1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Malware: Ikeas E-Mail-System…

Ich finde es irgendwie aberwitzig...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Ich finde es irgendwie aberwitzig...

    Autor: rawcode 29.11.21 - 13:45

    ... dass eine Dokumentdatei eine Gefahr für einen Rechner darstellen kann. Ehrlich, ein Dokument sollte ein passives Stück Datum sein, dass man sich ansehen kann, archivieren und/oder löschen, Punkt.
    Und wenn es schon "aktive" Inhalte wie Makros benötigt, dann sollte die Makrosprache selbst schon gar nicht die Möglichkeit bieten, auf Dinge außerhalb des Dokuments zuzugreifen. Wenn dann mein Malmakro alle Tabellen mit Unsinn vollmüllt, von mir aus. Aber dass eine Wörd-Datei überhaupt auf das Dateisystem zugreifen darf...

    ...DAS ist die Sicherheitslücke, und die ist auch noch ein Feature!

  2. Re: Ich finde es irgendwie aberwitzig...

    Autor: chefin 29.11.21 - 14:53

    Jo, back to the Roots. Dokumente müssen dumm sein.

    Signaturen, Verschlüsselungen, Macros, alles Teufelszeug. Naktes HTML only. Keine aktiven Inhalte mehr. Keine Videos, dafür Player laden, dokument runter laden, ganz wie vor 25 Jahren. Jeder Anbieter hat dann seinen eigenen Player und Codec, sowie Rootkit für die Entschlüsselungsmodule.

    Ne...wir kommen nicht mehr zurück. So wenig wie wir zurück zu Pferdekutschen kommen. Auch wenn die viel weniger CO2 haben und das ja recycelt wird. CO2 Neutral also.

    Wobei es bei Austauschdokumenten reichen würde die macrolosen Formate zu benutzen. Bereits damit wäre der Käs gegessen. Und nicht zu vergessen, die Infektion erfolgt indem man den Anhang lädt, entzipped, das Dokument öffnet und das Macro mit einem Klick aktiviert.

    Wer das ausführt, dem fehlt schlicht das Wissen. Firmen deren Mitarbeiter diesbezüglich so schlecht geschult sind, geschied es eigentlich recht, das sie betroffen sind. Incl IKEA.

  3. Re: Ich finde es irgendwie aberwitzig...

    Autor: SkyBeam 29.11.21 - 15:01

    rawcode schrieb:
    --------------------------------------------------------------------------------
    > ... dass eine Dokumentdatei eine Gefahr für einen Rechner darstellen kann.
    > Ehrlich, ein Dokument sollte ein passives Stück Datum sein, dass man sich
    > ansehen kann, archivieren und/oder löschen, Punkt.
    > Und wenn es schon "aktive" Inhalte wie Makros benötigt, dann sollte die
    > Makrosprache selbst schon gar nicht die Möglichkeit bieten, auf Dinge
    > außerhalb des Dokuments zuzugreifen. Wenn dann mein Malmakro alle Tabellen
    > mit Unsinn vollmüllt, von mir aus. Aber dass eine Wörd-Datei überhaupt auf
    > das Dateisystem zugreifen darf...
    >
    > ...DAS ist die Sicherheitslücke, und die ist auch noch ein Feature!

    Leider hielten es fasst alle Ersteller proprietärer Dokument-Software irgendwann für nötig ihre Dokumente irgendwie "aktiv" und "dynamisch" zu gestalten. Kaum ein Format welches noch ohne auskommt. Selbst PDF das ursprünglich eigentlich nichts anderes als eine Postscript Datei war (also das was auch bei einem Drucker ankommt) ist heute verseucht mit aktiven Inhalten und JavaScript. Man will ja auch Formulare inkl. deren Validierung und Funktionen die sonst auf eine Webseite (etwa das versenden von Formularinhalten an Webserver) in einem PDF abbilden können. Nicht weil es sinnvoll ist sondern weil es halt einfach geht.

