News Umfangreicher Datendiebstahl?: AMD untersucht mutmaßlich großen Hack des Unternehmens

[scooter010]

Wenn mein Beitrag nicht um generelle Sicherheit ging sondern nur im die Qualität von Passwörtern, dann lasse ich mir nicht unterstellen, ich hätte das nicht bedacht oder das würde mein Argument ungültig machen.
Ne, Passwörter mit 12-16 Zeichen brauchen wir auch nicht versuchen. Dadurch wird die Sicherheit effektiv nicht gesteigert, nur der Admin fühlt sich wohler, weil er hat ja vermeintlich die Sicherheit verbessert. Leider ist er nicht in der Lage, Sicherheit auch außerhalb der Technik selbst zu betrachten.

Natürlich sollte es nicht möglich sein, password als Passwort zu verwenden. Habe ich nie in Abrede gestellt. Ich habe nur gesagt, dass man schlechte Passwörter mittels dieser standard-Passwortregeln nicht verhindern kann. Auch sprach ich davon, dass die Passwörter schon gegen haveIbeenPwnd und vielleicht gegen die rockyou.txt abgeglichen werden sollten. Das hätte effektiv password als Passwort verhindert.

Daher habe ich nicht verstanden, was dein Standpunkt ist. Ich sagte das bereits. Ob du das bereits irgendwo früher im Thread getan hast, weiß ich nicht. Ich habe direkt auf den ersten Post reagiert.

P.S.: Es gibt auch in meinem homelab ein paar Systeme, die per password oder so was "abgesichert" sind. Aber diese Systeme sind ohne Netzwerkinterface konfiguriert bzw. es ist seltenst und nur äußerst kurz konfiguriert (für updates/Installationen). Oder auch honeypots.
Trotzdem steht dieses schlechte Passwort in meiner Passwortliste. Käme nun also ein Breach meiner Liste, könntest du auch mit dem Finger auf mich zeigen und sagen, dass ich ja schlechte Passwörter benutzt habe und selber schuld bin.
Dass das schlechte Passwort aber nichts mit dem Breach zu tun hatte, ist dann aber egal?! Das ist ein wenig "Ich BILD mir meine Meinung"-Niveau.

 

[Lord_X]

Das steht im Update. Mein Post existierte bereits davor. Erst lesen, dann Posten

Ja logisch sonst würde mein Kommentar: "Hauptsache verurteilen, bevor man überhaupt die Fakten kennt!" ja keinen Sinn ergeben!

 

[DevPandi]

Tja, es geht eben nur sicher oder bequem. In einem Unternehmen sollten die Prioritäten allerdings klar sein...

Würde ich so nicht sagen, denn es kommt halt darauf an, was man an Techniken nutzt und wie das System geplant wurde.

Moderne Zero-Trust-Systeme mit Hardware-Token und dem Ansatz, dass nur minimale Rechte vorhanden sind und die Rechte erst erteilt werden, wenn sie benötigt werden, kann relativ bequem aufgebaut werden und kann am Ende sogar bequemer sein als Passwörter mit 2FA.

Solche Systeme scheitern in der Regel aber an der Frage der Kosten und oft auch am Unverständnis der Manager. Ich hatte letzten so eine Diskussion mit einem "IT-Leiter", der zwar seit Jahrzehnten in der IT als "Manager" arbeitet, aber eigentlich BWL studiert hat. Der wollte mir und auch seinen IT-Security-Experten an dem Tag erklären, dass Passwörter ja viel besser sind, weil wenn der Token verloren geht, kann ja jeder an das System ran. Auf den Hinweis, dass vom Benutzer das Passwort bekannt ist und der 2FA-Token "geklaut" wurde, quasi genau die gleiche Situation zustande kommt, viel ihm nicht mehr viel ein.

Am Ende scheitern solche Projekte aber am Geld und an der bestehenden Infrastruktur. Im Endeffekt müsste die IT vollständig neu geplant und aufgebaut werden, nur funktioniert das "Parallel" nur semi gut und man hätte ggf. Kollegen, die bereits umgestellt sind, andere noch nicht und dann wird es ultra kompliziert.

Ja und das Ende vom Lied ist, dass viel zu viele Nutzer zu viele Berechtigungen bekommen, weil einfach niemand mehr auf den Verwaltungshickhack Bock hat.

Das ist nur ein Teil des Problemes und nicht unbedingt schwer zu lösen. Das Problem ist viel eher, dass es keine einheitliche Lösung für die Benutzerverwaltung gibt. Man kann sich zwar mit LDAP und anderen Techniken in so einem Fall helfen, gleichtzeitig muss aber in verschiedenen Software-Verwaltungen erneut die Rechte eingetragen werden und das passiert dann oft über Standardtemplates.

