Chat-Nachlese

"Ein Spion wird kein Pony auf die Webseite stellen"

Chat | 4. Oktober 2011, 12:50

Cert.at-Experte Otmar Lendl stellte sich den Fragen der UserInnen zu Anonymous und Datensicherheit

Ansicht mit UserPostings

ModeratorIn
Wir begrüßen ganz herzlich cert.at-Experte Otmar Lendl, der in der folgende Stunde die Fragen der LeserInnen beantworten wird.
Otmar Lendl
Auch von meiner Seite ein Hallo und willkommen.
posten
01
-+
UserInnenfrage per Mail
Erwin Bartsch: Was sind gemäß der Erfahrungen der CERT.at die häufigsten Ursachen für "erfolgreiche" Angriffe auf diverse öffentliche Institutionen? Eher in Richtung Geldmangel für die IT oder eher Nachlässigkeit/Unwissenheit? Oder?
Otmar Lendl
IT-Sicherheit braucht Aufmerksamkeit beim Management: es ist nicht spannend, es brauch sorgfältiges arbeiten. Geld isr nicht das Primärproblem, da langfristig Sicherheitsprobleme ja auch Kosten verursachen.
posten
02
-+
UserInnenfrage per Mail
Investieren Unternehmen und öffentliche Stellen allgemein zu wenig in die Sicherheit ihrer Computersysteme?
Otmar Lendl
Das ist oft keine Frage von Zuwenig, sondern von bestmöglichem Einsatz der Mittel. Und manchmal hängt es einfach daran, dass man bestehende Systeme besser absichern muss, bevor man neue Projekte angehen kann.
posten
Postings zeigen
01
-+
suit
3
+
-
00
4.10.2011, 19:18
antworten
permalink
melden
Manchmal hängt es davon ab, dass man Projekte nicht an die billigste "Programmierbude" vergibt, die man findet :)
UserInnenfrage per Mail
Haben KMUs überhaupt die finanziellen Mitteln um beispielsweise einen Web-Shop mit ausreichender Sicherheit aufbauen - und pflegen - zu können?
Otmar Lendl
Für KMUs ist das nicht trivial: wir hatten in der letzten Zeit etwa viele Vorfälle mit osCommerce, einer freien Shoplösung. Das lässt sich aber meist durch sorgfältiges Operating in den Griff bekommen. Aber ein webshop wird nie ein System sein, das man einfach nur so vor sich hin laufen lassen kann. Das braucht Aufmerksamkeit.
posten
00
-+
UserInnenfrage per Mail
Strg-Alt-Entf: Finden Sie es richtig, dass die Verantwortlichen bei grob fahrlässigem Umgang mit personenbezogenen Daten derzeit schlimmstenfalls mit einem Griff in die Portokasse davonkommen? Oder stehen GIS, TGKK usw. symptomatisch dafür, dass man die weit verbreitete Ignoranz gegenüber dem Datenschutz nur in den Griff bekommen kann, wenn das "Verlieren" von Daten aufgrund nicht zeitgemäßer Sicherheitsmaßnahmen ähnlich behandelt würde wie Hacks und Missbrauch?
Otmar Lendl
Die Frage der Haftung bei IT Sicherheit ist in der Branche ein lang diskutiertes Thema. Bruce Schneier etwa argumentiert schon lange, dass Softwarehersteller mehr für die Bugs in ihrer Software haften sollten. Ansonsten: Betriebsprüfungen enthalten mitlerweilen Tests auf die Sicherheit der IT einer Firma: Fokus ist dort aber die Business Continuity. Wenn ein CEO das verbockt, hat das Folgen. Das auf Datenlecks auszudehnen, mag Sinn machen. Einfache Antworten gibt es da aber nicht.
posten
00
-+
fr33k van der Wand
Diverse staatliche, teils staatliche aber auch private Behörden, Organisationen, Vereine etc. erheben Daten über die österreichischen Büger. Diese werden zunehmen miteinander verknüpft und ausgetauscht. Ist es Ihrer Meinung nach, bei einem so riesigen und komplexen Datenfluss überhaupt möglich alle IT-Sicherheitslücken abzudecken?
Otmar Lendl
Da gibt es mehrere Aspekte: Die vielzahl der Datenbanken und deren Betreiber macht es sehr wahrscheinlich, dass irgendeiner davon ein Sicheheitsproblem hat. Andererseits: wär alles in einer Hand, würde das Verknüpfungen noch viel einfacher machen. Choose your Poison. Wie wir gerade jetzt sehen, ist das Verbinden verschiedener Datenquellen gefährlich.
posten
04
-+
UserInnenfrage per Mail
Wenn staatliche Einrichtungen Daten nicht ausreichend sichern können, was bedeutet das für Vorhaben wie die Vorratsdatenspeicherung?
Otmar Lendl
Die Datenlecks der letzten Zeit waren nicht in klassischen staatlichen Stellen. Die VDS betrifft in der aktuellen Form Daten, die bei den privaten Betreibern liegen. Und dort sind diese Daten schon lange vorhanden, da sie für den Betrieb der Netze -- kurzfristig -- gebraucht werden. Die VDS regelt primär die aufhaltedauer und die zugriffsrechte. (Aber ich bin Techniker, nicht Jurist)