    Das Führt dann zu lustigen Auswüchsen wo PDF-Reader die ursprünglich nur Dokumente anzeigen sollten (nicht mal bearbeiten) eine Sandbox brauchen um die Sicherheit der Benutzer vor eingebettetem Schadcode zu erhöhen. Am Ende haben sogar die Ersteller des Formats kapituliert und eingestanden, dass sie etwas geschaffen haben was sich nicht mehr absichern lässt. Adobe Reader zeigt jetzt auch beim öffnen eines PDFs einen Hinweis an "Alle Funktionen aktivieren". Der Benutzer versteht gar nicht wozu das gut ist und klickt auch bei jedem PDF drauf und sei es nur um den nervigen gelben Balken los zu werden oder die Druckfunktion verwenden zu können.

    Besonders nervig ist dabei, dass im Geschäftsverkehr teilweise Dokumente verwendet werden die ihren gesamten Inhalt aus dem Internet nachladen. Öffnet man die Dokumente in einem Nicht JavaScript fähigen PDF Viewer erscheint nur eine statische PDF-Seite wo drin steht man müsse Adobe Reader herunterladen. Witzigerweise zeigt auch Adobe Reader nur diese Meldung an bis man oben eben auf "Alle Funktionen aktivieren" klickt.
    Am Ende ist das alles nur eine Alibi-Übung damit Adobe und andere dann sagen können "ja, ihr wurdet ja gewarnt, aktiviert habt ihr den Schadcode selber".

    Als Administrator stehe ich hier vor der Wahl: PDF Reader mit aktiven Skripten unterbinden und so die Arbeit der Mitarbeiter aktiv blockieren oder Skripte erlauben und Schadcode riskieren. Keiner der Mitarbeiter hat wirklich verstanden warum sie jedes Mal auf "Alle Funktionen aktivieren" klicken müssen und keiner würde auch nur eine Sekunde zögern das zu tun wenn ein PDF nicht korrekt angezeigt wird.

    Die Quelle solcher gefährlicher PDFs ist im übrigen auch nicht anders bei legitimen PDFs. Beide sind auf irgendwelchen Webseiten abgelegt. Dazu trägt auch bei, dass selbst legitime Stellen (Behörden etc.) immer mehr Cloud-Dienste benutzen und selbst für Profis häufig nicht mehr zu erkennen ist ob der Download von einem legitimen Server erfolgt.

    Schlimm genug aber, dass offizielle Behörden PDF dermassen vergewaltigen, dass diese nur funktionieren wenn Adobe Reader ohne irgendwelche Sicherheitsbarrieren zum Einsatz kommt. Aber die Ersteller kennen halt nur Office und PDF, ein Web-Formular ist ja #Neuland und wird erst in 15 Jahren realisiert.

  4. Re: Ich finde es irgendwie aberwitzig...

    Autor: gaym0r 29.11.21 - 15:14

    Ja, und ne GUI braucht man eigentlich auch nicht. Einfach nur noch per Commandline arbeiten, dann kann man Excel und schädliche Makros gar nicht erst nutzen.

  5. Re: Ich finde es irgendwie aberwitzig...

    Autor: tatiplut 29.11.21 - 15:21

    chefin schrieb:
    --------------------------------------------------------------------------------

    > Signaturen, Verschlüsselungen, Macros, alles Teufelszeug. Naktes HTML only.
    > Keine aktiven Inhalte mehr. Keine Videos, dafür Player laden, dokument
    > runter laden, ganz wie vor 25 Jahren. Jeder Anbieter hat dann seinen
    > eigenen Player und Codec, sowie Rootkit für die Entschlüsselungsmodule.
    Signaturen und Verschlüsselung der fertigen Datei sind deutlich sicherer und vielseitiger verwendbar.
    Hier haben Dokumentenformate schon öfters Sicherheitslücken verursacht (z.B. durch Überlagerung des Dokuments mit unsignierten Anmerkungen oder weiteren "Signaturfeldern"). Die Verschlüsselung ist passwortbasiert und besonders bei suboptimalen Passworten auch recht leicht angreifbar.

    Sobald man aktive Inhalte erlaubt, die auf Dinge außerhalb des Dokuments zugreifen können (Internet, Dateisystem, ...) hat man nicht nur Malwareprobleme sondern riskiert auch, dass das Dokument gänzlich anderen Inhalt anzeigt je nachdem wer es öffnet.
    Beispiel: Ein harmlos aussehendes Dokument, welches sie unterschreiben oder auch nur weiterleiten und welches dann am nächsten Tag andere Vertragsdaten oder illegale Inhalte enthält.