Dazu ist auch ein Problem, dass so manche Software überhaupt keine feingliedrige Rechtestrutkrur haben oder zulassen, weil das alles Sachen sind, die damals nicht bedacht wurden.

Ich hab aktuell Software-Pakete die in den 90er entstanden sind und die zwar immer Erweitert und verbessert wurden, gleichzeitig ist das Rechtemangement so grob, dass es schon fast fahrlässig ist.

Im Prinzip müssten die für die Entwicklung ein zweites, physisch getrenntes, Netz inkl. Rechnern betreiben, nur das Funktioniert natürlich nur an einem Standort und Home Office etc. schließt das ja auch aus. Also leider nicht praktikabel.

Das zweite Netzt scheitert alleine bereits daran, dass das mit den heutigen Arbeitsweisen nicht mehr vereinbar ist und da reden wir nicht von unterschiedlichen Standorten oder Home Office, sondern alleine daran, dass viele Informationen heute "online" abgerufen werden. Gerade in der IT, allgemein den MINT-Fächern, findet sovieles online statt, dass du ohne Internetzugang quasi deine Arbeit nicht mehr machen kannst.

Früher hatten viele Firmen - ich kenn das noch von meinem Vater - eine eigene Bibliothek, mit Bibliothekaren, die Literatur gekauft, verschlagwortet haben und die den Mitarbeiteren Informationen über neue Aufsätze und Co schickten und dann per Hauspost Bücher, Journals und Kopien davon haben zukommen lassen.

Die Probleme heute sind aber "gewachsene" Probleme, weil sich alles entwickelt hat. Viele der Probleme mit der IT-Sicherheit, lassen sich bei neuen Netzwerken bereits effektiv verhindern, wenn sie direkt von der Planung an bedacht werden.

Nur ist es nicht mit dem Netzwerk getan, es geht dann weiter über das Betriebssystem, Nutzerverwaltung und die verwendeten Softwarepakete.

Sicherheit muss von Anfang an gedacht werden, Problem ist nur, dass dann die Komplexität auch zunimmt, was wieder Platz für Sicherheitslücken schafft.

Es wäre - jetzt aus Entwicklungssicht - möglich, dass man statt Rechten nur auf der Projekt-Ebene, sogar Rechte auf Dateiebene umsetzt und damit Mitarbeiter wirklich nur an die Sachen kommen, an denen sie arbeiten. Erhöht allerdings die Komplexität.

Wie die meisten hier vergisst auch du, dass die Schwachstelle nicht die Passwörter sind.

Passwort "erwarten" ist ohnehin so eine Sache, die nur funktioniert, wenn man die "Nutzertabelle" mit den passenden Hashes hat und dann sicher sein kann, dass man das Passwort hat.

Auf "Gutglück" funktioniert nicht ganz so gut, wenn entsprechend die Systeme konfiguriert sind. Bei uns kann man 3 mal das Passwort 3 mal eingeben, dann ist man für 15 Minuiten gesperrt, nach 6 wird der Zugang gesperrt und muss freigeschaltet werden.

Eben, wobei "bequem" eben schneller ist und Zeit ist eben Geld - was passiert wenn es schief geht ist eine andere Baustelle und wird meistens erst angegangen wenn es dann doch so weit ist.

Es ist eher eine Frage des Geldes und dem Umstand geschuldet, dass viele IT-Strukturen organisch gewachsene sind.

Ein System, dass von Anfang an auf Sicherheit getrimmt ist und entsprechende Techniken verwendet, kann auch sehr bequem sein. Nur lassen sich solche Systeme selten im Nachgang installieren.

Es wird halt immer noch zu wenig getan, geschult wie auch immer.

Das mit dem Schulen ist die eine Sache, du kannst soviel schulen, wie du willst. Es kann immer einen schlechten Tag geben oder gar eine so perfekte E-Mail, dass man darauf rein fällt.

Und ich schreib es ganz offen: Niemand ist so schlau, dass es ihm nicht passieren könnte. Selbstsicherheit ist in diesem Fall Gift.

Alle 6-8 wochen Spammails als Test

Durchaus ein probates Mittel, hat aber auch Nachteile und führte bei uns dazu, dass ich quasi jeden Tag eine Zeitlang jede E-Mail gemeldet bekommen habe, die im Ansatz "suspekt" war, gleichzeitig aber drei E-Mails druch gegangen sind, die eben auf Social Engeneiering aufbauten.

ich antworte eh auf keine E-mail die ich nicht kenne.

