Freitag, Mai 3, 2024

Das böse Büro

Uriel Fanellis Blog in deutscher Sprache

Uriel Fanelli

Und pünktlich kommen die Akcher an.

Das Böse Büro 0 Comments

Und pünktlich kommen die Akcher an.

Das Problem der Hackerangriffe in der Region Latium liegt nicht so sehr darin, dass jemand Ransomware in die Systeme eingeschleust hat, sondern darin, dass die institutionelle Kommunikation eine katastrophale Schlamperei verrät, die für Ausschreibungen in der italienischen PA charakteristisch ist.

Wenn Sie mir sagen, dass Ihr System angegriffen wurde, sagen Sie mir etwas, das mich nicht überrascht. Wenn der Akteur, der Sie angreift, raffiniert genug ist, ist es sehr schwierig, ein System zu schützen, und selbst sehr ausgeklügelte Maßnahmen können sich als unzureichend erweisen. Das Problem der Computersicherheit besteht in der Tat darin, dass sie das Gegenteil von Schlamperei ist.

Sie können nur relativ sicher sein, wenn Sie ALLES getan haben, was möglich ist.

Irgendwann beschloss jedoch ein Genie, einige Details zu verraten.

Der erste ist, dass ein "administrativer" Computer, der angelassen wurde, die Berechtigungen des Domänencontrollers eskaliert hat, was wiederum die Infektion auf die Server verbreitet hat, auf denen die Reservierungen vorgenommen wurden.

Als Architekt sehe ich hier eine Katastrophe der Inkompetenz.

  • Anscheinend befanden sich Produktionssysteme, auf die über das Internet zugegriffen werden konnte, in derselben Domäne (ich nehme an Windows) wie ein System, das sich in einem Netzwerk vom Typ „Büro“ befinden sollte.
  • Offenbar befinden sich die über das Internet erreichbaren Produktionssysteme im selben Netzwerk und sind auch von Systemen im Büronetzwerk erreichbar.
  • Die Perimetersicherheit war zumindest fragwürdig. anscheinend haben die Eindringlinge den VPN-Benutzernamen und das Passwort eines einzelnen Benutzers herausgefunden. Zwei-Faktor-Authentifizierung? Keiner.
  • der einzelne Benutzer, so scheint es, war einer der Systemadministratoren. Und hier höre ich aus Mitleid auf.

In der Praxis würde ich, wenn ich eine Kommunikationsmatrix dieses Netzwerks lese, feststellen, dass sich alle Maschinen (Domänencontroller, Produktionssysteme, Büronetzwerkcomputer) ohne Einschränkungen im selben Segment befinden. Als ob das nicht genug wäre, wurde der Perimeter der Systeme (das VPN) nur durch EIN-Faktor-Authentifizierung abgedeckt. Keine Bastion-Hosts zwischen Netzwerken, keine Jump-Boxen, keine Segregation.

Interessant, aber dies ist ein Porträt eines Heim-WLANs.

Der erste Punkt ist, dass Sie in einer großen Organisation selten Domänencontroller im selben Computersegment wie Mitarbeiter platzieren (je nach Controllertyp höchstens Secondaries oder Satellites). Wenn dies geschieht, muss das Segment vom Rest getrennt werden, wie es oft für die Betriebsabteilungen geschieht, die normalerweise per Jumpbox in die Produktionsnetzwerke gelangen. Der zweite Punkt ist, dass die Produktionsmaschinen nicht im gleichen "Büro"-Netzwerk platziert sind, noch weniger, wenn sie dem Internet ausgesetzt sind. Auch nicht in derselben Microsoft-Domäne. Andernfalls bauen Sie eine Sicherheitsbrücke.

Ich möchte nicht wissen, wie und warum der Computer eines Mitarbeiters aus dem Internet angegriffen wurde: Ich erwarte, dass ein Büronetzwerk nicht dem Internet ausgesetzt ist. Sonst müsste man von einem Angriff auf Schicht 8 sprechen (Social Engineering auf den Mitarbeiter, der diesen Rechner benutzt.). Ich erfahre, dass die Angreifer "das Passwort des VPNs gelernt" hätten, was die Arme noch mehr fallen lässt.

