Thread Starter
- 24 September 2017
- 2.547
- 15.711
- 3.615
- 73
Wir sind uns sicher einig, dass jede IT, jedes System oder Gerät angreifbar ist?
Na klar sind wir uns da einig. Mit der nötigen Vorsicht und einigen Kenntnissen kann man den Attacken von Skript-Kiddies weitgehend ausweichen. Ist man aber erstmal im militärischen/Geheimdienstbereich angekommen, hilft nichts mehr. Ich hab mal gestaunt, als in 'nem Vortrag auf einem Jahreskongress des CCC vorgestellt wurde, wie selbst Kryptochips (Hardware) geknackt werden. Die Chips werden maschinell und spanabhebend im Nanometerbereich abgeschliffen und die Leiterbahnen/Speicherzellen schichtweise freigelegt. Die anschließende Analyse dauert dann etliche Monate, ist aber letztendlich in der Lage, Verschlüsselungen mit Schlüssellängen von mehr als 2048 Bit zu knacken, theoretisch. Soviel zur prinzipiellen Machbarkeit. Trotzdem scheuen staatliche Organe (z.B. das FBI, da hat @wiwowa Recht) meist vor dieser Methode zurück, weil viel zu aufwendig und zeitraubend. Warum auch, wenn social engineering und waterboarding schneller zum Erfolg führt.
Also: Wenn das Ziel hochwertig genug ist, spielt Aufwand keine Rolle. Alles kann geknackt und ausgenutzt werden. Sind wir als kleine Sextouristen hochwertige Ziele? Nein! Für staatliche Orange sind wir nur unerwünschter Beifang, um den man sich nicht weiter kümmert. Auch für gangsterhafte Profi-Datenklauer sind wir als Nicht-Millionäre uninteressant. Solche Leute betreiben Industriespionage, das ist viel lukrativer. Vieles von dem, was hier im Thread gesagt wurde, ist wahr, aber ich trage keinen unnötigen Aluhut und mache mir als Einzelperson über *solche* Angreifer keine Sorgen.
Übrig bleiben zweitklassige Angreifer (die können gefährlich sein), und Skript-Kiddies (die kann man auch mit Bordmitteln, ein paar Kenntnissen und vorsichtigem Verhalten gut fernhalten). Darum geht es mir, deshalb gehe ich nicht auf alle Argumente hier ein. Welche Art von Angriffen machen wir Sorge? Das sind Angriffe mit der datentechnischen Schrotflinte. Viele Schüsse in Blaue, pro Schuss gehen 999 Kugeln daneben, aber eine trifft. Die Masse bringt dann den Profit. Bei PC-gestützten Infrastrukturen sind das im Moment die Verschlüsselungs-Trojaner, bei mobilgerätegestützten Infrastrukturen sind das die Abräumer von Konten kleiner Leute - dazu zähle ich mich auch.
Eine Überlebensweisheit von IT-lern ist: Gehe keine unnötigen Risiken ein, und die ausschliessliche Nutzung von Apps für Finanztransaktionen ist für mich ein unnötiges Risiko. Als Krediitkartennutzer bin ich Zwangsmitglied einer Solidargemeinschft und zahle deshalb über meine Kontoführungsgebühren die Entschädigung für die Dummheit anderer Leute mit, und das kotzt mich an. Das habe ich hier zu begründen versucht, bin aber nicht immer durchgedrungen. Formuliere ich zu unscharf ?
Als Beispiel nur zu einem einzigen der hier vorgebrachten Argumente:
Biometrische Authentifiziereng (Fingerabdruck, aber ich erweitere das mal um Augeniris Scan, Venenbahnen der Handfläche) sind sichere Verfahren. Nein, sind sie nicht. Jedes der Verfahren ist bereits geknackt worden, es liegen einfache Anleitungen für Amateure dazu in Netz. Einen Fingerabdruck zu bekommen ist supereinfach. Schon vor über 10 Jahren konnte man im Netz den Fingerabdruck von Wolfgang Schäuble downloaden - er hatte bei einem Empfang ein Bierglas angefasst, und ein Kellner hatte es an sich genommen. Mittlerweile geht es noch viel einfacher, auch kontaktlos aus mehreren Metern Entfernung. Ein Profiphotograf ist drauf gekommen. Er hat Angela Merkels Hand beim winken mit Tele aufgenommen und mit dem Foto rumgespielt. Beste Qualität. Jetzt muss man noch das Handy klauen oder finden, und man muss den Fingerabdruck per 3D-Drucker auf eine Latex-ähnliche Masse drucken, die man sich wie die Spitze eines Gummihandschuhs über den eigenen Finger stülpt. Ein bißchen Fettcreme drauf und wieder abgewischt, ein Rest bleibt kleben. Sowas kann jeder Simpel, wenn er sich einen 3D-Drucker kauft. Was der Schäuble damals alles so angefasst hat (Waffen z.B.) hat für viele Lacher im Netz gesorgt. Also behaupte hier niemand, der Fingerabdruckscanner seines Handys sei ein Sicherheitsfeature.
