News Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet
- Ersteller Andy
- Erstellt am
- Zur News: Check-Point-Lücke: Hacker-Angriff auf CDU gravierender als erwartet
Nebula123
Lt. Commander
- Registriert
- Apr. 2010
- Beiträge
- 1.218
Sorry, wer für das Meldung von gefundenen Sicherheitslücken verklagt wird, statt wie bei anderen Unternehmen stattlich belohnt zu werden, muss sich nicht wundern, wenn man genau wegen einer solchen nicht mehr gemeldeten Lücke selbst Opfer wird.Silencium schrieb:
Die haben die Auswirkungen ihrer eigenen Politik hautnah zu spüren bekommen und haben damit zurecht jeden Spott verdient!
Ich verstehe das, aber die Lage ist m.E. inzwischen viel zu Ernst, um jetzt auf vergangene Verfehlungen rumzuhacken.Duran schrieb:
Das ist ein militärischer Angriff im Cyberraum auf eine demokratische Partei in Deutschland. Und somit ein Angriff auf uns.
Für Aufarbeitung wird später Zeit sein. Wenn es brennt, versucht man auch erstmal zu löschen und zu retten, und arbeitet den Fall dann auf.
Tamron schrieb:
Ja das mag sein aber genauso wie du meinst die alten haben keine Ahnung kann man aber auch gegen argumentieren das es da genug gibt die Ahnung haben , sind in den 90er mit dem aufkommenden allgemeinen Internet aufgewachsen und haben sich an Passwort , Datensicherheit , doppelte Abfrage gewohnt ...
Ich kenne genug 20 jährige die gar nichts mit einem PC anfangen können , können gerade Mal an und ausschalten .... Seit es die Smartphone Generation gibt wo im Prinzip alles Pluginplay ist und gegebenfalls Passwortgeneratoren eingebaut sind verlernt man das umgehen mit Datensicherheit heutzutage auch immer mehr
Slim.Shady
Ensign
- Registriert
- Dez. 2022
- Beiträge
- 140
Sehe ich nicht so als "Ziel" des Angreifers, da:Muntermacher schrieb:
+1. Und wenn die politischen Entscheidungen getroffen sind, fällt es schwerer diese wieder zu korrigieren.Piktogramm schrieb:
Wie im Fall Glyphosat. Auf DE-Ebene ist das Verbot ab 2024 entschieden worden. Bei der EU-Abstimmung wird sich enthalten und schwups, da es auf EU-Ebene erlaubt ist, ist es automatisch unzulässig es auf DE-Ebene zu verbieten.
https://www.bpb.de/kurz-knapp/hinte...die Umsetzung dieses Beschlusses rechtswidrig.
Richtig und wichtig. Und zwar zu dem Zeitpunkt, bevor der Politiker-Name auf irgendeiner Ankreuzliste erscheint.Piktogramm schrieb:
Das ist wie bei einer Herde Kühen. Es wird kurz aufgeschaut und danach einfach weiter gegrast.scryed schrieb:
Man stelle sich vor man findet im Supermarkt einen "gammligen" Pfirsich und wird dazu verdonnert die ganze O&G-Abteilung zu kaufen, plus Gebühr, plus Hausverbot...Nebula123 schrieb:
Selbst ich muss für das "poplige" Mail-Programm am Desktop mich mit User+PW anmelden und muss dann über mein Handy ein Token anfordern, der gerätegebunden ist (Niemand kann für mich anfordern, ich kann für niemand anders anfordern) und nur 15 Sekunden gültig ist. Es ist zwar umständlich, aber vermittelt Sicherheit.Termy schrieb:
Benji21
Lt. Commander
- Registriert
- Aug. 2018
- Beiträge
- 1.046
Whistl0r schrieb:
Kommt ja auf die VPN an. In der Regel brauche ich da ja noch mindestens ein Shared Secret damit das Gateway überhaupt die Verbindung zulässt bevor ich mich mit den AD-Nutzerdaten anmelde. 2FA wäre natürlich noch sicherer, es gibt aber auch da genug Firmen denen das dann zu umständlich wird da ja dann jeder ein Mobiltelefon bräuchte.
Ist halt noch nicht wirklich in den Geschäftsführungen angekommen dass Angriffe auf die IT Infrastruktur horrende Summen kostet selbst wenn man nur ein paar Tage nicht arbeiten kann (auch wenn keine Betriebsinterna abgeflossen ist).
berntzahltnull4
Cadet 2nd Year
- Registriert
- Juni 2024
- Beiträge
- 25
Was wurde an Daten genommen?
