Innentäter

Wer kennt das nicht, man schaut sich eine Firma an denkt sich auf den ersten Blick noch “Wow, sieht ja ganz ordentlich aus” und dann schaut man auf die Benutzerrechte. Auf die blöde Nachfrage was denn der Assi des Geschäftsführers an den Daten der Buchhaltung auf der Netzwerkfreigabe verloren hat wird bekommt man dann meist die Antwort das man den Mitarbeitern ja schließlich vertraue.

Diese Diskussionen werden echt nie langweilig. Gerade wenn man denkt man hat alles gesehen oder gehört kommt jemand und topt das ganze noch. Schwierig wird das ganze dann wenn man Mitarbeiter sieht die unter BYOD dann verstehen das man ja auch die private NAS in ein Firmennetz hängen kann. Jupp, der gute alte USB-Stick der einem auf dem Heimweg aus der Tasche fällt hat inzwischen ausgedient. Heutzutage geht da gerne mal die 4TB NAS ohne Passwortschutz verloren. Die Begründung hierfür ist dann auch recht geil :”Im Homeoffice ist das sonst über das Netzwerk viel zu langsam”. Das sind dann so die Momente in meinem Leben in denen ich mich wirklich frage warum ich nicht KFZ-Mechaniker geblieben bin.

Bring Your Own Device gehört aktuell quasi genau wie Home Office zu meinen Lieblingsthemen. Warum? Nuja, in den meisten Fällen führt beides dazu das hier Dinge geschehen die durchaus die (IT-)Sicherheit einer Firma gefährden. Eines meiner absoluten Highlights des letzten Jahres wurde durch folgende Mails ausgelöst:

hello, my prey.   I write you inasmuch as I attached a virus on the web page with porno which you have viewed.
My trojan captured all your personal data and switched on your webcam which captured the act of your masturbation. Just after that the soft saved your contact list.
I will erase the compromising video and information if you pay me 300 EURO in bitcoin. This is address for payment : 16aFnAAFfeq4BhL98P8LAoaviUaYp7oTSr   I give you 30h after you open my message for making the payment.
As soon as you open the message I’ll see it immediately.
It is not necessary to tell me that you have paid to me. This address is connected to you, my system will erased automatically after transfer confirmation.
If you need 50 hours just respond on this letter with +.
You can visit the police station but no one can’t help you.
If you attempt to deceive me , I’ll see it immediately!
I don’t live in your country. So anyone can not track my location even for 9 months.
Goodbye. Don’t forget about the shame and to ignore, Your life can be ruined.

Aus meiner privaten Mailbox.

bzw. hier noch einmal in einer anderen Variante (Quelle: Polizei Niedersachsen):


