We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

Opencanary, eine Alarmanlage gegen Einbrecher im Netzwerk

00:00

Formal Metadata

Title
Opencanary, eine Alarmanlage gegen Einbrecher im Netzwerk
Title of Series
Number of Parts
62
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
Language

Content Metadata

Subject Area
Genre
Abstract
Schaffen Sie mit OpenCanary eine Netzwerkalarmanlage, mit dem Sie Hacker abfangen können, bevor diese Ihre Systeme vollständig kompromittieren.
Keywords
SoftwareHypermediaACCESS <Programm>Exchange ServerInternetkriminalitätCodeServer (computing)Systems <München>Information securityPlane (geometry)RoundingZahlField extensionIT-AbteilungIntrusion detection systemInternetInformationDemosceneLecture/Conference
SoftwareActive DirectoryCryptanalysisEngineering physicsEnterprise architectureIBMFreewareFilm editingSet (mathematics)Physical quantityoutputServer (computing)SummierbarkeitCryptanalysisOrder of magnitudeSoftwareSeries (mathematics)NumberDurchschnitt <Mengenlehre>Open sourceEigenvalues and eigenvectorsLösung <Mathematik>VERKAUF <Programm>Service (economics)
QUICK <Programm>Network switching subsystemSoftwareInternetdienstServer (computing)LINUXSQL ServerEmailLoginFAQSSHHTTPProxy serverSIP <Kommunikationsprotokoll>SNMPMySQLTelnetSource codeFreewareServer (computing)Computer hardwarePer milOpen sourceFunction (mathematics)Service (economics)InternetComputer animation
SoftwareInternetdienstInternetLecture/Conference
NmapServer (computing)Service (economics)IP addressSubnet
GmailTOUR <Programm>SoftwareService (economics)SQL Server 7.0Server (computing)EmailSystems <München>DemosceneIP addressInterface (computing)Set (mathematics)Direction (geometry)MySQLMilitary rankInformation security
SoftwareMono-FrameworkServer (computing)IP addressAutomationPublic key certificateSimilarity (geometry)Source codeCalculationXML
FreewareSoftwareInformationServer (computing)InformationNmapHausdorff spaceOrder of magnitudeMilitary rankIP addressSoftwareLecture/Conference
GmailSoftwareFreewareWorld Wide WebWeb Ontology LanguageMoving averageRAW-FormatUser interfaceCalculationNumerisches GitterServer (computing)System administratorPasswordInternetYouTubeInformationMicrosoftMainframe computerComputer animationLecture/Conference
JSONXMLUML
Transcript: German(auto-generated)
Schönen guten Morgen von meiner Seite. Ich freue mich, dass das doch recht voll geworden ist. Die Uhrzeit hat mich schon positiv gestimmt, aber es ist schön, wenn dann so viele Leute sich für dieses Thema interessieren.
Was machen wir heute? Wir befassen uns heute mit einer Alarmanlage für euer Netzwerk. Ich hatte gerade mal herumgefragt. Bis jetzt scheint es so gut wie keiner aus diesem Kreis zumindest zu benutzen. Eine oder zwei kennen es schon, aber so richtig verbreitet ist das noch nicht. Und das ist echt schade, wie wir heute sehen werden.
Vielleicht kurz zu meiner Person. Mein Name ist Hagenbauer. Ich bin Informationssicherheitsberater, was immer das heißen mag. Also ich beschäftige mich damit, dass ich kleinen und mittleren Unternehmen helfe, ihre Informationssicherheit zu verbessern. Ganz allgemein. Und zwar eher auf der konzeptionellen und auf der Architekturseite
und nicht auf der Ebene von Forensik oder von Indicators of Compromise. Nebenbei betreibe ich selber Server im Internet. Das heißt, ich bin selber bemüht, meine Server einigermaßen sicher zu halten und musste auch für einiges tun.
Wie wir vermutlich alle, habe ich auch ein kleines Netzwerk, wo man so ein paar Dinge dran tut und irgendwelche DMZ, wo auch mal welche für den Außen vielleicht reingehen könnten. Ich betreibe einen Webshop und bin auch BSI-IT-Grundschutzberater. Das mal kurz angehen.
Was sind die Themen, die wir heute betrachten werden? Zum einen möchte ich mit euch sprechen, warum brauche ich überhaupt so etwas wie ein Open Canary, ein Intrusion Detection Honeypot? Wozu ist der überhaupt gut? Brauche ich den überhaupt? Ich möchte an dieser Stelle auch ein paar Informationen mitgeben, die euch vielleicht helfen, das Thema in der Firma zu positionieren.
Weil immer wenn es um das Thema Sicherheit geht, kommt dann irgendwann eine Ahnung und fragt, was bringt mir das Ganze, lohnt sich das? Soll ich das Geld dafür ausgeben? Da werden wir ein paar Themenbereiche betrachten. Dann gucken wir uns mal an, was können diese Kanarienvögel, wo kommt dieser Name überhaupt her?
Ich habe eine kleine Demo vorbereitet, wie ihr so etwas ausschauen könnt. Danach gucken wir uns ein paar allgemeine Fragen an. Wie sollte man die Dinge verteilen? Gibt es ein paar rechtliche Fragen, die ich vielleicht beachten sollte? Das ist der Themenfahrplan für diesen Talk.
Wenn ihr Fragen habt, könnt ihr die Fragen gerne zwischendurch stellen. Also schreibt sie einfach rein, ich würde sie dann versuchen zu wiederholen. An der einen oder anderen Stelle würde ich vielleicht die Frage nach hinten schieben, weil ich es noch erwähne, oder ans Ende der Diskussion. Das so als Motivation. Was ist denn eins unserer Eins? Neben vielen Themen in der Informationssicherheit eins unserer größten Probleme?
Einbrecher bleiben zu lange unerkannt. Was schätzt ihr so mal in die Runde gefragt? Ich möchte das ein bisschen interaktiv gestalten, nicht einschlafen, also aufpassen. Wie lange dauert es denn so im Schnitt? Na nicht im Schnitt, aber was sind so Zeiträume, wie lange denn Unternehmen brauchen, um einen Einbruch zu erkennen?
Was schätzt ihr so? Sechs Monate. Sechs Monate ist schon eine sehr gute Zahl. Sechs Monate. Geht natürlich auch schneller, weil Einbrecher reinranzen wäre, dann ging es schnell. Aber so wird das in der Regel nicht stattfinden.
Passiert auch, aber Kernaussage ist, es dauert zu lange. Und nicht nur bei Grety und Plety und bei dem Metallbauer Müller, sondern auch so bei kleineren Firmen wie Citrix. Fünf Monate, okay, das war 2020, inzwischen werden sie auch weiter sein.
Aber das auch bei den großen Firmen dauert, ist lange teilweise. Anderes Beispiel, was ich mitgebracht habe, da gab es ja in den letzten zwei Jahren so eine Exchange-Server-Angriffsmöglichkeit. Auch hier teilweise neun Monate.
Neun Monate habt ihr Einbrecher in der Hütte. Kann man Gänsehaut kriegen, ne? Einbrecher in der Hütte, die da irgendwas tun, von denen man nicht weiß, was sie tun, wahrscheinlich nicht das Richtige. Neun Monate dümpeln die da rum.