posten
00
-+
UserInnenfrage per Mail
Man hört jetzt viel über Anonymous. Sind Hacks und Datendiebstähle im Auftrag von Staaten (Geheimdienste) nicht eine viel größere Bedrohung?
Otmar Lendl
Ja, aber diese sind nicht so medienwirksam. Ein Spion will lange unerkannt im System sein, und Daten abziehen. Der wird kein Pony auf die Webseite stellen und per Twitter die Medien informieren.
posten
012
-+
Speyside
SPÖ, FPÖ und Grüne sind ja kürzlich Opfer von Hackerattacken geworden - gibt es Informationen darüber, welche politischen Organisationen besonders häufig angegriffen werden bzw. gibt es Häufungen (in Wahlkämpfen o.ä.)?
Otmar Lendl
Wenn man sich die Chats von Anonymous so anschaut, dann sieht man leicht Präferenzen für die linke Seite, auch aus dem CCC-Umfeld wird eher auf die FPÖ, als auf die Grünen losgegangen. Zusammenhänge mit den Wahlkämpfen wären uns nicht aufgefallen.
posten
00
-+
Gerwin Winter
Kann man sich im Internet wirklich anonymon bewegen? Mit Vpn-Diensten, Proxies etc.
Otmar Lendl
Ja, das ist möglich, aber nicht einfach. VPN-Dienstleister, Tor & co können IP-Adressen verbergen, das ist aber nur ein Teil des Ganzen. Webbrowser sind über Cookies/Erweiterungen/Fonts ziemlich eindeutig geworden. Das alles richtig zu machen, und sich auch nicht mal im realen Leben zu verplaudern, braucht aber sehr konsistens Vorgehen und das schaffen nur wenige.
posten
00
-+
tehj4ckass
Gibts es gewisse gesetzliche (minimum) Sicherheitsanforderungen für die Speicherung von personenbezogenen Daten in Österreich? (zB. Kreditkartendaten nicht in Klartext oä.
Otmar Lendl
Wie gesagt, ich bin kein Jurist. Neben dem Datenschutzgesetz spielen bei dieser Frage aber auch die Vorgaben der Kreditkartenunternehmen eine Rolle: Die haben sehr explizit definiert, was eine Onlineshop haben muss, damit er Kreditkartendaten verarbeiten darf (PCI-Compliance).
posten
01
-+
dottore
Ist es andenkbar öffentliche Behörden über ein Sicherheitsaudit jährlich überprüfen zu lassen, mit Bezug auf Sicherheit, Verwahrung usw.
Otmar Lendl
Ein großer Teil der heiklen System machen das bereits. Eine formale Verpflichtung dazu halte ich nicht für falsch, da das entsprechende Ressourcen ohne jährlichen Streit freigeben würde.
posten
00
-+
Jo_Sch
Ist die Exikutive wirklich so Machtlos wie es scheint? Bei Anonymous handelt es sich angeblich ja nicht um Profis, dennoch ist bisher keine einzige Festnahme erfolgt. Kann im Internet jeder der Staatsmacht auf der Nase herumtanzen ohne Konsequenzen befürchten zu müssen?
Otmar Lendl
Gegenfrage: wollen wir wirklich, dass die Polizei solche Vorfälle immer und schnell aufdecken kann? Was bräuchten wir dann für Überwachungsmaßnahmen? Dagegen wäre die VDS komplett harmlos. Ich seh das wie im realen Leben: dort tracken wir auch nicht jede Bewegung der Bürger, auch wenn das den Job der Polizei viel leichter machen würde. Freiheit hat seinen Preis.
posten
046
-+
Topiary
Trägt das Veröffentlichen von Angriffen etc. nicht maßgeblich zu einem erhöhten Sicherheitsbewußtsein etc. bei. Und sind diese so insgesamt nicht von Vorteil.
Otmar Lendl
Wie so oft: wenn nie was passiert, dann sinkt die Aufmerksamkeit für das Problem (siehe etwa Stichwort Hochwasser). Eine Medienaufmerksamkeit zu erzeugen hat daher auch positive Effekte. Dabei sollte man aber immer die Pro- und Contra genau abwiegen: welchen Schaden erzeugt der Hack vs. was bringt die Meldung an Sicherheitsgewinn für das Land. (das gleiche Problem haben wir auch immer bei der Publikation von Schwachstellen in Programmen, dort wird auch immer wieder gestritten, was denn jetzt "responsible disclosure" wäre.) CERT.at nimmt Meldungen über Sicherheitsprobleme gerne an und gibt diese (auf Wunsch anonymisiert) an die Betroffenen weiter.
posten
Postings zeigen
00
-+
suit
3
+
-
00
4.10.2011, 19:20
antworten
permalink
melden
Responsible Disclosure ist eine feine Sache, funktioniert aber leider nicht - der Spritpreisrechner von E-Control ist z.B. so eine Sache.

