-
#Neuland
Autor: hayabusa 12.06.15 - 07:57
Diejenigen die das getan haben waren wohl sicherlich keine Vollpfosten sondern vermutlich ein ausländischer Geheimdienst. Für meine Begriffe kann auch die Hardware respektive z.B. Maindboard, Festplatte usw. als nicht mehr sicher gelten. Es gibt genügend Proof of Concepts welche Angriffsvektoren auf Bios oder Firmware darstellen. An einer solch sensiblen Stelle hilft nur noch der Rasenmäher. Selbst die Adminpasswörter sind abhanden gekommen. Dh. es betrifft für meine Begriffe auch alle Drucker, Router, Switches usw.
Typische Beschwichtigung um Geld zu sparen. Dies löst aber nicht den Kern des Problems. Ich frage mich auch warum es an solch sensibler Stelle keine Authentifizierung und Verschlüsselung der persönlichen Daten mit Smartcard gibt. -
Re: #Neuland
Autor: chefin 12.06.15 - 08:29
weil Abgeordnete keine ITler sind. Aber auch nicht wollen, das ihnen fremde Personen in den Rechner schauen können. Und noch weniger wollen sie sich vorschreiben lassen, welche Geräte und Software sie nutzen müssen. Aber das müsstest du vorschreiben, wenn du eine passend abgesicherte IT haben wolltest.
Und was Smartcard angeht: das nutzt wenig, wenn du Zero-Day exploids benutzt. Das war wohl hier der Fall, den zum einen sind die Eingänge abgesichert mit Virenscanner, aber ebenso die Maschinen. Bekannte Viren kommen nicht durch.
Unbekannte Viren(also für diesen Zweck neu geschriebene) sowie Exploids und Rechteausweitung, da helfen keine Smartcards. Man umgeht das einfach. Es spielt keine Rolle ob man ein einfaches Bartschloss oder eine Panzerstahltüre mit Sprengfallen und Codeschlösser benutzt, wenn das Fenster daneben offen steht. In einem solchen Fall ist 1234 ein genauso sicheres Passwort wie eine Smartcard.
Hier handelt es sich also um einen Spearattack(also ein gezielt auf diesen Zweck hin gestalteten Angriff), der wüsste das er Smartcards umgehen muss. Und es gibt nunmal kein sicheres Betriebssystem. Auch Linux ist am Ende genauso löchrig wie Windows. Sieht man an der Masse an Bugs die jeden Monat gefixed werden. Man kommt leicht in Versuchung zu glauben, das mit 100 gefixeten Bugs wieder mal alles was man an Bugs kennt bereinigt wäre. Aber viele Bugs existieren lange, bevor sie public gemacht werden. So wie Bughunter diese Bugs an die Hersteller verkaufen, gibt es auch welche die es an Hacker verkaufen oder an den der am meisten bietet. Ein Chromebug an Hacker vertickern bringt 20.000 Dollar. Ihn dann in 8 Wochen nochmal an Google geben weitere 10.000. Meinst du das die ihn zuerst an Google liefern?
Ja, theoretisch könnten wir das Absichern. Praktisch scheitert es an dem Punkt, wo die Absicherung den Nutzen massiv einschränkt. Wenn du dich noch erinnerst, die haben es auch geschafft ins Weisse Haus einzudringen via IT. -
Re: #Neuland
Autor: hayabusa 12.06.15 - 12:04
Zuerst einmal ist es mit einer Smartcard nicht möglich Passwörter ab zugreifen da dies schlicht und ergreifend entfällt und diese nicht manuell eingegeben werden müssen. Die Kommunikation zwischen Tastatur und PC fällt an dieser Stelle weg. Man kann das soweit drehen das es sogar an manchen Stellen eine mehrstufige Authentifizierung erforderlich ist.
Dh. sie benötigen physischen Zugriff auf die Karte. Desweiteren kann der PC zwar infiziert werden, das ist insofern korrekt da man sich gegen solche gezielte Angriffe nicht schützen kann, jedoch benötigt man für die Entschlüsselung der Daten auf diesem PC ebenfalls die entsprechend dem Nutzer zugeordnete Smartcard.
Ich erwarte hier schlicht und ergreifend einen Maximalschutz! Das der BSI nur beratende Funktion hat spricht schon Bände. Für mich gehört das in die Hand eines eigenständigen Behörde ggf. sogar dem Verteidigungsministerum unterstellt die entsprechende Ressourcen und die Spezialisten hat. Gerne auch das BSI. Diese Fragmentierung der Verantwortlichkeiten ist ein Witz! -
Re: #Neuland
Autor: derKlaus 12.06.15 - 15:03
hayabusa schrieb:
--------------------------------------------------------------------------------
> Ich erwarte hier schlicht und ergreifend einen Maximalschutz! Das der BSI
> nur beratende Funktion hat spricht schon Bände.
Das ist aber utopisch. Der BSI Grundschutz ist schon mal ziemlich umfangreich und aufwändig. da wird es sehr schwierig die Nutzerakzeptanz nach der Implementation zu schaffen. Auch wenn ich Dir von einer persönlichen Warte aus vollkommen Recht gebe, dass es notwendig wäre, die Ausführung wird scheitern.
> Für mich gehört das in die
> Hand eines eigenständigen Behörde ggf. sogar dem Verteidigungsministerum
> unterstellt die entsprechende Ressourcen und die Spezialisten hat. Gerne
> auch das BSI. Diese Fragmentierung der Verantwortlichkeiten ist ein Witz!
Das wird mit den Resourcen ein Thema. Das würde ordentlich ins Geld gehen.



