Schutz der Unternehmens-IT vor Ransom Erpressungen und Hacker Angriffen

Tägliche Meldungen von Hacker Angriffen, auch auf kleinere und mittlere Unternehmen, verlangen nach einer erweiterten Information für CEO’s und CIO’s.

Generell muss man zwischen einem Hackerangriff und unterlassenen Absicherungen im Unternehmen unterscheiden und da davon auszugehen ist, das 90% der Unternehmen schlecht bis gar nicht abgesichert sind, bzw. die zugrunde liegende Problematik im Detail nicht verstehen, sind vermutlich rund 95% der Vorfälle dem Bereich unterlassene Absicherung zuzuordnen.

Um das Problem zu verstehen muss man wissen, dass es für Angreifer generell darum geht in das Netzwerk des Unternehmens einzudringen, sprich über ein System im LAN Zugriff auf des Netzwerk und die Daten auf Servern und PC einwirken zu können. Nach erfolgreichem Eindringen in das Netzwerk können dann weitere Aktionen, wie das Absaugen oder Verschlüsseln von Daten, bzw. ein Angriff auf anderer Unternehmen, durchgeführt werden. Netzwerke für solche Angriffe oder Aktionen, nennt man BOT Netzwerke. Die mit einem Trojaner verseuchten Systeme starten dann auf Befehl eines Masters verschiedenste Aktionen mit dem zusätzlichen Nachteil, dass die IP Adresse Ihres Unternehmens dann beim Angegriffenen aufscheint und Sie in kriminelle Aktionen als Täter verwickelt sind.

Und es kann jedes Unternehmen treffen, denn Hacker und Kriminelle verwenden zum Eindringen in Computernetze überall die selben Methoden, ohne zu wissen wem die IP Adresse gehört.

Haupteinfallstor E-Mail Anhänge und Internet Downloads

E-Mail

Die Masse der Eindringlinge kommt, da hier der Faktor Mensch eine große Rolle spielt, über E-Mail und Internet Downloads. Spammer haben riesige Datenbanken mit E-Mail Adressen, welche bei dieser Art des Angriffes extrem nützlich sind. Es werden über bereits bestehende Bot Netzwerke massenhaft E-Mails und diese Datenbanken versendet und die Netze die aufgehen sind rein zufällig für die Angreifer.

Leider gibt es noch viele Unternehmen, welche proprietäre Dateianhänge in Ihren E-Mail Systemen nicht sperren und damit einen leichten Angriff ermöglichen. In Zeiten wie diesen ist es eine Notwendigkeit alle Anhänge, außer PDF und JPG zu sperren und den Transfer anderer Anhänge über verschlüsselte und besser prüfbare Wege durchzuführen.

Um jetzt nicht den Eindruck zu erwecken, dass ich paranoid bin, eine kurze Erklärung, um das Problem zu verstehen.

Die Versender der E-Mails verwenden nicht nur Bot Netzwerke zum versenden, sondern diese besitzen auch, da viele Menschen, ohne nachzudenken, Ihre Adressbücher und Kontakte jeder App am Smartphone öffnen und damit Ihr gesamtes Kontaktnetzwerk an Fremde im Internet übermitteln, eine riesige Datenbank mit Kontakt-Netzwerken.

Damit ist es möglich, dass die Versender den Absender der E-Mails fälschen und es für Sie so aussieht, dass die E-Mail von einem bekannten Kontakt kommt. In der Kombination mit dem Problem, dass Anhänge nicht gesperrt sind, erhöht sich damit die Chance, dass ein Benutzer auf den Anhang klickt, dramatisch und es ist keine Frage ob Sie betroffen sind, sondern nur wann.

