1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Ransomware: IT-Angriff legt…

Nicht zahlen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Nicht zahlen

    Autor: Bohnensack 15.10.21 - 13:32

    Bitte nicht zahlen.

    Einordnung als terroristischer Akt und mit entsprechender Strafverfolgung.

    Kein Nachgeben, tat man bei den Terroristen der RAF auch nicht mit allen Kosequenzen. Eigenmächtige Lösegeldzahlung unter Strafe stellen.

    Drakonische Strafen verhängen wenn man die Verbrecher in Zukunft schnappt.

    Das Geschäftsmodell muss für geschnappte Verbrecher ruinös werden.

  2. Re: Nicht zahlen

    Autor: tomatentee 15.10.21 - 13:36

    Oder halt nicht die Fenster (:-P) offen lassen und sich dann über Einbrecher beschweren - und Fordern, Einbruch unter Todesstrafe zu stellen ;-)

  3. Re: Nicht zahlen

    Autor: XxXXXxxXxx 15.10.21 - 13:59

    Bohnensack schrieb:
    --------------------------------------------------------------------------------
    > Bitte nicht zahlen.
    [...]
    >
    > Das Geschäftsmodell muss für geschnappte Verbrecher ruinös werden.

    Das wäre es bereits, wenn es zumindest rudimentäre Informations Sicherheit in der IT der Betroffenen geben würde.

  4. Re: Nicht zahlen

    Autor: Bohnensack 15.10.21 - 14:11

    Das bezweifele ich. Spätestens gegen ein geplanten Angriff auf eine Einrichtung würde ich nicht meine Hand ins Feuer legen.

  5. Re: Nicht zahlen

    Autor: narfomat 15.10.21 - 15:00

    >Einordnung als terroristischer Akt und mit entsprechender Strafverfolgung.
    lies bitte HIER nach, WAS terrorismus ist: https://de.wikipedia.org/wiki/Terrorismus
    ein angriff auf ein ITsystem mit (monetärer) erpressungsabsicht hat NICHTS mit terrorismus zu tun.

    >Eigenmächtige Lösegeldzahlung unter Strafe stellen.
    eigenmächtig... meinst du der it angestellte (egal ob privat oder öffentlich) beschliesst die zahlung oder was... sicher nicht.
    wenn dann beschliesst das die geschäftsleitung. bei privat macht das auch sinn und darf auch so bleiben, dagegen spricht gar nichts. weil sicherheit kostet auch geld. wenn die firma wirtschaftlicher damit arbeitet, erpressungsgelder zu zahlen und sicherheit wegzulassen, ist das ganz klar DEREN DING und geht den staat mal GAR NICHTS an.
    bei öffentlich kommt "eigenmächtig" nicht zur anwendung.

    >Drakonische Strafen verhängen wenn man die Verbrecher in Zukunft schnappt
    es handelt sich um erpressung:
    https://www.gesetze-im-internet.de/stgb/__253.html
    bis zu 5 jahre. kann man jetzt diskutieren ob man das strafmaß hier anheben sollte.

    >Das Geschäftsmodell muss für geschnappte Verbrecher ruinös werden
    klar. theoretisch. ich kann auch theoretisch fordern das 24h am tag die sonne scheinen soll... geht aber nicht. genau das gleiche hier. so funktioniert IT nicht. sorry. die leute werden nicht geschnappt. zumindest auf gar keinen fall ausreichend viele, um das geschäftsmodell unattraktiv zu machen. schon gar nicht die, die es in auftrag geben oder solche gruppen leiten/finanzieren etc.
    es hilft NUR prävention! das scheint aber keiner verstehen zu wollen. das geschäftsmodell WIRD DANN unattraktiv, wenn DER FINANZIELLE AUFWAND GRÖSSER ALS DER NUTZEN IST.
    SO funktioniert it sicherheit.

