Kommentare zu folgendem Beitrag: Lesetipps: gemeines Phishing, böse Erpresser im Chat, TikTok - und nun?
Ransomware:
Ich frage mich die ganze Zeit, auf welchem Arbeitsamt die Firma KME den sogenannten „Verhandlungsführer“ gefunden und engagiert hatte!? 
Das man bei solchen Erpressungsversuchen nicht mit Mimimiiimmmiii bei den Erpressern punkten kann, sollte heutzutage wohl klar sein! Die Taktik der Erpresser läuft ja darauf hinaus, nur reelle Summen zu fordern, die Seitens des Unternehmens aufgebracht werden können! Denn utopische Summen zu fordern, wie es in den Anfängen der Ransomware-Erpressungen der Fall war, hatte ja fast immer zur Folge, überhaupt kein Geld zu bekommen - da haben die Kriminellen schnell dazugelernt…
Das die Forderungen im Zweifelsfall eine Firma in die Pleite stürzen oder zumindest Arbeitsplätze in Gefahr sind usw. ist von vorne rein einkalkuliert und wird eiskalt in Kauf genommen!! Wenn dann der Unterhändler anfängt mit Betteleien, siehe:
„…die Belastungen durch die Coronakrise zu beachten und den Preis zu senken.“
…sollte wohl klar sein, dass die Antwort darauf nur ein müdes Lächeln der Gegenseite ist!! Da eine Ransomware-Attacke heutzutage vergleichbar ist, mit einer militärisch getakteten Operation, sollte man gerade als Unternehmen das Gefahrenpotenzial dahinter nicht auf die leichte Schulter nehmen! Treffen kann es mittlerweile jede Firma, egal ob dies Absicht oder purer, dummer Zufall war! Wenn man allerdings in keiner Weise auf solch ein Szenario vorbereitet ist, weil es der Geschäftsführung eventuell zu teuer war, was man in die IT-Sicherheit hätte investieren müssen, der riskiert zweifelsfrei somit die Existenz seiner Firma! Denn entweder bezahlt man dann mit dem Firmenvermögen oder halt mit seinen Firmendaten, die unweigerlich ins Nirvana wandern!!!
Der ewig gestrige Spruch der Polizei: „Blos nicht bezahlen, man würde ja nicht wissen, ob man seine Daten wiederbekommt!“, halte ich für mehr als fragwürdig! Denn eins weiß man ja doch heutzutage. Wenn die Erpresser Profis sind, ist die Wahrscheinlichkeit weitaus höher, seine Daten durch Zahlung wieder zu erlangen, als durch gar nichts zu tun! 
Denn ich glaube nicht, dass Profis heutzutage veraltete Verschlüsselungs-Trojaner einsetzen, für die schon ein Entschlüsselungs-Algorithmus existiert!
Fortschrittliche Angriffe - Neue Qualität aktueller Angriffe und Prognose
Bist du da sicher? Dann hätte die US-Regierung sicher keine Motivation, Ransomware-Zahlern mit Sanktionsliste zu drohen. „Sanktionsliste“ heißt schon so „nationale Sicherheitsinteressen“…
Klar gibt es welche die dann an die Öffentlichkeit gehen und moralisches Grandstanding betreiben („wir armen Opfer verhandeln nicht mit Terroristen“). Aber wenn es wirtschaftlicher ist wird wohl jedes kapitalistisch orientierte Unternehmen lieber zahlen.
Zu diesem ekelhaft vor Ami-Hipster-CYBER-Selbstdarstellertum triefenden Native Advertising Artikel zum Fremdschämen bei Heise („Phishing“):
Die Überprüfung des verschlüsselten Datenverkehrs sollte eigentlich eine Schlüsselkomponente jeder IT-Verteidigung sein.
Ja klar, es ist die moralische Pflicht jedes Admins, selbst die lächerlichsten Feigenblättchen von sicherer Kommunikation im Internet niederzureißen und seine User nackig zu machen.
Wir machen das jetzt alle so. Weil wir die guten sind. Heil… Hayden
Fake Edit:
Wow, wird echt ein unrühmmliches Ende für Heise. Schade. Früher hätte es sowas hier nur bei „Mac & I“ gegeben. Mit wenigstens dem Anschein, das Produkt als Brancheninsider einzuordnen und sich nicht so ungeniert als Fanboy oder Jubelperser zu outen…
Apples Ökosystem
Im Vergleich zu den anderen ARM-Chipentwicklern hat Apple mehrere Alleinstellungsmerkmale, die Vorteile bringen. Erstens ist Apple schlichtweg das reichste Unternehmen der Welt und kann bei der Entwicklung in nahezu unendlich tiefe Taschen greifen. Damit lockt Apple auch herausragende Chip-Experten an.
Zweitens entwickelt Apple nicht nur den ARM-Chip selbst, sondern auch das komplette Gerät sowie die wichtigste Software, nämlich Betriebssystem, Treiber und Compiler. Obendrein liefert Apple einige der beliebtesten Apps selbst und kann sie folglich für die eigene Hardware optimieren.
