News Cyberangriff auf Tietoevry: Großer IT-Dienstleister verliert Kundendaten dauerhaft

[Flunkiii]

Ich kenne mich da nicht aus. Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt? Wenn ich jetzt n Virus auf dem PC habe, erkennt z.B. das Schutzprogramm das. Aber auch nachträglich kann die Ursache noch gefunden und entfernt werden. Wie genau unterscheidet sich jetzt so eine Verschlüsselung von Daten und warum kann man da nichts machen? Wenn jemand so etwas entwickelt hat, muss man ja auch eine Gegenmaßnahme entwickeln können, auch wenn es vielleicht sehr lange dauert. Warum kann NIEMAND diese Verschlüsselung aufheben? Wenn ich es richtig verstehe, sind die Daten ja nicht gelöscht.

 

[xexex]

Und wieder stellt sich die Frage, warum man solche Daten überhaupt auslagert, also praktisch in fremde Hände gibt. Um so mehr bin ich darin bestätigt, das ich den Kunden immer wieder das gleiche prädige ihre Daten, besonders Buchhaltungen usw stets Firmenintern local und mit Backups vor zu halten.

Genau deshalb! Deine Predigt fällt nämlich in 90% aller Fälle nur auf taube Ohren und für deine Kunden oft schon eine "Firewall" genug Sicherheit bietet. Zwar zeigt der Angriff, dass auch solche Dienstleister scheinbar das Thema Sicherheit auf eine leichte Schulter nehmen, es ist aber davon auszugehen, dass kein betroffenes Unternehmen fähig gewesen wäre eine bessere Lösung intern zu schaffen.

Die Auslagerung der Daten und der Server in die Cloud, befreit einen nicht davon zusätzlich selbst Sicherungen anzulegen oder sich um die Sicherheit dessen zu kümmern.

 

[M@tze]

oder dass es diese Sicherheit überhaupt nicht geben kann

Die gibt es auch nicht. Erste Regel des Fightclubs der Security: 100% Sicherheit existiert nicht

Ich finde es ja wieder sehr bezeichnend für das Forum hier, wie wieder alle 3 Millionen Fußballtrainer Sicherheitsexperten aus der Deckung gesprungen kommen und das Ganze natürlich viel besser gemacht hätten...

Nein, "Backups", die in der gleichen Infrastruktur liegen wie die Original-Daten und nicht entsprechend separiert sind, sind keine Backups. Das sind grobe strukturelle Fehler.

Und dass das nicht der Fall war weisst Du woher? Der betroffene Dienstleister weiss immer noch nicht wie das geschehen konnte und hat auch keine weiteren Infos veröffentlicht, aber Du weisst, dass nichts separiert war? Gratulation...

Zero Day Exploit, Insiderjob, ... es gibt so viele Möglichkeiten und ohne Logfiles ist das nur extrem schwer bis gar nicht nachzuvollziehen.

Ich will damit nicht sagen, dass der Dienstleister ganz sicher keine Schuld dabei hatte, aber solange nichts Genaues bekannt ist, sollte man doch einfach den Ball flach halten und sich mal selber fragen, ob man nicht auch schon mal im Job Fehler gemacht hat.

 

[xexex]

Warum kann NIEMAND diese Verschlüsselung aufheben?

Weil die Schlüssel heutzutage sicher genug sind, dass sie selbst mit den schnellsten Rechensystemen nicht geknackt werden können. Wäre es anders, dürftest du keine Zahlungen oder Bestellungen im Internet durchführen, könnte doch jemand mit genug Rechenleistung und Interesse sich daran bedienen.

 

[Dr. McCoy]

aber Du weisst, dass nichts separiert war? Gratulation...

Ja, ganz genau, weil, wenn das vernünftig gemacht worden wäre, gäbe es jetzt auch Backups, und die Kunden würden sich nicht beschweren, dass ihre Daten nicht mehr da sind.

 

[tomgit]

Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt?

Keine Lösung ist auch falsch. Theoretisch lässt sich jede Verschlüsselung knacken - nur hat man da entweder Glück und findet den passenden Schlüssel direkt, oder man wartet halt mal Dekaden, Jahrhunderte, Ewigkeiten.