  6. Re: Nicht zahlen

    Autor: minnime 15.10.21 - 15:27

    narfomat schrieb:
    --------------------------------------------------------------------------------
    > >Einordnung als terroristischer Akt und mit entsprechender Strafverfolgung.
    >
    > lies bitte HIER nach, WAS terrorismus ist: de.wikipedia.org
    > ein angriff auf ein ITsystem mit (monetärer) erpressungsabsicht hat NICHTS
    > mit terrorismus zu tun.
    Klar, ist in diesem Fall kein Terrorismus aber ein bisschen Interpretationsspielraum ist schon gegeben. Man kann es zumindest als einen Anklagepunkt aufführen. Wenn sich z.B. herausstellen sollte, dass das die gleiche Truppe ist wie in Anhalt-Bitterfeld, wäre der Punkt nicht ganz so leicht beiseite zu wischen.

    > es hilft NUR prävention! das scheint aber keiner verstehen zu wollen. das
    > geschäftsmodell WIRD DANN unattraktiv, wenn DER FINANZIELLE AUFWAND GRÖSSER
    > ALS DER NUTZEN IST.
    > SO funktioniert it sicherheit.
    Korrekt, nur erhöht Sicherheit immer nicht zuletzt die eigenen Kosten. Da geht es nicht nur um Kosten für Sicherheitslösungen und IT-Personal sondern oft um eigene Komforteinschränkungen und deswegen kommt so mancher zu dem Schluss, wie oben erwähnt, dass Lösegeldzahlungen billiger sind als Sicherheitskosten.

  7. Re: Nicht zahlen

    Autor: rldml2 15.10.21 - 18:11

    narfomat schrieb:
    --------------------------------------------------------------------------------

    > es hilft NUR prävention! das scheint aber keiner verstehen zu wollen. das
    > geschäftsmodell WIRD DANN unattraktiv, wenn DER FINANZIELLE AUFWAND GRÖSSER
    > ALS DER NUTZEN IST.
    > SO funktioniert it sicherheit.

    Prävention bedeutet bei öffentlichen Behörden nur längere Passwörter kürzerem max. Passowortalter. Die strukturellen Probleme, die eine neue Verseuchung der ganzen Anlage ermöglichen, werden weder behoben, noch erkannt.

  8. Re: Nicht zahlen

    Autor: tomatentee 15.10.21 - 19:58

    Bohnensack schrieb:
    --------------------------------------------------------------------------------
    > Das bezweifele ich. Spätestens gegen ein geplanten Angriff auf eine
    > Einrichtung würde ich nicht meine Hand ins Feuer legen.
    >
    Nein, die skalieren aber nicht -> ergo Geschäftsmodell kaputt

  9. Re: Nicht zahlen

    Autor: tomatentee 15.10.21 - 20:03

    rldml2 schrieb:
    --------------------------------------------------------------------------------
    > narfomat schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > es hilft NUR prävention! das scheint aber keiner verstehen zu wollen.
    > das
    > > geschäftsmodell WIRD DANN unattraktiv, wenn DER FINANZIELLE AUFWAND
    > GRÖSSER
    > > ALS DER NUTZEN IST.
    > > SO funktioniert it sicherheit.
    >
    > Prävention bedeutet bei öffentlichen Behörden nur längere Passwörter
    > kürzerem max. Passowortalter.
    >
    Die 80er haben angerufen und wollen ihre Passwort-Policies zurück. Sogar Microsoft rät davon mittlerweile ab :-D

    > Die strukturellen Probleme, die eine neue
    > Verseuchung der ganzen Anlage ermöglichen, werden weder behoben, noch
    > erkannt.
    >
    Man braucht halt Leute, die sich auskennen und muss die mit entsprechenden Befugnissen und Budgets ausstatten - anders wird es nix (das ist aber auch keine News und auch nicht IT-Exklusiv). Nach den letzten 16 Jahren ist der Investitionsstau einfach enorm - das wird uns daher noch ein paar Jahre begleiten.

