PEBKAC: das Problem der Stufe 8

(Di Marco Rottigni)
11/08/21

PEBKAC. Nie gehört dieses Wort, Herkunft Nerd aber welches stellt eines der größten und am schwierigsten zu lösenden Probleme der Computersicherheit dar?

Es ist ein Akronym, es bedeutet Problem besteht zwischen Tastatur und Stuhl - das heißt, das Problem liegt zwischen der Tastatur und dem Stuhl.

Andere nennen es HF, um es anzuzeigen Menschlicher Faktor - der menschliche Faktor; wieder andere verwenden liebevoll den Namen Dave, basierend auf einem bekannten Cartoon über Datensicherheit aus dem Jahr 2006, gezeichnet vom Karikaturisten John Klossner.

Alles, um auf etwas Gefährliches, scheinbar harmloses hinzuweisen, das aber nicht - oder zumindest unbequem - beseitigt werden kann: der ahnungslose Benutzer.

Dieser Artikel hat daher das ehrgeizige Ziel, die Risiken dieser Unwissenheit zu beschreiben, in der Hoffnung, jeden Leser zu einer Reflexion anzuregen, die das Bewusstsein für das Risiko stärkt.

Stellen Sie sich also unseren Dave vor – einen Mitarbeiter der Personalabteilung bei Acme Farmaceutici SpA – während er morgens seine E-Mails checkt und eine LinkedIN-Kontaktanfrage von einer gewissen Fiammetta Canestrelli erhält, die sagt: „Dave, wie viele Jahre bist du schon in der High School? Ich erinnere mich sicher gut an dich und würde dich gerne in meinem beruflichen Netzwerk haben."

Dave erinnert sich nicht gut an Fiammetta - seltsam, weil er so einen besonderen Namen hat - aber wenn sie sich an ihn erinnert, warum nicht näher kommen?
Dave findet diese Einladung daher unwiderstehlich - vielleicht dank des Bildes der blauäugigen Brünette, die auf der Profilseite hervorsticht, auf die er - auf den E-Mail-Link geklickt - zugreift, um den Kontakt zu bestätigen ... sicherlich nicht auf die Zwischenstufe achten Site, von der die Verbindung nach dem Anklicken des Links weitergeht.

Site, deren URL für weniger als eine Sekunde in der Statusleiste des Browsers angezeigt wurde, die jedoch einem System diente, um viele Informationen über die Verbindung abzufangen, bevor sie auf die offizielle LinkedIN-Site umgeleitet wurde.

Wenn Dave versucht hätte, in einer Bildersuchmaschine nach diesem schönen Paar blauer Augen zu suchen, hätte er neben Fiammettas professionellem Profil Dutzende von Ergebnissen gefunden: Eyeliner-Anzeigen, Model-Casting-Agenturen, Online-Tutorials zur Bildbearbeitung ... keines davon Fiammetta erwähnt.

Stattdessen entdeckt er beim Besuch des Profils, dass sein angeblicher ehemaliger Schulkamerad über eine sehr respektable Erfahrung im Bereich der Cybersicherheit verfügt, mit Jahren in den wichtigsten Unternehmen und zwei Universitätsmastern in den Vereinigten Staaten; er ist fast glücklich, sein Schulkamerad gewesen zu sein.

Ein Glück, das er wenige Tage später findet, als er die Anfragen über Facebook und Instagram sieht, dank denen sich Fiammettas Fotos in anderen Zusammenhängen vermehren: Abende in Clubs, Porträts in Kostümen am Meer, da gibt es auch das Foto im Ganzkörperanzug von das er das des Berufsprofils genommen haben muss ... ein wirklich nettes Mädchen, denkt Dave.

Wenn Sie also über den Messenger den Link zum Besuch des Blogs von Fiammetta mit vielen Artikeln über die Herstellung von Brot und großartigen Sauerteigprodukten erhalten, klicken Sie darauf, ohne lange nachzudenken.

Was Dave nicht weiß, ist, dass die Kombination seiner Aktionen dazu geführt hat, dass ein weiteres Augenpaar, das nicht blau ist oder sogar dem Mädchen gehört, auf seinem Unternehmens-PC, der aufgrund einer Pandemie ferngesteuert mit den Personalsystemen verbunden ist, eine hervorragende Sicht hat des Unternehmens Acme Farmaceutici SpA.

Dank einer völlig ahnungslos und transparent aus dem Blog heruntergeladenen Software laufen zwei geschickte Hände auf einer Tastatur - geführt von einem in Computerkompromissen geschulten Gehirn. Eine Verbindung, die von Osteuropa ausgeht, schlüpft in unauffindbare Netze bis zu Daves Laptop, von hier aus landet sie per VPN auf der Anwendung, mit der ACME Mitarbeiterdaten verwaltet. Nicht sofortiger Betrieb dank der Verwendung komplexer Passwörter, die ACME seinen Personalmitarbeitern auferlegt ... außer denen, die sie für den persönlichen Gebrauch verwenden, wie z Social Network.

Aber enorm erleichtert durch Dave, der diese Praxis hasst und sich das Passwort zum Einloggen in das System direkt im Browser gespeichert hat, damit er sich nicht ständig diese komplexe 15-Zeichen-Sequenz merken und eingeben muss.

Und Gott sei Dank benötigt die IT von ACME beim Zugriff auf das VPN kein Einmalpasswort, denn der Kanal ist sicher!

Im folgenden Monat erhält der CISO von ACME eine der schlimmsten E-Mails seiner Karriere. „Wir haben die vollständige Datenbank der Mitarbeiter: persönliche Daten, Gesundheitszustand, Arbeitsgeschichte und Details zu Gehältern, Boni und Familienmitgliedern, die wir im Notfall kontaktieren können.
In 48 Stunden werden diese Informationen veröffentlicht, wenn wir die Summe von 20BTC nicht erhalten
(derzeit über 666 Tausend Euro, NdA)"

Nachdem sich der CISO von dem Schock erholt hat, ruft der CISO den Krisenstab des Unternehmens herbei und bereitet sich darauf vor, zu erklären, wie es zu einem Unfall dieser Schwere kommen konnte. trotz der exorbitanten Investitionen in Sicherheitstechnik, die das Unternehmen über die Jahre getätigt hat.

Investitionen, die zur Verstärkung des Schutzes von Unternehmens-E-Mails dienten, Anti-Malware modernste Authentifizierungsschutzsysteme, VPNs zur Anbindung von Remote-Mitarbeitern (von der Pandemie stark getestet), sogar und laufende kompromisslose Tests, die zweimal im Jahr durchgeführt werden - spätestens im letzten Monat.

Ein Schutz, der alle sieben Ebenen des ISO/OSI-Referenzmodells für die Verbindung und Kommunikation zwischen heterogenen Systemen abdeckt: physisch, Datenverbindung, Netzwerk, Transport, Sitzung, Präsentation und Anwendung.

Alle!

Bis auf einen kleinen, aber wichtigen Fehler auf Level 8: Dave.