Im Maximum, aber egal, zu lange. Woran liegt das? Am Anfang war es ja so, Einbrecher rein, Ransom wäre raus. Das war so das alte Modell. Aber auch die Jungs, die sind besser geworden, die haben sich professionalisiert. Es gibt ein Business.
Und wie bei jedem Business, bei jedem Geschäftsmodell, passiert was? Arbeitsteilung. Das heißt, wir beobachten heute nicht nur Angreifer, die sozusagen alles selber machen, sondern wir arbeiten arbeitsteilig.
Jemand entwickelt eine coole Ransom-Ware, dann sucht er sich Leute, die erst mal eindringen. Vielleicht beauftragt er zwischendurch auch noch ein paar Leute, die seine Ransom-Ware herrten. Das sind Firmen, die vergeben Aufträge.
Da wird wahrscheinlich kein Service-Level-Agreement geschrieben. Aber man muss davon ausgehen, dass wir es mit Spezialisten für unterschiedliche Bereiche haben werden. Und dann gibt es natürlich auch die Phase, das Ziel wird ausgespäht, damit ich weiß, wie hoch ich meine Erpressungssummen ansetzen kann.
Das heißt, neben der Tatsache, dass ich über vulnerable Systeme suche, gucke ich dann auch, was finde ich denn hier für eine Dokumente, was ist für eine Firma, was kann ich von der bekommen, in welcher Industrie ist die unterwegs. Also hier wird ja einfach nur rumgeschossen mit, hey, überweisen die zwei Bitcoins an XYZ,
sondern dann wird auch sozusagen ein individuelles Angebot unterbreitet. Das setzt natürlich voraus, dass die Jungs sich erst mal umgucken. Das Umgucken ist auch notwendig für die erfolgreiche Erweiterung des Einbruches, aber auch ist auch notwendig für die Feststellung der Attraktivität meines Opfers.
Irgendwann wird dann auch verschlüsselt, dann werden also auch sozusagen Daten weiterverkauft oder die Erpressung ist erfolgreich, das Opfer bezahlt.
Das ist so ein Geschäftsmodell. Wir haben es mit professionalierten Firmen zu tun, die haben HA-Abteilungen. Die haben einen CIO und die haben einen Finanzchef, die haben Personalabteilungen, die haben IT-Abteilungen. Das sind richtige Firmen. Nix der Hacker, der da abends so wie wir alle mit dem Hoodie da im Dunkeln vor dem grünen Bildschirm sitzen
und alles alleine machen. Die wird es wahrscheinlich auch noch geben, aber das sind sozusagen nicht die, mit der die Masse des Big Business betrieben wird. Gut. Wir müssen also zur Kenntnis nehmen, da ist ein Geschäft. Und jetzt kommt mein Chef an oder euer Chef an und sagt, hör mal zu, wir müssen in Sicherheit,
oder ihr kommt hin und sagt, ihr wollt in Sicherheit investieren, ihr wollt ein paar Dinge tun, was kommt dann die typische Antwort? Was kostet das? Return of investment, kann ich nicht eine Versicherung abschließen? Solche klassischen Dinge. Also erstmal Ausgabenvermeidung.
Kann ich verstehen? Wisst ihr denn, was da so für durchschnittliche Kosten zustande kommen? Für so einen durchschnittlichen Data Breach? Nee, jetzt an Ausgaben für den Betroffenen. Also so...
Okay, kann ich jetzt schwer ausmachen, glaube ich jetzt nicht. Glaube ich, es ist teilweise mehr, teilweise weniger. Dafür gibt es natürlich auch eine Studie. Kann ich jedem empfehlen, kann man eine Menge daraus lernen, die wird sozusagen regelmäßig von einem Ponymon Institute herauszugeben, wird von der IBM beauftragt, soll euch das nicht stören.
Das ist eine professionelle Studie, die hat einen Auftraggeber und die IBM nutzt das natürlich auch ab und zu mal für die Vermarktung ihrer eigenen IT Security Services. Und da kann man mal gucken, was wird dann gesagt. Also in dieser Studie, die wird seit fast schon 20 Jahren inzwischen,
werden also aus unterschiedlichen Ländern, Europa, Amerika, sozusagen, nicht Entwicklung, sondern wie heißt das, Emerging Markets, Durchschnittswerte gemacht. Also Deutschland ist auch dabei. Es ist nicht nur Amerika und es ist nicht nur sozusagen teurer oder reicher oder andere Länder.
Durchschnittliche Kosten. Wir haben 500 Unternehmen befragt, auch die Größe der Unternehmen ist da. Also wir haben die ganz kleinen und wir haben ganz große Firmen.
Also nicht nur im Mittelstand und nicht nur in den großen Versicherungen. Also eure Firma ist auch dabei. 3.200 Firmen. Was haben wir denn für Kosten gehabt? Im Schnitt. Im Schnitt 1,3 Millionen durch verlorenes Geschäft.
Das ist schon mal eine Hausnummer. Im Schnitt. Über die große Bandbreite von Firmen, die wir eben gesehen haben. Also auch Metallbau-Müller im Industriegebiet eurer Wahl. Erkennung und Eskalation des Data Breaches eine Million.
Das ist das, an das wir alle denken. Ich muss Server neu aufsetzen, ich muss jemanden finden, der mir hilft. Das ist die eine Million, die die meisten im Kopf haben. Verlorenes Geschäft, die Millionen. Denken schon die wenigsten drüber nach. Benachrichtigung von Behörden und Betroffenen, nur 250.000. Und Nachbereitung und Bußgelder, auch eine Million.
Da ist auch Metallbau-Müller dabei. Ich nehme diese Firma nur als sozusagen so eine Mittelstandsfirma, die vielleicht zwei Leute an der IT hat oder outgesourcete IT. Bei den Großen ist das in der Regel noch viel größer, aber die haben auch mehr Leute in der Regel.
Aber auch die kleinen Firmen, die normalerweise vielleicht glauben, sie wären gar nicht betroffen. Das hier vor allen Dingen, das ist echt teuer. Weil wenn eure SAP-Server gerade nicht arbeiten können, dann geht auch bei Metallbau-Müller niemand aus der Werkstatt raus.
Und dann wird da draußen irgendwo ein Vordach aufgerichtet. Also diese Studie sozusagen soll nur deutlich machen, es kostet richtig Geld, wenn man sich mit diesem Thema nicht beschäftigt. Und es ist für alle Firmen was dabei, was motiviert.
Durchständlichen Kosten in Deutschland 4,45 Millionen. Es soll Firmen geben, die haben diese Summen nicht bar irgendwo rumliegen. Es soll Firmen geben, die sollen bei überraschenden Ausgaben in dieser Größenordnung Pleite geben.
Es ist auch schwierig zu argumentieren, hey liebe Bank, ich brauche gerade mal ein paar Millionen, weil ich meine IT nicht auf die Reihe gekriegt habe. Das ist anders als, ich brauche ein paar Millionen, weil ich eine coole Idee habe und ich muss Maschinen kaufen. Das Geld gibt es nicht so einfach mal auf der Bank. Okay, haben wir allen Angst gemacht.
Ich hoffe, ihr habt ein paar Zahlen mitgenommen, falls eure Chefs euch fragen, ob das sozusagen notwendig ist. Durchschnittliche Zeit zur Erkennung einer Attacke war in diesem Jahr 230 Tage. Durchschnittlich. Da stellt sich die Frage, du hast mich überzeugt, was soll ich tun?