  10. Re: Nicht zahlen

    Autor: Termuellinator 16.10.21 - 11:28

    Bohnensack schrieb:
    --------------------------------------------------------------------------------

    > Drakonische Strafen verhängen wenn man die Verbrecher in Zukunft schnappt.
    >
    > Das Geschäftsmodell muss für geschnappte Verbrecher ruinös werden.


    Da stimme ich zu - sich IT-Dienstleister nennen und dann kein valides Backupkonzept aufzubauen sollte definitiv unter Strafe gestellt werden. Und wenn das Kostenargument kommt ("Der Kunde wollte es nicht") - dann gleich den Einkäufer mit bestrafen.

    Wenn solche Selbstverständlichkeiten wie funktionierende Backups keine solche Seltenheit wären, dann wären Lösegeldforderungen in Verbindung mit Verschlüsselungsmalware quasi automatisch wirkungslos...

  11. Re: Nicht zahlen

    Autor: the_doctor 16.10.21 - 13:38

    Termuellinator schrieb:
    --------------------------------------------------------------------------------
    > Wenn solche Selbstverständlichkeiten wie funktionierende Backups keine
    > solche Seltenheit wären, dann wären Lösegeldforderungen in Verbindung mit
    > Verschlüsselungsmalware quasi automatisch wirkungslos...

    Dann ist es nur eine Frage der Zeit, bis "stille" Malware verteilt wird, die erstmal nicht aktiv wird und abwartet, bis Backups etc. durchseucht sind. Oder gleich die üblichen Backuplösungen infiltriert.

  12. Re: Nicht zahlen

    Autor: Engel 16.10.21 - 13:43

    Bohnensack schrieb:
    --------------------------------------------------------------------------------
    > Das bezweifele ich. Spätestens gegen ein geplanten Angriff auf eine
    > Einrichtung würde ich nicht meine Hand ins Feuer legen.


    Es braucht nicht einmal einen geplanten Angriff, es reicht eine ganz triviale Phishing Mail. Da helfen dann auch keine langen oder regelmäßig geänderten Passwörter.

    Kurzes Beispiel. Ein Mitarbeiter in einer völlig unwichtigen Position lädt das tolle Dokument mit integrierten Makros aus einer Outlook herunter (weder das Programm noch das OS spielt eine Rolle, auch Linux und Libre Office bieten diese Funktionalität an) und (um bei Windows und Microsoft zu bleiben) ignoriert die Sicherheitshinweise in Outlook, und Word, aktiviert zusätzlich den Bearbeitungsmodus, ignoriert den zusätzlichen Hinweis zu schädlichen Makros und aktiviert auch diese.
    Nun sind wir im Netzwerk des Unternehmens drinnen. Das Makro ist auch an sich vollkommen harmlos, richtet keinen Schaden an oder zerstört etwas, es lädt lediglich ein paar Komponenten aus dem Internet (irgendwelche ungefährliche Bibliotheken aus OpenSource Quellen wie öffentliche Github-Repositories, wo jeder alles selbst überprüfen kann) und diese kleinen unschädlich Bibliotheken fangen nun an, sich im System unterzubringen. Zuerst werden mehrere Möglichkeiten zum "Überleben" gesucht, also baut man sich im Autostart ein, eventuell in der Registry, als Anhang von irgendwelchen anderen Programmen, usw.
    Nun lädt man die erste "schadhafte" Software/Komponente nach. Die überwacht den E-Mailverkehr und leitet diesen über eine https, bzw. TLS-Verbindung nach außen ab, am besten als Payload von anderen TCP-Paketen sodass die Kommunikation nach außen erst gar nicht auffällt.
    Mit den gewonnenen Informationen, schicke ich nun gezielte manipulierte E-Mails an weitere Mitarbeiter des Unternehmens. Das ist zwar auffällig, aber geht meistens auch sehr gut durch.