Der Bierverbrauch der Cdu pro Jahr?
Oder wie lange ein Kupferkabel sein kann?
In meiner Jugend, da hatten alle Parteien und Politiker sog. Hinterzimmer.
Und man rauchte und so weiter.
Waren die der Zeit vor raus? Ich denk nur an die Tschatverläufe der Oevp
bei uns in Wien, und so weiter.. Basti se short long man.. oder Pony Herbert..
ich würde das als echt alter weißer Sagg nur mit Digitaler Kalter Krieg 0,0 bezeichne.
Tip: Plinius der Jünger: AUS DEM SENAT..
do kannst no was lernen.. Tango Kurrupti
Der Bierverbrauch der Cdu pro Jahr?
Oder wie lange ein Kupferkabel sein kann?
In meiner Jugend, da hatten alle Parteien und Politiker sog. Hinterzimmer.
Und man rauchte und so weiter.
Waren die der Zeit vor raus? Ich denk nur an die Tschatverläufe der Oevp
bei uns in Wien, und so weiter.. Basti se short long man.. oder Pony Herbert..
ich würde das als echt alter weißer Sagg nur mit Digitaler Kalter Krieg 0,0 bezeichne.
Tip: Plinius der Jünger: AUS DEM SENAT..
do kannst no was lernen.. Tango Kurrupti
dev/random
Lt. Junior Grade
- Registriert
- Okt. 2020
- Beiträge
- 390
Theoretisch sollten sich auf den Geräten einer Partei genau keine Staatsgeheimnisse befinden, da diese die Regierungs- bzw. Verwaltungs-Infrastruktur nicht verlassen sollten.Muntermacher schrieb:
Muntermacher
Lt. Commander
- Registriert
- Sep. 2022
- Beiträge
- 1.098
@dev/random
Stimme Dir zu, aber Unterschied Theorie/Praxis kennst Du, sonst hättest,Du nicht extra Theorie geschrieben. Leider steigt das Risiko mit der Anzahl der Nutzer.
Stimme Dir zu, aber Unterschied Theorie/Praxis kennst Du, sonst hättest,Du nicht extra Theorie geschrieben. Leider steigt das Risiko mit der Anzahl der Nutzer.
Ergänzung ()
Sie wird aber nie erwähnt, es heißt immer nur pöse CDU. Ebensowenig wird gesagt, daß nach Wechsel zur Ampel die SPD unverändert weitermachte, z.B. bei VDS. Also war sie nicht einmal dagegen. Das ist Scheuklappendenken.Duran schrieb:
gustlegga schrieb:Ich freu mich schon auf den Tag wenn du mal 55+ bist (vermutlich geh ich da schon auf die 90 zu), und dir dann irgendwelche +/-20-jährigen Hosenscheißer erklären wollen, dass so alte Säcke wie du ja keine Ahnung von PC & Internet haben.... ^^
Problem ist, dass diese Menschen auf ihrem hohen Ross sitzen und es nicht (mehr) im Griff haben und meinen die Weisheit mit den Löffeln gefressen zu haben. In Wahrheit versagen sie aber auf ganzer Linie. Ist meistens so mit alten Leuten, dass sie die Zeichen der Zeit nicht mehr lesen können und sich nicht anpassen, aber vor allem überschätzen sie sich, gerade im IT Sektor!
aid0nex
Commander
- Registriert
- Feb. 2014
- Beiträge
- 2.747
Ich bezweifle an der Stelle einfach mal äußerst stark dass ein Carsten Linnemann in der Lage ist, diesen Angriff einzuordnen oder zu bewerten...
Mit diesem Hintergrundwissen frage ich mich, was genau die "Eleganz" im Vorgehen der Hacker sein soll - das einzige, was ich hier erkennen kann, ist ein peinlich schlechtes Sicherheitsverständnis seitens der CDU. In dem Unternehmen (DAX Konzern) in dem ich arbeite, sind einfache user/password Kombinationen nach außen hin schon seit mehr als einem Jahrzehnt verboten (außer es wird 2FA verwendet)...