Kann ich natürlich sofort an den Markt gehen und da gibt es natürlich jede Menge Lösungen. Ich habe ein paar aufgezählt. Ich habe nichts über die Qualität gesagt. Bei SolarWinds gibt es unterschiedliche Bereiche bei der Firma.
Die haben Software und da kann ich wirklich tolle Dinge tun. Da kann ich erkennen, ob auf meinem Netzwerk der Port mit irgendeinem anderen gesprochen hat und viele andere Dinge. Das ist richtig coole Software.
Unabhängig von den Kosten für diese Software, die bei einer Open Source Variante von Elastic gar nicht so groß wären. Was ist denn das Problem davon? Das muss jemand bedienen können.
Und dann muss mal jemand was tun. Okay, aber das kann man ohne Verkaufs und man ist sicher.
Ja, jetzt kann ich die outsourcen und kann die Software als Service irgendwo betreiben. Da kann ich alles tun.
Es gibt auch mit Sicherheit eine Menge Firmen, die das machen. Aber das ist schon recht teuer und recht mächtig und ich muss mit den Inputs leben können, die das Ding produziert. Weil wenn ich mal so ein Vulnerability Scan über meine Infrastruktur ablaufen lasse, dann wäre das mal gemacht.
Wer hat mal so ein Report gesehen? Oh, aber ein bisschen wenig jetzt gerade. Aber so ein Report ist schon schwer zu lesen. Das ist kein Telekort, den man durchblättet und sagt, ja klar, kein Problem, ja klar, kein Problem und so weiter. Damit muss ich arbeiten können.
Also, gibt es nicht so eine einfach schlanke Lösung, wo ich es einfach nur feststelle, hey, da hat jemand versucht irgendwie auf einen Server zu greifen und der hätte das nicht tun dürfen? Ich habe da was. Da gibt es eine Firma, die nennt sich Singst und die nennen das Canary Token.
Die geben euch Hardware mit einer Backend-Infrastruktur, wo ihr solche kleinen Teile hier... Nein, das ist kein Raspberry Pi, ich komme gleich drauf.
Die kleinen Teile kann ich dann kaufen, die kann ich bei mir im Unternehmen deployen und dann kriege ich auch einen Account auf dem Dashboard und kann dann erkennen, ob da irgendwo einer angegriffen hat. Wie das genau funktioniert, gucken wir uns gleich nur an.
Jetzt spricht der hier auf eine Open Source Konferenz und kommt mit irgendwelchen komischen Proprietären Hardware, das kann es natürlich nicht sein. Diese Firma hat auch eine Open Source Lösung bereitgestellt. Open Canary ist auf Github verfügbar, installiere ich mit PIP eurer Wahl, installiere das, kann hier aus Github heraus installieren,
hat eine schnuckelige Konfigurationsdatei, editiere ich mit einem ASCII-Editor und kann dann gewisse Dinge tun.
Wie jede Open Source Software hat sie natürlich auch ein paar Nachteile im Vergleich zum konventionellen Produkt. Das Ding hat nicht die schnuckelige Oberfläche von den Sinks, den die verkaufen, sondern das ist etwas für Leute, die auch mit einer Indie-Datei oder mit JSON-Output was anfangen können.
Ist also erst mal nicht so richtig im Management geeignet. Aber ist da, tut das, was es braucht? Weiß jemand von euch, wo dieser Canary-Begriff herkommt, Kanarienvogel? Ah, doch einige.
Aus dem Bergbau. Aus dem Bergbau, genau. Dieser Begriff Kanarienvögel kommt aus dem Bergbau. Die wurden nämlich von den Bergleuten in so kleinen Käfigen, wurden die Kanarien mit unter Tage genommen. Und immer wenn so ein Vogel tot umgefallen ist, dann wussten sie, oh wir sollten lieber weggehen. Weil diese Vögel sehr, sehr sozusagen sensitiv gegenüber Gas gewesen sind oder über giftigen, ja über Gas.
Kohlmonoxid ist glaube ich kein Gas, aber okay, ich sage. Also ungesund. Und deswegen heißt es Canary in the Coal Mile oder Kanarienvogel aus der Kohlenminie.
Das sind sozusagen Alarmwesen, die liegen irgendwo rum, tun die ganze Zeit gar nichts. Aber wenn sie hurra schreien oder umfallen oder was sagen, dann ist es irgendwie kritisch. Und so ähnlich ist das auch mit diesem Kanarienvogel. So ein Kanarienvogel, so ein Open Canary ist ein Service, ein Dienst, der im Unternehmen auf einem Server rumliegt und der nichts tut.
Der soll auch nichts tun. Der soll da sitzen. Der ist ja auch nicht bekannt im Unternehmen. Da ist ein FDP-Server, wo eigentlich niemand FDP mitmachen sollte.
Nur wenn jemand anfängt auf diesen FDP-Server zuzugreifen, dann habe ich entweder einen Mitarbeiter, der sehr innovativ und informationsbegierig ist, oder jemanden, der sich dafür interessiert, was auf irgendeinem FDP-Server passiert oder ein Angreifer potentiell.
Dieser Open Canary hat eine Vielzahl von Funktionen. Wir können, wir sind also in der Lage, einen SSH-Server zu simulieren.
Oder einen Nahti-DP-Server oder einen Tailnet-Server. Diese ganzen Latten von Diensten, die kann dieses Ding simulieren. Und wenn jemand versucht, mit einem dieser Dienste zu interagieren, kriege ich einen Alarm.
Natürlich sollte ich vielleicht nicht einen Kanarienvogel deployen, auf dem all diese Dienste scharf geschaltet sind. Weil ich als Angreifer vermutlich sagen würde, RDP, MySQL, FDP, Redis, alles auf einem Server.
Ist ein bisschen fischig, sage ich jetzt mal so. Ich hoffe mal, dass ihr wahrscheinlich nicht so viele Server habt, auf denen alle diese Server gleichzeitig laufen. Also, würde ich mir erwarten.
Was auch cool ist, der erkennt zum Beispiel auch etwas wie einen N-Map-Scan. Weil was macht nämlich ein Angreifer? Klassischerweise, er guckt mal, was doch da ist. Er muss ja irgendwie herausfinden, ich bin auf einem Server gelandet, was ist denn noch so hier unterwegs?
Und diese Dienste werden bereitgestellt und warten darauf, dass jemand mit ihnen interagiert. Da steckt jetzt kein echter FDP-Server dahinter. Da steckt auch kein Voller-Redis-Server dahinter, das könnte ich auch machen. Ich könnte ja hingehen und sagen, ok, ich baue mir meinen eigenen Kanarienvogel. Ich deploye ihn gar im FDP-Server.
Und wenn sich da jemand anmeldet, weiß ich auch, dass etwas passiert ist. Nur dann habe ich das Problem, dass ich diese ganzen Service deployen muss, die auch manchmal nicht ganz ressourcenschlank sind. So kann ich das alles sozusagen, das ist ein Stück Peißen, da kann ich im Quellcode reingucken. Und kann halt sagen, hey, ich habe hier einen HTTP-Server, der simuliert jetzt die Login-Seite eines Synology-Nas.