    Videos braucht man höchstens in Powerpoint-Dokumenten. Auch da sehe ich öfters, dass die Präsentation kurz beendet wird um das Video zu starten, weil es im Dokument selber oft eh nicht klappt. Meinetwegen kann man da auch wenige, normale Videoformate erlauben. Beispielsweise h264 oder h265. Den Rest kann man dann darin konvertieren.

    Codecs sind inzwischen die meisten Standardisiert und durch deren Hardwareunterstützung sind auch nur noch wenige interessant. Eigene Player und Entschlüsselungsmodule braucht man nur um DRM/Kopierschutz umzusetzen, was man im Office-Umfeld üblicherweise nicht braucht und auch die Musikindustrie verzichtet inzwischen darauf.

    > Und nicht zu vergessen, die
    > Infektion erfolgt indem man den Anhang lädt, entzipped, das Dokument öffnet
    > und das Macro mit einem Klick aktiviert.
    >
    > Wer das ausführt, dem fehlt schlicht das Wissen. Firmen deren Mitarbeiter
    > diesbezüglich so schlecht geschult sind, geschied es eigentlich recht, das
    > sie betroffen sind. Incl IKEA.
    In vielen Organisationen ist das leider durchaus übliches Vorgehen wie rawcode beschreibt.

  6. Re: Ich finde es irgendwie aberwitzig...

    Autor: Bermuda.06 29.11.21 - 17:38

    gaym0r schrieb:
    --------------------------------------------------------------------------------
    > Ja, und ne GUI braucht man eigentlich auch nicht. Einfach nur noch per
    > Commandline arbeiten, dann kann man Excel und schädliche Makros gar nicht
    > erst nutzen.

    Komisch, dass ich bisher in meiner gesamten Berufslaufbahn im digitalen Bereich vielleicht mit max. Einer Hand voll Dokumenten in Kontakt kam, die diese Funktionalität nutzen. Bei einem Großteil der Anwendungsfälle wird man irgendwelche VBA Excels aus historischen Gründen nutzen, obwohl es längst moderne Alternativen gäbe.

    Was ich damit sagen will: die Use Cases und der Nutzerkreis sind extrem eingeschränkt. Gut wäre, wenn Administratoren nur ausgewählten Personen erlauben könnten solche Ausführungen in Dateien zu nutzen und auch nur dann wenn Sie auf dem Firmenserver liegen und nicht im Inbox.

    Oder noch konsequenter: alle eingehenden Mails mit Office Dateien wegfiltern.

  7. Re: Ich finde es irgendwie aberwitzig...

    Autor: Bermuda.06 29.11.21 - 17:44

    chefin schrieb:
    --------------------------------------------------------------------------------
    >
    > Wer das ausführt, dem fehlt schlicht das Wissen. Firmen deren Mitarbeiter
    > diesbezüglich so schlecht geschult sind, geschied es eigentlich recht, das
    > sie betroffen sind. Incl IKEA.

    Ich weiß nicht in welcher 3 Mann/Frau Bude du arbeitest, aber in einem Großunternehmen sicherlich nicht.

    Bei XX.000 Anwendern wird es auch nach 300 Schulungen immer irgendeinen geben, der es entweder grundsätzlich nicht checkt oder der mit dem falschen Fuß aufgestanden ist. Die Mails werden zudem immer besser.

    Bspw. „Vorname.nachname@deinefirma.de [also konkrete Mailadresse eines Mitarbeiters] hat ihnen im OneDrive folgende Datei …. freigegeben…klicken sie hier“….Danach kommt der bekannte Anmeldescreen der die Zugangsdaten abfished. Natürlich alles im akkuraten Microsoft Layout.

    Wer da wirklich glaubt man könnte bei Tausenden Mitarbeitern so etwas mit ein paar Schulungen komplett verhindern, der ist ein Träumer.



    1 mal bearbeitet, zuletzt am 29.11.21 17:46 durch Bermuda.06.

