[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Computerkriminalität



On Fri, 23 May 1997, Thomas Roessler wrote:

[...]

> Die Unsicherheit dieser Verbindungen wird durch den
> Anschlag auf die Kommunikationsinfrastruktur des Frankfurter
> Flughafens vom 9. Juni 1996 demonstriert, die durch das
> schlichte Kappen von Leitungen komplett von der Außenwelt
> abgeschnitten wurde.  [1]
> 
> Anstatt die Verbindungen zu kappen, hätten die Angreifer sie
> mitlesen können, um an sensitive Informationen
> (Kreditkartendaten, Buchungsinformationen und dergleichen) zu
> gelangen. Sie hätten die betreffenden Datenverbindungen
> abfangen und die übertragenen Daten ändern können - sei es zu
> rein destruktiven Zwecken, sei es, um sich selbst einen Vorteil
> zu verschaffen.

Ich habe Dir schon in einer Mail geschrieben, dass dies schlicht falsch 
ist. Man kann Glasfasern nicht so einfach unbemerkt abhoeren, geschweige 
denn die uebertragenen Daten veraendern. 

> Wurden die Daten »sicher« an ihr Ziel befördert, liegen sie
> dort zumindest zeitweise unverschlüsselt in elektronischer Form
> vor. Wer Zugriff auf die Rechner einer Organisation hat, hat
> auch Zugriff auf die dort gespeicherten und dorthin
> übertragenen Daten oder auf unter Umständen durch diese Rechner
> gesteuerte Anlagen. 

Auch dies ist falsch: "System Access" und "Data Access" sind 
unterschiedliche Dinge. Sollten es zumindest sein...

> Maßnahmen zur Absicherung gegen jedwede Angriffe setzen
> demzufolge bei der Schulung und Auswahl von Mitarbeitern an:

Unsinn. Bevor man den Mitarbeitern irgendwas beibringen kann, muss die 
Geschaftsleitung erst einmal verbindliche Richtlinien ueber die Benutzung 
der Computersysteme erlassen.
Besorg' Dir mal solche Richtlinien von Grossunternehmen oder staatlichen 
Organisationen...
Die Praxis lehrt auch, dass Schulungen oft nur eine SEHR begrenzte Wirkung 
auf viele Mitarbeiter haben. Schau' Dir bitte mal an, wie es im richtigen 
Leben, ausserhalb der akademischen Welt zugeht. Du kannst den Leuten 
zigmal sagen, dass sie auf den Firmen-PCs keine vom Sohn auf dem 
Schulhof eingetauschten Spielprogramme installieren sollen, weil damit 
Viren eingeschleppt werden koennen. Sie tun es trotzdem!!
Deshalb muss man dafuer sorgen, dass die Mitarbeiter keinen Unfug machen 
_koennen_.

> Diese Überprüfung kann so weit gehen, daß externe Experten
> damit beauftragt werden, in die Rechnernetze einer Organisation
> einzudringen, um auf diesem Wege Sicherheitsprobleme zu finden
> und sie später beheben zu können.

Seit Ewigkeiten ist bekannt, dass dies nicht viel hilft:

Dann das Zitat halt nochmal:

"Attempts to correct (patch) identified security vulnerabilities were not
sufficient to prevent subsequent repenetrations. New tiger teams often
found security flaws not found by earlier tiger teams, and one could not
not rely on the failure of a penetration effort to indicate that there
were no exploitable security flaws."

(Lt. Gen. Lincoln D. Faurer, "Computer Security Goals of the DoD",
Computer Security Journal, Summer 84.

noka,
Rudi