Ich hab für meine Kollegen ein paar einfache Grundregeln aufgestellt und seit dem passiert nichts:

1. Ist die E-Mail erwartbar gewesen - also steht sie in einem Kontext zu aktuellen Arbeitsthemen. Gerade bei der Arbeit können auch mal unbekannte e-Mails auftauchen.
2. Links/Dateianhänge: Sind diese zu erwarten? Ist man sich nicht sicher, dann eine Nachfrage beim Abnsender.
3. Alles andere, was nicht erwartbar ist: Löschen.

 

[Rockstar85]

Durchaus ein probates Mittel, hat aber auch Nachteile und führte bei uns dazu, dass ich quasi jeden Tag eine Zeitlang jede E-Mail gemeldet bekommen habe, die im Ansatz "suspekt" war, gleichzeitig aber drei E-Mails druch gegangen sind, die eben auf Social Engeneiering aufbauten.

Ich bin doch bei Siemens... Klar werden die Mails auf Basis von Social Engineering gebaut Hatte ne HR Mail, da war nur anhand des Absenders erkennbar, dass es Spam war

 

[RobZ-]

die brauchen halt bessere lösungen als alles über das öffentliche internet zugreifbar zu machen.

 

[Ranayna]

Hast du die News überhaupt gelesen? Es gab bereits einen Hack und dort stellte sich heraus dass man für Passwörter u.a. "password" verwendet hat. Passwortregeln verhindern sowas.

Naja, der Hack war aber - so ist inzwischen ja bekannt - bei weitem nicht so umfangreich wie die Hackergruppe ihn ausehen lassen wollte.
Anders formuliert: Soeine Gruppe kann auch luegen Und wenn eine moegliche Rufschaedigung oder Aktienkursmanipulation im Spiel war, waere das garkeine so schlechte Luege. Wie man ja auch gut hier im Thread sieht ist das ein Punkt auf den viele Leute ansprechen.

Und selbst wenn das keine Luege war: Wer weiss wofuer diese Passwoerter sind? Vielleicht ist es ein internes Testsystem? Oder fuer Essensbestellungen in der Kantine? Beispiele/Platzhalter aus interner Dokumentation?
Alles Spekulatius

Das User fuer Dienste die sie als unwichtig bzw. unkritisch erachten, schwache Passwoerter verwenden, ist ja kein Geheimnis. Da heutzutage so vieles einen Account haben will, sind schwache Passwoerter weit verbreitet. Nicht alles braucht ein sicheres Passwort.

 

[scooter010]

@RobZ- Scherzkeks. Dann kommt die Unternehmenswebseite mit den Produktankündigungen nur ins Intranet. Presse braucht da keinen Zugriff. Mails müssen auch nicht über tragen werden usw. usf.

 

[Rockstar85]

Ach ja mal was zum Thema Cybersecurity:

https://www.golem.de/news/forscher-...in-unter-60-minuten-knackbar-2406-186329.html

Mit der Nvidia-GPU war es den Kaspersky-Forschern möglich, 164 Milliarden MD5-Hashes pro Sekunde zu generieren. Damit konnten sie 45 Prozent aller Passwörter aus der untersuchten Stichprobe innerhalb einer Minute knacken, 59 Prozent innerhalb einer Stunde und 73 Prozent innerhalb eines Monats. Nur bei 23 Prozent der Passwörter dauert es nach Angaben der Forscher länger als ein Jahr, bis sie geknackt sind.

Und genau Deswegen sind Passworte wie Sicher123++ nicht wirklich sicher
@Volker

Wäre das nicht was fürn Artikel?

 

[Blutschlumpf]

Die Länge entscheidet halt wie so oft im Leben. 😂
Die ganzen Passwörter mit groß, klein, zahlen und Sonderzeichen sind eh nur dann brauchbar wenn man die in einem Passwortmanager liegen hat.

Und es bringt ja nicht mal wirklich was.
"DiesesPasswortistvolleasyzumerken"
ist um Welten sicherer als
"5#!gT9-5"

Letzteres steht zudem am Ende des Tages dann doch auf nem Postit, speziell dann wenn der User gezwungen wird es regelmäßig zu ändern.

 

[Ranayna]

MD5-Hashes

Weil sie so schnell zu knacken sind, und weil sie anfaellig fuer Kollisionsangriffe sind, gelten MD5-Hashes schon seit vielen Jahren als ungeeignet fuer jegliche Sicherheitszwecke.
Zum hashen von Passwoertern nimmt man andere, kryptographisch sicherere, Hashes.