Das SCC (3)

Dezember 16th, 2008 § 9 comments § permalink

In den Kommentaren zu diesem Post hat Klaus Mebus -- Sicherheitschef des SCC -- den folgenden Text über die Probleme des SCC und die Umstellung von NIS auf LDAP hinterlassen, der hier nach Rücksprache mit ihm veröffentlicht wird:

Die Umstellung war für definitiv für März geplant. Die Voraussetzungen sollten u.a. mit der seit Juni 2008 laufenden und immer noch nicht abgeschlossenen Passwortsynchronisierung geschaffen werden. Wenn man ein Authentifizierungssystem umstellt, dann geht das in einer gewachsenen völlig heterogenen Umgebung mit verteilten Verantwortlichkeiten und einer möglichst geringen Beeinträchtigung aller Nutzer (wir haben über 7500 Accounts!) nicht auf die Schnelle, ohne das ggf. wichtige Prozesse beeinträchtigt werden. Das Problem war im übrigen nicht in erster Linie die Verwendung eines unsicheren Verschlüsselungsalgorithmus, sondern die Zugänglichkeit der NIS-Datenbank und der damit verbundenen Möglichkeit des Crackens der Passwort-Hashes. Hier machen es einem viele Nutzer sehr leicht, indem sie Passwörter verwenden, die die Bezeichnung kaum verdient haben. Hier hilft nicht mal die stärkste Verschlüsselung, wenn das bloße Raten ausreicht. Mir wäre es auch lieber, dass alle bekannten Misstände auf einen Schlag Geschichte wären, aber im SCC laufen eben noch viele andere Prozesse, die vielleicht nicht jeder auf den ersten Blick so sieht, und damit meine ich nicht nur die Standardaufgaben, sondern Projekte wie die gerade durchgeführte Storageumstellung. Umstellungen mit weitreichenden Folgen sollten gut geplant und ausreichend getestet werden, sonst kann es bei einer schnellen Implementierung auch wieder zu Fehlern kommen, die einem später auf die Füße fallen. Im Lehrbuch ist das immer einleuchtend und wenn meine seine(n) Home-PC oder Mac bearbeitet, geht das auch immer fix, aber hier geht es um wie gesagt um die komplette Infrastruktur eine Universität.
Schon mal versucht ein Passwortsystem für über 7500 accounts von Crypt auf MD5 (das wäre ja wohl die einzige Alternative im NIS) umzustellen? Funktioniert das überhaupt auf allen Systemen? Wie soll das Passwortsystem in der Übergangszeit crypt und MD5-Hashes gleichzeitig verarbeiten? Ist das überhaupt möglich? Sollten wir allen Nutzer das Passwort wegnehmen, alle accounts auf MD5 umstellen und dann jeder sich ein neues beim Benutzerservice abholen? Was machen die, die gerade nicht in Weimar sind?.... So easy ist das eben nicht.

Jedenfalls wurde die Umstellung nun angegangen und das bei vielen nicht ohne Schmerzen, die hätten vielleicht vermieden werden können, aber wir waren nun mal im Zugzwang und wollten und konnten nicht mehr warten. Ich hoffe jeder hat nun auch das Verständnis dafür, wenn eben mal temporär was nicht läuft, aber so ist das eben bei unplanmäßigen Änderungen und selbst bei einer guten Planung und Test kann es immer Fälle geben, bei denen Abhängigkeiten auftauchen, die man nicht voraussehen konnte.

In einer E-Mail fügte er an:

Bei neuen auf LDAP basierenden System werden wir natürlich bemüht sein einen Hash-Algorithmus zu verwenden, der die größt mögliche Sicherheit verspricht (SHA oder RIPEMD160). SHA-1 ist da zwar Standard bei LDAP, Bruce Schneier hat aber bereits 2005 auf Schwächen hingewiesen. Wenn es möglich ist werden wir also SHA-2 einsetzen und zusätzlich in jedem Fall dafür sorgen, dass man an die nicht mehr so einfach rankommt.

Das SCC (2)

Dezember 8th, 2008 § 8 comments § permalink

ist auf keinen Fall so unfähig, wie es dieser unüberlegte Eintrag, irrigerweise vermuten lassen würde. Der Eintrag wurde von mir und Ed nicht schon nach dem ersten Bier, sondern deutlich später verfasst. Auch war er nicht mit den anderen Aktiven von FEiNT.org koordiniert -- diese haben ab Freitagvormittag fast geschlossen berechtigte Kritik an dem Eintrag geübt.