Drittens kennt Apple seine Endkunden ganz genau und muss beim Chip-Design nicht auch Funktionen einbauen und Kompromisse eingehen, die für andere Smartphone- oder Notebook-Hersteller wichtig sind.
Dieser letzte Satz hat mir echt den Rest gegeben. Die sind so reich, die kaufen sich einfach die Kunden die sie haben wollen!!!11
Ich fand den Satz danach viel besser:
Da die klassischen, im Unternehmen betriebenen Sicherheitswerkzeuge wie Next Generation Firewalls jedoch nicht über die Leistung und Kapazitäten verfügen, den gesamten verschlüsselten Datenverkehr aufzubrechen, zu inspizieren und erneut zu verschlüsseln, lassen viele Organisationen einen Teil ihres verschlüsselten Datenverkehrs ungeprüft passieren
Nur weil bei Heise im Keller irgendwo ne olle Brotbüchse steht, die beim Öffnen von xhamster schon dicke Backen macht, muss das ja nicht überall der Fall sein!
Eine Firewall der nächsten Generation (NGFW) ist Teil der dritten Generation der Firewall-Technologie, die eine herkömmliche Firewall mit anderen Filterfunktionen für Netzwerkgeräte kombiniert, wie z.B. eine Anwendungs-Firewall mit Inline-Depth Packet Inspection (DPI), ein Intrusion Prevention System (IPS). Es können auch andere Techniken eingesetzt werden, wie TLS/SSL-verschlüsselte Datenverkehrsinspektion, Website-Filterung, QoS/Bandbreitenmanagement, Antivirus-Inspektion und Integration von Identitätsmanagement…
Und genau für diese Funktionen ist die 3. Generation entwickelt worden! Davon abgesehen konnten auch schon FWs der letzten Generation alle diese Features, zumindest die höherwertigen (hochpreisigen) Geräte - das weiß ich einfach aus eigener Erfahrung, die ich mit Gateprotect und Rhode & Schwarz gesammelt habe. OK, dafür musste man schon früher einfach Geld in die Hand nehmen und die Firewall so dimensioniert (inkl. Reserven) einkaufen, dass sie ihrem Einsatzgebiet gerecht wird. Die Einrichtung und Konfiguration, sollte sowieso dann nur noch von einem echten Speznaz durchgeführt werden, und nicht vom Azubi der eigenen IT-Abteilung!
In dem Satz von Heise wird ja behauptet, dass die NGFWs bei hoher, verschlüsselter Datenlast in die Knie gehen würden, im Bezug auf DPI (das ist genau der Arbeitsschritt, der dort beschrieben wird).
Natürlich kann man nicht mit einer 500€ - Firewall den Datenverkehr eines Multinationalen Großkonzerns, mit 50.000 Mitarbeitern und 20 Standorten, im Live-Dataflow kontrollieren!!
Wenn solch ein Unternehmen neue Server ordert, werden diese auch soweit dimensioniert, dass sie bei Zugriff aller Ressourcen, nicht in die Knie gehen! Da eine Hardware-Firewall im Grunde auch nichts anderes ist, wie ein Server mit massig Netzwerkschnittstellen und einer Firmware die explizit nur auf die Aufgaben ausgerichtet ist, verstehe ich die Probleme nicht, die Heise hier versucht zu implizieren?!?
Wie gesagt, vielleicht hat sich die dortige Redaktion nur an der Brotbüchse im Keller orientiert?!
P.S.
Ein Unternehmen, welches seinen Datenverkehr aus welchem Grund auch immer, ungeprüft in beide Richtungen passieren lässt, hat den Knall noch nicht gehört anscheinend - meines Erachtens ist dann eine dicke Seuche das Minimum an erzieherischen Maßnahmen!!! 
Die mit dem Gütesiegel, Haus- und Hoflieferant eines weltweit aggressiv operierenden Auslandsgeheimdienst zu sein? 
Ich frage mich immer, was für eine kranke Vorstellung von Abhängigkeitsbeziehung Admins in ihren Köpfen tragen, die sowas guten Gewissens einsetzen. „Er hat mich ja nur ein ganz kleines bischen geschlagen und will das auch bestimmt nicht wieder tun…“
Bei „IDS/IPS“ gehe ich noch mit, das ist besser als ganz blind zu sein. Aber DPI? Wer sowas einsetzt hat entweder einen Unterdrückungsstaat an der Macht zu erhalten oder ein Problem mit Mitarbeitern, die sonst den ganzen Tag Katzenvideos oder Netfflix schauen.
Die Lösungen für diese Probleme können leider keine technischen sein…
Hatte vorher noch nie was von „ThreatlabZ“ gehört, aber auf den Namen haben scheinbar nichtmal die Heise-Forentrolle Bock.
Wo bei Cisco der Elefant im Raum noch im Brusstton der Überzeugung „wurde leider von der NSA in der Post abgefangen und verwanzt“ wegdementiert wurde, haben diese neuen Hipster-Sec-Buden überhaupt keine falsche Scham mehr… da wird per Design alles direkt in die Cloud übertragen. „Zu Ihrer eigenen Sicherheit, Bürger.“ WTF.
