Schöne neue Welt

Heutzutage kann man alles ans Internet anschließen. Nur der berühmte Kühlschrank mit Internetanschluss scheint noch nicht massentauglich zu sein.
Dafür kann man ganz nett seinen Drucker ans Netz anschließen oder auch mal etwas scannen. Und die Datenspeicherung wird auch immer populärer. So populär, dass auch fremde Leute aus dem Internet zugreifen können.

Ich kann mir das Video nicht ganz erklären. Normalerweise hat doch jeder Internetanschluss eine Fritzbox oder einen ähnlich guten Router hängen. Dieser teilt das Internet und das private Netz auf. Normalerweise sollten dann private Geräte nicht direkt aus dem Internet erreichbar sein, außer man gibt explizit den Port frei. Das Ganze nennt sich auch NAT und wurde entwickelt um IPv4 Adressen zu sparen. Scheinbar ist das Routerkonzept in anderen Ländern doch nicht so verbreitet oder mit IPv6 ist tatsächlich jedes Internetfähige Gerät aus dem Internet erreichbar. Wer dazu eine passende Erklärung zum Video findet, kann es hier gerne mal posten.

Die Quelle des Videos gibt es hier.

[youtube]http://www.youtube.com/watch?v=okhfDsKmAoY[/youtube]

Danke an Carsten für den Hinweis via Kommentar.

Wargames 2.0

Kaum entdecken die Ingenieure der Industrie das Internet werden komplette Anlagen ungesichert daran verdrahtet. Die pöhsen Hacker lachen sich ins Fäustchen und können mal eben ein komplettes Dorf "kalt" machen indem sie die Zentralheizung abdrehen.
Mich erinnert das Ganze ein bisschen an Wargames.

Das Problem: Wargames ist ein Film aus den 80ern, die "offenen" Industrieanlagen sind real und können gefährlich werden.

Sogar der bekannte Sicherheitsforscher HD Moore warnt nun davor.

BITTE gebt den Ingenieuren kein Internet in die Hand. Oder schult Sie mindestens 1 Jahr in Sachen aktueller Sicherheitstechnik: Firewall, VPN, NAP und IDS.
Stellt euch nur mal vor ein Kernkraftwerk ist ans Internet angeschlossen. Mir reicht die Katastrophe von Fukushima!

Video: Alex erzählt was über die Sicherheit

Sicherheit wird immer mehr zum Thema. Das Thema ist aber sehr groß und es gibt eben sehr viele Aspekte, die man beachten sollte.
Doch anstatt immer nur Texte zu lesen, hat Alex von 1337core.de ein Video erstellt, in dem er erzählt, was man so beachten sollte. Damit nicht nur wieder die Techies sich angesprochen fühlen, wurde eine Sprache genutzt, die auch sehr gut von weniger technik-affinen Leuten verstanden werden kann. Hier geht's zu seinem Beitrag. Nachfolgend habe ich mal das Video eingebunden:
[youtube]http://www.youtube.com/watch?v=ILx4f2kU82M[/youtube]

Joa, vielleicht wird dadurch das Internet ein wenig sicherer.

Die inkonsequente Windows Sicherheit

Seit Windows XP SP2 hat sich die Sicherheit grundlegend verbessert. Leider war und ist unter Windows XP das allgemeine Arbeiten ohne Admin-Rechte nicht immer möglich. Das liegt zum einen an doofen Programmen, welche irgendwelche Rechte in der Registry oder geschützten Verzeichnissen Schreibzugriff wählen. Andrerseits wird unter XP leider nicht standardmäßig angeboten, dass man das Programm mit erhöhten Rechten (nach Eingabe des Admin-Passwortes natürlich) starten möchte. Das geht bei Linux mit "sudo" schon relativ lange und wird dort auch bei grafischen Interaktionen angeboten.
Entweder sind da die Programmierer einfach so schlau oder das Rechte-System vom Kernel ist einfach ausgereifter. Unter XP gibt es natürlich auch immer die Möglichkeit mit "runas" ein Programm mit erhöhten Rechten auszuführen. Doch meistens ging dann hinterher wieder irgendwas nicht mehr... Vielleicht sind die Programmierer von Windows Programmen auch einfach generell der Meinung, dass der Benutzer sowieso immer standardmäßig mit vollen Rechten arbeitet und daher alles darf. :)

