Computer intruder tried to poison drinking water for a small Florida city
"Change boosting sodium hydroxide level was reversed before anyone got hurt."
Wahnsinns Geschichte.
Hacker in Florida versuchte das Trinkwasser einer Kleinstadt zu vergiften
-
Der Operator beschreibt das er gesehen hat wie sich die Maus bewegt hat und wie Fenster geöffnet wurden.
Das ist jetzt klein klassischer Hackerangriff wo Schwachstellen des Systems genutzt wurden, da hat jemand mittels Fernwartung auf den PC zugegriffen.
Normalerweise muss jeder Anwender einer Fernwartung explizit zustimmen, d.h. er bekommt ein Fenster mit einer Frage und muss Ja sagen. Das jemand auf den PC zugreifen will setzt einen User und ein Passwort voraus.
Insgesamt ist es eine reine Schlamperei des dortigen IT Security Verantwortlichen.
a) Wenn der Zugriff ohne Sicherheitsabfrage möglich ist, dann wurde das explizit so installiert. Ist ein pfui pfui.
b) Der Angreifer muss User und Passwort kennen, vermutlich war es wo aufgeschrieben, ein Passwort wie 1234 oder ähnliches. Auch ein pfui pfui.
-
Normalerweise muss jeder Anwender einer Fernwartung explizit zustimmen, d.h. er bekommt ein Fenster mit einer Frage und muss Ja sagen. Das jemand auf den PC zugreifen will setzt einen User und ein Passwort voraus.
Das stimmt nicht immer. Je nachdem welche Software von welchem Userlevel verwendet wird, kann man auch ohne Zustimmung direkt zugreifen.
-
Das stimmt nicht immer. Je nachdem welche Software von welchem Userlevel verwendet wird, kann man auch ohne Zustimmung direkt zugreifen.
Richtig. Ich kenne beide Varianten, sowohl mit als auch ohne Zustimmung des Users.
-
Das stimmt nicht immer. Je nachdem welche Software von welchem Userlevel verwendet wird, kann man auch ohne Zustimmung direkt zugreifen.
Was aber ein ganz großer Security Fehler ist. Offiziell wird so eine Lösung sicher nie sein.
Wenn dann haben das ahnungslose Mitarbeiter aus Bequemlichkeit so konfiguriert.
-
Bitte? Warum sollte es ein "großer Security Fehler" sein? Wenn entsprechende mehrfaktor Authentifizierung gegeben ist, ist das kein generelles Security Problem, sondern ein individuelles des jeweiligen Betriebes.
-
In heiklen Umgebungen, und die Wasserversorgung ist definitiv eine solche, ist der Zugriff von "außen" generell untersagt.
Und da ist jede Verbindung gemeint die rein oder raus geht.
Datentransfers, oder andere notwendige Kommunikation wird über gesonderte Systeme geführt und speziell gesichert.
Fernwartung oder administrativer Zugriff, auch über automatisierte Systeme wie z.B. SCCM, sind generell verboten.
Sollte die Steuerung der Wasserversorgung nicht als kritisches, und schützenswertes, System gesehen werden, dann liegt der Fehler eine, oder mehrere, Ebenen höher.
-
Sollte die Steuerung der Wasserversorgung nicht als kritisches, und schützenswertes, System gesehen werden, dann liegt der Fehler eine, oder mehrere, Ebenen höher.
Offensichtlich ist es hier so gewesen - wir kennen den Hintergrund nicht anhand eines Artikels.
Jedoch ist die Möglichkeit eines Fernzugriffes nicht generell ein Securityproblem.
Bei tatsächlich kritischen Systemen sollte es so einen, wie du richtig bemerkt hast, sowieso nicht geben.
Meistens wird das dann halt aus Bequemheit installiert - und DAS ist dann das eigentliche Securityproblem: Installationsrechte bei Benutzern, die nicht wissen was sie tun.
-
Meistens wird das dann halt aus Bequemheit installiert - und DAS ist dann das eigentliche Securityproblem
Ich denke du triffst den Nagel auf den Kopf. Die besten Sicherheitsvorgaben und -systeme bringen gar nichts, weil sie sehr oft von der Faulheit der Mitarbeiter umgangen werden.
Türen werden nicht versperrt, Alarmanlagen bei Türen werden außer Betrieb gesetzt (Stichwort Raucher) oder Passwörter aufgeschrieben und / oder mit Kollegen geteilt.
-
Oder der Klassiker: Passwort am Zettel pickt am Bildschirm
-
Oder der Klassiker: Passwort am Zettel pickt am Bildschirm
Der Klassiker, aber mittlerweile sind die Büromitarbeiter im 21. Jahrhundert angekommen, nehmen Sicherheitsvorgaben natürlich ernst und legen das Postit mit dem Passwort unter die Tastatur.
