Kategorie: Internet

Netzpolitik: Kleines 1×1 der digitalen Selbstverteidigung

Die Leute von Netzpolitik.org haben auf einer Seite kompakt alle wichtigen Maßnahmen zur digitalen Selbstverteidigung aufgeschrieben. Kompakt und sinnvoll zusammengefasst.

Wichtige Infrastruktur gehört nicht ins Internet

Liebe Hersteller von wichtiger Infrastruktur oder Geräten: Wenn ihr unbedingt einen Fernwartungszugang haben wollt, dann baut diesen so, dass er nicht einfach so im Internet erreichbar ist. Nutzt dafür einen VPN Zugang oder nutzt von mir aus sowas wie Teamviewer. Das ist sicher genug und nicht so einfach aus dem Internet erreichbar.
Außerdem: Warum muss die Heizung dauerhaft am Internet hängen? Reicht es nicht aus, dass bei einer Störung der Hausmeister kurz einen Schalter drücken muss, damit sich der Hersteller draufschalten kann. Es gibt ja auch die Möglichkeit, dass die Anlage zyklisch eine Status E-Mail verschickt. Dann ist für diesen kurzen Zeitpunkt die Internetverbindung offen und eine verschlüsselte Verbindung zum Mailserver wird aufgebaut.

Ich möchte nicht mehr solche Meldungen lesen, dass wieder eine Gondelbahn am Internet hängt.
Seit es Shodan gibt, finden findige Leute recht einfach solche offenen Scheunentore und somit auch immer wieder Sicherheitslücken.

Früher haben die Geräte doch auch wunderbar funktioniert und man hat gut gelebt! Ich habe nichts gegen Smart Home. Aber es muss so abgesichert sein, dass ein unbefugter Benutzer nicht einfach gegen das Scheunentor schlagen muss und schon in meiner Wohnung ist!

BeA ist kaputt und Hersteller Atos sträubt sich gegen Besserung

Das besondere Anwaltspostfach ist ja eigentlich eine schöne Idee. Endlich sollen auch die Rechtsanwälte untereinander sicher elektronisch kommunizieren können. Das würde auch endlich die Faxe ablösen und vermutlich auch etwas Papier einsparen! Doch vieles was mit Software zu tun hat, ist heute leider immer mehr einfach kaputt!
Video vom 34c3

Fehler passieren. Geschenkt!
Wie man aber mit Fehlern umgeht ist dann eine andere Sache! In diesem Fall muss man einfach eine vernünftige Analyse machen und eben grundsätzlich das Design überdenken. Man hätte es ja relativ einfach machen können. Es gibt seit Jahren abgehangene und damit hoffentlich sichere und mehrfach überprüfte Kryptographie Module. Es gibt auch heute die Möglichkeit relativ sicher Ende-zu-Ende Verschlüsselung zu nutzen. PGP oder S/MIME sind dazu gute Beispiele!

Stattdessen hat man hier wieder eine eigene Suppe gekockt und sich damit den Magen verdorben. Wenn einem der Arzt dann darauf hinweist und sich danach aber immer noch nicht helfen lässt, muss man eben mit den Konsequenzen klarkommen.

Die BRAK hat nun zu einem Hackathon eingeladen um gemeinsam mit externen Experten das Problem zu erörtern und Lösungen zu finden. Ich finde ich diese Vorgehensweise sehr sinnvoll und gut. Für einen großen Hersteller wie Atos ist das natürlich nicht so toll. Schließlich kommt am Ende vielleicht doch noch das Versagen an die Öffentlichkeit. Gut, alles verständlich. Aber sich dann komplett aus dem Diskurs auszuschließen ist keine gute Idee!

PoC || GTFO

Das International Journal of Proof-of-Concept or Get The Fuck Out (PoC||GTFO or PoC or GTFO) veröffentlicht hin und wieder ein paar interessante PDFs zu aktuellen technischen Forschungsergebnissen im IT Bereich. Also ähnlich wie die Datenschleuder, nur etwas regelmäßiger.

Cybern im Neuland

Gestern gab es auf der Gulasch Programmier Nacht eine schöne Einführung, wie die neue Cyber Behörde das Neuland in Sachen Cyber verteidigt.

Natürlich wurde bei dieser Gelegenheit auch gleich der neue Cyber Schein ausgeteilt. Natürlich nur der kleine. Der große mit erweiterten Rechten ist ausschließlich der Wirtschaft vorbehalten.