-
Nun meldet auch Cisco...
Autor: Neutrinoseuche 02.11.17 - 16:29
"...dass TLS 1.3 angeblich zu sicher für viele Sicherheitsprodukte sei."
Das ist doch super. Dann werden diese ganzen Sicherheitsprodukte allem Anschein nach nicht mehr gebraucht. Vorallem keine Middleboxen die in der verschlüsselten Übertragung rumschnüffeln wollen. Pech für Cisco. Gut für die Sicherheit. -
Re: Nun meldet auch Cisco...
Autor: nieht 02.11.17 - 17:15
Und wer wenn nicht "Middleboxen" soll erkennen, dass jemand versucht Sicherheitslücken in all den unsicheren Webservern auszunutzen? Nur weil eine Verbindung verschlüsselt ist, ist sie nicht gleich gut. In einer perfekten Welt ohne böse Menschen hättest du Recht aber in der Realität muss es ein System vor dem Webserver geben das Angriffe auf die Webserver erkennen und verhindern kann und das funktioniert nunmal nur wenn das System auch den Inhalt des Pakets sehen kann.
-
Re: Nun meldet auch Cisco...
Autor: Neuro-Chef 02.11.17 - 18:07
nieht schrieb:
> Und wer wenn nicht "Middleboxen" soll erkennen, dass jemand versucht
> Sicherheitslücken in all den unsicheren Webservern auszunutzen?
Wer betreibt denn bewusst unsichere Webserver, nur weil seine Firewall alles mitliest?
Das klingt nach einer dummen Idee.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Nun meldet auch Cisco...
Autor: gaym0r 02.11.17 - 18:44
Ja, endlich kann man Ransomware in mein Unternehmen kriegen ohne dass mein APT-Blocker was machen kann.
-
Re: Nun meldet auch Cisco...
Autor: nieht 02.11.17 - 18:57
Es ist unrealistisch, dass alle Softwarehersteller immer für alle Sicherheslücken direkt nach der Veröffentlichung einen Patch im Angebot haben.
Natürlich muss man Patchen allerdings dauert es leider meist viel zu lange bis jeder Softwarehersteller einen Patch zur Verfügung gestellt hat. -
Re: Nun meldet auch Cisco...
Autor: Anonymer Nutzer 02.11.17 - 18:59
gilt das dann nicht auch für sicherheitssoftware?
-
[gelöscht]
Autor: [gelöscht] 02.11.17 - 19:04
[gelöscht]
-
Re: Nun meldet auch Cisco...
Autor: PHPGangsta 02.11.17 - 19:05
Dann sollte man die "Firewall" (vermutlich meinst du eine WAF) entweder auf dem Webserver betreiben, oder vor der WAF die SSL-Connection (auf einem Loadbalancer oä) terminieren, damit die "WAF" mitlesen kann.
Ich sehe da kein Problem... SSL-Connections sollten End-to-End verschlüsselt sein, und zwar so sicher wie möglich. Punkt. -
Re: Nun meldet auch Cisco...
Autor: PHPGangsta 02.11.17 - 19:14
gaym0r schrieb:
--------------------------------------------------------------------------------
> Ja, endlich kann man Ransomware in mein Unternehmen kriegen ohne dass mein
> APT-Blocker was machen kann.
Vielleicht solltest du auf den Rechnern eine Firewall/WAF oder Anti-Virus-Snakeoil betreiben, die die Ransomware verhindert... Oder du betreibst weiterhin deinen APT-Blocker, und installierst auf allen Rechnern ein self-signed Root-Zertifikat, so dass dein APT-Blocker weiterhin MitM spielen kann und alles mitlesen und manipulieren kann... Das geht weiterhin. -
Re: Nun meldet auch Cisco...
Autor: gaym0r 02.11.17 - 19:17
bjs schrieb:
--------------------------------------------------------------------------------
> gilt das dann nicht auch für sicherheitssoftware?
Kommt drauf an.
1 mal bearbeitet, zuletzt am 02.11.17 19:17 durch gaym0r. -
Re: Nun meldet auch Cisco...
Autor: gaym0r 02.11.17 - 19:19
Ja, wie wirksam Virenscanner gegen die neuesten Ransomware ist, haben wir ja vielfach gesehen. Bei uns läuft das ganze erstmal in eine Sandbox, wir sehen, dass die Sandbox verschlüsselt wird, Download wird geblockt - sofern wir mitlesen können. ;-)
Und ob das so toll ist, auf jedem Client eine WAF zu installieren weiß ich auch nicht. Warum hat nicht jeder Client seinen eigenen File- oder Mailserver?