Das war nur ein Beispiel, stellvertretend für viele weitere. Es bleibt dabei: Zwei-Faktor-Authentifizierung auf nur einem einzigen Gerät ist Murks und Stückwerk. Man knackt ein Feature dieses Gesamtkunstwerks aus Gerät, App, und dazu gehörigem Übertragungsweg, dann das nächste, und schwupps hat man Zugriff auf das Konto. Um den zweiten Faktor braucht man sich überhaupt nicht zu kümmern, weil der nicht existiert. Deshalb dürfte der bevorzugte Angriffsweg auf ein Konto über den Handyzweig des Verfahrens laufen. Denn Handyuser sind dümmer und unvorsichtiger (Vorurteil, Urteil und Meinung, alles in einem). Kopflos wie eine Hammelherde.
Als Administrator eines Business-Netzwerks mit Client/Server Aufbau, oder auch nur als Admin eines Einzel-PCs, kann ich die Benutzer oft dazu zwingen, Dummheiten zu unterlassen. Die Härtung eines Netzwerks gegen Angriffe (Hardware, Betriebssystem, und Anwendersoftware), die Erstellung zwingender Gruppenrichtlinien usw. sind das tägliche Brot der Admins, sowas hab ich viele Jahre gemacht. Die deutlich höhere Sicherheit und Robustheit von Netzwerken und Einzel-PCs einfach außen vor zu lassen und zu versuchen die komplette 2FA auf ein einziges Gerät zu verlagern, ist nicht nur unklug sondern auch bodenloser Leichtsinn. Sowas wird zwar funktionieren, aber nie die gleiche Sicherheit haben wie eine echte 2FA. PC-User haben zwar mehr Knöpfe und Stellschrauben zur Verfügung, können aber kaum in so schneller Zeit einen solchen Riesenschaden anrichten wie es Handyuser können.
Ein paar Jahre vor meiner Rente habe ich dann noch den Einzug der Smartphones in die professionelle IT-Welt miterleben dürfen, Stichwort BYOD (Bring Your Own Device). Für jeden Admin ein Alptraum, schlimmer als einen Sack Flöhe hüten. Unsere Rückzugsgefechte: Die Notebooks von Aussendienstlern konnten nur noch mit von uns gehärteten Boot-DVDs genutzt werden, sonst gab es keine Verbindung ins Netz. Die Installation eigener Zusatzprogramme/Tools war unmöglich. Alle Mitarbeiter erhielten ein Diensthandy, die Benutzung eigener Geräte war verboten. Alles vergeblich, heute haben private Mobilgeräte einen festen Platz in der Berufswelt. Mitarbeiter werden nicht mehr per bcc-Adressfeld im Mailclient gemobbt, sondern per Whatsapp.
Diese Entwicklung finde ich einfach Kacke., deshalb habe ich mich weiter oben hier im Thread als Oldschooler bezeichnet. Es geht sooo viel an Sicherheit verloren, und dauernd muss ohne Sinn und Verstand rumgefrickelt werden. Die Abhängigkeit von Softwarelieferanten und Marketingtrompetern hat über die Jahre schleichend zugenommen. Wohlgemerkt, nicht die Abhängigkeit von den Programmierern, die sind selbst nur Opfer.
Ich habe wohl mehr datentechnische Notlagen erlebt als die meisten Forenmember hier. Auch persönlich war ich schon mal betroffen (social engineering traf auf Unvorsichtigkeit). Mit diesem Hintergrund wird die ausschliessliche Nutzung einer App für Geldgeschichten nie in Frage kommen. Jeder Admin muss sich im Beruf einen Wachhund-Instinkt antrainieren, wenn er erfolgreich sein will. Und hier fängt mein Köter an zu bellen. Völlig egal wie viele Einzelargumente jetzt noch kommen zu einzelnen Vorteilen von Apps. Das ist für mich nicht relevant, denn es geht mir um die benutzte Methode und deren Implementierung.
Ein Schmankerl in SQL zum Schluß:
SELECT * FROM users WHERE iq > 60;
0 rows returned