Dass das nicht bloß Abzocker sind, die auf nen fahrenden Hypetrain aufspringen konnte man schön beobachten, als der neue Schutzpatron dieser hochinnovativen Zukunftsbranche die DNC-Russenhack-Legende öffentlich mit der ganzen Autorität seiner Spezialexperten quasi „wissenschaftlich“ legitimierte. Auch wenn sie zumindest so clever waren, das später als die Kameras aus waren zu widerrufen…
pfsense/OPNsense läuft auf Wald- und Wiesenhardware schon sehr performant. Bei denen ist auch das Geschäftsmodell recht transparent. IMO sind Open Source-Lösungen das einzige Modell, das noch so etwas wie einen Vertrauensvorschuss für sich beanspruchen kann…
Keine Frage, nutze ich gerne auch mal selber!
Damit liegst du aber nun einfach falsch, denn Deep Paket Inspection kann zwar den Inhalt des Daten-Streams nach dem Entschlüsseln sehen und prüfen auf Anwendungsebene, es kann aber aus den Klardaten keinerlei Rückschlüsse auf politische Meinungen oder überhaupt auf geschriebenes Wort ziehen! Es werden ja zum Beispiel keinerlei Wertungen bei Gesprächsinhalten getroffen bei Telefonaten über die Firewall. Diese Erkennungsalgorithmen, welche du damit ins Spiel bringst, würden dann schlichtweg zu der Überforderung der FW führen, wie Heise sie berichtete! Das war noch nie und ist auch nicht die Aufgabe einer Firewall im Unternehmensumfeld. Andererseits funktionieren ja nachweislich diese Algos noch nicht einmal bei Facebook, Youtube!!
DPI kann aber so tief in den Datenverkehr prüfend einwirken um halt auf Anwendungsebene Programmcode zu unterscheiden, auf Basis von Algorithmen, wie sie auch in jeder Antivirus-Technik vorkommen!
Da die Arbeit einer Firewall immer nur in Echtzeit stattfindet, es im Ergebnis immer nur zwei Möglichkeiten gibt, die dabei rauskommen können und das nachträgliche Speichern dieser untersuchten Datenpakete nicht ansatzweise vorgesehen ist, kann ich die Aussage, dass DPI politisch unkorrekt wäre, nicht nachvollziehen!
Nur weil bei dem Thema Unterdrückungsstaaten zum Beispiel „The Great China Firewall“ auftaucht, kann man diese dort eingesetzten Techniken echt nun mal gar nicht mit einer Unternehmens-Firewall vergleichen oder sogar gleichsetzen!
Katzenvideos und Netflix kann man natürlich auch damit unterbinden…dazu braucht es allerdings keine Technik wie DPI für, genau genommen noch nicht einmal eine FW…da man einfach die Absender-IPs schon im Router blocken könnte!
Da hast du mich misverstanden, das war nicht, was ich meinte.
DPI ermöglicht die L7-Klassifizierung von Traffic unabhängig der Kooperation der Teilnehmer. Damit kann man außer bunte Statistiken zu erstellen, auf die der Bossman so abfährt, zwei wichtige Use Cases abdecken:
- QoS/Shaping. Wenn man seine Netzknoten aus Raffgier überprovisioniert (hi Telekom). dann kann man dank DPI die datenhungrigen Anwendungen der Konkurrenz schön unauffällig wegdrosseln. „Oh, das ist halt so zur Feierabendzeit, ist wie Stau auf der Autobahn, kann man nichts machen. Wir können ja auch nicht einfach ne zweite Autbahn daneben bauen“)
Gleichzeitig haben die eigenen Dienste oder die dafür zahlender „Partner“ immer freie Fahrt.
Das Gegenteil von Netzneutralität. Premiumzugang meistbietend an Contrentanbieter zu verschachern, obwohl berets als „neutrale Leitung“ durch den Endkunden finanziert ist nicht nur wettbewerbsverzerrend (das Providerprivileg gilt nur unter der Annahme, dass der Provider nicht selbst in dem Markt aktiv ist, dessen Zugang er emöglicht) sondern gegen alle Prinzipien des freien
Internets…
- Einfach alles wegblocken, was der staatliche Zensor nicht genehmigt hat. China macht das so mit der Great Firewall. Westliche Messengerdientste, unzensiertes IPTV aus dem Nachbarland, VPN, Tor…
Das Beispiel mit den Katzenvideos hatte ich genommen, da man im Gegensatz zum drosselnden Carrier/ISP hier tatsächlich ein legitimes Interesse eines Arbeitgebers argumentieren könnte. Wenn die Leitungskapazität straff wirtschaftlich geplant ist, könnnen einem ein paar (dutzend?) Mitarbeiter, die während der Arbeit Videos streamen und somit ein x-(Tausend-)faches der ihnen zugedachten Kapazität wegfressen echt den Tag versauen.
Ich hab manchmal auch ntopng laufen zwecks Monitoring. Während das im weitesten Sinne DPI ist, ist es harmloses passives Beobachten. Eine völlig andere Hausnummer als die landläufig als DPI bezeichnetze Manipulation des Traffics aufgund der Gelüste eines „Carriers“.