Davon ab: Welche Lösung würdest du denn auf den Clients implementieren?
2 mal bearbeitet, zuletzt am 02.11.17 19:22 durch gaym0r. -
Re: Nun meldet auch Cisco...
Autor: Anonymer Nutzer 02.11.17 - 19:55
gaym0r schrieb:
--------------------------------------------------------------------------------
> Ja, wie wirksam Virenscanner gegen die neuesten Ransomware ist, haben wir
> ja vielfach gesehen. Bei uns läuft das ganze erstmal in eine Sandbox, wir
> sehen, dass die Sandbox verschlüsselt wird, Download wird geblockt - sofern
> wir mitlesen können. ;-)
Ach und die Exe, die den Download einer sinnvollen Programmroutine startet und neben bei einem Virus mit runter lädt, wird in der Sandbox ausgeführt, bis der Download abgeschlossen ist. Dann kommt der Verschlüsselungstrojaner zum Einsatz, der aber erst 30 Minuten nach Start mit der Verschlüsselung beginnt... Wie passt das dann noch zu deiner praktischen Anwendung mit einer Sandbox? -
Re: Nun meldet auch Cisco...
Autor: Bigfoo29 02.11.17 - 19:56
Für genau diesen Zweck gibt es SSL-Offloader logisch kurz vor den Webservern angeordnet. Die machen im RZ nichts anderes, als den Datenstrom legal(!) zu entschlüsseln und die entschlüsselten Daten im Klartext an die Webserver weiterzuleiten. Cisco müsste also für dieses Szenario seine Boxen schlicht HINTER die SSL-Offloader schalten. Aber es geht hier gar nicht um die Sicherheit der RZ-Betreiber. (Damit sind nämlich auch alle Bank-Bedenken Schwachsinn.) Es ginge, wenn überhaupt, um die Endanwender bei Kunden, die dann von den Middleboxen nicht mehr "gesichert" werden können. Jeder HTTPS-Strom kommt erstmal durch und könnte höchstens über ein Plugin im Browser nochmal abgefangen werden. Aber das passt NATÜRLICH nicht in CISCOs Geschäftsmodell. Denn damit verkaufen die keine Boxen mehr. Und entsprechende Client-Analyse-Software haben sie derzeit nicht (und das entwickelt man auch nicht mal eben in nem halben Jahr). Denen geht schlicht der A**** auf Grundeis. Vermutlich kommt dann noch ein wenig Druck von der NSA dazu, die bei CISCO-Produkten bisher vermutlich problemlos mitlauschen kann. Und dann muss man halt was tun (und solchen geistigen Dünsch wie in der Nachricht beschrieben von sich geben).
Regards. -
Re: Nun meldet auch Cisco...
Autor: Neuro-Chef 02.11.17 - 20:13
nieht schrieb:
> Es ist unrealistisch, dass alle Softwarehersteller immer für alle
> Sicherheslücken direkt nach der Veröffentlichung einen Patch im Angebot
> haben.
>
> Natürlich muss man Patchen allerdings dauert es leider meist viel zu lange
> bis jeder Softwarehersteller einen Patch zur Verfügung gestellt hat.
Cisco braucht für das Bereitstellen von Updates länger als Apache, Ngnix, OpenSSL und Microsoft zusammen :D
Und bei Konfigurationsfehlern helfen auch Updates nicht.
Wobei natürlich von extern erreichbare Server garnicht im Fokus liegen sollten, diese ganze TLS-Aufbrecherei wird ja eher zum Schutz vor eigenen, internen Usern eingesetzt.
¯\_(ツ)_/¯
» Niemand ist vollkommen, aber irre sind ganz sicher viele. « – Vollkommen Irrer ಠ_ಠ
(war mal) Verifizierter Top 500 Poster! -
Re: Nun meldet auch Cisco...
Autor: bombinho 03.11.17 - 10:22
gaym0r schrieb:
--------------------------------------------------------------------------------
> Ja, wie wirksam Virenscanner gegen die neuesten Ransomware ist, haben wir
> ja vielfach gesehen.
Bist du sicher? Also bei den Varianten fuer Geschaeftskunden steckt eigentlich fast immer ein Filter mit drin, der bekannte C&C Server blockt. Da verwechselt du wohl etwas mit den kostenfreien Varianten, wo man fuer Alles mit Werbung bezahlt (oder eben nicht).