Die dürfen angeblich nur maximal die 5 billigsten Tankstellen anzeigen, wegen irgend einer "rechtlichen Sache". Die Webanwendung ist aber dermaßen schlecht abgesichet, dass man problemlos binnen weniger Minuten sämtliche Daten abfragen kann um sich so seine eigene vollständige Liste zu bauen.

Ich hab' denen Mehrmals eine E-Mail mit dem Hinweis, dass das Problem besteht, geschickt - wurde aber ignoriert? Was tun: full disclosure? Proof-of-Concept erstellen?
Reginald Barclay
0
+
-
00
5.10.2011, 09:39
antworten
permalink
melden
Du hast irgendwem dort irgendein Email geschickt. Und anscheinend keine Antwort erhalten.

In dem Fall mal eskalieren - zB an die CERT.at, dafür sind die ja anscheinend da.
suit
3
+
-
00
5.10.2011, 09:45
antworten
permalink
melden
Ich hab' gestern ein kleines Proof-of-Concept-Script[1] geschrieben und nochmal die Kontaktmöglichkeit bei E-Control auf der Website genutzt (den Formmailer).

Mal sehen ob ich eine Antwrot bekomme.

[1] hat etwa 1 Stunde gedauert, um 500 neue Standorte aus der Datenbank zu crawlen - wenn man die Standorte aber breits hat, ist ein aktualisieren des Datenstandes in ein paar Minuten möglich.
UserInnenfrage per Mail
2010sdafrika: Herr Otmar Lendl, Anonymous hat gegenüber der südafrikanischen Regierung den Krieg erklärt. Was halten Sie von diesen Drohungen - reine Propaganda oder ernstzunehmende Erklärung?
Otmar Lendl
Das kann ich nicht seriös kommentieren. Generell gilt nur: die Absicherungsmaßnahmen für die eigene IT sollte man unabhängig von irgenwelchen aktuellen Anlässen immer machen. Wenn das ein Argument ist, dafür Ressourcen zu bekommen, dann nutze die Drohungen.
posten
01
-+
Gerwin Winter
Was halten sie von IPV6 (aus Security-Sicht)
Otmar Lendl
Dazu hab ich hier im Standard letztens bei einem Artikel mitgearbeitet, den will ich jetzt nicht auf die Schnelle zusammenfassen. Hat wer den Link parat?
posten
Postings zeigen
05
-+
john malk
0
+
-
02
4.10.2011, 14:22
antworten
permalink
melden
IPv6 Artikel
http://derstandard.at/131500625... ins-heraus
Rene Avi
0
+
-
04
4.10.2011, 14:16
antworten
permalink
melden
Link
http://derstandard.at/131500625... ins-heraus
tehj4ckass
Sehr viele der vergangenen Angriffe haben SQL-Injections als Werkzeug verwenden. Wie kompliziert ist so einen Injection und wie schwer ist es sich gegen diese Art von Angriff zu schützen?
Otmar Lendl
Für die technischen Laien hier: SQL-Injektion basiert darauf, dass man dem Webserver Eingabedaten so kreativ übergibt, dass diese in der Datenbankabfrage falsch interpretiert werden, und dadurch andere Daten ausgelesen/verändert werden, als das der Programmierer vorgesehen hatte. Das lässt sich händisch machen, dazu sind im Netz viele Tipps und auch fertige Programme dafür frei erhältlich. Der Schutz dagegen ist nicht wirklich schwierig, wenn dieser Angriff beim Programmieren der Anwendung berücksichtigt wurde. (Ausschliesslich "prepared statements", input validation, DB-Abstraction Layers, ...) Im Nachhinein ist es immer schwierig, alle heiklen Codestücke zu finden.
posten
Postings zeigen
01
-+
suit
3
+
-
00
4.10.2011, 19:14
antworten
permalink
melden
Das ist das grundlegende Problem bei der Sache, dass man zwischen "wie gewünscht" und "richtig" bzw. "nicht wie gewünscht" und "falsch" nicht unterscheidet.