Und wenn ich dann höre, dass die Ransomware die Kontrolle über den Domänencontroller übernommen hat, lautet meine Antwort im Durchschnitt "Plane alles und mache es von Grund auf neu". Es ist keineswegs offensichtlich, dass der einzige Zweck dieser Software darin bestand, Lösegeld zu verlangen, und wenn sie den Controller infiziert hätte, hätte sie Software überall auf jedem Computer in der Domäne installieren können. Und die feindliche Software hat sich möglicherweise sogar in eine alberne Firmware kopiert. Moral? alles verändern. Aber absolut alles, denn auch ein irgendwo vergessener USB-Stick kann sich anstecken. (Es war die Lösung, die der deutsche Bundestag gewählt hatte, als er entdeckte, dass sie von den Russen infiziert worden waren, nämlich: Alle Hardware entfernt und ersetzt).

Aber das Problem ist nicht einmal das "Was zu tun ist", in Italien gibt es Fachleute, die beraten können. Das Problem ist die Schlamperei, die dieses System demonstriert.

Bei vielen Cyberangriffen ist die verwendete Technik ausgefeilt. Es ist so ausgeklügelt wie die Verteidigung. Aber in diesem Fall spricht schon die Vorstellung, dass es fast keine Trennung zwischen Produktionssystemen und Bürosystemen gab, sehr deutlich. Schlampig, direkt vom ursprünglichen Design.

Hier war es eine blöde Schicht 8. Aber echt dumm. Ischias vom Feinsten.

Und hier ist die Sache: Cybersicherheit und Schlamperei sind geschworene Feinde. Es ist wie Wasser und Feuer: Wo Feuer ist, ist kein Wasser, und wo Wasser ist, ist kein Feuer. Mehr Schlamperei, weniger Sicherheit.

Die Digitalisierung der PA, die Sicherheit erfordert, macht es erforderlich, dass sich der Staat von der Schlamperei befreien muss, die das öffentliche Beschaffungswesen kennzeichnet.

Denn ein schlampig aufgebautes System ist aus Sicht eines Angreifers offen wie eine Muschel in Tarent. Die richtige Antwort auf die Frage „Welches sind die sichersten Systeme der Welt?“ ist ganz einfach: durchdacht, gut gebaut, gut gewartet.

Lösungen?

Das Problem mit Schlamperei ist, dass sie schichtet. Wenn Sie zu dieser Infrastruktur gehen und versuchen, das Problem zu beheben, werden Sie normalerweise feststellen, dass Sie nicht über genügend Lizenzen für diese Domäne oder mehrere Domänen verfügen. Dann lassen Sie sie kaufen und stellen fest, dass die Netzwerke nicht segmentiert sind. Versuchen Sie, VLANs zu erstellen, und stellen Sie fest, dass die Hälfte der Switches nicht in der Lage ist. Dann tauscht man die Hälfte der Schalter aus und stellt fest, dass sie zu viel Energie verbrauchen und das elektrische System sie nicht hält. Lassen Sie dann die elektrische Anlage reparieren und stellen Sie fest, dass das Gebäude im Allgemeinen nicht genügend Strom hat. Und wenn Sie versuchen, mehr Leistung zu bringen, werden sie Ihnen sagen, dass dem Gebäude das richtige System fehlt … .. und wenn Sie fertig sind, werden Sie feststellen, dass die Böden das Gewicht der Racks nicht tragen und die Klimaanlage nicht funktioniert unzureichend und das und das und das …

Wenn Sie versuchen, nur auf den Servern zu agieren, werden Sie feststellen, dass die Server keine Lizenz für die Verwaltung haben, dass sich die BMCs nicht in einem Offband-Netzwerk befanden, dass es ehrlich gesagt kein Offband-Netzwerk gibt (wie in diesem Fall). , werden Sie feststellen, dass die Domäne nicht kontrolliert, was auf den einzelnen Computern installiert wird usw. Schicht für Schicht für Schicht….