Kriegt also eine Anmeldeseite von Synology angezeigt, wenn ich da drauf gehe und gucke, ob jemand sich anmeldet. Gut, gibt es bis hierhin Fragen?
Ok, die Frage ist, ist das ein High-Interaction oder ein Low-Interaction Honeypot? Ich habe das Wort Honeypot eigentlich noch nicht so richtig erwähnt, glaube ich. Habe ich Honeypot gesagt? Habe ich bewusst gesagt, genau diese Frage nicht zu vermeiden, aber diese Diskussion zu vermeiden, das ist nicht schlimm.
Honeypots sind diese Dinge, die im Internet ausgelegt werden, um festzustellen, greift da jemand an. Also wenn ihr eure Chefs war beeindrucken wollt, habe ich das gerade mal hier. Das kann ich genau, die Telekom hat sowas.
Die betreibt ein paar Honeypots. Und da kann ich halt sehen, wer wann von wo angegriffen worden ist. Also hier sehe ich dann, was im Internet alles passiert. Das ist ein ganz cooles Bild, ist manchmal hilfreich, wenn ich mein Management überzeugen möchte, dass so etwas wichtig ist.
Aber ich rede ja momentan hier von internen Intrusion Detection Honeypots, dann werden die nämlich auch genannt. Es gibt eine grobe Unterscheidung zwischen sogenannten Research Honeypots. Das sind Honig-Töpfe, die auch Angreifer anlocken sollen, bei denen quasi auch eine Firma hinterlegt ist.
Wenn ich mich da anmelde, dann sehe ich Dinge. Dann kann der Honeypot-Betreiber feststellen, was macht der Angreifer, also kann der Researcher feststellen, wie der Angreifer sich verhält.
Wie kommt er denn jetzt durch die Gegend, was macht er, welche unterschiedlichen Methoden benutzt er. Das nennt man auch High Interactive Honeypots, also da passiert eine Menge, da kann ich wirklich etwas tun. Also das sind sozusagen richtig mächtige Werkzeuge, wo man halt auch herausfindet, wie sich ein Angreifer verhält.
Dieser Open Canary is a Low Interaction Honeypot, für die Leute, die das wissen wollen, da kann ich mich nur versuchen anzumelden. Hat eine gewisse geringere Funktionalität, hat aber auch noch eine Zielgruppe.
Hier geht es nur darum festzustellen, möchte sich jemand mit diesem Ding beschäftigen. Da kommt nur Lock-In fehlt. Ja, das ist aber sozusagen, mag für den Angreifer eine schlechte Show da sein, aber ich bin da nicht dafür da, dem eine Show abzuliefern.
Also das hat nichts mit diesen eben dargestellten Unternehmens-Honeypots zu tun, wo man dann auch herausfindet oder den auch busy hält. Es gibt auch Ansätze, die sagen, ich baue ein paar Honeypots auf, wo ich Dokumente hinterlege, damit er da durchgelaufen beschäftigt ist. Das ist hier nicht der Fall, hier hinter steckt ein einfaches Beißenskript, das Anmeldeverfahren simuliert.
Gibt es weitere Fragen?
Schauen wir uns mal so ein Ding an. Fullscreen, Show, Kunstschutz, ich halte das gerade mal. Also hier sehen wir zum Beispiel, das ist jetzt ein simulierter Angriff, was mache ich sofort?
Den Kontrasten erhöhen. Video hat eine Farbe. Ist ein Video, ist ein Video. Nichts aus. Versuchen wir es gerade mal, ja.
Ich glaube wir drückt halten, das ist ein Tafel. Ist ein bisschen besser, ne? Also, ihr seht da oben, das Klassische, ich bin ein Angreifer in einem Netzwerk drin und versuche herauszufinden, was passiert da noch, ja.
Dann lasse Nmap laufen, Nmap ist ein Werkzeug, in dem man herausfindet, was die Dienste auf welchen Serven offen sind, ja. Oder man hat ein neues Gerät ins Netzwerk gebracht und man möchte herausfinden, welche IP-Adresse der Raspberry Pi gerade bekommen hat.
Ja, das lasse ich natürlich typischerweise nicht auf einem Server laufen, sondern auf einer Subnet Range, ja. Damit das hier ein bisschen schneller geht, habe ich das so gemacht. Also ich habe das also auf einem Server laufen lassen. Und ich habe herausgefunden, da ist ein FTP-Server unten, es ist Haar-Server offen. Ja, könnte auch ein Redis-Server sein, RDP, also einer von den Diensten, die da jetzt erdenkbar sind.
Also was versuche ich jetzt? Ich melde mich da an. Also FTP-Server, FTP-Server Marsch, anmelden, melde mich mit einem Namen an.
Ich habe immer noch an und es gibt immer noch viele Serven, vielleicht funktioniert es ja, ja. Gebe ein Kennwort ein, type irgendwie eine E-Mail-Adresse, Lock-in fehlt. Ja, soweit die Angreifer-Perspektive.
Nicht erschrecken, das muss nicht die E-Mail sein. Das ist der E-Mail-Kleid eurer Wahl. Ich habe jetzt den genommen, weil ich meinen Aufwand für die Demo aufzeichnen und möglicherweise halten wollte. Was ist jetzt hier reingekommen? Hier habe ich jetzt E-Mails bekommen. Und zwar einige.
In der ersten E-Mail, das ist natürlich jetzt ein bisschen schwer zu lesen, ist nicht management geeignet. Aber so der klassische Admin weiß zumindest, oh, das ist was passiert. Mails von Open Canary sind keine Liebesbriefe. Ich kann das noch etwas, kann natürlich auch den Titel des Absenders etwas anders gestalten.
Da steht jetzt drinnen, irgendjemand hat versucht auf, das ist jetzt hier ein Scan-Versuch, die Mail für einen Scan-Versuch, auf gewisse Ports zuzugreifen.
Also das ist jetzt die E-Mail für den Netzwerkscan, der da aufgeschlagen hat. Und danach kommt auch noch eine Mail für meinen FDP-Zugriff. Also hier steht drinnen, von der IP-Adresse 142 bla bla blub hat jemand versucht,
um diese Uhrzeit mit dem Nutzernamen netteruser.gmail.com und dem Kennwort und dem Nutzernamen zuzugreifen. Wenn ich so eine Mail in meinem Unternehmen habe, von einem Server, den eigentlich niemand kennen sollte,
habe ich eine Alarmanlage. Also man kann da so ein paar Lichter drumherum bauen, dass auch was rot blinkt, wenn man möchte. Aber hier gibt es offensichtlich einen Nutzer bei irgendwelchen IP-Adressen, der Dinge tut, die er nicht tun sollte. Das kann natürlich immer noch sozusagen der Werkstudent sein, der einfach mal ein bisschen herausfinden möchte, was da für Services laufen.
Auch das ist möglich. Aber ich habe zumindest genug Informationen, um mich mit diesem Freund zu beschäftigen. Und das ist natürlich wie bei mancher Open-Source-Software jetzt nicht so richtig dashboardig, aber ich denke, für eine Alarmierung könnte man schon mal wach werden.
Und das Ganze nur, weil ich einmal PIP install auf einem Server gemacht habe, entsprechende Services konfiguriert habe über eine Inidatei und danach gewartet habe und nicht gewartet habe.