Das Sperren von Anhängen und die Verlagerung des Datenaustausches auf kontrollierte Wege (Z.B. OwnCLoud, Nextcloud, etc.) löst das Problem zu 99%, denn nur Ihre wirklichen Kontakte kennen den Link zum Datenaustausch und alle Massen E-Mails mit bösartigen Anhängen bleiben in Ihrer MailWall, die vor dem Mail Server platziert ist, hängen. Mailwall und Mail Server sollten unbedingt auf Servern im eigenen Haus betrieben werden um Dritten keinen Zugriff auf die unverschlüsselt am Server abgelegten E-Mails zu erlauben und auch Meta Daten zu verhindern. Zusätzlich haben Sie dann einen weit besseren Zugriff auf Sperrlogik und Log Files. Das Restrisiko hier ist, dass einer Ihrer echten Kontakte sich einen Trojaner lädt, der dann die Links über auslesen und absaugen der Daten findet und versucht Malware über diesen Weg einzubringen. Mit einer guten Passwort-Logik und einer zusätzlichen Prüfung der Uploads lässt sich dieses Problem aber sehr begrenzen und alleine mit dieser Art reduziert man die Angriffsflächen massiv.

Mail zu Internet

Leider gibt es zusätzlich die Möglichkeit sich diese bösartige Software auch über das Internet zu laden. Hier kommen zwei Ansätze zum tragen:

Da viele Benutzer HTML-Emails, statt reiner Text-Mails verwenden, auch ohne zu verstehen, dass das bei jedem System und E-Mail Programm anders aussieht, gibt es hier einen wirklich einfachen Trick Benutzer auszutricksen.

Wenn der Angreifer will, dass der Benutzer den Link http://jetztbistduerledigt.com anklickt,dann


würde das in einem Text E-Mail so aussehen und für jeden erkennbar sein:

Hier ist die Info vom Boss http://jetztbistduerledigt.com . Bitte klicke drauf.


Beim HTML-E-Mails kann der Angreifer das leicht verschleiern:

Hier ist die Info vom Boss <a href="http://jetztbistduerledigt.com">http://firma.com/bossinfo</a>. Bitte klicke drauf.

Zeigt dem Benutzer im Mail:

Hier ist die Info vom Boss http://firma.com/bossinfo. Bitte klicke drauf.

Und beim Klick darauf, ist der Benutzer direkt auf http://jetztbistduerledigt.com und Sie sind damit mit einer hohen Wahrscheinlichkeit mit Schadsoftware verseucht.


Das ist der Grund, warum Sie im Unternehmen auf Text E-Mails umstellen sollten und Ihre MailWall eingehende HTML E-Mails in Text-Mails umwandeln sollte. Niemand braucht HTML E-Mails, insbesondere da diese ja auf jedem E-Mail Programm sowieso anders aussehen und weiters viele mit einem sicheren Setup eine HTML->TEXT Wandlung vornehmen. Danach sehen viele HTML E-Mails schlimm aus und professionelles E-Mail ist nur Text.

Internet

Wenn dann ein Link geklickt wurde, dann ist es wichtig, dass die Benutzer keinen direkten Zugang zum Internet haben. Die Firewall sollte alle Benutzer sperren und ein Zugriff zum Internet sollte nur durch einen Proxy Server möglich sein. Proxies wie der Suid Proxy ermöglichen es auch hier Downloads zu sperren und somit die Gefahr von Bösartiger Software dramatisch zu verringern.

Auch beim Proxy gilt, nur PDF, JPG, PNG zu erlauben und alles andere zu sperren.

Gut geschulte Anwender setzen Plugins wie uMatrix oder NoScript ein um das extrem gefährliche JavaScript nur auf vertrauten Seiten zu erlauben und andere Seiten beim Erstbesuch ohne JavaScript zu besuchen. Diese Art der weiteren Reduzierung benötigt aber eine gute Schulung der Benutzer um das Verständnis für das Problem aufzubauen.

Alleine mit diesem, mit Open Source Software z.B. ohne Lizenzkosten im eigenen Haus realisierbarem Setup, haben Sie die Angriffsfläche, je nach Aufbau Ihrer IT, um 70%-95% reduziert.

Einfallstor technisch fehlerhafte IT Installation

Nachdem wir das Problem Mail und Internet oben bereits besprochen haben, widmen wir uns nun dem Thema Setup der IT und die dabei oft auftretenden Probleme. Das Kapitel ist sicher eher technisch, ich versuche die Erklärung aber allgemein verständlich zu halten.