  8. Re: Ich finde es irgendwie aberwitzig...

    Autor: gaym0r 30.11.21 - 14:19

    Bermuda.06 schrieb:
    --------------------------------------------------------------------------------
    > gaym0r schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ja, und ne GUI braucht man eigentlich auch nicht. Einfach nur noch per
    > > Commandline arbeiten, dann kann man Excel und schädliche Makros gar
    > nicht
    > > erst nutzen.

    > Oder noch konsequenter: alle eingehenden Mails mit Office Dateien
    > wegfiltern.

    Und schon ist die gesamte Automobilindustrie in DE lahmgelegt.

  9. Re: Ich finde es irgendwie aberwitzig...

    Autor: rawcode 30.11.21 - 16:01

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Jo, back to the Roots. Dokumente müssen dumm sein.

    Absolut. Ein Dokument, dass zur Information/zum Lesen gedacht ist, sollte auch dumm sein und braucht tatsächlich auch keine aktiven Inhalte. Achtung: natürlich ist ein Film oder eine Animation auch ein Dokument und darf auch gerne vom passenden Reader abgespielt werden.
    Aber wenn mein Doc irgendein Makro enthält, dass mir mit meinen Userrechten mal eben meinen Homeordner durchsuchen darf und z.B. meine privaten SSH-Schlüssel abfischen und, ganz modern, aktiv, und irgendwie so cloudig, auf irgendwohin.ru hochladen darf, dann stimmt da was. Nicht.

    > Signaturen, Verschlüsselungen, Macros, alles Teufelszeug. Naktes HTML only.
    > Keine aktiven Inhalte mehr. Keine Videos, dafür Player laden, dokument
    > runter laden, ganz wie vor 25 Jahren. Jeder Anbieter hat dann seinen
    > eigenen Player und Codec, sowie Rootkit für die Entschlüsselungsmodule.
    >
    > Ne...wir kommen nicht mehr zurück. So wenig wie wir zurück zu
    > Pferdekutschen kommen. Auch wenn die viel weniger CO2 haben und das ja
    > recycelt wird. CO2 Neutral also.

    Ja genau. Kaum lassen wir ein paar vollkommen überflüssigen "Komfort"-Features weg, sind wir gleich wieder komplett in der Epoch, sozusagen die Bernsteinbildschirmzeit.

    > Wobei es bei Austauschdokumenten reichen würde die macrolosen Formate zu
    > benutzen. Bereits damit wäre der Käs gegessen. Und nicht zu vergessen, die
    > Infektion erfolgt indem man den Anhang lädt, entzipped, das Dokument öffnet
    > und das Macro mit einem Klick aktiviert.
    >
    > Wer das ausführt, dem fehlt schlicht das Wissen. Firmen deren Mitarbeiter
    > diesbezüglich so schlecht geschult sind, geschied es eigentlich recht, das
    > sie betroffen sind. Incl IKEA.

    Lol. Das ist ja das Problem. Du kannst noch so viele "wollen Sie wirklich?"-Dialoge reinhauen. Wenn Userli dahinter etwas wichtiges vermutet und diese Sicherheitsabfragen eh nur mit "die paranoide IT wieder, ich muss meine Arbeit machen" abbügelt, dann geht das schief.

    Meine langjährige Erfahrungen:
    1. was der User DARF, macht er oder sie auch, es findet sich immer eine(r).
    2. Komfort und Sicherheit schließen sich gegenseitig aus.
    3. Informationen verstecken um den User nicht zu überfordern, öffnet Sicherheitslücken (z.B. Dateiendungen, URLs, Zertifikate, ...)

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Fachinformatiker (m/w/d) für den IT Vor-Ort Support
    DATAGROUP Köln GmbH, Köln, München, Dessau
  2. Wissenschaftliche Mitarbeiterin (m/w/d) an der Fakultät für Informatik
    Universität der Bundeswehr München, Neubiberg (Home-Office möglich)
  3. Abteilungsleitung (w/m/d) Produktmanagement Kollaborationsplattform / Phoenix
    Dataport, Altenholz, Kiel, Hamburg
  4. Produktberater (m/w/d) Personal-Software
    Stiftung Kirchliches Rechenzentrum Südwestdeutschland, Eggenstein-Leopoldshafen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 399,99€
  2. (u. a. Ryzen 7 5800X für 469€)
  3. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de