Nachdem die Autoren des SCC-Eintrags sich heute, nachmittags, mit dem Leiter und dem IT-Sicherheitschef des SCC getroffen haben ist ihnen klar, dass sie nicht nur entgegen ihrer eigenen Ethik gehandelt, sondern auch realen Schaden angerichtet haben. Das ist ihnen fürchterlich peinlich -- Wir hätten deutlich weniger trinken und mehr denken sollen. Dann wäre selbst uns aufgefallen, dass mensch auf gefundene Sicherheitslöcher erst deren BetreiberIn hinweisen sollte ... und dann -- nach reichlicher Überlegungszeit -- evennetuell die Öffentlichkeit.

Aufgrund unserer Unüberlegtheit wurde das SCC durch unser Handeln gezwungen, die für kommenden März geplante Verbesserung der Netzwerksicherheit nun notfallmäßig umzusetzen. Hierdurch entstehen erhebliche Probleme nicht nur für die Mitarbeiter des SCC, sondern auch für alle Nutzer der Netzwerkstrukturen.

Dies ist uns überhaus unangenehm und peinlich. Vorallem da wir dem SCC eindeutig auf der flaschen Ebene begegnet sind. Wir bitten darum, in der Mensa mit Pommes beworfen zu werden.

Für alle Beteiligten wäre es das Beste, wenn alle NutzerInnen des SCC bei nächster Gelegenheit ihr Passwort unter Berücksichtigung dieser Sicherheitsanregungen ihr Passwort änderten. Ja: Alle NutzerInnen ... nicht wie nach den beiden letzten Aufforderungen des SCC nur 20% bzw. 60%. Ihr gefährdet Euch durch die Nichtänderung der Passwörter nicht nur selbst, sondern auch Euere KomilitonInnen.

Für den gesamten Vorfall möchten wir bei allen Betroffenen aufrichtig um Entschuldigung bitten und nochmals betonen dass uns die Situation überaus peinlich ist.

[update] Resonanz von mt

Attackierende Webseiten

Juli 12th, 2008 § 0 comments § permalink

sind doch nicht der zentrale Teil des demnächst erscheinenden Films "Angriff der Killerwebseiten". Ich bin mir noch nicht einmal sicher ob der Film demnächst erscheint oder schon erschienen ist. Jedenfalls hätte ich mit darunter irgendwelche Fabelwesen vorgestellt. Oder pentagon.gov. Zum Glück hatte ich heute Vormittag die Gelegenheit sowas einmal in der freien Wildbahn zu beobachten. Mit ist immer noch nicht klar, was attackierende Webseiten sind; interessant war's dennoch.

Von Vorne: Beim Versuch diesen Comicstrip zu lesen, sah ich plötzlich den unten abgebildeten, gar nicht freundlich aussehenden Internetverkehrswächter – die von der chinesischen Zensurbehörde sind da echt hübscher:

Als attackierend gemeldete Website!

Im vollen Bewustsein, dass ich ein sichereres Betriebssystem habe, als die meisten Menschen, habe ich auf keinen der beiden Buttons gedrückt sondern wagemutig den Link "Diese Warnung ignorieren geklickt". » Read the rest of this entry «

Im Zug (2)

Mai 16th, 2008 § 0 comments § permalink

[den hier folgenden Text hab' ich vor ein paar Wochen im ICE von Nürnberg nach München geschrieben und wollte ihn eigentlich nochmals gegenlesen, da er m.E.n. noch Längen und sprachliche Stolperer enthält. Ich stell' ihn hier trotzdem einfach online, weil ich sowas ja eh erst am St. Nimmerleins Tag machen würde]

gibt's immer noch kein echtes Internet … weder zwischen Weimar und München, noch in der anderen Richtung. Was es aber gibt ist viel Zeit zum Bloggen. Das ist ein Widerspruch, der hoffentlich bald möglichst aufgehoben wird.

Was es im Zug auch immer wieder gibt, ist die Möglichkeit andere Menschen zu beobachten. Ich mein' jetzt nicht, die Gruppe Grundschulpädagoginnen mit Kleinkindern mit komischen, nichteuropäischen Namen, die außer ihnen wohl kaum jemand betonen kann. Ich meine hauptsächlich diese komischen optisch eher konservativ aussehenden Männer, die in aller Öffentlichkeit Dinge am Telefon besprechen, die ich weder in der Öffentlichkeit noch am Telefon besprechen würde.

