Diskussionsforum
Menü

Tja, da stehen sie nun alle, die selbstgekrönten Sysadmins


14.05.2017 23:47 - Gestartet von tosho
einmal geändert am 14.05.2017 23:55
Wer eine EDV ohne Backup betreibt, dem ist wohl nicht mehr zu helfen.
Man sollte natürlich dafür sorgen, dass infizierte PCs nicht auch die Backups verschlüsseln können.
Wer das nicht tut, sollte vielleicht keine Systeme managen.

Bei einem meiner Kunden hat dieser Trojaner schon zwei mal zugeschlagen, und das Problem war dank eines Linux Servers als Domänencontroller (= keinerlei Zugriffe auf's Backup von irgendwelchen Windows Systemen) nach zwei Stunden erledigt.

Davon abgesehen:
Ich finde es gut, dass diese Attacke jetzt und noch relativ harmlos stattfindet. Das wird vielleicht, gemeinsam mit dem bricker bot )https://www.golem.de/news/internet-of-things-bricker-bot-soll-2-millionen-iot-geraete-zerstoert-haben-1704-127483.html) die Naivität in Bezug auf Sicherheit im Internet etwas kurieren.

Wir schaffen uns zunehmend eine komplette Abhängigkeit von der IT und sind oft nicht einmal bei überlebenswichtigen Infrastrukturen wirklich gut geschützt. Das Problem wird allgemein verdrängt.
Auch unsere Neuland-Spezialisten in Berlin hatten bisher sicher keine Vorstellung davon, was schlechte IT-Sicherheit in der Praxis bedeutet.
Zu befürchten ist natürlich jetzt, dass die Nasen versuchen sich durch irgendwelche schlecht gemachten Schnellschüsse vor der Wahl noch schnell beim Volk zu profilieren. Na, wir werden sehen...
Menü
[1] Kai Petzke antwortet auf tosho
15.05.2017 13:10
Benutzer tosho schrieb:
Wer eine EDV ohne Backup betreibt, dem ist wohl nicht mehr zu helfen.

Das sicher. Allerdings ist zu befürchten, dass künftige Versionen solcher Bots übliche Backup-Programme gleich mit befallen. Sie schlagen dann in Stufen zu: Erst wird für mehrere Tage das Backup verschlüsselt, dann solche Daten, die schon lange nicht mehr genutzt worden sind, und dann die live-Daten.

Bei einem meiner Kunden hat dieser Trojaner schon zwei mal zugeschlagen, und das Problem war dank eines Linux Servers ...

Generell sind solche gemischten Umgebungen (Linux / Windows, Mac / Windows) in Sachen "Stabilität" von Vorteil. Dafür sind sie auch schwieriger zu managen und es ist sogar mit einer höheren Zahl an erfolgreichen Angriffen zu rechnen, weil man ja schon aufgrund der höheren Systemzahl mehr Angriffsvektoren bietet. Ich habe in meinem Leben schon viele befallene Windows- und Linux-Systeme gesehen.

Ich finde es gut, dass diese Attacke jetzt und noch relativ harmlos stattfindet.

Ja!

Wir schaffen uns zunehmend eine komplette Abhängigkeit von der IT und sind oft nicht einmal bei überlebenswichtigen Infrastrukturen wirklich gut geschützt.

Leider!
Menü
[1.1] tosho antwortet auf Kai Petzke
15.05.2017 14:32

2x geändert, zuletzt am 15.05.2017 14:33
Benutzer Kai Petzke schrieb:
Benutzer tosho schrieb:
Wer eine EDV ohne Backup betreibt, dem ist wohl nicht mehr zu helfen.

Das sicher. Allerdings ist zu befürchten, dass künftige Versionen solcher Bots übliche Backup-Programme gleich mit befallen. Sie schlagen dann in Stufen zu: Erst wird für mehrere Tage das Backup verschlüsselt...

Natürlich dürfen die Windows-Rechner keinen (schreibenden) Zugriff auf's Backup haben. Das geht, wenn man als Domänencontroller z.B. ein Linux einsetzt und diesem auch die Sicherung überlässt.

Bei einem meiner Kunden hat dieser Trojaner schon zwei mal zugeschlagen, und das Problem war dank eines Linux Servers ...