Whistl0r
Ensign
- Registriert
- Feb. 2008
- Beiträge
- 205
Bedenke aber auch, dass eine Partei eine Art Verein ist. Da wird in der Regel jeder sein eigenes Gerät (BYOD) haben und keine zentral verwalteten Geräte. Da kann man auch nicht als Chef Dinge durchdrücken die man für richtig erachtet. Zudem muss man dafür sorgen, dass jemand ohne wirkliche IT-Kenntnisse aus irgendeinem Dorf-Verband sich einloggen kann.GR Supra schrieb:
Ich sprach von O365. Hybride Konfigurationen sind bei fast allen Mittelständlern anzutreffen. D.h. der Login für outlook.microsoft.com ist gleichzeitig der AD Login. Hier kann man dann zwar MFA erzwingen und Microsoft erkennt, dass der Zugriff nicht via VPN erfolgt und fordert dann MFA an -- es ändert aber nichts an dem Umstand, dass die gleichen Credentials eben auch beim VPN zum Einsatz kommen.Tamron schrieb:Wer hat 2024 noch OWA im Einsatz und seinen Exchange nach außen veröffentlicht?
Das AD ist mit Entra ID synchronisiert und du hast auf deinem VPN Login einfach die Conditional Access Policies aktiviert. Anmeldung ist dann über SAML. Das ist jetzt nichts weltbewegendes, aber genug schrott Firewalls können sowas nicht wie bspw. Sophos.
In der Praxis die ich täglich erlebe, trifft man auf SSL-VPN via Cisco ASA und Co. und da braucht es kein Pre-Shared-Secret oder ähnliches. Klar, könnte man konfigurieren. Aber am Ende ist ein Pre-Shared-Secret meiner Meinung nach keine Hürde. Zumindest nicht in Firmen mit 120+ Mitarbeitern. Diese Secrets tauchen in Self-Service-Portalen auf und wurden seit Jahren nicht mehr geändert.Benji21 schrieb:
Man sollte sich anschauen wie solche Angriffe erfolgen. Ohne MFA/Zertifikat sind Brute-Force Angriffe mögliche. Aber wenn hier die VPN Appliance gegen AD authentifiziert, sollte zumindest die normale Sperre greifen -- d.h. nach x fehlerhaften Versuchen ist Schluss. Das ist zu meiner Überraschung ein sehr effektiver Schutz.
Das Problem ist nur: In der Regel erfolgt der Angriff über einen kompromittierten Rechner. Und spätestens dann wenn ich eben BYOD zulasse, habe ich keine Chance mehr. Hier hilft dann auch kein MFA mehr -- der Angreifer muss einfach nur warten bis der legitime Nutzer die Verbindung herstellt.
Versteht mich nicht falsch: Ich bin ein Freund von Zertifikat-basierten VPN Lösungen (sogar von Maschinen-Zertifikaten, denn diese können nicht einmal exportiert und auf einem anderen Rechner verwendet werden) und halte MFA über TOTP prinzipiell auch für eine sinnvolle Sache. Aber MFA ist auch nicht DIE Lösung.
Und ich bleibe dabei: Wenn die CDU wirklilch einem Angriff zum Opfer gefallen ist, der erst <14 Tagen zuvor durch den Hersteller disclosed wurde, dann fällt es mir schwer ihnen große Vorwürfe zu machen. Spotten ist immer sehr einfach. Auch so Aussagen wie von @Tamron, dass Firewalls noch am selben Tag aktualisiert gehören hat meiner Meinung nach nichts mit der Realität zutun. Kaum ein Hersteller bringt noch reine Sicherheitsupdates. Und zu oft geht irgendetwas schief. Als Verantwortliche Person muss man in der Praxis eben mehrere Dinge abwägen, dies ist keine binäre Entscheidung. Wer behauptet das sei anders, dem spreche ich ganz ehrlich jegliche Erfahrung ab.
Nur um ein Beispiel zu nennen: Seit 2024 kann man eigentlich keinen Windows Server problemfrei mehr aktualisieren. Es begann im Januar mit dem Update das scheitert, weil die Recovery Partition zu klein ist. Die Februar-Updates beinhalten einen Fix der WSUS und Exchange Server lahmlegt. Im März Update wurde NTML Authentifizierung kaputt gemacht sowie einen Memory Leak in LSASS eingeführt. Im April hat Microsoft bestimmte VPN-Konfigurationen (u.a. waren Verbindungen die auf Zertifikate angewiesen sind betroffen) kaputt gemacht. Der Versuch das LSASS Problem zu lösen, scheiterte und führte zu zusätzlichen Problemen. Die Mai-Updates liesen sich auf Servern je nach installierten Language Packs gar nicht erst anwenden. Trotzdem wird es Besserwisser geben die einem IT-Verantwortlichen Versäumnisse vorwerfen würden, wenn das Unternehmen durch eine Lücke die in diesen Patchen gefixt wurde, angegriffen wurde. Es bleibt also nur die Option das eigene Unternehmen durch Updates selber lahmzulegen, bevor es ein Angreifer tut. Ja ne, ist klar.
