SNEK5: Sicher? (Thomas Trefz)

Ich habe ja schon des öfteren darauf hingewiesen, dass gewisse Sicherheitstricks nicht ungeprüft verworfen werden sollten. Ihr haltet mich für paranoid? Dann solltet ihr euch zunächst mal klar machen, welche Möglichkeiten ein Angreifer hat, um sich Zugang zu einem Netzwerk zu verschaffen. Die Technik ist dabei nur ein Teil des Problems, was uns Thomas Trefz sehr anschaulich vor Augen führt.

Wenn der SQL-Server seine Dienste standardmäßig auf Port 1433 anbietet, wenn gemischte Authentifizierung neben dem Windows-Login auch z.B. “sa/sa” zulässt (oder noch besser “sa/-“), wenn eine Webanwendung wie Sharepoint ihre Daten jedem Interessierten bereitstellt, wenn private Daten gelegentlich auch auf dem Firmen–Laptop landen, dann … ja, dann reden wir wahrscheinlich über den ganz normalen Wahnsinn aus einem beliebigen Betrieb.

Social Hacking

Umfragen zu Beginn eines Vortrages sind keine Seltenheit. Daher antworteten viele vermutlich ehrlich auf die Fragen, die Thomas uns zu Beginn stellt. Doch die Überraschung ist groß, als er uns (im doppelten Wortsinne) vorführt, wie einfach es ist, eine Aufzeichnung seiner Umfrage “wer handelt wie” durchzuführen, indem er sein iPhone zuvor an das Flipchart klebte. Das Video kann ausgewertet werden und zieht vielleicht weitere Fragen nach sich, um Angriffsmöglichkeiten auszuloten. “Social Engineering” wird diese Technik genannt. Sie ermöglicht es, Netzwerke anzugreifen, ohne auch nur einen einzigen klassischen (also technischen) “Hack” ausführen zu müssen. Hinzu kommen zahllose Tools, die bekannte oder vermutete Sicherheitslücken auszunutzen versuchen, und die auch den ganz normalen technikinteressierten Menschen paranoid machen können.

Doch was können wir tun, um dem entgegenzutreten?

Ein erster Punkt ist die Sensibilisierung für sensible Daten. Wer 10 Jahre lang täglich mit Arztberichten zu tun hat, für den werden diese ohne Zweifel sehr sensiblen Daten nach einiger Zeit ziemlich normal sein. Wird dieser Mitarbeiter dann misstrauisch, wenn ein Monteur im Blaumann an einer Netzwerkdose in der Nähe schraubt? Es ist oft der Faktor Mensch, der das eigentliche Sicherheitsrisiko darstellt.

Only the paranoid survive

Dieses Zitat von Andy Grove (Mitbegründer von Intel) bringt es auf den Punkt. Das fängt schon bei den ungeliebten regelmäßigen Passwortänderungen an. Wer merkt sich schon gern alle 30 Tage ein neues Passwort, das er jeden Tag mehrmals benötigt? Was schon für unsere täglich benötigten Accounts nervig ist, wird bei Serviceaccounts (“Dienstkonten”) zu einer Sisyphusarbeit. Je mehr Server wir zu managen haben und in je mehr Kombinationen diese kommunizieren müssen, um so länger dauert es, diese manuell zu ändern. Und getreu dem historischen Vorbild ist man vielleicht gerade mit dem letzten Passwort fertig und muss sofort wieder mit dem ersten beginnen. Um aus dieser Zeitfalle zu entkommen, gibt es die Managed Service Accounts. Um dies (und die Einfachheit von Netzwerk-Sniffern) zu demonstrieren, hat Thomas einige virtuelle Maschinen vorbereitet, die zwei SQL-Server-Instanzen und einen Domaincontroller beinhalten. Die unverschlüsselte Kommunikation zwischen einem beliebigen Client und einem SQL-Server lässt sich mit einem Sniffer problemlos mitlesen, was nicht nur die Anmeldeinformationen, sondern auch die Daten selbst betrifft. Die Demo ist — wie auch das Thema selbst — voller Tücke, so dass leider nicht alles funktioniert. Doch das Grundprinzip wird sehr deutlich: Entweder man versieht seine Infrastruktur mit sicheren Kommunikationspfaden, oder ein hinreichend versierter Angreifer wird uns nach Herzenslust ausspionieren können. Besonders dann, wenn er von innen heraus angreift.

SQL-Server-Sicherheit (und nicht nur diese!)  ist eine permanente Aufgabe. Das betrifft nicht nur die Daten selbst, sondern eventuell auch die Serverinstanz, über deren Schwachstellen man in das Netzwerk und dann in andere Server hineinkommt. Nichts ist so wie es scheint, nichts und niemand ist vertrauenswürdig, alles ist möglich. Glaube niemals, dass du alle Informationen hast. Verlass dich im Zweifel lieber auf jemanden, der sich damit auskennt.

Und vor allem: Lasse niemals ein “wir brauchen mal eben schnell ein Webformular” zu, wenn es um Sicherheit geht!

Ähnliche Artikel:

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.

vierzehn + sechzehn =