Na du, du weisst zwar nicht wer ich bin, aber um direkt zur sachen zu kommen, ich bin schon etwas laenger auf deinem PC und in deinem Netzwerk unterwegs, deine Passwoerter kenne ich uebrigens auch alle! Das glaubst du nicht? Hier ist eines deiner Passwoerter: honda123
Wie das ganze passieren konnte? Beim besuchen einer von mir infizierten Seite, hast du dir (ohne es zu wissen – suche nach drive-by-download wenn du mehr darueber erfahren moechtest) einen Trojaner runtergeladen, welcher mir kompletten Zugang zu deinem Computer und Netzwerk gab! Danach habe ich alles von Interesse (Fotos, Kontakte, etc.) gespeichert. Das meiste interesse hatte ich allerdings an deiner Kamera, mit der ich alles was du so machst aufgezeichnet habe. Bei den Aufzeichnungen sind ein paar unschoene Videos dabei, um genauer zu werden bist das du, wie du dir selbst zur Hand gehst du und dein Intimbereich sind uebrigens sehr gut zu erkennen. Was haelst du davon wenn ich alles an Videomaterial an alle deine Kontakte versende? Findest du nicht so gut? Glaube ich dir gerne, deine Freunde und Familie (vllt. sogar dein Chef?) faenden es sicher nicht schoen dich in voller Aktion zu sehen (oder doch?) :). Soweit muss es aber auch gar nicht kommen, hier ist was wir tun das unser kleines Geheimnis auch weiterhin ein Geheimnis bleibt: Du schickst mir innerhalb von 72 Stunden (die E-Mail enthaelt einen Tracking-Pixel, somit weiss ich wann du diese E-Mail geoeffnet hast. Die Zeit laeuft ab jetzt!) 0.1 Bitcoin (ca. 650 Euro) an die unten stehende Addresse, woraufhin ich alles an Videos, Fotos und allen anderen Daten loesche und wir das ganze einfach vergessen. Du kannst dein Leben ungestoert weiter leben und hakst das ganze als Lehrgeld ab. Falls du nicht bezahlst machen wir folgendes: Die Videokollektion (und alles andere was ich sonst noch so an ‘Erwachsenen Material’ finde) wird allen deinen E-Mail und Social-Media Kontakten zugesandt. Ich werde dein Leben zur Hoelle machen, glaub es mir. ‘Das ist Erpressung, ich gehe zur Polizei’ ist sicherlich dein erster Gedanke. Von mir aus, geh zur Polizei. Helfen kann diese dir allerdings auch nicht. Du moechtest, dass das alles vorbei ist? Gut, Bitcoins sind schnell gekauft und die Geschichte ist vergessen. Suche kurz nach ‘Bitcoins kaufen’ in Google und du wirst schnell rausfinden wie du welche kaufen kannst. Danach sendest du die Bitcoins an die folgende Addresse: Der Betrag: 0.1 Bitcoins Die Addresse: 1K2yLMCKLu6jNjm1pjqQoXF21QTYrjCZVq Kopiere die Addresse so wie sie dort steht, Gross- und Kleinschreibung beachten oder die Bitcoins kommen nicht an. Nachdem deine Zahlung eingegangen ist, wird alles was ich von dir habe vernichtet und du wirst nie wieder etwas von mir hoeren! Antworten auf diese E-Mail kannst du dir sparen. Antworten von mir wird es keine geben.

Mail aus Polizeiquellen, bin jetzt zu Faul meine Casefiles zu durchwühlen.

Der “Normale” Mensch denkt sich hier jetzt nix böses dabei, lacht kurz und vergisst das wieder. In Firmen löst das ganze durchaus Panik aus. Warum? Naja, sowas kommt da an einen Mailverteiler und das Passwort stimmt in diesem Fall sogar 😉 Jetzt haben etwa 20 Leute in der Firma Zugang zu dieser Adresse, jeder hat einen Firmenlaptop der auch mit nach Hause genommen wird und mit 100% Sicherheit kennt jeder mindestens einen Kollegen oder sogar eine Kollegin der man zutraut auch mit dem Firmenlaptop auf Pornoseiten herumzusurfen. Irgendwo steht zwar mit Sicherheit in irgendeinem Vertrag,Memo oder Zusatzvereinbarung das man die Firmengeräte,Internet,etc. nicht für private Zwecke benutzen soll aber sind wir mal ehrlich, eher glaube ich an daran das der Yeti inzwischen eine Wohnung in New York hat und Sänger in einer Boygroup ist als das ich daran glaube das mit Firmenlaptops nur gearbeitet wird. Wenn da ein Browser drauf ist dann wird der auch benutzt.

Zurück zu den Mails. Als die erste irgendwann Anfang des Jahres bei mir aufschlug fand ich das wirklich recht komisch und habe sogar noch eine Wette abgeschlossen ob man mich demnächst auf einer Pornseite im Internet bewundern kann. (Frage am Rande: Kann man da die Provision auch einklagen?) Als mich dann aber die erste Firma darauf ansprach merkte ich langsam das nicht jeder die Mails für witzig hält. Hier wurde ernsthaft drüber nachgedacht zu bezahlen und zwar nicht nur den Erpresser sondern auch meine nicht ganz geringen Stundensätze. Großer Vorteil für mich: Nie wieder muss ich in der Firma interne Schutzmaßnahmen begründen. NIE WIEDER!!! Ich möchte mich an dieser Stelle also noch einmal ausdrücklich bei den Initiatoren dieser Kampange bedanken, ihr habt mir echt meine Job eine ganze Ecke leichter gemacht.