Um das Firewall und Setup Problem zu verstehen, muss man wissen, dass ein Rechner im Normalfall maximal 3 * 65535 Haustüren hat. Diese drei Bereiche sind TCP v4, TCP v6 und UDP. Stellen Sie sich das so vor, dass Ihr Haus (Rechner) an drei Straßen steht und von jeder Straße gibt es theoretisch 65535, durch Menschen bedrohte Haustüren in Ihr Haus und an der Straße UDP sind die Türen von Baggern bedroht.

Wenn Sie lesen oder hören, dass es am Tag x-zehntausende Angriffe gab, resultiert das zu 99,9% daraus, dass die Angreifer mittlerweile so viele Bot Netzwerke haben, dass sogenannte Scanner das Internet laufend nach offenen Türen absuchen. Wenn eine offene Türe gefunden wird, dann läuft ein anderer Bot Rechner los und versucht in diese Türe einzudringen. D.h auch hier, dass es egal ist wer Sie sind, denn die Scanner laufen über alle Hausnummern (IP Adressen) im Netz, ohne zu wissen, bei wem Sie gerade sind. Wenn eine Ihrer Haustüren offen ist, oder leicht aufgeht, sind Sie verloren.

Zusätzlich muss die Installation in Ihrem Hause in Brandschutzabschnitte (Netzwerktrennung) aufgeteilt werden. D,h. interne Server stehen in einem eigenen Netzwerk (Brandschutzabschnitt), getrennt vom PC Netzwerk durch eine Firewall, welche nur die notwendigen Services durchlässt. Netzwerke können sehr komplex sein, generell gilt, auch intern alles mit Firewalls und Netzwerktrennung absichern, Admin Arbeitsplätze mit statischen IP Adressen und speziellen Berechtigungen in der Firewall, jedoch nie “alles auf”.

Zusätzlich sollten WLAN’s, Lagersysteme und ähnliches immer separiert sein und Geräte die einmal außerhalb der Firma mit dem Internet in Verbindung waren, nie mehr intern angeschlossen werden. Richten Sie dazu ein separiertes WLAN Netzwerk ein und Übertragen Sie Daten z.b. über OwnCloud. Gewähren Sie so einem Notebook aber nie mehr den Zugriff auf das LAN. Andernfalls schützt keine Firewall und das eventuell mit einem Trojaner verseuchte Gerät greift alle erreichbaren Geräte an um die Schadsoftware weiter zu verbreiten, oder das Netzwerk zu verschlüsseln.

Zu beachten ist auch, dass Telefonanlagen, Haussteuerungen und andere SPS Systeme meist kleine Linux, oder auch Windows Rechner, oft mit veralteten Betriebssystemen ohne jedes Updates sind. Der Einbruch von Angreifern über die Steuerung eines Aquariums in ein Casino zeigt, dass diese Geräte, da den Unternehmen gar nicht bewusst ist, dass es sich hier um Computer handelt, extrem gefährlich sind.

