Freitag, April 19, 2024

Das böse Büro

Uriel Fanellis Blog in deutscher Sprache

Uriel Fanelli

Die Behörde kommt.

Das Böse Büro 0 Comments

Die Behörde kommt.

Es ist interessant, wie die Cybersicherheitsbehörde wenige Tage vor der Auflistung von Millionen italienischer Profile mit medizinischen Informationen zu ihrer Impfung eintraf.

Offensichtlich ist alles so beschrieben, dass die Idee dahintersteckt, dass es sich um die Elitetruppen der Post oder auf jeden Fall eine Aktionsgruppe aus hochrangigen Experten handelt, die eingreifen kann. Die Navy Seals im Netz oder so ähnlich.

Abgesehen von der Vision, die die Zeitungen geben, ist das, was Sie lesen, wenn Sie das Dekret lesen, das sie festlegt (als Folge der entsprechenden europäischen Richtlinie): Das Bild, das sie vermitteln, ist das einer Gruppe von Superberatern.

Und seien wir klar, an sich ist es nicht schlecht, aber es scheint, dass "Cybersicherheit" und "Cyber-Angriffe" für sie die Fälle von Einbrüchen in ein System sind, um Daten aufzunehmen. Aber so sind die Dinge nicht gerade.

Jeder, der verstanden hat, wie sich Daten bewegen, oder den Reichtum, der den Daten zugrunde liegt, weiß genau, dass sich die Daten an ZWEI Orten befinden.

Der erste ist der ministerielle Server, den die neuen Spezialisten (hoffentlich) sehr gut schützen und schützen können. Sehr gut.

Und seien wir klar: Es muss getan werden.

Aber es gibt eine zweite Kopie dieser Daten, die sich in den Händen der Bürger befindet. Nehmen wir ein Beispiel mit Impfdaten.

Es wird in Kürze eintreffen und von praktisch jedem im App-System installiert werden, mit dem den Agenten angezeigt werden kann, dass die Person geimpft ist. Auf diese Weise können Sie einige Freiheiten genießen und wir können voraussagen, dass fast jeder es herunterladen wird.

Nehmen wir die 60 Millionen Mobiltelefone, die es in Italien gibt (aber wir können auch jede andere Nation benutzen). Wie ist die Situation des Betriebssystems? Wie viele sind aktuell?

Dies ist die Fragmentierung von Android-Systemen in der Welt:

Die Behörde kommt.

Betrachtet man nun die Verteilung, auch wenn man bedenkt, dass die Impfpass-App wahrscheinlich NICHT auf sehr alten Handys laufen wird, gibt es zwei Fälle:

  • oder es wird scheitern, weil es auf zu wenigen Handys läuft, da wir die alten ausgeschlossen haben.
  • oder es läuft auf sehr vielen Handys, die seit Jahren keine Sicherheitsupdates mehr erhalten haben.

Und das ist ein Problem: In dieser Situation anzunehmen, dass die sieben Millionen gestohlenen Datensätze auf dem Server gestohlen wurden, ist in dieser Situation sehr falsch. Ein Virus, der veraltete Handys infiziert und Daten stiehlt, ist sehr machbar. Es wird erwartet, dass dieser Virus sechs Millionen Android-Geräte befällt. Wenn die App installiert ist, nehmen Sie die Daten und senden Sie sie.

Zu diesem Zeitpunkt befinden sich auf 60 Millionen Mobiltelefonen, von denen sogar nur 10 % infiziert sind, die Daten von sechs Millionen Italienern, die fliehen. Aber niemand hat das zentrale Festungssystem angerührt.

Moral?

Wie alle anderen IT-Unternehmen liegt das Zentrum nicht mehr auf den Servern, sondern auf den Systemen der Benutzer. Die Daten sind heute in der Verbraucherwelt.

Nicht umsonst nehmen die verschiedenen Google und Facebook keine Daten von Regierungen oder Telekommunikationsunternehmen an: Ihre Software, die auf Mobiltelefonen läuft, sendet die Daten an GAFAM.