Und all diese Schichten sind darauf zurückzuführen, dass es irgendwann ein "politisches" Treffen gab, bei dem beschlossen wurde "Wir sollten dies tun, aber wir haben keine Zeit", "Wir sollten dies tun, aber es gibt kein Budget" oder" wir Manager haben die Projektzeiten vermasselt "und" wir Manager haben das Budget vermasselt". Das Ergebnis dieser "politischen" Entscheidungen ist, dass es sich um schlampige Entscheidungen handelt, die von der Idee ausgehen, dass Techniker "theoretisch" sind (ja, theoretisch würden wir das tun, aber in der Praxis …), während die "praktischen" es tun würden der Verwalter sein.

Und Techniker werden normalerweise wie theoretische Charaktere behandelt, die nach dem Traumbuch fragen, während es an den "Politikern", also den Herren der Schlamperei, liegt, "praktisch" zu sein und über die Runden zu kommen.

Ramsonware-Angriffe passieren jeden Tag auf der ganzen Welt. Aber wenn Sie gerufen werden, finden Sie unten nur BAD IT Management. Mehr Schlamperei, weniger Sicherheit. Und das gilt auf der ganzen Welt.

Aber in diesem Fall, wenn nur die Hälfte von dem stimmt, was die Zeitungen geschrieben haben, war der Angriff relativ einfach. Ein Zeichen dafür, dass das Design schon schlecht war.

Was läuft dann schief?

Bisher waren die IT-Systeme der öffentlichen Verwaltung kleine Inseln, geschlossene Kästen, die keiner Kontrolle und keinem Wettbewerb ausgesetzt waren. Die Schlamperei hat sich also unbemerkt gelegt, und nur die älteren Mitarbeiter erinnerten sich daran, was zum Teufel dieses verdammte Token-Ring-Kabel ist, das seit Jahrzehnten da ist, aber im Nachhinein nicht mehr anfassen kann. Niemand kontrollierte, und das stärkte den alten Mann, der die Geschichte des Token-Ring-Kabels von 1988 kannte: "Wir haben dieses Kabel angezogen, als ich noch viele Haare hatte … snif, snif, was für eine Zeit."

Jetzt haben sich die Regeln geändert. Denn wenn dieses verdammte Token-Ring-Kabel leider etwas im Netzwerk preisgibt, werden einige Hacker es finden. Sie haben alle Zeit, die sie angreifen wollen. Und dann wäre es besser, wenn es dokumentiert wird und sich jemand darum kümmert, obsolete Technologien loszuwerden.

Die DPCs der italienischen Palästinensischen Autonomiebehörde stehen mit der Digitalisierung vor einer neuen Herausforderung: Diejenigen, die überprüfen, ob alles GUT gemacht wird, sind keine "Ministeriumsinspektoren", sondern feindliche Gebilde, die einen, wenn man einen Fehler macht, wie eine Muschel öffnen. Und sie haben keine Gnade. Und sie geben dir keine drei Monate, um alles wieder zusammenzubauen. Und sie hören kein Blablabla.

Aber trotzdem: Lösungen? Da Schlamperei vielschichtig ist, ist es nicht möglich, diese Systeme in die Hand zu nehmen. Sie finden undokumentierte Dinge, die "nicht berührt werden können", Sie finden absurde Situationen, improvisierte Mittel in Eile, unmögliche und zufällige Workarounds, Dinge, die nur mit Version A, aber nicht mit Version B funktionieren, in einer Spaghetti-Schicht von "nicht possimus". Vergiss es.

Das einzig denkbare ist die Trennung der PA vom globalen Internet. Was das Problem nicht löst, aber abmildert.