    Nun zur zweiten Strategie. Der Einstieg ist derselbe, Phishing und im System festsetzen, aber diesmal. kümmern uns die E-Mails nichts. Wir bleiben auf dem System, überwachen die. Verbindungen des Gerätes, bzw. was an Traffic an den Schnittstellen ankommt und lauschen nach ein paar harmlosen Metadaten. SSH (mehr lokal, als über das Netzwerk), HTTP und FTP, eventuell noch lokale Passwörter und ähnliches. Unverschlüsselter Traffic ist ja im lokalen Netz absolut kein Problem, schließlich hat man die Mirrors für die Linuxsysteme selbst gehostet und alles wird mit GPG Schlüsseln verifiziert (naja fast alles, wird ja schon nichts passieren ;) , ist ja schließlich im sicheren Intranet). Die Downloads des FTP-Servers manipulieren wir on-the-fly, sodass wir uns in aller Ruhe überall verteilen können, auch an die ganzen Administrativen Desktops, ob nun Windows oder Linux spielt keine Rolle, im besten Falle landen wir über einen Download sogar auf einem Sprungserver, werden mit Rootberechtigung installiert (wie auch sonst?, die tollen Programme zum erweitern des Systems müssen nun mal ins System) und starten von diesem Punkt aus unseren finalen Angriff und verschlüsseln alles, nachdem wir das Netzwerk und die Infrastruktur genauer analysiert haben, sodass wir auch alle Off-Site Backups "verseucht" haben.

    Kommt nun noch dazu, dass massenweise veraltete Systeme (und da schließe ich die Clients der Anwender aus) und Anwendungen existieren, dann verbreitet man sich schneller im System, als ein Admin noch Sh*** rufen kann.


    Sicherheit auf Systemebene ist nahezu nicht umsetzbar, zumindest nicht ohne extreme Einschränkungen. Das heißt: Abschottung jeglicher Komponenten, eines jeden Systems, inkl. x-facher Authentifizierung für jegliche Aktion an Systemen, auf das ein Client zugreifen kann. Clients müssen alle in strikt getrennten Netzen (womöglich sogar physisch getrennten Netzen) untergebracht sein. Netzlaufwerke dürfen nur noch mit Autorisierung verändert werden, der Abruf von Daten ist also möglich, das ablegen von neuen oder ändern von Daten, geschieht nur noch nach Überprüfung der Inhalte der jeweiligen Dateien durch einen fachkundigen Dritten.
    Alle Systeme müssen täglich gewartet werden, jede Komponente (Webserver, Drittsoftware, etc.) muss täglich auf Updates geprüft werden und ob neue Sicherheitslücken für eine beliebige Komponente des Systems vorliegt, muss ebenfalls recherchiert werden.

    Oder, man stellt mehr kompetentes IT-Personal ein und schult jeden Mitarbeiter, der ein System bedient, dass in irgendeiner Art und Weise mit dem Unternehmensnetzwerk kommuniziert regelmäßig im Umgang mit IT-Systemen und Sicherheit.

    Ein Anfang wäre schon getan, wenn jeder Mitarbeiter/Nutzer über Kenntnisse von grundlegenden Sicherheitsrisiken hätte und auch nur einen Hauch davon beachten würde, aber so fahrlässig wie jeder Bürger dieses Planeten im Internet und WorldWideWeb unterwegs sein darf, ohne für Schäden haften zu müssen, brauchen wir absolut keine Erwartungen an Sicherheit in diesen Systemen erwarten.