An dieser Ausgabe müssen wir noch arbeiten. Ich sage auch gleich warum. Ja, also das ist PICEN-Code, kann man reingehen, man kann jetzt zum Beispiel hingehen. Und eine Sache ist zum Beispiel, wollen wir wirklich, dass der Werkstudent, wenn er sich ein bisschen
daneben benimmt, sein echtes Kennwort da eintippt und das Ganze wird per Mail durch die Gegend geschickt? Bei den Werkstudenten ist das vielleicht noch okay. Aber im Sinne von Informationssicherheit persönlich der Meinung, ich brauche das Kennwort dort nicht.
Es reicht mir, dass ich weiß, von welcher IP-Adresse jemand zugreifen wollte. Ich brauche noch nichtmals den Nutzernamen. Ich bin ja intern, ich gehe ja nicht nach draußen.
Ja, wir kommen gleich nochmal. Es gibt andere Gründe, die dagegen sprechen.
Ich komme gleich drauf, okay? Aber hier muss man noch was tun. Hier kann man zum Beispiel auch, welche Alarmierungsformen gibt es. Das ist jetzt E-Mail, ich kann auch, es gibt Webhooks, ich kann auf HTTP-Requests posten. Ich kann auf Slack posten, ich kann auf, Achtung, nicht schreien, Teams posten.
Es gibt auch Schnittstellen für die großen Sachen wie Splunk. Also da kann ich schon eine Menge machen und kann da unterschiedliche Systeme sozusagen antriggern. Ich habe jetzt nur als Beispiel hier die E-Mail genommen, weil die funktioniert in der Regel immer.
Gut, das ist also eigentlich schon das, was das Ding kann. Also es stellt fest, da versucht sich jemand anzumelden und ist alarmiert in diverse Richtungen. Aber als Alarmanlage aus meiner Sicht vollkommen ausreichend.
Ich will ja nur alarmiert werden, damit der Junge nicht sechs Monate da rumläuft. Gibt es Fragen bis hier hin?
Das Argument mit Angreifer, kann das herausfinden, kommt gleich noch. Die Frage kann ich jetzt nicht beantworten, weil am FTP-Server werde ich jetzt keinen Hatter kriegen.
Den kann ich konfigurieren, den Hatter, also den Server-Name. Powered by oder diese Sachen. Aber eigentlich wissen wir, dass wir die ja eh ausgeschaltet haben. Wir sind ja verantwortungsvolle IT-Administratoren und wir machen sowas ja gar nicht.
Also die Frage war, kann ein Angreifer feststellen, dass da ein Honeypot steht? Ich sag's mal so, selbst wenn, kommen wir gleich noch mal darauf zurück.
Weitere Fragen, da oben war noch was. Also wir haben festgestellt, es tut vermutlich das, was es soll. Ich hoffe, ihr glaubt mir, dass es einfach zu installieren ist.
PIP install Open Canary oder git clone und dann ein paar Konfigurationsdateien editieren, ist kein nächsten Werk. Was gibt es denn sonst noch zu beachten beim Deployment? Positionierung im Netzwerk. Ich muss mir natürlich schon überlegen, erstens, wo sind Angreifer am ehesten möglich?
Wenn ich die natürlich sozusagen neben einen Server in eine DMZ packe, wo nur ein Server drin ist, macht auch nicht so viel Spaß. Ich könnte auch sagen, ich deploy das auf jedem Server im Netzwerk, kann ich auch machen, weil so viele Ressourcen frisst das nicht. Und wenn auf dem Server ein Mail-Server läuft, dann kann ich da auch noch ein HTTP-Canary neben parken.
Also muss man sich überlegen, auf jeden Fall sollte man sozusagen die Dinger großzügig verteilen mit selektiven Diensten. Ich habe es eben schon angesprochen, Microsoft SQL Server neben MySQL Server und noch ein Register zu parken, das sieht jetzt irgendwie doof aus.
Anderer Punkt ist MAC-Adressen. Wenn ich ein Synology-NAS simuliere, dann sollte ich natürlich die MAC-Adresse des Servers irgendwo in die Range von Synology reinpacken.
Also die Hersteller haben in der Regel gewisse MAC-Adressen-Bereiche, in denen sie unterwegs sind. Wenn ich auf dem Standard Linux Server deploye, dann werde ich vermutlich keine MAC-Adresse haben, die einem Synology-NAS nahekommt.
Also da muss ich ein bisschen aufpassen. Oder sollte ich aufpassen, muss ich nicht unbedingt. Aber wenn ich als Angreifer feststelle, da ist eine IP-Adresse mit einer Anmeldemaske von einem Synology und die MAC-Adresse passt nicht, dann habe ich natürlich Aufmerksamkeit erzielt auf dessen Seite.
Die Anzahl, ich persönlich bin der Meinung, eigentlich sollte man das überall hinschmeißen, weil je mehr ich da verteile, desto höher ist die Wahrscheinlichkeit, dass ein Angreifer auf so ein Ding stößt.
Selbst das, was ich in der Lage bin, die Dinge zu verwalten, setzt voraus, dass ich zum Beispiel eine Automatisierung habe für mein Netzwerk. Dass ich vielleicht solche Sachen mit Ansible verteilen kann oder dem anderen Tool eurer Wahl. Aber das kann man ja machen, das kann man in den Griff bekommen. Das ist jetzt kein Rocket Science.
Und Werbung. Warum fängt der jetzt mit Werbung an? Warum werbe ich auf einmal für einen Kanarienvogel? Oder wie könnte ich für einen Kanarienvogel werben?
Die Antwort war hier sozusagen, ich mache eine Negativwerbung, ich mache eine Warnung.
Meine Antwort war wirklich Werbung. Wo könnte ich werben? Es gibt Tools da draußen, bei denen kann ich zum Beispiel feststellen, welche Zertifikate ausgestellt worden sind für eine Organisation.
Wer kennt dieses CRT-SH? 1, 2? Wer hat letzten Kripp für interne Server verwendet? Wer glaubt, die Namen sind nicht mehr bekannt? Die internen Namen?
Ja, also wenn man Steinchenzertifikate nimmt. Ja, Steinchenzertifikate haben aber ihre Nachteile. Aber wenn ich jetzt wirklich hingehe und ich habe jetzt mal nur Frostcon genommen, weil ich jetzt an die Wand nageln wollte. Das sind alle Zertifikate, die Frostcon rausgegeben hat. Irgendwann mal. Wenn ich jetzt intern keine Wildcard-Zertifikate habe, was ja auch Sinn machen kann,
weil Wildcard-Zertifikate hier einen gewissen Nachteil haben, da stehen dann meine internen Namen. Jetzt ist CRT.SH jetzt nur nicht der klassische Dienst, den der Werkstudent oder Glieschen Müller oder Peter Müller benutzt.
Das sind typischerweise Tools, die von den Leuten benutzt werden, die ich nicht haben möchte. Also könnte ich vielleicht Zertifikate generieren für Server wie eine Kanarienvogel. Natürlich laufen jetzt immer noch Gefahr, dass ich einen findigen Werkstudenten habe, der da auch reinguckt.
Auch die Gefahr besteht. Aber ich habe hier sozusagen eine Form von Werbung gemacht an einer Stelle, die von den meisten Mitgliedern meines Unternehmens, wenn ich nicht bei einer Security-Firma arbeite, nicht benutzt werden. Könnte ich machen. Ist eine Idee Werbung zu machen für meinen Kanarienvogel, damit die Zielgruppe Angreifer eher auf das Ding anspringt.