-
Das stimmt nicht immer. Je nachdem welche Software von welchem Userlevel verwendet wird, kann man auch ohne Zustimmung direkt zugreifen.
Richtig. Ich kenne beide Varianten, sowohl mit als auch ohne Zustimmung des Users.
Insgesamt ist es eine reine Schlamperei des dortigen IT Security Verantwortlichen.
a) Wenn der Zugriff ohne Sicherheitsabfrage möglich ist, dann wurde das explizit so installiert. Ist ein pfui pfui.
b) Der Angreifer muss User und Passwort kennen, vermutlich war es wo aufgeschrieben, ein Passwort wie 1234 oder ähnliches. Auch ein pfui pfui.
-
Der Klassiker, aber mittlerweile sind die Büromitarbeiter im 21. Jahrhundert angekommen, nehmen Sicherheitsvorgaben natürlich ernst und legen das Postit mit dem Passwort unter die Tastatur.
Otto Normalverbraucher klebt das Post-it auf die Rückseite der Tastatur, damit's nicht so auffällt, wenn die Putzfrau die Tastatur beim Staubwischen herumschiebt.
-
Was aber ein ganz großer Security Fehler ist. Offiziell wird so eine Lösung sicher nie sein.
Wenn dann haben das ahnungslose Mitarbeiter aus Bequemlichkeit so konfiguriert.
Oder es gibt im Betrieb IT-Mitarbeiter (z. B. "Second-Level-Support"), die diese Berechtigung haben.
-
Nein, in solch gesicherten Bereichen hat NIEMAND Zugriff von extern.
Und ein 2nd Level Support schon gar nicht.
-
Oder es gibt im Betrieb IT-Mitarbeiter (z. B. "Second-Level-Support"), die diese Berechtigung haben.
Oder der Systemlieferant oder jemand von der Sericefirma. Oder ein standardmäßiges Masterpasswort ...
Ich bin sicher, dass solche Anlagen gar nich so selten gehackt werden, bloss dass in der Regel die Hacker nicht auf solche Ideen kommen. Oder dass die Hacker im Auftrag eines fremden Geheimdienstes die Daten sammeln, um zu einem späteren Zeitpunkt zuschlagen zu können. -
Nein, in solch gesicherten Bereichen hat NIEMAND Zugriff von extern.
Und ein 2nd Level Support schon gar nicht.
Wenn der Externe damit vom Unternehmen beauftragt wurde, ist das möglich. Viele Unternehmen vergeben z. B. Hotline-/Service-Tätigkeiten an externe Firmen, die sich auf so etwas spezialisiert haben. Da gibt es dann aber entsprechende Verträge dafür.
-
Nein sicher nicht. Es gibt hoch Sicherheit Bereiche in denen genau das nicht erlaubt ist.
z.B. PCI (Payment Card Industry) zertifizierte Unternehmen, wenn es da nur die Möglichkeit externen Zugriffs gibt, gibt es massive Troubles.
Nicht einmal interne Mitarbeiter dürfen von z.B. daheim zugreifen, von externen brauchen wir da gar nicht zu sprechen.
-
Es gibt hoch Sicherheit Bereiche in denen genau das nicht erlaubt ist.
Ich glaube es gibt gar nicht so wenige Bereiche, die eigentlich im höchsten Maße kritische Infrastruktur sind, aber von den entsprechenden Stellen gar nicht als solche wahrgenommen werden.
Zum Beispiel die Wasserbehälter der Stadt Wien, einer davon bei mir ums Eck. Sonderlich gut geschützt vor physischem Zugriff sind diese nicht. Man kann sie sogar besichtigen. Da denke ich nicht, dass sie im Bezug auf IT mehr Schutzaufwand betreiben.
-
Ich glaube es gibt gar nicht so wenige Bereiche, die eigentlich im höchsten Maße kritische Infrastruktur sind, aber von den entsprechenden Stellen gar nicht als solche wahrgenommen werden.
Zum Beispiel die Wasserbehälter der Staat Wien, einer davon bei mir ums Eck. Sonderlich gut geschützt vor physischem Zugriff sind diese nicht. Man kann sie sogar besichtigen. Da denke ich nicht, dass sie im Bezug auf IT mehr Schutzaufwand betreiben.
Ja das befürchte ich auch, aber da geht es ja auch weniger um Geld sondern "nur" um kritische Infrastruktur.
Ich erlebe das seit vielen Jahren, dass bei Firmen, Behörden, etc. der Sicherheitsaspekt im Bezug auf IT schwer vernachlässigt wird.
So nach dem Motto: wir haben ja keine Geheimnisse die jemanden interessieren könnten.....