Bei einer SQL-Injection werden die Daten nicht vom SQL-Server falsch interpretiert sondern eben genau richtig, da eine Injection darauf basiert, dass die Werte eben nicht entsprechend auf ihre Plausiblität geprüft bzw. entsprechend für die Verarbeitung maskiert werden.

Wenn man vom Kontext "Benutzereingabe im Klartext" - und nichts anderes ist z.B. eine GET- oder POST-Anfrage über einen Link oder ein Formular - in den Kontext SQL wechselt, muss man das einfach entsprechend bedenken.

http://wiki.selfhtml.org/wiki/Arti... extwechsel
Kuldip K.
War heute im BKA meine e-card zur Bürgerkarte freizuschalten. War das ein Fehler?
Otmar Lendl
Damit den Steuerausgleich zu machen, ist sicher harmlos. Ansonsten: die Sicherheit der Bürgerkarte (und vor allem der Handy-Signatur) war bis jetzt kein Thema der CERT-Arbeit. Generell gilt aber: den eigenen PC sauber zu halten ist für alle Online-Aktivitäten sehr wichtig.
posten
00
-+
el xorxe
nach den öffentlich gewordenen anon-aktionen: wie beurteilen Sie deren fähigkeiten? sind die wirklich gut, oder nur dreist? oder wie stellt sich dieser sachverhalt aus sicht eines spezialisten dar?
Otmar Lendl
Ich bewundere deren Medienarbeit.
posten
Postings zeigen
09
-+
nyb
0
+
-
02
4.10.2011, 15:14
antworten
permalink
melden
haha.
anon hat viele fans innerhalb der it. :)
Charlie Brown
7
+
-
30
4.10.2011, 17:19
antworten
permalink
melden
Jein - sicher auch einfach nur genug "Follower". Ich z.B. will/muss nat. am Laufenden bleiben, aber Fan bin ich deswegen keiner von ihnen, bzw. nicht von diesen Aktionen. Anon an sich war mal eine gute Bewegung.
suit
Wenn man auf CERT.at die Warnung durchsieht, sieht man sehr häufig Adobe - im Kontext Flash - und Apple. über diese Sicherheitslücken können oft Daten abgegriffen werden - Stichwort Flash Cookies - die nicht für jeden bestimmt sind. Halten Sie Flash allgemein bedenklich, wenn es um Datenschutz geht.
Otmar Lendl
Das Bedrohungsbild für den typischen Windows-PC hat sich in den letzten Jahren stark gewandelt: waren es früher noch Fehler im Betriebssystem, die die Problem waren, ging es dann in Richtung Standardapplikation, dann Browser und deren Erweiterungen. Adobe hat da in den letzten 2 Jahren einiges an Kritik einstecken müssen. Flash Cookies sind, genauso wie normale Cookies, ein Datenschutzproblem aber können nicht zur Installation von Schadsoftware führen.
posten
01
-+
UserInnenfrage per Mail
Kabelbrand: Welche grundlegenden Sicherheitstipps bzw- empfehlungen würden sie jedem User ans Herz legen, also auch denen, die nur wenig Ahnung von der Materie haben?
Otmar Lendl
Brian Krebs hat das mal so formuliert: 1) Installiere nur das, was du selber aktiv gesucht hast. 2) Halte alles aktuell, was du installiert hast. 3) Deinstalliere alles, was du nicht mehr brauchst.
posten
Postings zeigen
010
-+
Zitronenbaum
3
+
-
00
5.10.2011, 08:37
antworten
permalink
melden
Halte ich auch so. :)
Und bei allen Sachen, die einem noch aus Partnerschaftsgründen zu Google oder sonstwem eine Toolbar aufs Auge drücken wollen: Keine Kasteln anklicken, die man nicht braucht. Sonst hat man 27+ Toolbars.
fr33k van der Wand
0
+
-
02
4.10.2011, 15:10
antworten
permalink
melden
ich erlebe es jedoch leider immer häufiger das Problem, dass unerfahrene User Werbung oft als Download-Link missverstehen und sich so verseuchte Open Source Programme installieren.
ModeratorIn
Wir bedanken uns bei Otmar Lendl für seine aufschlussreichen Antworten und natürlich auch bei den LeserInnen für die vielen interessanten Fragen. Wir wünschen noch einen schönen Nachmittag.
Otmar Lendl
Auch von meiner Seite ein Danke für die spannenden Fragen.
posten
00
-+