Gibt es einen Kommentar oder Frage? Ich habe mich überlegt, wegen der C-Names, da gab es auch eine Auflösungsregel, dass ein C
-Name immer für den anderen laufen kann, aber trotzdem im DNS steht. Ist das etwas Ähnliches wie das? Also ich gebe es zu, ich habe das Feedback gerade weder akustisch noch intellektuell verstanden. Das liegt an mir, sowohl akustisch als auch intellektuell. Ist glaube ich jetzt wie diese Frage nicht ganz so wichtig.
Man kann es auch im DNS reinpacken. Man kann es auch im DNS reinpacken, richtig. Es gibt auch andere Werkzeuge wie DNS-Dumpster, die mir sozusagen erlauben herauszufinden, welche internen Namen jemand hat. Also es gibt verschiedene Möglichkeiten, wie ich meinen Honeypot bewerben kann bei den Leuten, die ich eigentlich fangen möchte. Kann man überlegen.
Typische Einwände für Kanarienvogel sind nämlich, Honeypots kann man entdecken.
Wenn ihr Einbrecher seid und ihr wisst, die haben eine Alarmanlage, stört euch das irgendwie so ein bisschen, so gefühlsmäßig? Versteht man die nicht, wenn man sie nicht auszeichnet. Richtig, aber irgendwie erreiche ich auch schon mit dem Bewusstsein, dass ich Honeypots habe,
eine deutlich unaggressivere Ausbreitungsvariante meines Angreifers, weil der muss sich viel mehr Zeit nehmen. Da kann ich einfach rumlaufen, ein NAP-Scan machen und gucken, was passiert. Also sozusagen, ich habe ein paar Tretminien ausgelegt für meinen Angreifer. Vielleicht fällt er nicht rein, aber ich habe ihn zumindest stark gebremst.
Schwieriges Deployment. Hatte ich eben schon mal ganz kurz angesprochen, wenn man 100 davon verteilen möchte, wird es irgendwann mal schwierig. Wenn ich zwei, drei verteilen möchte und ich möchte nur sozusagen eine E -Mail-Annotification bekommen, weil ich damit zufrieden bin, ist das nicht großer Aufwand.
Hier hilft die Automatisierung. Bei 100 werde ich mir auch mal irgendwann die Überlegung machen möchten, dass ich mir vielleicht auch eine Dashboard baue, wo diese JSON-Dateien irgendwie mal reinkommen. Ein anderer Punkt, den ich auch schon festgestellt habe, das Ding stürzt halt mal ab.
Und es ist halt immer wieder gut, das Ding einfach mal neu zu starten und auch mal zu prüfen, ob er noch arbeitet. Da muss ich mir überlegen, wie teste ich das, teste ich die Funktion über den normalen Betrieb, weil den kann man auch schnell vergessen.
Eine andere Argumentation gegen Honeypots sind auch in der Regel zusätzliche Risiken, weil ich habe ja wieder Server draußen, die irgendwelche Dinge sind, die müssen gepflegt, gewartet werden oder auch nicht. Also wenn jemand meinen Open Canary hackt, dann habe ich ein zusätzliches Risiko.
Es ist wahr, aber ich persönlich finde jetzt, dass es überschaubar. Man kann sich den Quellcode hier angucken, kann sich überlegen, ob das Ding gehackt werden kann, aber es reicht ja, dass er mir eine Warnmeldung schickt. Dann ist er zwar tot, der Vogel, aber er hat sein Ziel erreicht.
Unter welchen Gemüse läuft er denn, weil er muss ja Rapport suchen und dann schraub machen. Macht er dann nicht so viel Funktion, oder ist das für diejenigen, die machen das? Also ich habe bis jetzt Canarian-Vogel nur auf einzelnen Rechnern laufen lassen und da war für mich gut kein Problem.
Jetzt werden manche sagen, ich lasse keine Service-under-root laufen. Ja, ich weiß, wir reden hier vom Canarian-Vogel. Okay, also wenn der gehackt wird, hat er vor, Alarm geschlagen. Ja, aber er wird das Problem haben, dass er mit einem hohen User immer noch die unteren Ports nicht kriegen kann nach meinem Kenntnisstand.
Also man kann da was tun, das Feedback vielleicht für die Zuhörer im Stream, man kann da was tun, aber ich persönlich habe hier die Auffassung, ein Canarian-Vogel, wenn ich ihn alleine betreibe, wenn der gehackt wird und alarmiert ist, dann bin ich eh in Wallung.
Also sollte ich in Wallung geraten. Kommen wir zum Thema Rechtliches. Ja, wir hatten eben schon über Nutzernamen und Erkennwörter gesprochen.
Erstens, das Ding schreibt Lockfiles. Ja, diese Lockfiles müssen anonymisiert werden. Wenn ihr so ein Ding deploit und ihr habt einen Datenschutzbeauftragten, redet mit eurem Datenschutzbeauftragten. Weil da sind personenbezogene Daten drinnen. Oder es können personenbezogene Daten reinkommen.
Dabei interessieren mich jetzt die personenbezogene Daten von dem Angreifer nicht. Aber wenn Gretchen Müller da aus Versehen drauf zugreift, weil der Werkstudent ihr vielleicht einen, weißt was da, sie reinlegen wollte,
dann habe ich Gretchen Müller mit ihrem Nutzernamen und ihrem Kennwort, selbst wenn es anonymisiert ist, wir haben personenbezogene Daten. Personenbezogene Daten heißt, ich muss mir um Datenschutzbeauftragten sprechen und ich muss gewisse Dinge tun. Man muss auch andere Fragen intern rechtlich klären.
Wer hat in seiner Firma so eine Hacking-Formulierung in seinem Arbeitsvertrag oder in der Betriebsvereinbarung drin stehen? Darf jeder von euch nMap laufen lassen im Unternehmensnetzwerk? Oder gibt es irgendwie im Kleingedruckten von Betriebsvereinbarungen drin, nMap-Hacking-Tools dürfen nicht benutzt werden?
Das ist eine Frage ans Publikum. Hat irgendjemand solche Sachen bei sich in Arbeitsverträgen drin stehen? Einer ein bisschen, einer keine Ahnung. Also es gibt Firmen, die machen das, weil das eigentlich heute normal sein sollte.
Weil ich kann niemanden sozusagen abmahnen oder maßregeln, das Unternehmen zu hacken, wenn ich es ihm nicht vorher verboten habe. Und jeder mit einer einigermaßen vernünftigen Informationssicherheitsleitlinie, Achtung, ethische Rundschutzbeauftragter, Berater,
weiß, dass er sowas eigentlich in seinen Firmen vereinbarungen drin haben sollte. So, jetzt stellt sich natürlich die Frage, was passiert denn jetzt arbeitsrechtlich, wenn Gretchen Müller einen Kanarienvogel auslöst?
Und es gibt eine Hacking-Formulierung. Wie ist es dann die Prozedur? Muss der Betriebsrat involviert werden? Können Abmahnungen geschrieben werden? Was passiert dann?