Kunden des IT-Dienstleisters reagierten empört auf Bordals Aussagen. „Ich war, gelinde gesagt, überrascht. Wie kann Tietoevry behaupten, eine hohe Sicherheit zu haben, ohne die Schwachstelle zu kennen? Als Kunde gehen wir davon aus, dass das, was wir gekauft haben, auch geliefert wird“, erklärte etwa der IT-Leiter der ebenfalls betroffenen Gemeindeverwaltung des schwedischen Ortes Vellinge.

AAAAAAAH, wie mich solche Aussagen aufregen. Natürlich sollte analysiert werden, woher der Angriff kommt - nur kann das eben Ewigkeiten dauern. Wäre es dem IT-Leiter lieber, wenn der Dienstleister gleich wüsste, durch welches unsichere Loch des Systems der Angreifer kommen wird?

 

[Dr. McCoy]

Kann mir mal jemand vereinfacht erklären warum es für so eine Verschlüsselung keine Lösung gibt?

Ganz einfach deswegen, weil diese Daten mit aktuell sicheren Verschlüsselungsverfahren verschlüsselt wurden, die man nicht einfach knacken kann. Eine Verschlüsselung ist ja per se nicht böse, sie wird ja auch zu guten Zwecken eingesetzt, man kann sie aber natürlich auch aus niederen Beweggründen einsetzen.

Wenn ich jetzt n Virus auf dem PC habe, erkennt z.B. das Schutzprogramm das.

Nein, eben nicht zwangsläufig, nicht zuverlässig und wenn, dann mit Glück, und auch nur mit Glück rechtzeitig.

Aber auch nachträglich kann die Ursache noch gefunden und entfernt werden.

Nein, eine bereits erfolgte Verschlüsselung kann eben nicht einfach so entfernt werden. Das würde nach heutigem Stand hunderte Jahre Rechenleistung brauchen, um das zu knacken.

Nachtrag: Hier entsprechend zu diesem Thema Detailinformationen zur verwendeten Verschlüsselung der eingesetzten Akira Ransomware:

https://www.trendmicro.com/de_de/research/23/k/akira-unter-der-lupe.html

Die Ransomware verschlüsselt die betroffenen Systeme mit einem hybriden Verschlüsselungsalgorithmus, der Chacha20 und RSA kombiniert. Darüber hinaus verfügt die Binärdatei, wie die meisten modernen Ransomware-Binärdateien, über eine Funktion, mit der sie die Systemwiederherstellung verhindern kann, indem sie Schattenkopien vom betroffenen System löscht.

Für eine zurückliegende Version der Akira Ransomware war es einmal Avast gelungen, ein Entschlüsselungstool bereitzustellen.

https://www.bleepingcomputer.com/ne...ansomware-decryptor-helps-recover-your-files/

Das ist jedoch keine Garantie für folgende Varianten, wenn die Verbreiter der Malware ihre Fehler ausmerzen, die in der Folge das Knacken der Verschlüsselung ermöglicht hatten.

 

[Ranayna]

Als externer schimpft es sich echt immer unglaublich schnell, dem Betroffenen die Schuld, oft sogar die alleinige Schuld, zu geben ist halt echt einfach.
Ich will hier nicht behaupten das hier vom Dienstleister alles richtig gemacht wurde, die
Aber das kostet alles Geld, viel Geld. Dann muessten ggf. die Preise steigen, und dann ist das geschimpfe auch gross, wenn nicht groesser.

Dazu fällt mir eine Geschichte aus dem Veeam Forum ein wo einer davon berichtet hatte, dass ein abgeschottetes Backup-System kompromittiert wurde indem der Angreifer geduldig abgewartet hatte, bis er per Mimikatz bei einem Backup-Admin das Admin-PW für die Backup-Systeme abgreifen konnte als dieser sich dort eingeloggt hatte...

Deswegen laesst sich ja auch oft garnicht sagen was da letztendlich ausgenutzt wurde.

Es gab oft genug kritische Luecken mit Remote Code Execution in den letzen Jahren. Exchange, Cisco, Fortigate, das sind nur die drei Namen die mir sofort einfallen, es gibt garantiert mehr.
Das geht dann meistens erst durch die Medien wenn ein Patch verfuegbar ist, aber leider gibt es des oefteren auch die Faelle wo zum Zeitpunkt der Veroeffentlichung die Luecke schon laengst ausgenutzt wird.

Damit sind Angreifer dann erstmal drin. Und wenn sie schlau sind, machen die Angreifer erstmal garnichts. Dann wird gewartet und Informationen gesammelt.