Generell sind solche gemischten Umgebungen (Linux / Windows, Mac / Windows) in Sachen "Stabilität" von Vorteil. Dafür sind sie auch schwieriger zu managen und es ist sogar mit einer höheren Zahl an erfolgreichen Angriffen zu rechnen, weil man ja schon aufgrund der höheren Systemzahl mehr Angriffsvektoren bietet.

Man muss dann schon root-Rechte auf dem Server haben, um an das Backup zu kommen, was schwierig ist wenn dieser Rechner nach außen (also im Internet) erst einmal gar nicht in Erscheinung tritt.
Klar, unmöglich ist nichts, aber einfach ist das auch nicht. Solange es so viele andere schlecht geschützte Systeme gibt dürfte man sich mit dieser Lösung vorerst relativ sicher fühlen.

Das erinnert mich an die Anekdote der zwei Forscher im Dschungel, die Abends bemerken, dass sich ein Tiger ans Lager heranschleicht. Der eine zieht sich seine Schuhe an, worauf der andere meint: "Denkst Du, dass du damit schneller läufst als der Tiger?" "Nein" erwidert der Kollege; "aber es reicht ja wenn ich schneller laufe als Du."
Menü
[1.1.1] Kai Petzke antwortet auf tosho
15.05.2017 15:27
Benutzer tosho schrieb:

Natürlich dürfen die Windows-Rechner keinen (schreibenden) Zugriff auf's Backup haben.

Und wenn sich der Server und nicht die Clients einen Wurm einfangen, hilft diese Variante wenig, wenn die Backup-Platten physisch im Server eingebaut sind, denn dann verschlüsselt der Wurm diese einfach ebenso. Für eine gute Backup-Strategie muss man also regelmäßig die Medien aus dem Server entfernen. Das sollte man eigentlich eh tun, um z.B. auch nach einem Feuer die Systeme neu aufsetzen zu können. Aber ich würde mal schätzen, dass weniger als 30% aller KMUs in Deutschland eine entsprechende Backup-Strategie fahren.

Man muss dann schon root-Rechte auf dem Server haben, um an das Backup zu kommen, was schwierig ist wenn dieser Rechner nach außen (also im Internet) erst einmal gar nicht in Erscheinung tritt.

Priviledge-Escalation-Bugs sind unter Linux leider ziemlich häufig, da dürften gar mehrere 0days da draußen rumschwirren. Ein versierter Angreifer braucht also nur irgendeinen Account oder irgendeinen Dienst auf dem Server zu hacken.

Klar, unmöglich ist nichts, aber einfach ist das auch nicht. Solange es so viele andere schlecht geschützte Systeme gibt dürfte man sich mit dieser Lösung vorerst relativ sicher fühlen.

"Relative Sicherheit" = "die anderen sind noch schlechter". Aber ja, ich gebe Ihnen recht: Wenn Sie auf dem genannten System nur übliche Office-Daten (Angebote, Rechnungen, Buchhaltung etc.) haben, wird es schon passen.
Menü
[1.1.1.1] tosho antwortet auf Kai Petzke
15.05.2017 18:35
Benutzer Kai Petzke schrieb:
Benutzer tosho schrieb:

Natürlich dürfen die Windows-Rechner keinen (schreibenden) Zugriff auf's Backup haben.

Und wenn sich der Server und nicht die Clients einen Wurm einfangen, hilft diese Variante wenig, wenn die Backup-Platten physisch im Server eingebaut sind, denn dann verschlüsselt der Wurm diese einfach ebenso.
Für eine gute Backup-Strategie muss man also regelmäßig die Medien aus dem Server entfernen. Das sollte man eigentlich eh tun, um z.B. auch nach einem Feuer die Systeme neu aufsetzen zu können.

Natürlich werden die Platten (leider unregelmäßig) zyklisch getauscht. Es gibt zwei ruggedized 2 1/2" mit 3 GB Platten (ist ein kleines Büro). Eine ist immer bei der Chefin, eine im Büro.
Zudem werden die nur gemountet wenn's Backup läuft. Verschlüsselt sind sie auch. Klar, wenn man als root das Start-Script liest steht da auch das Kennwort. Aber soweit werden automatische Angriffe wohl eher nicht gehen.
Es handelt sich natürlich nicht um eine Hochsicherheits-EDV, sondern einfach die Daten einer kleinen Klitsche

Aber ich würde mal schätzen, dass weniger als 30% aller KMUs in Deutschland eine entsprechende Backup-Strategie fahren.