Eine ganze Ecke schlimmer war es dann im zweiten Fall. Hier wurde ich angesprochen ob ich Ahnung hätte wie man denn zu Bitcoins kommt und das möglichst schnell und anonym. Die Kombination Cryptowährung, schnell und anonym führt quasi immer dazu das bei mir sämtliche Alarmglocken klingeln also beschloss ich hier nicht mit der Adresse eines Ordentlichen Exchanges und einer Anleitung für Dummies zu Antworten sondern etwas zu bohren. Bei einem persönlichen Treffen nach 1nem NDA und etwa 2 Bier rückte der verantwortlich dann mit der Sprach bzw. der Mail heraus. Es kostete mich hier einiges an Selbstkontrolle nicht sofort in schallendes Gelächter auszubrechen. Vor allem da die betreffende Person auch noch der Meinung war das es ihn wirklich selbst erwischt hat. (Sorry, falls du das hier lesen solltest aber die Nummer war einfach viel zu gut 😉 ) Merke, wann immer man irgendwas ausgefressen hat bei dem man sich Mut antrinken muss um es einem IT-Security-Guy zu erzählen wird die Nummer garantiert so gut das es auf irgendeiner Konferenz breit getreten wird. Dieser nette Herr, seines Zeichens Geschäftsführer eines mittelständigen Unternehmens mit etwa 70 Angestellten, hat das ganze sogar so ernst genommen das er hier die eigenen IT-Leute (durchaus fähige Menschen die diese Mail sicher ähnlich schnell bewertet hätten wie ich) übersprungen hat und direkt bei mir auf der Matte stand. Nachdem ich dafür gesorgt habe das dieser Herr wieder ruhig schlafen konnte habe ich beschlossen das ich so gemein dann auch nicht sein kann und ihm hier auch noch Stunden dafür aufschreibe, wir haben den NDA zerrissen und das Essen ging dafür auf ihn. (Anmerkung an mich: So wird das mit dem reich werden nix, wenn ich selbst für essen arbeite)

Ein paar weiter Fälle waren da weniger spektakulär und konnten direkt per Telefon geklärt werden. Diese ganze Geschichte zog sich echt über mehrere Monate.

Einzig Interessant an dem ganzen war das in der deutschen Version der Mail genannte Passwort. In den Fällen in denen ich die Mails zu Gesicht bekam war das durchaus echt und nicht immer trivial. Woher kam das dann? Die Antwort auf diese Frage kannte dann die Webseite have i been pwned die aktuell auch aufgrund der ganzen Leaks wieder in aller Munde ist. Die Passwörter standen anscheinend schon länger auf einer Liste und wurden eben nie geändert.

Was lernt man jetzt aus einem solchen Vorfall? Kameras an Laptops sind absolut unnötig, also klebt die Dinger ab. Es gibt in meinem Arbeitsalltag keinen einzigen Grund eine solche Kamera zu benutzen. Gut, immer mehr Menschen kommen auf die Idee Telkos durch Videokonferenzen zu ersetzen nur bisher kann ich mich hier noch sehr schön dagegen zur wehr setzen die Kamera zu benutzen. Screensharing ist ab und an ganz hilfreich aber der Mehrwert einer Kamera ist mir in einer solchen Konferenz etwas unklar. Ich könnte jetzt auch mit Moralpredigten anfangen wie keine Pornos mit Geschäftshardware aber hey, gewisse Dinge habe ich einfach inzwischen aufgegeben.

Es gibt hier wirklich Firmen die Panik bekommen wenn unfreiwillige Nacktvideos einzelner Mitarbeiter im Netz landen. Viel mehr Sorgen würde ich mir jetzt aus Sicht der Firmensicherheit machen wenn die Laptops mal anfangen einfach so Audio zu übertragen. Ich hatte glaube ich seit min. 5 Jahren kein Meeting mehr in dem nicht mindestens 1 Laptop auf dem Tisch lag und in einigen davon flossen durchaus Infos die nichts in der Öffentlichkeit zu suchen haben und durchaus dazu geeignet waren die Zukunft einer Firma negativ zu beeinflussen wenn sie denn doch öffentlich werden. Und wenn es dann doch einmal nicht der Laptop ist der sich über irgendeine Webseite komisches Zeug eingefangen hat, dann wird spätestens das gerootete Androidtelefon eines Mitarbeiters ganz schnell zu meinem persönlichen security Albtraum.