Zu einer funktionierenden Sicherheitsstruktur gehört doch wenigstens, dass man die Schwachstelle identifizieren kann.

Es deutet auf eine unzureichende Segmentierung hin, das sowohl Backups als auch Logfiles verschluesselt werden konnte.
Aber wenn du deine Logfiles verlierst, wie willst du dann wissen wie der Angriff abgelaufen ist? Den Aspekt kann ich also nachvollziehen.

Wenn du dann das Backup einspielst und merkst, dass direkt wieder Schadcode da ist, dann spielst du das Backup halt nochmal ein und lässt die entsprechenden Teile weg.

Wenn ich ein Angreifer waere, wuerde ich den Backupserver kompromittieren und alles transparent verschluesseln. Davon merkt der arglose Admin erstmal nichts, alles ist lesbar. Bis zum Tag X, wo der Backupserver aufeinmal nicht mehr funktioniert.
Dann setzt du den Backupserver neu auf, laedst dein Tape, und erlebst die boese Ueberraschung das nur Muell drauf ist.

 

[katzenhai2]

Das soll bedeuten: "Wir haben gegenwärtig gängige Verfahren genutzt, um IT-Sicherheit herzustellen". Die Schuld von sich zu weisen ist aber kühn, denn irgendwo wird irgendwer bei der Umsetzung dieser "gängigen Verfahren" geschlampt haben (müssen). 🤦‍♂️

 

[Eternal]

oder dass es diese Sicherheit überhaupt nicht geben kann und das imho jeglich Daten in Richtung externe Dienstleister potentiell verloren sind und diese Dienstleister demzufolge keine Daseinsberechtigung haben.

Es kann in jedes System eingedrungen werden, ist nur eine Frage der Zeit und vor allem des Geldes.

 

[.Sentinel.]

Wenn Angreifer den größtmöglichen Schaden anrichten wollen, könnte man doch fast jegliche Art von Backup kompromittieren, und wenn der Schadcode im Backup schlummert, um dann beim Zurückspielen wieder aktiviert zu werden. Man muss die Verschlüsselung der Live-System nur ein paar Tage / Wochen nicht ausführen. Dann wird es schnell fast egal,ob man alles verliert oder einen Datenstand von vor 4 Wochen hat.

So sieht es aus. Unsere Sicherheitssparte hat diverse Ransomware analysiert.

Die kann sich auch lange Zeit entspannt im Hintergrund aufhalten. In einem speziellen Fall wurde ein Realtime- Treiber installiert, der die Daten "on demand" und on the Fly ent- und verschlüsselt hat. Somit konnte das Backup und überhaupt alle Systeme laufen, als ob nichts wäre. Logfiles sind OK usw. usf.
Wurde in einem Beitrag genau so oben schonmal erwähnt. Transparenter Treiber.

Da die Backups im Normalfall mit zeitlichem Abstand in ihrer Dichte abnehmen, muss man nur so lange im Hintergrund den Systemen vorgaukeln, dass alles passen würde und die Daten lesbar halten, bis ein gewisser Schaden angerichtet ist (3 Monate). Danach Schlüssel wegwerfen, Filtertreiber entfernen und schon sind die Daten, die vorher sauber gesichert, lesbar und wiederherstellbar waren im Eimer. Eben gerade auch die vermeintlich sauberen Backups bis vor 3 Monaten.

Zudem müsste man das Monitoring so eng zurren, dass jede kleine Abweichung von Betriebsparametern wie (durchschnittlich höhere CPU Last durch Verschlüsselung, ungewöhnlich hohe Reads/Writes usw.) erfasst wird und eine entsprechende Warnmeldung rausschickt.
Das ist dann wieder die Frage, wer die Parametrierung abstimmt, so dass die Administration nicht erschlagen wird. Es muss ja auch alles noch verwaltbar und ökonomisch tragbar bleiben.

Und man muss die Sicherungssätze regelmäßig auch auf "externen Systemen" überprüfen. Und da muss man auch hoffen, dass nicht diese auch von der Schadsoftware befallen wurden.

Sicherheitsthemen sind extrem komplex. Viele Kommentare hier kratzen an der Oberfläche und werden dem ganzen nicht gerecht....
Die, die da in den betroffenen Rechenzentren arbeiten, sind keine Idioten.