Mit Windows 7 (Windows Vista war ja nur das Preview-Windows 7) hat sich die Situation doch wieder verbessert. Es wird meistens immer angeboten, dass man erhöhte Rechte gewähren kann (Admin-Kennwort eingeben). Doch habt ihr schon mal versucht, den nervigen Java-Updater als normaler Domänen-Benutzer erfolgreich auszuführen? Oracle ist einfach immer noch der Meinung, dass die meisten Leute sowieso als Standard-Admin Nutzer arbeiten und somit immer volle Rechte haben. Man bekommt hier einfach eine Aufforderung für erhöhte Rechte. Wenn man dann den Admin-Account eingibt, bricht der Updater wieder ab und sagt, dass er die Datei nicht gefunden hat. Gut, vielleicht führt in dem Fall auch Windows 7 den Updater mit falschen Pfaden in die Irre. Es ist aber trotzdem immer noch ein "Pain in the Ass" und verursacht Zeitaufwand für mich. Ich muss mich nämlich wieder als Administrator anmelden.
Da hat sich Adobe doch um einiges verbessert: Wenn der Updater kommt und nach erhöhten Rechten frägt, lädt der Updater hinterher auch weiter und bricht nicht einfach ab. Windows 7 ist in Punkto Sicherheit um einiges besser geworden, aber die gute Umsetzung von "sudo" oder "runas" ist leider noch nicht gegeben. Vermutlich sind aber auch ein paar inkompetente Entwickler großer Firmen an diesem Desaster schuld. Vorrangig sei hier mal Oracle erwähnt. Wäre Sun nicht aufgekauft worden, wäre das Problem wohl schon längst gefixt. :)

Der absolute Hammer in Sachen Fahrlässigkeit finde ich folgendes: (schon etwas älter aber immer noch interessant) Man verschafft sich physischen Zugriff auf einen Firmenserver oder ein Laptop, auf welchem kein BIOS / EFI Kennwort gesetzt ist und die Festplattenverschlüsselung auch erstmal nicht genutzt wird. Dann kann man sich mit relativ einfachen Mitteln Zugriff auf den Server beschaffen:
1. Server von einer Windows 7 oder Windows 2008 CD booten.
2. In den Reparaturoptionen wählt man sich die Konsole aus.
3. Man wechselt ins Windows Verzeichnis der Serverplatte und benennt einfach die Utilman.exe im System32 nach Utilman.exe.bak um. Alternativ kann man die Datei auch einfach löschen... :)
4. Man kopiert sich die lokale CMD.exe ins System32 und benennt diese nach Utilman.exe um.
5. Man startet Windows von der eingebauten Festplatte.
6. Sobald Windows 7 oder eben auch Windows 2008 R2 gestartet ist, kann man die Eingabehilfen öffnen und hat damit eine normale Kommandozeile vor sich.
Die Möglichkeiten dürften damit relativ klar sein. Man kann sich beispielsweise einen neuen Administrator-Account anlegen und sich mal in aller Ruhe das AD oder die Inhalte der Festplatte anschauen. Falls es sich um einen DC handelt, kann man diesen Server nach ein paar Tagen wieder an den ursprünglichen Platz stellen und sich im Firmennetz nach ein paar Leckerbissen umschauen. Wenn die lokalen Administratoren nicht misstrauisch werden und den zusätzlichen Administrator nicht bemerken, hat man auch für eine Weile domänenweit "Root".
Das ist eigentlich ein schwerwiegender Bug und sollte von Microsoft irgendwie unterbunden werden können.

Einen Schutz gegen diese Art von Manipulation gibt es momentan noch nicht. Gruppenrichtlinien würden nichts bringen, da der Zugriff von "außen" erfolgt.
Der einzig wirksame Schutz ist folgendes: Den Server in einen verschließbaren Raum abstellen und den Schlüssel nur an vertrauenswürdige Personen austeilen. Bei Laptops mit sensiblen Daten einfach die Festplattenverschlüsselung aktivieren. Wenn der Laptop dann geklaut wird oder verloren geht, sind wenigstens keine Firmendaten abhanden gekommen.

Ansonsten finde ich Windows 7 trotz allem ein sehr robustes und gutes Betriebssystem. Die Sicherheit und die Möglichkeiten zur Härtung haben sich gegenüber Windows XP doch um einiges verbessert und es gibt für dieses System einfach die meisten Anwendungen. Und wenn man sich mal mit der Konsole näher beschäftigen möchte ist PowerShell auch eine gute Lösung. Fast alles, was per GUI ausgeführt werden kann, ist auch über die Konsole möglich (wenn man es denn auch so will ).