Es ist nicht klar, warum die Angreifer anders handeln sollten.

Aber die nächste Frage wird sein: Aber was soll eine Behörde mit uns machen?

Definieren Sie verbindliche Best Practices für den IT-MARKT.

Nun, es könnte zum Beispiel entscheiden, dass Unternehmen für mindestens 10 Jahre verpflichtet sind, Sicherheitsupgrades bereitzustellen, und dass Mobiltelefone ohne Antivirus nicht ins Netzwerk gelangen können.

Wie dies zu implementieren ist, ist ein Wohnungsproblem, aber der Punkt ist, dass wir in der aktuellen Situation, wenn wir die gefährdeten Ressourcen identifizieren wollen, nicht nur über Regierungsserver und strategische Organisationen sprechen müssen, denn heute ist es strategisch der USER, und a Virus kann VIELE infizieren.

Aber wir können noch weiter gehen und ein anderes klassisches Beispiel nehmen: das IoT. Wir leben im Jahr 2025 und jeder hat in seinen Häusern eine Klimaanlage, die mit dem Internet verbunden ist. Mit seiner schönen APP. Gut.

Wie üblich dominieren fünf / sechs Marken den Markt. Ein Virus infiziert die ersten 5/6 Modelle. Dieser Virus tut nichts anderes, als die Zeit des Geräts mit einem Stratum 2 oder 3 NTP-Server abzugleichen, um genau zu sein, und alle Klimaanlagen im heißesten Moment auszuschalten. Alles innerhalb weniger zehn Millisekunden.

Wenn Sie dem Stromnetz einen solchen Schlag versetzen, sind die Auswirkungen unvorhersehbar, aber potenziell verheerend.

Was sollte eine Behörde in diesem Fall tun? Verbieten Sie beispielsweise die Installation und den Verkauf von Geräten, die mit dem Internet verbunden sind und deren Abschaltzeit zu kurz ist und deren Leistung eine bestimmte Anzahl von Watt überschreitet.

Und zum Schluss noch ein letztes Beispiel: Ihr Heimrouter. Abgesehen von der Verbreitung sehr billiger Marken mit bekannten Schwachstellen gibt es eine Reihe von Routern, die alt sind und seit Jahren keine Updates mehr erhalten haben. Im Fall von VOIP legen sie einen schönen 5060-Port frei.

Wenn es sich bei der Firmware um das übliche fünf Jahre alte Linux mit einem fünf Jahre alten SIP-Server handelt, wurde sie wahrscheinlich bereits mit einem Wurm oder einem Botnet infiziert.

Und das bedeutet, dass es sowohl möglich ist, die Telefonate abzuhören, die Metadaten zu übernehmen, als auch den Router für DDOS zu verwenden.

Was könnte die Behörde tun? Zum Beispiel gesetzlich vorgeschrieben, dass Router-Hersteller für eine bestimmte Anzahl von Jahren Upgrades und Sicherheitspatches bereitstellen müssen, dass zu alte Router nicht ins Netzwerk gelangen können usw.

Und das wiederhole ich, denn heute befinden sich die Daten sowohl auf dem supergeschützten Server (hoffentlich) als auch auf dem Computer des Benutzers. Warum sollte der Angreifer die Bank angreifen, wenn jeder Geld im Haus hat, unter dem Badezimmervorleger, und das Haus leicht anzugreifen ist?

Lassen Sie uns klarstellen, dass der Schutz des nationalen digitalen Perimeters von wesentlicher Bedeutung ist. Aber eine Kopie der gleichen Daten findet sich in der Welt des Verbrauchers. Auf alten Rechnern, auf alten Routern, auf alten und veralteten Systemen in KMU.