Jetzt muss ich mal fragen, was euer Admin so in seiner Arbeitszeit tut, wenn er die Ausfuehrung von unbekannten Executables in Nutzerverzeichnissen auf allen Rechnern zulaesst. Oder werden bei euch Dokumente als .exe/.dll/.scr oder Aehnlich ausgetauscht? Oder ist jeder Nutzer Admin? (habe ich auch schon gesehen)
Wie soll das beschriebene Szenario gegen diverse Malware mit Sandbox-Erkennung helfen? Nicht dass sowas langsam Standard wuerde aber irgendwie bastelt doch heute fast jeder Malwareautor entsprechenden Code mit dran, schliesslich sollen ja auch die Heuristiken etc. ausgetrickst werden.
1 mal bearbeitet, zuletzt am 03.11.17 10:24 durch bombinho. -
Re: Nun meldet auch Cisco...
Autor: gaym0r 03.11.17 - 11:38
bombinho schrieb:
--------------------------------------------------------------------------------
> gaym0r schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ja, wie wirksam Virenscanner gegen die neuesten Ransomware ist, haben
> wir
> > ja vielfach gesehen.
>
> Bist du sicher? Also bei den Varianten fuer Geschaeftskunden steckt
> eigentlich fast immer ein Filter mit drin, der bekannte C&C Server blockt.
> Da verwechselt du wohl etwas mit den kostenfreien Varianten, wo man fuer
> Alles mit Werbung bezahlt (oder eben nicht).
"bekannte"
merkste selbst, oder? -
Re: Nun meldet auch Cisco...
Autor: gaym0r 03.11.17 - 11:39
maverick1977 schrieb:
--------------------------------------------------------------------------------
> gaym0r schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ja, wie wirksam Virenscanner gegen die neuesten Ransomware ist, haben
> wir
> > ja vielfach gesehen. Bei uns läuft das ganze erstmal in eine Sandbox,
> wir
> > sehen, dass die Sandbox verschlüsselt wird, Download wird geblockt -
> sofern
> > wir mitlesen können. ;-)
>
> Wie passt das dann noch zu deiner praktischen Anwendung mit
> einer Sandbox?
Ich kann dir sagen, wie es in der Praxis aussieht: Seitdem wir diese Lösung implementiert haben, gab es exakt 0 Fälle von Ransomware und anderen Bedrohungen. Davor war es quasi wöchentlich der Fall. -
Re: Nun meldet auch Cisco...
Autor: bombinho 03.11.17 - 11:40
gaym0r schrieb:
--------------------------------------------------------------------------------
> "bekannte"
>
> merkste selbst, oder?
Ohja, jetzt faellt mir der Unterschied zur Middlebox auf, die auch unbekannte C&Cs blockt ;) -
Re: Nun meldet auch Cisco...
Autor: gaym0r 03.11.17 - 11:43
bombinho schrieb:
--------------------------------------------------------------------------------
> gaym0r schrieb:
> ---------------------------------------------------------------------------
> -----
> > "bekannte"
> >
> > merkste selbst, oder?
>
> Ohja, jetzt faellt mir der Unterschied zur Middlebox auf, die auch
> unbekannte C&Cs blockt ;)
Hab ich das behauptet? Nein. -
Re: Nun meldet auch Cisco...
Autor: bombinho 03.11.17 - 11:49
gaym0r schrieb:
--------------------------------------------------------------------------------
> Ich kann dir sagen, wie es in der Praxis aussieht: Seitdem wir diese Lösung
> implementiert haben, gab es exakt 0 Fälle von Ransomware und anderen
> Bedrohungen. Davor war es quasi wöchentlich der Fall.
Ah, Middleboxen gibt es erst seit dem Aufkommen von Ransomware ;).
Schon mal daran gedacht, dass bei einer derartigen Frequenz irgend Etwas nicht stimmen kann? Selbst bei hunderten Clients ist eine derartige Frequenz mehr als ein Wink mit dem Zaunsegment, dass irgend etwas mueffelt/schnueffelt.
So ganz nebenbei stellt sich mir hier die Frage, ueber welche Zeitraeume du sprichst.
Gehen wir mal von den letzten 6 Jahren aus, davor war Ransomware eher sehr exotisch und regelmaessig ohne ausreichende Verschluesselung. An welchem Zeitpunkt wurde die Middlebox installiert? Gestern? Oder vor 5 Jahren und 11 Monaten, als noch niemand mit Ransomware gerechnet hatte und die ersten Exemplare den einen oder anderen Admin unvorbereitet getroffen hatten?