Just my 2 cents

 

[Flunkiii]

Nein, eine bereits erfolgte Verschlüsselung kann eben nicht einfach so entfernt werden. Das würde nach heutigem Stand hunderte Jahre Rechenleistung brauchen, um das zu knacken.

Ich meinte das jetzt in Bezug auf Viren. Ich erinnere mich dass ich irgendwann vor 15 Jahren oder so mal diesen Bundestrojaner hatte. Da ging quasi garnix mehr. Der PC wurde dann im abgesicherten Modus gestartet und dann n Virenschutzprogramm per CD aktiviert. Das hat geholfen. Ich meine ja nur, dass die Leute die sowas selbst entwickeln, auch ne Gegenmaßnahme haben müssten. Aber wie gesagt, ich kenn mich nich aus und versuche nur dazuzulernen.

 

[andi_sco]

war das OS hin

Ich bring nen Toaster zum Bluescreen😅

per Smartphone gegenchecken

Ich ja, aber ältere Leute?

 

[coxon]

Pics or it didnt happen.

 

[MalWiederIch]

Die Frage lautet einfach nur: wer ist der nächste.

Vermutlich derjenige, der behauptet „es kann jeden treffen“

Die Kommentare, die meinen den Dienstleister würde keine Schuld treffen, sind wohl auch nicht ganz ernst gemeint oder welche Drogen muss man nehmen um der Meinung zu sein?

Es geht hier doch garnicht um den direkten Schutz vor Ransomware - sondern um die Verhinderung des Verschüsseln von Backups.
Und hier hat der Dienstleister auf voller Linie versagt.

Als externer schimpft es sich echt immer unglaublich schnell, dem Betroffenen die Schuld, oft sogar die alleinige Schuld, zu geben ist halt echt einfach.

Stimmt, wir sollten nicht vergessen, dass den Angreifer auch eine Teilschuld trifft …

Ob da Gerlinde mal vergessen hat die Kaffemaschine freitags zu reinigen ist doch im Verhältnis völlig irrelevant - das hier wäre mit einer vernünftigen Backup-Struktur zu verhindern gewesen.
Diese war offensichtlich nicht vorhanden - wo willst du jetzt die Schuld suchen? Bei den „naiven“ Kunden?

 

[bad_sign]

und der Fehler saß definitiv vor dem Rechner!

Die Tastatur?^^

 

[sthyen]

Ich nehme diese Nachricht mal zum Anlass, mein Offline Backup zu aktualisieren. Dann hat es wenigstens etwas gutes

 

[Ranayna]

Die Kommentare, die meinen den Dienstleister würde keine Schuld treffen, sind wohl auch nicht ganz ernst gemeint oder welche Drogen muss man nehmen um der Meinung zu sein?

Wer hat denn hier gesagt das den Dienstleister keine Schuld treffen?
Ob das so ist, kann hier von aussen niemand beurteilen, denn keiner hier weiss wie der Laden arbeitet.

Es geht hier doch garnicht um den direkten Schutz vor Ransomware - sondern um die Verhinderung des Verschüsseln von Backups.
Und hier hat der Dienstleister auf voller Linie versagt.

Man muesste wissen was genau in den Kundenvertraegen steht, aber auch fuer die Kunden kann man in gewissen Grenzen von einer Mitschuld sprechen. Denn genauso wie es ungeschickt ist seine Backups auf den Produktivsystemen zu lassen, ist es ungeschickt bei einem Cloudanbieter die Backups beim selben Cloudanbieter zu lassen.
Das Prinzip der mehreren Medientypen laesst sich ganz genau so auch auf Dienstleister anwenden.

Will halt nur wieder keiner bezahlen.

 

[Skudrinka]

...gab es eine Lösegeldförderung?

 

[nighteeeeey]

Einfach nur gruselig. Bei jeder so ner erneuten Meldung bekomme ich einfach harte Mr Robot Vibes. Ich bin relativ sicher so ein Angriff wird der Auslöser für einen Bürgerkrieg in Westeuropa werden. Irgendjemand hackt einfach irgendwas kaputt und die Welt fällt ins Chaos.

Egal obs Staudämme werden die geöffnet werden oder gehackte Atomkraftwerke a la Stuxnet.

Es dauert nicht mehr lange bis hier das Chaos losgeht ich sags euch. Puh. Gruselig.