Hallo,
Eine Verschlüsselung hilft gegen Mitnehmen/Entwenden der Platte bzw. des Rechners, da sie nach Ausbau bzw. Neustart ohne Schlüssel nicht ausgelesen werden kann. Wenn der Rechner aber läuft und der Angriff auf den laufenden Rechner erfolgt, ist eine Verschlüsselung nutzlos. Der Dateisystemtreiber muß ja den Schlüssel zur Laufzeit haben, sonst könnte er ja nicht zugreifen.
Und als Diebstahlschutz gegen den Rechner hilft es nur, wenn das Passwort jedes mal beim Booten eingegeben wird. In der Stadtbahn eher nicht praktikabel.
Somit ist das ein Schutz gegen den Klau sensibler Daten von Mobilgeräten, aber nicht gegen Angriffe. In der Stadtbahn somit eher nutzlos.
Eine Domänenmitgliedschaft erschwert auch keinen Angriff an sich, sie vereinfacht nur die Durchsetzung von Richtlinien, die z.B. einen Angriff erschweren können. Ist aber alles auch auf einem Einzelrechner ohne Domäne umsetzbar, aber wenn man das auf mehr als einem Rechner machen muß, ist es ohne Domäne aufwendiger.
Halte ich aber für eher unkritisch, solange der physikalische Zugang zum Bus gesichert ist (abgeschlossener Schrank, keine Funkverbindung). Darauf muß dann aber unbedingt Wert gelegt werden.
Denn das andere Problem ist bei "zu guter Sicherung" wieder die Latenz (dann muß ja verifiziert werden, daß der Befehl auch mit dem richtigen Zertifikat signiert ist - bei eher langsamer Hardware). Ebenso holt man sich zu einfach Probleme rein, wenn doch Fehler auftreten, Zertifikate ablaufen/plötzlich ungültig sind und ähnliches. Das geht ebenso auf Kosten der Zuverlässigkeit wie ein Angriff.
Wir wollen ja auch nicht, daß die Notbremsung nicht ausgeführt wird, weil eine Komponente auf einmal plötzlich das Zertifikat aus dem Speicher verloren hat.
Hier muß man also Zuverlässigkeit durch Einfachheit gegen Sicherheit abwägen. Da kenn eine physikalische Absicherung durch "nicht-Verbindung" doch die bessere weil zuverlässigere Lösung sein.
Unterschätze die mal nicht. Richtige Sicherheit bietet da eher ein Stahlschrank mit Schloss.
Es gibt allerdings sicherere Alternativen, und damit ist der IIS eben doch unsicherer als andere.
Und die gibt es ja, weil es entsprechende Ansatzpunkte gibt. Bei anderen Webservern wird dagegen eher versucht, die darauf laufenden Anwendungen anzugreifen. Ich sehe ja, daß hier faktisch keiner versucht, den Webserver an sich anzugreifen, sondern alle Angriffe versuchen, bestimmte als unsicher bekannte Anwendungen auf dem Webserver zu finden. Allerdings auf einem Niveau - na ja, so wird das nix :-)
Ich bin mir dagegen sicher, daß beispielsweise dieses Forum hackbar ist, wenn es einer gezielt darauf anlegt, statt tausende Server auf dieselbe Lücke zu scannen.
Mach keine Kleinfirmen schlecht - es soll auch welche geben, die sich mit der IT-Sicherheit beschäftigen.
Aber das ist in der Tat fast immer das Problem: fehlendes Wissen der Entscheider um die Relevanz der Problematik. Und da sind IT-fremde Firmen einschließlich SSB und VVS leider ganz vorne mit dabei. Hauptsache billig, und der Werbefuzzy macht die Seite. Das macht wieder Leuten, die Ahnung haben, leider das Leben schwer. "Warum brauchen sie dafür eine Woche, ihr Mitbewerber macht das an einem Tag".
Ich warte nur, bis es bei SSB/VVS mal IT-sicherheitsmäßig kracht. Und das wird kommen, erst vor ein paar Wochen hat es ja BVG/VBB mit dem Datenschutz ihrer Fahrschein-Chipkarte erwischt. Und zumindest das wird dem VVS auch noch passieren...
