(Keine neue) Warnung vor Cyber-Attacken

Cyberangriff auf Telekom Kunden - eine weitere Warnung vor Cyber-Attacken

Heute morgen, also am 17.04.18, konnten wir im Spiegel, auf heise.de und anderen Portalen lesen, dass die USA und Grossbritannien vor aktuellen Cyberattacken russischer Herkunft warnen. Beruhigenderweise durften wir den eindeutig voneinander abgeschriebenen Texten entnehmen, dass eine US-Behörde tatsächlich gestern, also am 16.04.2018, eine Warnung vor Cyber-Attacken herausgegeben hatte. Doch andererseits wurde nichts wirklich Neues vermeldet. Denn es gab bis dato immer wieder Verdachtsmomente in diese Richtung.

Jetzt doch Entwarnung?

Nein, leider überhaupt nicht. Schließlich ist seit längerer Zeit unter den Netzwerk-Betreibern bekannt, dass

  • Schwachstellen in einem Plug-and-Play-Service in Cisco-Routern,
  • Angriffsstellen in den Netzwerk-Protokollen GRE und SNMP

angegriffen werden.

Also Business as usual?

Noch einmal nein, überhaupt nicht. Wir finden es verwirrend, wenn uns Organisationen, die bewiesenermaßen selbst nicht ganz sauber arbeiten und ganz sicher nicht zu den „Guten“ gehören, vor Angriffen anderer „Böser“ warnen. Dazu halten wir es für bedenklich, wenn Fachpublikationen (heise.de) wie Straßenpublikationen (spiegel.de) unreflektiert derartige Meldungen verbreiten.

Es sei gestattet, das Ganze mit etwas Hintergrund zu erweitern.

Schwachstelle 1: Cisco Smart install

Hier nutzen Angreifer eine Schwachstelle im sogenannten „Zero touch deployment“-Feature. Dies ist eine Funktion in bestimmten Switches und Routern des Herstellers Cisco, dass ermöglichen soll, mit quasi null Konfigurations-Kenntnissen ein zentrales Netzwerk-Gerät einzusetzen.

Lieber weglassen

Mit Verlaub: wer sich auf derartigen als Komfort getarnten Unfug verlässt, sei es aus Faulheit oder mangels Fachkenntnissen, begeht einen sicherheitstechnisch Harakiri. Oder anders herum gesagt: Wer solche Tools braucht, sollte grundsätzlich die Finger von Routern und Switches lassen. Denn es geht hier nicht um kleine Plastik-Büchsen á la Fritzbox, sondern um echte, hoch komplexe Technogie am noralgischen Punkt von Netzwerken. Für die korrekte Einrichtung und Wartung braucht man gut ausgebildetes Fachpersonal. Und keine angelernten Aushilfskräfte. Und was Cisco & Co. betrifft: als Hersteller sollte man derartige Funktionen gar nicht erst einbauen oder wenigstens diese als Voreinstellung deaktiviert lassen.

Schwachstelle 2: SNMP-Protokoll

Dieses Protokoll ist weit verbreitet. Denn es wird weltweit standardmässig zum Monitoren, Überwachen, Protokollieren und auch teilweise zum Steuern von lokalen und entfernten Netzwerkgeräten eingesetzt. Das ist grundsätzlich nicht verkehrt, wenn man ein paar Regeln einhält. Doch wer es Dritten erlaubt, auf seine Netzwerk-Hardware „von aussen“ ohne weitere Schutzmaßnahmen zuzugreifen, handelt grob fahrlässig und gefährdet aktiv sein Unternehmen.

Vorbeugende Maßnahmen

Der Fernzugriff „von aussen“ auf SNMP-basierte Dienste muss natürlich durch eine entsprechend konfigurierte Firewall unterbunden oder wenigstens auf eine oder mehrere zulässige IP-Adressen eingeschränkt werden. Das heisst aber auch, dass hier grobe Fehler in Sachen Firewlling begangen wurden und somit den Hackern die Türen offen standen. Da eine professionelle Firewall im Auslieferungszustand ALLES blockiert, muss man schon aktiv ein Sicherheitsfeature deaktiviert haben, damit die hier beschriebene Sicherheits-Problematik ausgenutzt werden kann. Oder es gab gar keine Firewall.