Nicht anders verhält es sich leider mit Updates für Cisco, FortiGate und Co.
PS: Das Adivsory https://support.checkpoint.com/results/sk/sk182336 wurde erst am 26.05 (Sonntag). veröffentlicht. Am 01.06 berichtete die tagesschau von dem Vorfall. 5 Tage. Und wer weiß: Vielleicht hat der Hack ja schon vor dem 26.05 stattgefunden und wurde nur durch die Prüfung im Rahmen der Mitigation letzte Woche festgestellt. So sehr ich auch spotten würde -- nach allen bislang bekannten Fakten finde ich, hat man leider keinen Grund dazu.
I'llbeback
Cadet 1st Year
- Registriert
- Nov. 2017
- Beiträge
- 13
Also wenn man bedenkt, dass gerade diese Partei auf EU-ebene Verschlüsselung kriminalisieren will und mehr...
Hier ein paar Projekte von EVP/S&D/EKR
https://edri.org/our-work/be-scanned-or-get-banned/
https://mastodon.world/@Mer__edith/112495923113223249
https://mullvad.net/en/why-privacy-matters/going-dark
https://www.patrick-breyer.de/beitraege/draft-going-dark-uberwachungsschmiede/
https://netzpolitik.org/2024/going-...e-fordert-hintertueren-und-mehr-ueberwachung/
Hier ein paar Projekte von EVP/S&D/EKR
https://edri.org/our-work/be-scanned-or-get-banned/
https://mastodon.world/@Mer__edith/112495923113223249
https://mullvad.net/en/why-privacy-matters/going-dark
https://www.patrick-breyer.de/beitraege/draft-going-dark-uberwachungsschmiede/
https://netzpolitik.org/2024/going-...e-fordert-hintertueren-und-mehr-ueberwachung/
Xiaolong
Lieutenant
- Registriert
- Sep. 2008
- Beiträge
- 935
Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.GR Supra schrieb:
Sobald irgendwo ein "MasterKey" oder ähnliches existiert ist das System kompromitiert und das by Design. Interessenausgleich ist zwar eine schöne politische Phrase, aber technische Probleme kann man nicht politisch lösen, auch wenn das viele Leute gerne hätten.
@I'llbeback unter mir: Du meintest aber jetzt nicht mich sondern über mir denke ich doch?
Zuletzt bearbeitet:
(Grammatik, Autokorektur berichtigen)
I'llbeback
Cadet 1st Year
- Registriert
- Nov. 2017
- Beiträge
- 13
Lies dir mal das von Mullvad durch, denke nicht das du die links gelesen hast bzw das prob mit sicherer Verschlüsselung verstehst.
Abgesehen davon erhält die Exekutive keinen Echtzeit Zugang zu Briefen oder Gesprächen, was da in der EU vorangetrieben wird ist übler als die Stasi.
Abgesehen davon erhält die Exekutive keinen Echtzeit Zugang zu Briefen oder Gesprächen, was da in der EU vorangetrieben wird ist übler als die Stasi.
GR Supra
Lt. Junior Grade
- Registriert
- Mai 2024
- Beiträge
- 346
Technisch ein Argument, aber nicht rechtlich. Es geht aber um eine primär rechtliche Fragestellung.Xiaolong schrieb:Hier gibt's aber nur ein entweder oder. Entweder meine Verschlüsselung funktioniert, oder sie ist nutzlos.
Sobald irgendwo ein "MasterKey" oder ähnliches existiert ist das System kompromitiert und das by Design. Interessenausgleich ist zwar eine schöne politische Phrase, aber technische Probleme kann man nicht politisch lösen, auch wenn das viele Leute gerne hätten.
@I'llbeback unter mir: Du meintest aber jetzt nicht mich sondern über mir denke ich doch?
Es wird und muss rechtlichen Ausgleich geben.
Und denke mal an die analoge Welt, ob es da einen Briefkasten oder Terseor gebe, den die StPO nicht öffnen würde.
