verstehen, was "Sicherheit" ist. Sogar das Design des Netzwerks ist "Sicherheit", aber der Zweifel ist, dass es alles für Firewalls und Antivirus ausgeben würde. Um es klar zu sagen: Sie dienen wie Brot. Aber Sicherheit hat (auch) sozusagen viel mit Know-how zu tun. Wenn Sie mir hunderttausend Firewall-Appliances von Juniper kaufen und mein Netzwerk nicht kompetent umgestalten, ist es nutzlos. Sicherheit hat AUCH viel damit zu tun, dass jede Software sozusagen auf den neuesten Patch aktualisiert wird. Aber es ist eine Betriebsausgabe und die „Mumienmanager“ dort wollen es nicht. Sie ziehen es fast vor, die Betriebssystemversionen zu wechseln oder einen neuen Server zu kaufen, wenn sie das Geld haben. Aber nach ein paar Monaten ohne Patches ist ein Server eine offene Tür. Aber die Patches sind opex. Sicherheit ist alles. Buchstäblich ALLES. Einmal ist mir das passiert…
  • das…
  • Dass ich in Düsseldorf war. Ein Manager des italienischen Büros ruft mich an. Er bittet mich, wegen eines Sicherheitsproblems in einem Telekommunikationsunternehmen nach Rom zu fahren. Ich steige um elf Uhr fünfzig in den Flieger, Business Class für Spätbucher, das waren nur die. Der Kunde zahlt viel. Ankunft in Rom. Kurzer Schlaf im Hotel, die Person in der Firma ist jetzt nicht mehr nötig. Mein Manager wartet auf mich. Es ist der nächste Tag. Kommen wir zum Veranstaltungsort. Wir erreichen das Hauptquartier. Die gesuchte Person ist nicht dabei. Lass uns am Nachmittag zurückgehen. Es ist niemand im Torhaus. Die Mitarbeiterdrehkreuze stehen hilflos vor uns. Wir machen etwas Lärm und entdecken, dass die Security das Derby im isolierten Raum des Torhauses beobachtet hat. Für mich war das Sicherheitsproblem schon klar: Jeder kann dort physisch eintreten und die Manager sind nachts und morgens abwesend. Eigentlich war das Loch ein anderes, aber es macht keinen Sinn, ein Leck zu schließen, wenn es ein größeres gibt.
  • Moral?
  • Dass Sie die Investitionen in Sicherheit nicht erhöhen können, wenn Sie nicht definieren, was Sicherheit ist, und dass eine bloße Erhöhung des Budgets sinnlos ist, wenn sich die zugrunde liegende Kultur nicht ändert. Aber die Reaktion der Region Latium, beginnend damit, dass die schwarze Ziege in die Klippe geworfen wird, dh sie in die Kaziara geworfen wird, lässt mich verstehen, was die Mentalität, die Kultur ist. Und mit dieser IT-Kultur kann man sich nicht sicher sein. Wir brauchen eine große Fluktuation von Führungskräften und langjährigen Mitarbeitern.
  • Andernfalls?
  • Ansonsten werden größere und scheinbar (aber nur scheinbar) moderne Systeme durchlöchert. Das Budget ist notwendig, aber nicht ausreichend.
  • Sehen Sie Bemühungen in diese Richtung?
  • Die Entscheidung, beispielsweise den Bau einer nationalen Cloud in Auftrag zu geben, ist. Es wird davon ausgegangen, dass Private Cloud Computing-Unternehmen nicht die gleichen Führungskräfte und / die gleiche Kultur haben. In der Hoffnung, dass das Private moderner ist als das Öffentliche. Es dauert zwar nicht lange, aber "ich habe Dinge gesehen" auch in der privaten Welt. Dies gilt jedoch für alle Nationen. In Deutschland ist die öffentliche Hand effizienter als die private, wenn bestimmte Dimensionen überschritten werden. Jedes Land hat seine eigenen Besonderheiten. Der Italiener lehnt den Fortschritt ab. In Deutschland fragt jeder nach dem Wechsel, aber keiner will wechseln (es sei denn, der Chef ordnet es an). In England ändert man alles, um die gleichen inkompetenten Scheißkerle mit dem peinlichen Eton-Akzent an der Macht zu halten. Jedes Land reagiert auf seine Weise gegen den Fortschritt: Das Problem besteht darin, den Schlüssel zu finden. Nach meiner Erfahrung als Berater in Deutschland muss man den Chef davon überzeugen, Fortschritte zu bestellen. In Italien funktioniert meiner Meinung nach nur der komplette Wechsel der Manager. In England sollte die Queen enthauptet werden, während sie in einem Flammenbett verbrennt und dann Eton nuklearisieren, aber nach dem Brexit spüre ich die Dringlichkeit nicht so schnell wie möglich. Frankreich ist nicht notwendig. Jedes Land, sagte ich, hat seine eigenen Lösungen.