Also, das ist sozusagen wirklich nur der Hinweis, wenn ihr bei euch zu Hause in eurem Lab so ein Ding installiert, ist das natürlich nicht wichtig. Wenn ihr mit sowas in ein Unternehmen reingeht, ab einer gewissen
Größenordnung oder eigentlich immer, solltet ihr euch so eine Datenschutzfrage stellen. Kurzer Exkurs, wer weiß, ob er irgendwelche Lockfile-Löschregelungen bei sich hat.
Für die Zuschauer im Stream, es melden sich zu wenige. Also, weil man muss ja auch Lockfiles löschen, da sind ja auch personbezogene Daten drin. Gut, also, das am Hintergrund behalten, das soll nicht wehtun, aber man muss es einfach gemacht haben. Zusammenfassend kann man einfach sagen, diese Kanarienvögel sind einfach und preiswert zu implementieren.
Sie kosten eigentlich so gut wie kein Geld, entweder auf eine Feinbeere draufgeschmissen oder auf einen Raspberry Pi im Lab oder irgendeinen alten Gambling-Server, wobei dann der Stromverbrauch wieder eine Rolle spielt. Aber eigentlich kosten sie nichts. Sie sind also viel zu billig, dass man sie ignorieren müsste.
Eine wichtige Ergänzung zu diesem Security Information and Event Management System, das waren diese Software mit diesem schwergewichtigen Software, die in der Regel analysieren den Netzwerkverkehr. Die stellen fest, ob von irgendeinem Gerät vielleicht ein Command and Control Server ausgelöst worden ist.
Die alarmieren aber nicht, wenn jemand unerlaubt irgendwo reingegangen ist, in der Regel. Selbst wenn man so einen SIEM schon im Einsatz hat, kann man die immer noch gut daneben parken. Eigentlich bin ich auf der Auffassung, dass sie den Netzwachen mehrfach verteilt werden sollten.
Damit bin ich mit den Punkten, die ich so weit vorstellen wollte, durch. Ich habe noch einmal eine Frage. Wer würde jetzt überlegen, das bei sich zu deployen? Okay. Also deutlich mehr als eben gesagt haben, dass sie es kennen.
Für mich immer noch zu wenig. Aber es ist eine Geschmacksfrage. Ich bin so weit fertig mit dem, was ich vorstellen wollte. Und wir können gerne jetzt hier noch an der einen oder anderen Stelle in die Diskussion treten oder nochmal Fragen beantworten.
Also es wird schon so viel gefragt hier vorne. Ich habe eine Frage zu dir. Wie granular kann man denn eventuell Ausnahme, Netze oder IPs eintragen? Also die Frage ist...
Ich habe eine Ignor-Liste. Also die Frage war, wie kann ich meine Alarmierungen sozusagen, wie kann ich Whitelisten machen? Wie einfach ist diese Anpassung dann dynamisch zu machen? Dass jemand sagt, okay, das ist jetzt nichts, da müssen wir eine Ausnahme machen. Wie hoch ist da die Latte, um diese Konfiguraumzelle?
Also die Frage war, kann ich sozusagen bekannte Server, zum Beispiel Security Scanner, kann ich die zum Beispiel ignorieren? Inifile, Ignor-List, Server-Namen eintragen oder Subnetze eintragen, die kann ich als Ignor-List eintragen.
Wie einfach ist das? ASCII-Datei editieren und deployen. Wie einfach ist das? Das hängt von eurer Infrastruktur ab. Wenn du auf dem Security Scanner sitzt und auf dem Open Canary, kannst du das ganz alleine machen.
Wenn du da unterschiedliche Parteien hast, musst du dir überlegen, wenn du 100 Canary-Vogel draußen hast, wie verteile ich meine Configure-Changes? Sprich einfach, ich wiederhole die Frage.
Nein, die Frage war, habe ich damit schon jemand erwischt? Nein, glücklicherweise nicht. Bin ich damit zufrieden? Ja. Nächste Frage war hier vorne. Kann man nicht über SSH laufen, sondern über einen SSH-Port offen sein, der quasi nicht in der Range ist, nicht monitort wird?
Also die Frage war, wie macht man das Deployment am besten? Die klassischen Werkzeuge nutzen SSH dafür.
Wenn ich SSH fürs Deployment nehme, kann ich natürlich nicht SSH für den Canary im Vogel nehmen. Da bleibt nur die Antwort, das Deployment über SSH muss über einen anderen Port geschehen. Wenn ich einen SSH-Canary im Vogel haben möchte, dann muss der ja auf seinem SSH-Port lauschen.
Und dann muss ich natürlich, wenn ich für das Deployment auch SSH nehme, weil zum Beispiel Ansible, dann muss ich ja einen anderen Port für nehmen. Nein, da oben war die nächste Frage. Welche Informationen bekomme ich denn vom Angreifer durch IP-Adresse oder andere Informationen?
Die Frage war, welche Informationen bekomme ich. Die hier. Die Frage war, welche Informationen gibt es vom Angreifer?
Das ist das, was der ausspuckt. Also ich bekomme die Informationen, auf welchen Host ist gegangen worden, auf welchen Port, Uhrzeit, MAC-Adresse, Blablablupp.
Logtype, es gibt verschiedene, es gibt Logtype, ich bute neu, es gibt Logtype, es ist an anderen Städten gefunden. Auf welchen Canary im Vogel wurde zugegriffen, wo kam er her? Mir nicht. Ist die Warnadresse wichtig? Nein, das hängt davon ab. Wenn er direkt aus seinem Internet auf einen Canarienvogel zugreifen konnte, ist das die Warnadresse.
Wenn er im Netz drin ist und versucht, von einem internen Rechner auf einen Canarienvogel zu greifen, ist das die Internadresse. Die Grenzen zu der Frage von oben, wie viele hast du schon erwischt?
Ich habe das Ding jetzt in drei, vier Netzen deployt. Das ist noch nicht so häufig. Gibt es eine Statistik, was weiß ich, dass du denkst oder sowas? Nein, mir ist keine bekannt.
Ich glaube nicht, nein, nein, nein. Ja, der Kommentar ist sozusagen, lohnt sich das überhaupt, fange ich damit überhaupt Leute?
Also das ist keine Frage, deswegen sage ich Kommentare. Ich persönlich habe die Auffassung, wie viel Einbrecher habt ihr mit eurer Alarmanlage im Haus schon gefangen? Mal angenommen, euer Unternehmen hat eine Alarmanlage in seinem Bürogebäude.
Dann sage ich, wie viel habt ihr mit schon gefangen? Und dann sagt er, die meisten wahrscheinlich noch keinen. Ich habe nur Fehlalarme gehabt. Warum deployen wir Alarmanlagen? Weil der Kosten-Nutzen-Aufwand in Anführung steht. Keiner wird auf die Idee kommen, beim Umzug zu sagen, wir brauchen keine Alarmanlage mehr, weil wir noch nie jeden Einbrecher mit Alarmanlage gefangen haben, oder?
Die Nachricht, um die du hier angefangen hast, war ja mehr oder weniger das Syndikat mit Arbeitsteil und was nicht an. Aber die Sichtbarkeit von Alarmanlage als Abschreckung, das betrifft ja eher die Gelegenheit. Also, die wirklich guten, die wissen, wie sie darum rumkommen.