(Ich habe hier eine Mail vom VVS vorliegen, die dem Landesdatenschutzbeauftragten damals gar nicht gefallen hat. Nun ja, inzwischen bietet der VVS ja die Polygo-Karte auch ohne Passbild an, was sie mir verweigert hatten. Hat die Beschwerde wohl doch was bewirkt.)
Bei dieser Art von Sensibilität für solche Themen sehe ich nur schwarz...
(09. 03. 2016, 10:49)websurfer83 schrieb: (*) Dagegen hilft nur die Verschlüsselung der HDD/SSD und das Aktivieren von Secure Boot. Eine Domänenmitgliedschaft erschwert den Angriff ebenfalls.
Eine Verschlüsselung hilft gegen Mitnehmen/Entwenden der Platte bzw. des Rechners, da sie nach Ausbau bzw. Neustart ohne Schlüssel nicht ausgelesen werden kann. Wenn der Rechner aber läuft und der Angriff auf den laufenden Rechner erfolgt, ist eine Verschlüsselung nutzlos. Der Dateisystemtreiber muß ja den Schlüssel zur Laufzeit haben, sonst könnte er ja nicht zugreifen.
Und als Diebstahlschutz gegen den Rechner hilft es nur, wenn das Passwort jedes mal beim Booten eingegeben wird. In der Stadtbahn eher nicht praktikabel.
Somit ist das ein Schutz gegen den Klau sensibler Daten von Mobilgeräten, aber nicht gegen Angriffe. In der Stadtbahn somit eher nutzlos.
Eine Domänenmitgliedschaft erschwert auch keinen Angriff an sich, sie vereinfacht nur die Durchsetzung von Richtlinien, die z.B. einen Angriff erschweren können. Ist aber alles auch auf einem Einzelrechner ohne Domäne umsetzbar, aber wenn man das auf mehr als einem Rechner machen muß, ist es ohne Domäne aufwendiger.
(09. 03. 2016, 13:24)hopperpl schrieb: Das große Problem im Bereich der Komponenten-Sicherheit ist die unverschlüsselte und ungesicherte Übertragung zwischen den Baugruppen. Da ist Siemens ganz, ganz, ganz schlecht bei. Andere Hersteller haben schon lange auf den Busübertragungen Schutzfunktionen integriert. Beispielsweise dass ein Telegramm auf dem Bus ("Zettel mit Auftrag von der Steuerung/Master an die Komponente/Slave) authentifiziert ist. Es gibt kein "Siegel" o.ä sprich jeder kann sich als Master ausgeben. Ich muss aber gleich dazu sagen, ich vereinfache hier Dinge sehr stark zum Verständnis. Auf einem Bus bekommen immer alle Komponenten alle Telegramme, der Master würde also auch eine Fälschung sehen. Würde sie aber ignorieren. Die Komponenten sind auf einfachste Weise miteinander verbunden, ohne große Prüfung. Mit dem nötigen Wissen und der Hardware hat man wirklich eine tolle Spielwiese vor sich. Drückt man den Türöffner, geht das Licht aus. Oder die gegenüberliegende Tür geht auf. Oder beim Betreten der Lichtschranke geht die Tür zu. Kritische System, beispielsweise die Zugsicherung arbeiten aber zusätzlich noch mit einzelner Signalleitung. Das zu überlisten geht nicht so einfach. Geht aber auch, muss ja - sonst wären Rot-Fahrten nicht möglich.
Halte ich aber für eher unkritisch, solange der physikalische Zugang zum Bus gesichert ist (abgeschlossener Schrank, keine Funkverbindung). Darauf muß dann aber unbedingt Wert gelegt werden.
Denn das andere Problem ist bei "zu guter Sicherung" wieder die Latenz (dann muß ja verifiziert werden, daß der Befehl auch mit dem richtigen Zertifikat signiert ist - bei eher langsamer Hardware). Ebenso holt man sich zu einfach Probleme rein, wenn doch Fehler auftreten, Zertifikate ablaufen/plötzlich ungültig sind und ähnliches. Das geht ebenso auf Kosten der Zuverlässigkeit wie ein Angriff.