Ich kann den nationalen Riesen X vor Angriffen schützen – richtig und richtig. Aber alle Zulieferer, wenn es sich um KMU handelt, verwenden muscheloffene Systeme. Ich finde die gleichen Daten AUSSERHALB des nationalen Riesen X.

Es wäre also an der Zeit, dass eine "Autorität" damit beginnt, die Hersteller zu bewegen, um regelmäßige Upgrades und Sicherheitspatches zu garantieren.

Aber das ist nicht genug. Als sich herausstellt, dass die angegebene Kamera eine Panne ist und jemand 5 Millionen DDOS hat, ist es zu spät.

Was könnte die Behörde tun? Man könnte sagen, dass die verschiedenen Router zusätzlich zu einem "Gast"-Netzwerk, wie sie alle haben, ein "iot"-Netzwerk haben, sagen wir mit einem Limit von 10 KB für außen. Router, die NICHT auf diese Weise konfiguriert sind (und IoT-Geräte, die nicht unbedingt mit diesem Netzwerk verbunden sind) sind nicht verkaufsfähig.

Ich brauche nicht viel, um im Garten das Licht einzuschalten.

Würde das das Problem lösen? Nein. Würden Sie es mildern? Ja.

Um diese bewährten Verfahren den Benutzern vorzustellen, benötigen Sie jedoch Leistung. Sie brauchen eine Macht, die diese Autoritäten NICHT HABEN.

Die Daten befinden sich heute auch auf den Geräten der Nutzer. Es ist offensichtlich notwendig, einen Umkreis um sensible Systeme zu schaffen. Aber nicht genug. Tatsächlich könnte man argumentieren, dass es sich um eine milde Maßnahme handelt.

Um ein Land zu schützen, muss der Verbrauchermarkt gestärkt werden, der Ort, an dem sich die Daten, die wir schützen wollen, wirklich befinden. Dafür brauchen Sie Strom AUF DEM VERBRAUCHERMARKT.

Bevor du anfängst „gomunismoh“ zu sagen, möchte ich darauf hinweisen, dass man die „irgendwie sgrause“ Autos nicht kaufen kann, die man will. Es sind MINDEST-Sicherheitsanforderungen zu erfüllen. Allerdings können Sie Haushaltsgeräte nicht kostenlos verkaufen, es gibt Sicherheitsmindestwerte, die eingehalten werden müssen.

Alle anderen Märkte sind reguliert, und noch hat sich niemand beschwert. Der einzige Markt, der sicherheitstechnisch nicht reguliert ist, ist der IT-Markt.

Es ist eine Behörde erforderlich, um TECHNISCHE Mindestsicherheitsanforderungen festzulegen, die den verkauften Produkten auferlegt werden.

Andernfalls haben Sie einen Perimeter geschützt, der jedoch das Hauptziel der Angriffe nicht enthält: die Ressourcen der Benutzer.

Es ist also in Ordnung, diese Autorität zu haben, weil Sie die Server und strategischen Systeme schützen müssen, aber wenn Sie den anderen Endpunkt (der heute sehr schwach ist) nicht schützen, ist dies eine milde Maßnahme.

Und davon wird der Preis später bezahlt. Die Behörde muss auch über Marktmacht verfügen und Mindestsicherheitsanforderungen für alle Geräte festlegen.

  • Updates und Sicherheits-Upgrades MINDESTENS einmal im Monat für zehn Jahre.
  • Verbot des Zugangs zum Netzwerk, wenn Sie nicht über die neueste Version verfügen.
  • Definition der technischen Eigenschaften der IoT-Geräte, die Sie mit dem Netzwerk verbinden möchten.

Dies wäre wohl nur der ANFANG. Das fehlt seit mindestens 15 Jahren. Aber es braucht Kräfte.

Ohne diese Befugnisse ist und bleibt der Schutz eines Perimeters, der nur eine von zwei Kopien der Daten enthält, eine Maßnahme von BLANDA.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Create a website and earn with Altervista - Disclaimer - Report Abuse - Privacy Policy - Customize advertising tracking