  13. Re: Nicht zahlen

    Autor: Katsuragi 17.10.21 - 21:41

    Engel schrieb:
    --------------------------------------------------------------------------------
    > Es braucht nicht einmal einen geplanten Angriff, es reicht eine ganz
    > triviale Phishing Mail. Da helfen dann auch keine langen oder regelmäßig
    > geänderten Passwörter.
    >
    > Kurzes Beispiel. Ein Mitarbeiter in einer völlig unwichtigen Position lädt
    > das tolle Dokument mit integrierten Makros
    [...]
    > Nun sind wir im Netzwerk des Unternehmens drinnen.
    [...]
    > Nun lädt man die erste "schadhafte" Software/Komponente nach. Die überwacht
    > den E-Mailverkehr und leitet diesen über eine https, bzw. TLS-Verbindung
    > nach außen ab,
    [...]

    super geschrieben und Du hast meine volle Zustimmung. Auch zu der impliziten Feststellung, dass das alles genauso mit Linux passieren könnte.
    In der Praxis aber ist das alles aus meiner >25-jährigen Erfahrung als Sysadmin gar nicht nötig. Es läuft nämlich so:

    der Chef klickt auf einen Link, wo steht dass er ultra-wichtig ist und der Microsoft-Support ihn persönlich betreuen möchte. Selbstredend hat er auf seinem System (gegen den schriftlichen Rat der Admins) Admin-Rechte, denn sonst läuft die Super-Wichtig-Warenwirtschaft XY nicht. Die Schadsoftware braucht sich gar nicht aufwändig zu tarnen, denn auch die Sicherheit der Mailserver wurde auf Wunsch der Chefetage gesenkt, da sonst die über externe Werbefuzzis verschickten "Info"-Mails nicht richtig ankommen. Das Zeug verschlüsselt mit dem Account des Chefs mal eben sämtliche Daten, denn der darf natürlich überall zugreifen.
    Jetzt bräuchte man ein Backup. Aber so ein minimales Backup-System kostet ja fast so viel wie das neue iPad, das Chefe gerade auf Firmenkosten gekauft hat. Solche Ausgaben kann man wirtschaftlich wohl kaum rechtfertigen.

    Und, traurig aber wahr, NICHTS von dem gerade Geschriebenen ist übertrieben und ich habe das alles so schon erlebt.

    Im Staatsdienst (wo ich über 20 Jahre nebenher tätig war) ist es noch schlimmer. Da muss man bei einer Anlage aus 50+ Servern schonmal 6 Monate betteln, um aus der Bürokratie das Geld zu bekommen eine (!) defekte (!) Festplatte auszutauschen. Eine redundante Serveranlage mussten wir uns aus Schrott zusammen bauen. Die neuesten verwendeten (mechanischen) Festplatten waren 6 Jahre alt. Dafür gabs dann Ärger vom Chef, weil wir Admins den Bau über seinen Kopf entschieden und für 0 Geld selbst gemacht hatten, um arbeitsfähig zu bleiben. Ich war übrigens bei meiner kürzlichen Kündigung der vorletzte Mitarbeiter, der sich mit Servertechnik auskennt. Mein Ersatz ist jemand komplett Ungelerntes aus der Medientechnik, der vorher noch nicht einmal eine Linux-Konsole gesehen hatte oder wusste was eine Windows Domain ist. Jemand anders hat man nicht gefunden. Ist aber auch kein Wunder, wenn man EIN GANZES JAHR braucht, um allein die Stellenausschreibung zu veröffentlichen. Über das Gehalt reden wir auch nicht, oder über die Geringschätzung gegenüber den Mitarbeitern.

    Und jetzt stellen wir uns mal kurz vor wie es in kleineren Behörden ist...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Projektkoordinator/in (m/w/d)
    Bayerisches Staatsministerium für Unterricht und Kultus, München
  2. Physiker / Ingenieur als Wissenschaftlicher Berater (d/w/m)
    VDI/VDE Innovation + Technik GmbH, München
  3. Software Engineer (m/w/d) im Bereich Service Operations
    ASCon Systems GmbH, Stuttgart, München, Mainz
  4. Head of AI Strategy & Transformation (m/f/x)
    UnternehmerTUM GmbH, München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 999€ (Bestpreis)
  2. 709€ (Bestpreis) inkl. Direktabzug im Warenkorb
  3. 199€ (Bestpreis) bei Mindfactory


Haben wir etwas übersehen?

E-Mail an news@golem.de