  • Das Thema wechseln. Glauben Sie dann, dass der Mitarbeiter, der alles angefangen hat, in einem möglichen Prozess freigesprochen wird?
  • Nein, leider nicht. Nach meiner bisherigen Erfahrung als Gerichtsgutachter mit ziemlicher Sicherheit nicht. Zum einen glauben die Richter fast immer an die Anklage, wenn es um die Post geht. Wenn die Post einen Schuldigen hat, wirf die schwarze Ziege aus der Gletscherspalte und rede nicht mehr darüber. Jegliche Beschwerden der Verteidigungsexperten werden vom Richter nicht nur nicht verstanden, sondern auch nicht gelesen. Ich war Experte in einem Prozess, bei dem das Passwort als Bildschirmschoner geschrieben wurde, um die Verwendung von Postits zu vermeiden (der Typ, der die Tatsache zugab, sagte, dass Postits leicht abgehen). Das Passwort war der Name und das Geburtsjahr des Kindes. Ich wies darauf hin, dass der Name des Sohnes im angegebenen Jahr in Bologna die Nummer zwei sei. Ich habe darauf hingewiesen, dass das Passwort definitiv kompromittiert wurde. Ergebnis? Laut Richter können Sie das Passwort als Bildschirmschoner verwenden, weil die Leute nicht wissen, dass es das Passwort ist, und Wörterbuchangriffe sind nicht möglich, weil niemand wissen kann, dass Sie den Namen Ihres Kindes als Passwort verwendet haben. Und Sie verstehen, dass die Post bei solchen Richtern nicht den Bericht der Anklage schreibt, sondern das Urteil.
  • Und es gibt keine Möglichkeit sich zu verteidigen, Berufung einzulegen etc.?
  • Normalerweise nicht. Wenn überhaupt, ist es umgekehrt. Der Fall Garlasco zeigt, wie ein exzellenter Bericht (wenn auch nicht historisch im Sinne des Forensikrechts) einfach mit Gründen wie „aber wer versteht das schon, ist das Zeug? Ich war schlecht in der technischen Ausbildung". Die spezifische IT-Kompetenz wird von der Post akzeptiert, weil die Post im Bericht Dinge schreibt wie " Daher ist klar, dass Herr Rossi zweifelsfrei schuldig ist und verurteilt und angespuckt werden muss". das Gesicht passt nicht schlecht ". Als wäre das nicht genug, versuchen die Richter, die Prozesse zu verkürzen, um mehr zu machen und Karriere zu machen, und es passt ihnen, bereits einen Täter zur Hand zu haben. Und wenn es um die öffentliche Verwaltung geht, hat der Richter das Problem, dass es einfach ist, dem Mann etwas Fahrlässiges oder Unabsichtliches vorzuwerfen, seinem IT-Manager vorzuwerfen, ein unsicheres System aufgebaut zu haben, entspricht nicht einmal einer Straftat.
  • Aber wird die Post nicht sagen, dass das System unsicher ist?
  • Nein. Es ist nicht ihre Aufgabe. Sie sind die Polizei, sie müssen nur sagen "Der Typ hat das gemacht, der das verursacht hat und deshalb muss er keine Weihnachtsgeschenke bekommen, weil er schlecht ist." Sie machen keine Schätzungen über die Güte der Infrastrukturen. Che il sistema sia inerentemente insicuro lo devono dimostrare altri, ma se parliamo della difesa, la loro perizia non verra' nemmeno letta dal giudice.
  • I giudici non leggono le perizie tecniche?
  • No, perche' non le capiscono. La loro istruzione e' completamente umanistica. Solo se la perizia conclude dicendo “pino gli puzza l'alito” allora potrebbero capire, ma in genere non lo fanno. Crederebbero comunque alla perizia della postale. Se la postale accusa un tizio, e' spacciato. Potrebbe anche risparmiare soldi in avvocati.
  • E non c'e' difesa? Periti autorevoli, per esempio?
  • La difesa contro questi processi e', che io sappia, una sola: emigrare.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Create a website and earn with Altervista - Disclaimer - Report Abuse - Privacy Policy - Customize advertising tracking