Nein, ich erinnere jetzt nicht an den Soldaten, der vor einiger Zeit mit seiner Freundin zwischen München und Hamburg am Telefon besprach, was er heute Abend mit ihr alles machen will – das hat eher Fremdscham hervorgerufen. Ich denke eher an den Lokalpolitiker der bayerischen Staatspartei (a.k.a. CSU), der fast die gesamte Zeit zwischen Jena und Erlangen mit wahrscheinlich all seinen Mitgemeinderatsmitgliedern, deren Freunden und Frauen telefoniert hat um einen Hinterhalt gegen "den Fritz vom Bürgerbündnis" [1] zu legen. sollte der nämlich zum dritten Bürgermeister von Oberhupfingen [2] gewählt werden. Dabei hat er "ganz bescheiden" versucht sich selbst in's Gespräch zu bringen, was ein "deutliches Zeichen für die Zukunft" [3] wäre. Damit dieser Hinterhalt nicht auffliegt, schlug' er auch gleich vor, die Verhaltensregeln anzuwenden, die die Hanns-Seidel-Stiftung für solch Fälle vorsieht: Mensch verteile zu den Wahlen im Gemeinderat ausgedruckte Listen mit den KandidatInnen-Namen [4], die dann nur angekreuzt werden müssen um das Wahlgeheimnis auch gegen Schriftanalyse zu verteidigen.

Ganz besonders der letzte Punkt, der in jedem der gefühlt zweihundert [5] Telefonaten explizit angeführt wurde, verwundert mich, da er sich anscheinend von seinen MitgemeinderätInnen [6] bedrohter fühlt als von den ca. 50 MithörerInnen im ICE und den angeschlossenen "Interessenträgern" [7]. Kein Wunder, dass die für die Telefontotalüberwachung sind und in der Privatsphäre hauptsächlich ein Ermittlungshindernis sehen.

Ich hab' ja bis jetzt noch nicht mit konservativen Staatsparteien zusammengearbeitet und weiß nicht, wie die so was üblicherweise machen, aber in den demokratischen Zusammenhängen in denen ich bisher gearbeitet habe musste sich niemand auf Empfehlungen der Hanns-Seidel-Stiftung berufen, dass Personalwahlen geheim und frei durchgeführt wurden; das war da einfach so.

Und ohnehin, wenn Menschen sich für ein "deutliches Zeichen für die Zukunft" gehalten haben, haben die ihre Hinterhalte nicht selbst gelegt, sondern einen Verbündeten gefunden, der's übernommen hat.

[1] und [2] Name wahrscheinlich von meiner löchrigen Erinnerung geändert.
[3] Dieses Zitat ist sogar in meinem löchrigen Gedächtnis wörtlich hängen geblieben.
[4] Selbstverständlicherweise sind die Binnen-Is von mir und nicht von ihm ... oder gar der Hans-Seidel-Stiftung.
[5] Ja, ich weiß, dass das garantiert weniger waren, allein schon weil Oberhupfingen [2] sonst den größten Gemeinderat seit Erfindung des Gemeinderats hätte – der Mensch hat aber original von Jena bis Erlangen ununterbrochen telefoniert. Keine Ahnung, was für ein Netz in der Gegend so dicht ist, er hat es getan.
[6] Dieses Binnen-I ist hier aufgrund meiner Hoffnung, dass es aufgrund der außergewöhnlich geringen absoluten Mehrheit der bayerischen Staatspartei bei den vergangenen Kommunalwahlen hoffentlich auch ein paar Frauen in den Gemeinderat von Oberhupfingen [2] geschafft haben.
[7] Hier mal kein Binnen-I, weil "die Dienste" nicht nur Dinge sind, sondern auch in ihrer Aufgabenstellung "neutral" sein sollen.

Honeypots

März 3rd, 2008 § 0 comments § permalink

sind als Sicherheitsinstrument mittlerweile schon fast klassisch. Das mensch die auch als Waffe gegen die ÜberwacherInnen einsetzen kann ist auch kein wirklich neues Konzept. Das digitale Logbuch des Deutschlandfunks hat da aber einen schönen neuen Ansatz gefunden, der mich auch beim wiederholten Hören (mp3) vom Stuhl packt.

Where Am I?

You are currently browsing entries tagged with Sicherheit at maschinenraum.