Erschreckend.

Priviledge-Escalation-Bugs sind unter Linux leider ziemlich häufig,

Oh, da weiß ich wenig drüber. Das wird sich ändern :)
Kann man sich über das smb-Protokoll root-Zugriffe auf einem Linux-Server verschaffen?

da dürften gar mehrere 0days da draußen rumschwirren. Ein versierter Angreifer braucht also nur irgendeinen Account oder irgendeinen Dienst auf dem Server zu hacken.

Auf dem Backup-Server sollten idealerweise überhaupt keine öffentlichen Dienste laufen. Ist in kleinen Firmen nicht immer machbar, aber das ist eben auch eine Frage des Gefährdungsbewusstseins. Seit Ransomware ist Backup schwieriger und wichtiger geworden.

Wenn Sie auf dem genannten System nur übliche Office-Daten (Angebote, Rechnungen,
Buchhaltung etc.) haben, wird es schon passen.

Ob das Konzept einem gezielten Angriff standhalten würde wage ich nicht zu beurteilen, Aber gegen Standardattacken ist das bisher ausreichend (wie ja leider schon zwei mal unter Beweis gestellt werden musste).
Menü
[1.1.1.1.1] Kai Petzke antwortet auf tosho
16.05.2017 17:07
Benutzer tosho schrieb:

Kann man sich über das smb-Protokoll root-Zugriffe auf einem Linux-Server verschaffen?

Grundsätzlich ja, wenn man z.B. diese beiden Lücken hier kombiniert:

http://www.pcworld.com/article/2888332/critical-remote-code-execution-flaw-patched-in-samba.html

http://resources.infosecinstitute.com/privilege-escalation-linux-live-examples/
Menü
[1.1.1.1.2] helmut-wk antwortet auf tosho
16.05.2017 21:16
Benutzer tosho schrieb:
Benutzer Kai Petzke schrieb: Zudem werden die nur gemountet wenn's Backup läuft.

Das nützt wenig, denn solche Angreifer wie WannaCry verschlüsseln auch nicht gemountete Platten. Mit Lese- und Schreibzugriffen direkt auf (sagen wir mal) /dev/sdb1 kann diese Partition auch verschlüsselt werden, gerade wenn sie nicht gemountet ist. Die Platten müssen schon physisch abgekoppelt sein (z.B. USB-Platte->USB-Stecker nur fürs updaten reinstecken).

Verschlüsselt sind sie auch.

Das hilft gegen Lesen, aber natürlich kann auch eine verschlüsselte Platte noch einmal verschlüsselt werden.

Ob das Konzept einem gezielten Angriff standhalten würde wage ich nicht zu beurteilen, Aber gegen Standardattacken ist das bisher ausreichend (wie ja leider schon zwei mal unter Beweis gestellt werden musste).

Immerhin. Und für ne Klitsche dürfte das ausreichend sein.

Und prinzipiell gilt: _A_l_l_e_s_, was auf dem Server läuft, kann Sicherheitsrelevante Bugs haben. Und bei Zeroday-Exploits ist da auch ein erfahrener Admin machtlos - er kann nur generell das System härten, also Maßnahmen ergreifen, damit die einzelnen Applikationen möglichst isoliert voneinander sind und ein Angriff irgendwo ins Leere läuft. Und natürlich ein gutes Update-System, aber das hast du ja schon erwähnt ;-)
Menü
[1.2] tosho antwortet auf Kai Petzke
15.05.2017 14:38
Benutzer Kai Petzke schrieb:
Ich habe in meinem Leben schon viele befallene Windows- und Linux-Systeme gesehen.

Windows, klar :) Befallene Linux-Systeme habe ich erst eines gesehen, und das war ein Webserver, der ja per Definition extrem exponiert ist.
Der einzige Zugang von außen zum Firmenserver sollte durch ein vpn und/oder mit zertifikatsgestützem Login geschützt sein. Dann sollte so ein System relativ sicher gegen Angriffe sein.