Ich schweife hier aber schon wieder ab. In allen oben genannten Fällen war jetzt noch nicht einmal Bösartigkeit eines Mitarbeiters im spiel sondern einfach nur Nachlässigkeit. Was passiert jetzt aber wenn so ein Arbeitsverhältnis nicht unbedingt gut endet? So manche Firma hat da schon Erfahrungen gemacht was denn passiert wenn ein Mitarbeiter etwas angesäuert die Firma verlässt. Neben den üblichen Negativbewertungen auf diversen Arbeitgeberbewertungsprotalen und dem ein oder anderen bösen Kommentar auf Facebook gibt es da doch Mitarbeiter die noch einen Schritt weiter gehen. Die meisten Firmen in denen diese Realität bereits angekommen ist habe da was interne Sicherheit angeht ein wahres Arsenal an Schutzmaßnahmen aufgefahren die mich oft daran zweifeln lassen ob der Betriebsrat seine Aufgaben kennt. Was aber wenn ein Admin bzw. Entwickler einmal Amok läuft? Auch hier gibt es natürlich einiges an Schutzmaßnahmen die Umgesetzt werden können, aber auch zu diesen Überwachungssystemen hat letztlich immer irgendwer das Passwort.

So auch geschehen in diesem Fall hier, den ich wohl in Zukunft auch öfter ausschlachten werde wenn es darum geht Firmen zu erklären warum man auch intern einen gewissen Schutz benötigt. Was ist hier genau passiert? Benutzer des beliebten WPML Plugins für WordPress haben Emails erhalten das ihre Daten von der Webseite der dahinterliegenden Firma geklaut wurden. Praktischerweise hat der böse Hacker auch gleich die Webseite des Unternehmens entsprechend angepasst:

Der Hacker behauptete ebenfalls eine Schwachstelle im Plugin selbst ausgenutzt zu haben was bei vielen der Benutzer von WPML zu panikartigen deinstallationorgien führte.

Das Unternehmen wird wohl ein paar Tage brauchen um sich davon wieder zu erholen. Die Benutzer des plugins dürften aktuell irgendwas zwischen verunsichert und stinksauer sein. Warum ich das hier unter Innentäter liste erklärt sich aus diesem Kommentar eines der Verantwortlichen der Firma hinter WPML:


The customer is an ex-employee who left an exploit on the server (not WPML plugin) before leaving. Besides fixing the damage, we’ll also be taking legal actions.

Amir Helzer ( CO-Founder WPML) on WPTAVERN.com

Soso, ein Ex-Mitarbeiter hinterlässt also einen Exploit auf dem Server. Wie war das jetzt doch gleich mit der vertrauenswürdigkeit von Mitarbeitern? Nebenbei hat das einschränken von Rechten auch nicht immer etwas mit Misstrauen zu tun, in Fachkreisen nennt man sowas Needtoknow bzw. wer tiefer in der IT steckt hat schon einmal was von DAC bzw. Discretionary Access Control gehört. Hier gilt das jeder Benutzer genau auf die Dinge Zugiff hat die er zum arbeiten benötigt, nicht mehr aber auch nicht weniger. In der Praxis scheiter dieses Modell leider meist spätestens dann wenn es in die technischen Abteilungen geht. Bestes Beispiel hierfür ist der “Administrator” Rang unter Windows bzw. schlimmer der “root” Login auf einem Linuxsystem, letzterer gerne auch mit trivialem gemeinsamen Passwort das vor etwa 6 Jahren zum letzten mal geändert wurde und den Namen der Firma enthält (Jupp, ich rede hier leider aus Erfahrung).