Das bedeutet, dass die gesamte PA in einem Netzwerksegment landet, das für den Rest der Welt nicht sichtbar ist. Aber aus Italien (und nur aus dem Großhandelsnetz im Kabel, nicht von Servern in italienischen Rechenzentren: nur der private und mobile Benutzer, dh von der Polizei identifizierbar) kann dieses Netzwerk über gut beobachtbare Proxys oder Router betreten. Diese Router dürfen jedoch nur von italienischen ASs erreichbar sein, die dem Zugangsnetz gewidmet sind.

Dies hält dem böswilligen Angreifer natürlich die Möglichkeit offen, eine Leitung in Italien zu kaufen und von dort aus anzugreifen, aber um die Leitung zu kaufen, muss er seine Daten angeben. Dies erzeugt keine Sicherheit an sich (außer vielleicht gegen einige DDOS), aber zumindest eine Beobachtbarkeit und insbesondere Kontrolle des Datenverkehrs: Zweifellos könnte eine Malware Heimcomputer infizieren und von dort aus einen Angriff starten.

Um auch diese Angriffe (die auf jeden Fall besser beobachtbar sind) abzumildern, wäre es, die Systeme zu entkoppeln und uns ein API-Gateway vorzustellen (wir sprechen also von einem riesigen Gateway): nachdem wir die gesamte PA offband gestellt haben, was getan werden muss (jeweils ein Büro), sie über ein API-Gateway nutzbar zu machen, das vor den Systemen arbeitet, ohne dass jemand die Systeme selbst erreichen kann.

Es geht darum, ein gigantisches API-Gateway aufzubauen, es gut und sicher zu bauen und dann die PA-Systeme nacheinander zu integrieren und darauf zu achten, dass sie sofort nach der Integration aus dem Internet nicht erreichbar sind. Ähnliche Designs wurden sowohl in Frankreich als auch in Deutschland übernommen und sind für die PA in der Schweiz obligatorisch – entscheiden Sie sich trotzdem für ein API-Gateway, selbst wenn Sie Anweisungen auf einer Website lesen, die wie eine Website aussieht.

Macht dich das immun? Absolut nicht, da das Spiel zu diesem Zeitpunkt das API-Gateway schützt. Aber es macht Sie "angemessen" sicher. Sie könnten sogar noch weiter gehen und sicherstellen, dass die Daten in Ihren Datenbanken nicht geändert werden können.

Wenn Sie eine Datenbank verwenden, in die Sie die Daten nur schreiben können, sie dann aber nicht mehr löschen oder ändern können (nicht unbedingt eine Blockchain, fast alle Hi-End-Datenbanken bieten diese Funktion seit mindestens 30 Jahren an), die Aktion der Ransomware, die Cryptolocking durchführt, ist es schwierig: Sie kann die Daten nicht verschlüsseln, da sie nach dem Schreiben unveränderlich sind . Dies kollidiert jedoch mit der Arbeit, die Sie leisten müssen, und Sie müssen viel Data Engineering betreiben. Auf alle Länderdaten. Glückwünsche.

Aber hier kehren wir zum Ausgangspunkt zurück: Das System hatte Server, die dem Internet ausgesetzt waren, die demselben Domänencontroller wie die Maschinen im Büronetzwerk ausgesetzt waren. Die DB-Daten waren nicht unveränderlich, sonst wäre es unmöglich gewesen, sie zu verschlüsseln. Die beleidigten Systeme wurden dem Internet ausgesetzt, ohne dass dazwischen eine GW-API oder ein Warteschlangensystem, ein Unternehmensbus, vorhanden war. Die Systeme der Region Latium wurden der ganzen Welt ausgesetzt, wenn sie (zumindest für diesen Zweck) nur von Menschen genutzt werden können, die in Latium oder hauptsächlich in Italien leben. Usw.

All diese Konstruktionsmängel sind kurzfristig nicht offensichtlich.

Und aus diesem Grund sind die CEDs der PA aus Sicht des Angreifers schlichtweg fette wehrlose Beute.

Jetzt müssen Sie sich entscheiden: entweder Sicherheit oder Schlamperei.

Tertium nicht datur.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Create a website and earn with Altervista - Disclaimer - Report Abuse - Privacy Policy - Customize advertising tracking