Hi Bernhard,
der Artikel ist ganz interessant. Mir fallen dazu noch ein paar
mehr Sachen ein, die der normale Windows Administrator
wahrscheinlich nicht weiß, z. B. dass sich das Passwort des
KRBTGT-Serviceaccounts eigentlich nie ändert (bis auf einen
speziellen Fall) und dass die verwendeten Hashingalgorithmen für
die Passwörter veraltet sind.
Dass das alles wenig bekannt ist, liegt zum einen daran, dass MS
Software nicht offen ist. Zum anderen wird bei MS sehr viel
automatisch und über einfache grafische Oberflächen konfiguriert,
was dazu führen kann, dass ein Administator nicht versteht, was
das System genau macht. Ein Administrator, der Kerberos unter
Linux installiert, muss sich erst einmal in die Materie einlesen
und verstehen was er nun überhaupt alles machen muss. Unter
Windows installiert der Administrator die Active Directory DC
Rolle mit ein paar Klicks und weiß danach vielleicht nicht einmal,
dass er nun auch ein Kerberos installiert hat. Wie soll er sich
dann vor Angriffen dagegen schützen?
Algorithmen können meiner Meinung nach nur sicher sein, wenn sie
frei und für jeden nachvollziehbar sind. Ob diese aber nun in free
oder closed Software implementiert sind und was von beiden
sicherer ist, mag ich nicht beurteilen. Die Software sollte aber
in beiden Fällen richtig administriert und maintained werden,
damit sie sicher bleibt.
Mit freundlichen Grüßen
Daniel Laczi
Am 30.06.2015 um 17:11 schrieb Bernhard Reiter:
Hi,
wie Ihr vermutlich aus den Medien gehört habt, ist die IT-Infrastruktur
des deutschen Bundestages in den vergangenen Wochen und Monaten erfolgreich
angegriffen worden.
Gelegentlich wird die Frage gestellt: Was könnte Freie Software dazu
beitragen, sich gegen solche Angriffe zu verteidigen?
Das Unternehmen Univention, welche in seinen Produkten viel Freie Software
Komponenten veröffentlich, stellt dazu im folgenden Blog-Eintrag einige
Überlegungen an:
https://www.univention.de/2015/06/bundestags-hack-moegliche-hintergruende-und-verteidigungsmethoden/
"""Fazit zum Bundestags-Hack
Auch bei der IT-Sicherheit gilt: 100% Sicherheit gibt es nicht – auch bei UCS
nicht. Aber es gibt viele Dinge, die getan werden können und bei einer
kritischen Infrastruktur wie der des Deutschen Bundestages sicher auch getan
werden müssen. Ob sie wirklich getan wurden, müssen die aktuell laufenden
Untersuchungen zeigen.
Und klar ist auch: Nur quelloffene Software, die sowohl vom Hersteller, vom
Anwender, aber auch von unbeteiligten Dritten auf mögliche Fehler und
Hintertüren untersucht werden kann, bietet maximale Transparenz. Sie ist
deswegen zwingender Bestandteil einer wirkungsvollen, nachhaltigen
IT-Sicherheitsstrategie.
"""
Der Eintrag ist länger, deshalb habe ich ihn noch nicht im Detail
ansehen können. Was meint Ihr dann dazu?
Gruß,
Bernhard
_______________________________________________
fsfe-de mailing list
fsfe-de@fsfeurope.org
https://mail.fsfeurope.org/mailman/listinfo/fsfe-de