Fazit

Es geht also bei der vermeintlich neuen Warnung vor Cyber-Attacken eigentlich um seit langem bekannte Sicherheitsprobleme. Deshalb hat sie auch jeder professionell arbeitende Admin gut im Griff. Dass nun gestern das US-Cert einen Sicherheitshinweis publiziert und dabei mit dem Zeigefinger auf russische Mitspieler zeigt, mag gut gemeint sein. Oder absichtsvoll, wer weiss. In jedem Fall funktioniert es mit der Unterstützung von Auflage-interessierten Medien mehr oder weniger gut als Panikmache.

Weiterführende Links

Wenn Sie sich in das Thema vertiefen und/oder Sie sich Ihre eigene Meinung bilden wollen, dann empfehlen wir Ihnen folgende Links zum Nachlesen:

Jedoch wollen wir der Vollständigkeit halber auch jene Links antragen, welche die geopolitische Waage wieder ins Gleichgewicht bringen, denn nicht nur den Russen gebührt die Ehre …

  • Das erste (bekanntgewordene) Spionage-Netzwerk getrieben durch Grossbritannien: Echolon
  • Der Spionage-Zusammenschluss von Australien, Neuseeland, Grossbritannien, USA, Kanada: Five Eyes
  • Sehr sehenswerte Graphik, welche die Hintertüren in IT-Hardware und deren „Hintermänner“ zeigt: Spähwerkzeuge der NSA

Nachtrag

Sie werden sich jetzt vielleicht fragen, wie die BB-ONE.net mit derlei Problematiken umgeht. Die Frage ist zulässig, denn immerhin kritisiert dieser Beitrag  jeden, der hier seine Finger in der Suppe hat. Unsere Einstellung hierzu dürfte nunmehr klar sein: Wer öffentlich zugängliche Server (z.B. sogenannte Root-Server) ungeschützt und ohne Zwangs-Firewall Kunden zur Verfügung stellt, ist Teil des Problems.

Qualifiziert vorbeugen

Die BB-ONE.net tut genau dies nicht. Deshalb sieht sich der Hosting-Anbieter immer Mal wieder der Kritik ausgesetzt, die Sicherheitsmaßnahmen seien zu unständlich und übertrieben. Die Sicherheitsrichtlinien sehen nämlich vor, dass ALLE vom Unternehmen selbst betriebenen und von Kunden „untergestellten“ Server hinter Firewalls stehen. Diese arbeiten konsequent nach dem Motto „Security by default“. In Sachen Port 161, dem SNMP-Dienst, achtet man darauf, dass dieser nur von definierten IP-Adressen aus erreichbar ist. Und entweder pflegt die BB-ONE.net diese Systeme selbst oder überlässt ausschließlich qualifizierten Kunden das Management.

Weitere Sicherheitsmaßnahmen

Das eigentliche Leistungs-Monitoring findet direkt im DataCenter statt, die dabei anfallenden Daten verlassen diese Umgebung nicht. Dies gehört übrigens auch zu den technischen und organisatorischen Sicherheitsmassnahmen des Unternehmens, wie sie die neue Datenschutz-Grundverordnung fordert.

Die verwendeten Switche sind unter keinen Umständen „von aussen“ erreichbar und besitzen auch keine „rund-um-sorglos-und-ohne-wissen-zu-verwenden-Features. Ein Knopfdruck-Voll-DAU-Management braucht hier niemand. Schließlich arbeitet das Unternehmen lieber mit Menschen, die wissen, was sie tun.

Daher richten hier nur ausgebildete Fachleute alle Router per Hand ein. Sie brauchen keine „Hirn-Krücken“. Und weil sie selbst „smart“ sind, brauchen es die Router nicht zu sein. Und so finden auch solche Geräte, deren Herstellern nachweislich Backdoors einbinden, keinen Einlass in das DataCenter der BB-ONE.net. Glücklicher Weise gibt es ja einen Wettbewerb, der dem Motto „Danger by default“ nicht folgt. Nutzen wir ihn.