Und wenn du auf der anderen Seite sagst, wir haben ein Problem mit, wie viele Leute sind überhaupt in der Systemverwaltung kompetent und haben Zeit, sich um Einbrüche zu kümmern, dann sind natürlich Fehlalarme ein echtes Gift auf diese knappe Ressource. Richtig. Aber die Anzahl, also die Argumentation, die hier gerade ankommt, ist
sozusagen, es könnte sein, dass das Ding mehr Kosten erzeugt als Nutzen. Durch zum Beispiel Fehlalarm. Ja, Fehlalarme sind erst mal da, genauso wie bei der realen Alarmanlage, da habe ich auch Fehlalarme. Dann kommt der Security-Dienst raus und nur weil sozusagen jemand ein Steinchen an die Scheibe geschmissen hat und das Ding hat die Vibrationsalarm ausgelöst, ja, ist da.
Kann man sich überlegen. Also, ist eine Kosten-Nutzen-Relation, die sozusagen du offensichtlich tendierst, anders zu stellen als ich? Nein, nein. Keine. Nein, nein. Gibt es keine. Also, genauso wie wie es, jetzt kommen wir in Diskussionsmodus, glaube ich, da müssen wir aufpassen.
Es ist ein valides Feedback. Ich persönlich würde sagen, das macht man. Punkt. Würdest du demischenhin auch sagen, wie macht es vielleicht Sinn, das mit dem automatischen Blockieren zu finden, zum Beispiel wenn ein Benutzernamen Passwort sogar passend ist zu einem Benutzer, zum Passwort auch, dass man
dann einfach sagt, hey, zwing es an und machen wir den Benutzernot, weil da ist irgendwas falsch gelaufen. Ja. Also, die Frage war, wäre es nicht cool, sozusagen, wenn man die Information hier direkt automatisiert in Gegenmaßnahmen macht, wie zum Beispiel Blockieren des Benutzers.
Ja, klar, wenn ihr die Ressourcen dafür habt und das Wissen dafür habt, kann man das machen. Aber das, würde ich jetzt schon sagen, ist schon next level. Also, wer darüber nachdenkt, hat meistens auch schon ein Ziel mit dem Einsatz. Ja, macht durchaus Sinn. Haben wir eine Frage noch zum Rohrangstragsfeuerchen. Dann hast du ihn wahrscheinlich nicht über SSH laufen, den
Knöpflib, weil der wird übersinnt nicht garantiert, da gibt es irgendwie Alarme, aber das ist ziemlich schnell. Der andere Punkt ist, hast du dann Probealarm oder so was, dass du weißt, dass es funktioniert? Also, die erste Frage ist, ich mache keinen SSH, weil im Internet da Alarme passieren würden. Ich deploye die momentan nur intern.
Ja, weil, ist ja jetzt egal, ich mache keinen Sinn für mich, ich habe ja keinen Research Honeypot. Ja, ich weiß, dass da draußen Tausende von Alarmen passieren würden, juckt mich nicht. Deswegen habe ich die nur intern. Deswegen kann ich da auch mit SSH arbeiten. Ich persönlich habe
momentan die Einstellung, ich gehe eher auf RDP, FDP, Redis oder solche Sachen als ein SSH. Geschmacksfrage. Hab ich die Frage beantwortet? Oder auch so ein Probealarm?
Ich persönlich mache auch Probealarme. Aber das ist einfach nur, weil das ist ein Open Source, ich habe schon mal gesehen, dass das Montag, Tag, Tag nicht da war, deswegen habe ich einmal pro Woche ein Probealarm geschedult. Das ist ja jetzt kein Hexenwerk. Ich gehe davon aus, dass das nicht die einzige Lösung, die es auf dem Markt gibt. Welche anderen hast du dir angeschaut und in welchen Kriterien hast du diese ausgesucht?
Die Frage war, gibt es noch andere? Und warum habe ich den genommen? Gibt es noch andere? Weiß ich nicht. Damit habe ich auch die Frage beantwortet, in welchen Kriterien habe ich den ausgewählt. Ich fand den einfach zu cool.
Und ich habe nichts anderes gefunden, was besser da war. Ich habe einige coole YouTube Videos dazu gesehen. Es gibt ja YouTube Videos von Leuten, wo man dann schon annimmt, der weiß, wovon er spricht. Ich habe jetzt nicht TikTok genommen mit, ich habe einen Kanarienvogel, sondern ich habe mir
das angeguckt, fand das cool, habe geguckt, was sagen andere dazu und dann bin ich mit dem losgelaufen. Ich habe jetzt nicht noch viel andere mir angeschaut. Es mag sein, dass es noch andere gibt, es gibt auch von der Telekom. Die anderen Kanarienvögel sind in der Regel so richtige Honeypots, diese Research Honeypots. Ja, die fangen dann an mit Docker.
und so weiter. Und dann denke ich immer so, ja, kann man machen, wollte ich jetzt hier nicht. An der Sicht kann ich ja auch Werbung mit Überwachung verbinden, wenn ich mein Monitoring-System in die Ausnahmen eintrage. Ja. Und da wir terminiert die Kanarienvogel abfragen, ist es ja auch aufgrund der schlechten Erklärung. Ja. Also das Feedback war, wenn ich intern Monitoring habe, ja, kann ich das Monitoring-System natürlich auch in das Ignore-List eintragen.
Das Monitoring macht aber in den Fällen, in denen ich das da momentan hatte, nur eine Prüfung, ob der Port offen ist. Sie machen keine Interaktion. Ja, also das Monitoring nur antwortet einen FDP-Server.
Wenn ich einen Proberalarm mache, möchte ich, dass jemand, der sich anmeldet. Und ich möchte wissen, ob die Alarmierungskette dahinter auch funktioniert. Und das hilft mir bei Monitoring nicht. Ja, weil du sagst, es zerstürzt ab. Das kann ich nicht. Kann ich. Ja, ja. Also das stürzt auch nicht dauernd ab. Also nicht jetzt falsch verstehen. Also das ist jetzt nicht so, dass man jetzt dauernd gucken muss oder so.
Ich habe es nun mal erlebt und dann habe ich gesagt, ich kontrolliere es und seitdem kontrolliere ich es. Ja, jetzt weiß ich gar nicht, ob es danach noch abgestürzt ist. Ja, weiß ich jetzt nicht. Ja, also da kann man mit Kronen, das ist jetzt Feedback gerade, mit Kronen natürlich einiges machen.
Das haben wir alle drauf, wie man automatisiert einen FDP-Server startet oder alarmiert oder anmeldet. Da gibt es Trillionen von verschiedenen Möglichkeiten. Einmal pro Woche würde ich jetzt nicht machen. Ich persönlich, ich würde ja einmal, also nicht täglich, ich habe es täglich vorgeschlagen.
Das ist in der Frage eurer persönlichen Risikoaffinität. Aber ich würde immer die Meldekette testen wollen. Nicht nur, ob dein FDP-Server lauscht. Weil, keine Ahnung, irgendjemand hat den Server auf einmal aus dem Proxy-Liste rausgenommen und dann darf er nicht mehr sozusagen aufs Internet gehen zu Microsoft Teams oder das ist blank.
Und dann ist die Meldekette unterbrochen. Soll ja schon mal passiert sein. Weitere Fragen. Cool. 2015. Ich hoffe, es hat euch was gebracht.
Viel Spaß bei Kanarienvögel. Wenn ihr noch Fragen oder intime Diskussionen wollt, ich bin gerne noch hier. Schönen Tag noch.