Wir wollen ja auch nicht, daß die Notbremsung nicht ausgeführt wird, weil eine Komponente auf einmal plötzlich das Zertifikat aus dem Speicher verloren hat.
Hier muß man also Zuverlässigkeit durch Einfachheit gegen Sicherheit abwägen. Da kenn eine physikalische Absicherung durch "nicht-Verbindung" doch die bessere weil zuverlässigere Lösung sein.
(09. 03. 2016, 13:24)hopperpl schrieb: Zwei Sachen bieten somit den Schutz: Erstens die teure Hardware (für ein MVB-Modul mit Notebook und Software ist man ab 20.000 EUR dabei). Zweitens das nötige Wissen. Gelangweilte Kinder schaffen das nicht.
Unterschätze die mal nicht. Richtige Sicherheit bietet da eher ein Stahlschrank mit Schloss.
(09. 03. 2016, 13:24)hopperpl schrieb: Das ganze ist eine recht unsichere Konstellation-- nicht weil der IIS so unsicher wäre. Das ist grundsätzlich falsch, so eine Aussage.
Es gibt allerdings sicherere Alternativen, und damit ist der IIS eben doch unsicherer als andere.
(09. 03. 2016, 13:24)hopperpl schrieb: Es geht um die Anzahl und Verbreitung von Tools und Personen, die solche Systeme angreifen können.
Und die gibt es ja, weil es entsprechende Ansatzpunkte gibt. Bei anderen Webservern wird dagegen eher versucht, die darauf laufenden Anwendungen anzugreifen. Ich sehe ja, daß hier faktisch keiner versucht, den Webserver an sich anzugreifen, sondern alle Angriffe versuchen, bestimmte als unsicher bekannte Anwendungen auf dem Webserver zu finden. Allerdings auf einem Niveau - na ja, so wird das nix :-)
Ich bin mir dagegen sicher, daß beispielsweise dieses Forum hackbar ist, wenn es einer gezielt darauf anlegt, statt tausende Server auf dieselbe Lücke zu scannen.
(09. 03. 2016, 13:24)hopperpl schrieb: Und den entsprechenden Wartungszyklus der Busse und Bahnen. Es war halt wieder besonders günstig zu beschaffen, weil Kleinfirmen die sonst Pizzawebseiten erstellen, hier mit an der Ausschreibung teilnehmen können.
Ich habe nichts gegen dieses Konzept an sich, schlecht ist es definitiv nicht, aber die SSB hat nicht das nötige Personal und die Qualifikation um ein derartiges System sicher und geschützt zu halten. Das Prinzip "wird schon nichts passieren", oder "wenn was passiert, schauen wir mal" ist nicht mehr zeitgemäß.
Mach keine Kleinfirmen schlecht - es soll auch welche geben, die sich mit der IT-Sicherheit beschäftigen.
Aber das ist in der Tat fast immer das Problem: fehlendes Wissen der Entscheider um die Relevanz der Problematik. Und da sind IT-fremde Firmen einschließlich SSB und VVS leider ganz vorne mit dabei. Hauptsache billig, und der Werbefuzzy macht die Seite. Das macht wieder Leuten, die Ahnung haben, leider das Leben schwer. "Warum brauchen sie dafür eine Woche, ihr Mitbewerber macht das an einem Tag".
Ich warte nur, bis es bei SSB/VVS mal IT-sicherheitsmäßig kracht. Und das wird kommen, erst vor ein paar Wochen hat es ja BVG/VBB mit dem Datenschutz ihrer Fahrschein-Chipkarte erwischt. Und zumindest das wird dem VVS auch noch passieren...
(Ich habe hier eine Mail vom VVS vorliegen, die dem Landesdatenschutzbeauftragten damals gar nicht gefallen hat. Nun ja, inzwischen bietet der VVS ja die Polygo-Karte auch ohne Passbild an, was sie mir verweigert hatten. Hat die Beschwerde wohl doch was bewirkt.)
Bei dieser Art von Sensibilität für solche Themen sehe ich nur schwarz...