Generelle Regeln

  • Netzwerke durch Firewalls trennen, nie “alles auf”, sondern “alles zu” und nur benötigte Ports (Haustüren), eingeschränkt auf IP Adressen, auf.
  • Nie Geräte direkt mit dem Internet verbinden und keine Ports, auch nicht durch Port Forwarding von außen öffentlich erreichbar machen.
  • Alle Zugriffe zu Services (Ports) auf IP Adressen einschränken, nie öffentliche Erreichbarkeit herstellen.
  • Nur Internet Server, z.B. Web Server, Shop, MailWall und ähnliche, die im Netzwerk in der DMZ (Brandschutzabschnitt) stehen, sind auf den benötigten Ports öffentlich erreichbar.
  • Jeglicher Zugriff von außen (IT Wartung, externe Betreuer) muss mit statischer IP über VPN erfolgen. Jeder professionelle Betreuer hat eine statische IP und wer das nicht hat, will den Internet Business Account sparen und mit einem billigeren Privataccount arbeiten. Akzeptieren Sie das nicht, denn diese Menschen gefährden Ihre IT in dem Sie den Zugriff öffentlich machen müssen und nicht auf dessen IP Adresse einschränken können. Wenn ein Betreuer unterwegs ist, dann muss er zuerst, gesichert durch VPN zu sich ins Büro connecten und dann über seine statische IP zu Ihnen. Alles andere ich ein extremes Risiko und all die Ausreden um statische IP Adressen sind verlorene Zeit. Die Regel ist, wenn eingeschränkt auf dessen IP können Angreifer das Passwort nicht hacken, da die Haustüre nicht erreichbar ist und jeder Versuch und Scanner scheitert im Ansatz, bzw. sieht die Türe nicht.
  • Home Office Arbeitsplätze nur über VPN (OpenVPN, IPSec) anbinden und für das VPN restriktive Firewall Regeln definieren. Arbeit am besten mit Windows oder Linux RDP Terminal Server und keinen direkten Durchgriff durch das VPN erlauben. Mit RDP benötigen Sie nur die Haustüre 3389.
  • Ohne Proxy kein Zugriff für PC’s und Server zum Internet. Server selbst sollten gar keinen Zugriff zum Internet haben. Updates über lokale Update Server, ala WSUS für Windows Umgebungen.

Wen Sie auch diese grundlegenden Regeln beachten, haben Sie Ihre Angriffsfläche weiter reduziert und mit diesem Setup sind Sie schon sehr sicher.

Hybride IT Landschaft

Nun sollte noch, für den Fall, dass die verbleibenden 1-2% Wahrscheinlichkeit eintreten eine rasche Wiederherstellung sichergestellt sein. Diese erreichen Sie am besten mit folgenden Grundregeln:

  • virtualisieren Sie alle Dienste mit Proxmox oder VMWare
  • Sichern Sie Snapshot Backups über ein Netzwerk-Interface auf das die VM’s keine Zugriff haben. Damit schützen Sie das Backup für den Fall einer Verseuchung in den Netzen auf den anderen Netzwerkkarten.
  • Bauen Sie hybride Netzwerke, z.B. Sicherungs Nas für die Snapshot Backups mit Unix, Fileserver mit Unix oder Linux, Terminal Server mit Windows, Arbeitsplätze am besten als reines Terminal von RDP Terminal Servern, usw.
  • Stellen Sie sicher, dass niemand auf das Backup Zugriff hat und lagern Sie Backups auch außer Haus.

Natürlich ist jedes Unternehmen im einzelnen zu durchleuchten und ein dementsprechendes IT Konzept, welches größtmöglichen Schutz vor Angreifern bietet, zu erarbeiten, aber mit einem dementsprechenden Willen zur Innovation und Steigerung der Sicherheit ist es in jedem Unternehmen, im Normalfall ohne jegliche Lizenzkosten, möglich, einen extrem guten Schutz aufzubauen.

Lassen Sie sich von Menschen die nur eine Umgebung, diese auch oft nur schlecht, kennen, nichts einreden. Zukunftssicherheit, Innovation und der Trend sind:

  • Self-Hosting im eigenen Haus
  • Verwendung von Linux und Open Source Software zur Steigerung der Sicherheit und Einsparung der Lizenzkosten
  • Dezentralisierung der Kommunikation
  • Datenschutz und Hoheit über die eigenen Daten ohne Zugriff durch Fremde im Internet
  • Abgehen von der Datenspeicherung auf Servern von Fremden im Internet (aka Cloud)

Gewerbliche Kunden

Die von mir gegründete CTS IT Solutions (https://cts-solutions.at) bietet gewerblichen Kunden seit 1985 perfekte und bestens erprobte IT Lösungen! Gerne beraten wir Sie bei allen Fragen rund um die IT!

Join my public room in the Matrix

If you like this blog entry feel free to join my public room by entering /join #kmj:matrix.ctseuro.com anywhere in the Element Messenger (https://element.io) box to send a message! Or follow this Link: https://matrix.to/#/#kmj:matrix.ctseuro.com Help or answering questions ONLY in this room!

Liebe Grüße,

Ihr

Karl M. Joch

https://kmj.at/contact/