Das ganze gibt es natürlich auch in der fortgeschrittenen Variante: Adminpasswörter in Exel, bzw einem Passwortsafe. Richtig: prinzipiell eine gute Idee. Leider sieht die Umsetzung dann so aus das der Passwortsafe auf einem Netzlaufwerk liegt und für die tägliche Arbeit von allen benutzt wird. Ist es 2019 denn sooooooo schwer jedem Benutzer einen eigenen Account und eventuell einen sudo Eintrag zu verpassen? Gibt es da eventuell ein System bzw. Protokoll mit dem man sowas sogar Zentral steuern kann? Kurz JAAA!!!! sowas gibt es, könnte man auch benutzen also wenn man es könnte. Bevor ich mich jetzt hier allerdings aufrege kommen wir mal zu konstruktiven Lösungsvorschlägen.

Was haben wir denn heutzutage um uns vor einem solchen Szenario zu schützen?

  1. Account Trennung: JEDER arbeitet mit seinem persönlichen Account
  2. Logging auf externem Server: Systemlogs bzw. Auditlogs auf externem Server mit deutlich schärferen Zugriffsrechten.
  3. Trennung von Entwicklung und Betrieb: Entwicklung auf produktiven Systemen war noch nie eine gute Idee. Für dieses Szenario interessant sind allerdings die viel zu hohen rechte die für Entwicklung auf Systemen benötigt werden und die Tatsache das sich die Anzahl der Logs bei Liveentwicklung um min. den Faktor 10 erhöht.
  4. Versionskontrolle der Software bzw. im Idealfall der kompletten Umgebung: Was nicht im git ist sollte auch nicht auf dem Server sein.
  5. HIDS Systeme: Systeme wie Ossec, Tipwire, samhain, etc. hiermit lässt sich wunderbar kontrollieren ob die binarys auf dem Server auch das sind was sie sein sollen und so ganz nebenbei jede Änderung am Dateisystem beobachten.
  6. Kommunikation: Reden hilft, hierzu gehört nicht nur das die Verantwortlichen wissen wer in der Firma arbeitet sondern auch wann die Leute gehen und das eventuell vorher. (WICHTIG!!!!! In der Praxis sind mir durchaus Accounts bekannt die ihre Besitzer teilweise um Jahre überlebt haben, buchstäblich.)

Ok, ich gebe zu ich hab mich doch ein wenig aufgeregt beim erstellen der Liste da mir hier das ein oder andere Beispiel aus der Praxis eingefallen ist welches mir selbst im nachhinein noch die Galle hochkommen lässt. Glücklicherweise kann ich mich hier jedoch schnell wieder entspannen, mein Schmerzensgeld ist glücklicherweise hoch genug wenn ich in solchen Fällen dazu gerufen werde. An der Stelle auch noch mein Apell an alle anderen da draußen die sich mit IT-Security in kleineren und größeren Firmen beschäftigen: 3 stellige Stundensätze. Lasst sie ruhig für ihr Versagen bluten, es wird zwar immer jemanden geben der günstiger ist doch meine Erfahrung zeigt, je teurer der sowas wird desto eher lernen die Firmen daraus. Abgesehen davon hat sich gezeigt wenn das übliche 75 Euro Angebot über einen Sklavenhändler (sorry, heutzutage heißt sowas Personalvermittler) kommt waren da schon 2-3 Leute dran und ihr habt erstmal jede menge Chaos aufzuräumen. Meistens schon direkt in der Projektbeschreibung. Über meine Erfahrungen auf Projekt und Arbeitsmarkt kotze ich mich dann aber wohl besser ein anderes mal aus, der Artikel hier ist bereits jetzt schon mächtig lang geworden für etwas das mir eigentlich nur dazu dienen soll mich an ein paar Security Facts zu erinnern.

In diesem Sinne weiterhin viel Spaß am Gerät und lasst euch nicht ärgern.

Brechthold
Brechthold gehört zu dem Gründungsteam von Contempt-it . Nach ein paar Jahren der Abstinenz jetzt wieder zurück im Adminteam um ein wenig Ordnung zu schaffen. Zu seinen Lieblingsthemen gehören Honeypots, IDS-Systeme und Servermonitoring. Neben seiner Arbeit im Adminteam werkelt er noch an seinem Brechtblog

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen