1Wenn Sie sich hier Tipps für die Auswahl attraktiver Marketingnamen erhoffen, lesen Sie vermutlich das falsche Buch!
2Der Verizon Data Breach Investigations Report (https://oreil.ly/ydkVz) ist eine ausgezeichnete und frei verfügbare Ressource, um die verschiedenen Arten von erfolgreichen Angriffen zu verstehen. Er ist nach Branchen und Methoden organisiert, und die Management Summary ist sehr gut lesbar.
3Ich empfehle Threat Modeling: Designing for Security von Adam Shostack (Wiley 2014).
4Das Konzept entstammt ursprünglich Albert Barrons LinkedIn-Artikel »Pizza as a Service« aus dem Jahr 2014 (https://oreil.ly/l_RCH).
5Risiken können auch interagieren oder sich aufsummieren. Es kann zwei Risiken geben, die beide recht niedrige Eintrittswahrscheinlichkeiten und auch nur beschränkte Auswirkungen haben. Aber sie können gemeinsam eintreten, und die Auswirkungen können gemeinsam ernsthafter sein. So mögen die Auswirkungen einer defekten Stromleitung zu einem redundanten Data Center handhabbar sein, aber wenn beide Data Center gleichzeitig ohne Strom sind, wäre das wirklich schlecht. Das lässt sich oft nur schwer vorausplanen – der Stromausfall des Flughafens von Atlanta im Jahr 2017 (https://oreil.ly/8VXtI) ist dafür ein gutes Beispiel.
1Ransomware ist gleichzeitig eine Verletzung der Verfügbarkeit und der Integrität, weil sie unautorisierte Veränderungen an Ihren Daten vornimmt, um sie nicht mehr verfügbar zu machen.
2Wenn Sie unbegrenzte Ressourcen zur Verfügung haben, treten Sie bitte in Kontakt mit mir!
3Erinnern Sie sich an die 6,5 Millionen Passwort-Hashes von LinkedIn, die gestohlen, offline entschlüsselt und dann verwendet wurden, um auf andere Konten zuzugreifen, bei denen die User das gleiche Passwort eingesetzt haben? So etwas ist immer wieder passiert, und Sites wie »have i been pwned« (https://haveibeenpwned.com) können Ihnen all die Datendiebstähle aufführen, die eventuell Ihre E-Mail- und Passwortdaten enthalten.
4Beachten Sie, dass eine In-Memory-Verschlüsselung die Daten nur vor Angriffen von außerhalb des Prozesses schützt – schaffen Sie es, den Prozess selbst dazu zu bringen, etwas zu tun, das er nicht tun sollte, kann dieser den Speicher lesen und die Daten preisgeben.
5Trotz der Erkenntnisse eines bekannten USENIX-Artikels (https://oreil.ly/FSbkW) von Peter Gutmann aus dem Jahr 1996, in dem die Möglichkeit untersucht wurde, Daten von einer Festplatte zu lesen, die überschrieben wurden, ist das heutzutage nicht praktikabel. Das Wiederherstellen überschriebener Daten von Solid State Drives (SSDs) ist aufgrund der Art und Weise des Schreibens von Daten ein bisschen leichter, aber die meisten SSDs besitzen ein »Secure Erase«-Feature, um das gesamte Laufwerk zu säubern – in einem USENIX-Artikel (https://oreil.ly/ec5Hp) von Michael Wei et al. aus dem Jahr 2011 finden Sie mehr dazu.
6Das ist eine extrem vereinfachte Darstellung. Umfassend werden all diese kryptografischen Dinge in Bruce Schneiers Buch Angewandte Kryptographie (Pearson Studium 2006) behandelt.
7Auch wenn es paradoxerweise ganz einfach geht, wenn man es unabsichtlich macht!
1Es gibt Menschen, die behaupten, dass Bare Metal nicht Cloud sei. Laut der im Allgemeinen akzeptierten Definition NIST SP 800-145 (https://oreil.ly/hzQjr) sind die notwendigen Eigenschaften des Cloud Computing On-Demand-Self-Services, guter Netzwerkzugriff, Ressourcen-Pooling, schnelle Elastizität und gemanagte Services. Für keine dieser Eigenschaften ist eine Virtualisierungstechnologie erforderlich, auch wenn man über die Definition von »schnell« diskutieren kann.
2Ein paar Beispiele für Angriffe auf Kubernetes finden Sie auf der Website MITRE ATT&CK (https://oreil.ly/OjOWb).
3Sie können in einem Object Storage eine Ordnerhierarchie simulieren, indem Sie Objektnamen mit Schrägstrichen darin nutzen. Aber wenn Sie die Objekte in einem »Ordner« namens A anzeigen lassen wollen, sucht das Object-Storage-System eigentlich nur nach allen Objekten, die mit A/ beginnen.
4Ein berühmter »Supply Chain«-Angriff wurde im Dezember 2020 gegen SolarWinds durchgeführt – dabei wurde das Build-System so kompromittiert, dass Malware in den Build geflossen ist.
5Achten Sie darauf, dass Sie dem Least Privilege Principle folgen und dass die Credentials für die Inventarautomatisierung Ihrem Inventarsystem nicht mehr Macht geben, als absolut notwendig ist! Ein Inventarsystem sollte nur Metadaten lesen können und nichts anderes als Tags verändern dürfen.
6Beachten Sie, dass kostenlose Services nicht vollständig »kostenlos« sind – der Provider nutzt vielleicht Ihre Daten oder erhält gewisse Rechte daran, daher sollten Sie sich die Nutzungsbedingungen anschauen!
1Werfen Sie beispielsweise einmal einen Blick in den Verizon Data Breach Investigations Report (https://oreil.ly/Ealmn).
2Es gibt auch einen Prozess, um zu überprüfen, ob eine Person diejenige ist, als die sie sich ausgibt – das wird meist als Identity Proofing bezeichnet. Üblicherweise geschieht das im Rahmen eines Onboardings in einem Unternehmen oder während eines Prozesses zum Wiederherstellen von Passwörtern. Im Allgemeinen liegt dies nicht in der Verantwortung der User von Cloud-Services.
3Zero-Knowledge-Verschlüsselung bedeutet, dass Ihr Provider keine technische Möglichkeit hat, die Daten zu entschlüsseln – meist, weil Sie nur verschlüsselte Daten ohne die Schlüssel verschicken. Das schränkt die Möglichkeiten des Providers ziemlich ein und ist am sinnvollsten für Backup-Services, bei denen der Provider einen Haufen Daten lediglich aufbewahren muss, ohne sie zu verarbeiten.
4Ich nenne das spaßeshalber gerne das »Prinzip des schon eh schon Verlorenhabens«. Es ist trotzdem gut, eine Möglichkeit zu haben, die Aktionen Ihres Providers zu überwachen, um eine potenzielle Kompromittierung entdecken zu können.
5Sind Sie sich zu 99,9% sicher, dass die Credentials einer Person ein Jahr lang nicht gestohlen werden, und haben Sie 1.000 User, können Sie sich nur zu 36,7% sicher sein, dass keinerlei Credentials von all Ihren Usern innerhalb eines Jahres wegkommen. Wahrscheinlichkeitsrechnung ist toll!
6Die Stärke von Passwörtern wird normalerweise über ihre Entropie gemessen. Eine sehr vereinfachte Erklärung: Geben Sie einer angreifenden Person alle Informationen darüber, wie ein Passwort aufgebaut ist, aber nicht das tatsächliche Passwort – zum Beispiel »20 Großbuchstaben« –, beträgt die Entropie log2(Anzahl möglicher Passwörter).
7Diceware basiert auf der Idee, dass es für Menschen viel einfacher ist, sich Phrasen anstelle von Buchstaben zu merken, und dass so gut wie jeder sechsseitige Würfel zu Hause hat. Sie können die Diceware-Wortliste herunterladen und dann würfeln, um fünf oder sechs Wörter von der Liste auszuwählen. Es gibt auch Webseiten, die für Sie lokal eine Passphrase erzeugen. Das Ergebnis ist ein außerordentlich sicheres Passwort, das sich leicht merken lässt.
8Manche Anwendungen können sich ein TOTP-Secret merken und es nutzen, um sich damit zusammen mit einem Passwort anzumelden, aber das geschieht im Allgemeinen nur in Fällen, in denen ein Testtool vorgibt, ein sich anmeldender User zu sein. Kann ein Angreifer in die Anwendung gelangen, wird er sowohl das Passwort als auch das TOTP-Secret am selben Ort vorfinden, sodass der zweite Faktor in dieser Situation sicherheitstechnisch nicht wirklich hilft.
9Es gibt tatsächlich einen Begriff für Secrets, die in öffentlichen GitHub-Repositories gefunden werden: »GitHub Dorks«. Das kommt so häufig vor, dass GitHub mittlerweile dafür sorgt, dass Code-Pushes mit Secrets blockiert werden.
1Vielleicht einen, der das Tragen von Schuhen beinhaltete.
2So lassen sich beispielsweise alle großen Cloud-Provider mit HashiCorp Terraform nutzen, und AWS besitzt zudem sein eigenes CloudFormation.
3Ein Blue/Green-Deployment ist eines, bei dem Sie alte (blau) und neue (grün) Versionen einer Anwendung haben, die gleichzeitig laufen. Sie verschieben den Traffic immer nur ein kleines bisschen von der blauen zur grünen Version, sodass Probleme mit der neuen Version nicht all Ihre Kunden auf einmal betreffen und Sie schnell wieder zu Blau zurückkehren können, wenn etwas mit der neuen Version nicht stimmt.
4Eine der Hürden beim Vulnerability Scanning ist: Finden Sie tatschlich eine Sicherheitslücke, lässt der Scan manchmal die betroffene Komponente abstürzen. Sicher, Sie haben ein Problem gefunden, aber auf Kosten von Downtime! Das Risiko eines Ausfalls ist viel geringer, wenn der Scan nur eine der Anwendungsinstanzen abstürzen lässt.
52003 entschied sich Microsoft, alle Patches des vergangenen Monats zusammenzufassen und sie am zweiten Dienstag des Monats zu veröffentlichen – viele andere Firmen folgten ihnen. Gerüchte besagen, dass ein Dienstag gewählt wurde, weil so genug Zeit ist, um sich nicht das Wochenende zu versauen, und der Montag sowieso schon schlimm genug ist.
6Beispiele für einen schlechten Umgang mit Sicherheitsproblemen: Uber hat in einem Vergleich über 148 Millionen US-Dollar für den Versuch gezahlt, einen Einbruch zu vertuschen (https://oreil.ly/J8gw3), und LastPass hat seinen Ruf geschädigt, weil es versuchte, die Auswirkungen eines Sicherheitsvorfalls im August 2022 herunterzuspielen (https://oreil.ly/YJHGG).
7UDP Scanning ist – wie jede andere UDP-Kommunikation – aufgrund des Designs unzuverlässig.
1Wenn man unnötig pedantisch sein will, sollte man sie als »TCP/UDP-Allowlists« und nicht einfach nur als »IP-Allowlists« bezeichnen, wenn sie Portinformationen enthalten.
2Ist das über den Proxy abgewickelte Protokoll IP, wird das Ganze als Network Address Translation bezeichnet, und es geht um »Routing« statt um »Proxying«, aber das Konzept ist das gleiche!
3Technisch gesehen, ist Masquerading eine dynamische Form des SNAT, bei dem die Quelladresse auf die Adresse der Schnittstelle gesetzt wird, über die das VPC verlassen wird, aber die meisten Menschen nutzen die Begriffe synonym.
4Wenn Sie darüber nachdenken, ist das Problem »wir haben nicht genug Adressen« ein ziemlich verrückter Grund für all diesen Ärger.
5Eine Ciphersuite ist ein Satz von Entschlüsselungs- und Signieralgorithmen, die zum Absichern der TLS-Verbindung genutzt werden. Auch wenn es viele wichtige Details gibt, die für kryptografisch interessierte Personen von Interesse sein können, müssen Sie im Allgemeinen nur wissen, welche Ciphersuites aktuell als sicher angesehen werden, und Ihre Verbindungen darauf begrenzen. Manchmal müssen Sie auch weniger sichere Ciphersuites akzeptieren, wenn Sie das andere Ende der Verbindung nicht kontrollieren – weil Sie es beispielsweise veralteten Browsern erlauben müssen, mit Ihnen zu kommunizieren.
6Manche Cloud-Provider unterscheiden zwischen Sicherheitsgruppen, die für ein einzelnes System gelten, und Network Access Control Lists, die für den Traffic gelten, der das Subnet erreicht oder verlässt. Microsoft Azure nutzt Network Security Groups, die sowohl für Systeme wie auch für Subnets angewendet werden können, und Google Cloud Platform setzt auf Firewall-Regeln und Ziel-Tags.
7Ein Remote Access Trojan ist eine Malware, mit der das System eines nichts ahnenden Users gesteuert wird. Vielleicht surft ein Administrator eine böswillige Website an, die heimlich einen RAT installiert. Spät in der Nacht – wenn der Administrator selig schlummert – übernimmt dann eventuell eine Angreiferin die Kontrolle über die Administrations-Workstation und nutzt offene Sessions oder gecachte Credentials, um das System anzugreifen.
8Internetuser auf der ganzen Welt wurden durch die Veröffentlichungen von Edward Snowden auf dieses Potenzial aufmerksam (https://oreil.ly/VRAKX).
9Google tut das auch nicht mehr (https://oreil.ly/BGnmy).
10Das Kopieren von Daten über Fotos und Videos auf mobilen Geräten, oft auch als »analoge Lücke« bezeichnet, lässt sich ohne sehr restriktive physische Schutzmaßnahmen fast nicht verhindern – so müssten Personen durchsucht werden, bevor sie einen abgesicherten Bereich betreten dürfen.
11Schalten Sie das Überprüfen des Zertifikats nicht ab – außer als sehr kurzfristige Maßnahme, um Verbindungsprobleme zu analysieren. TLS bietet keinen Schutz vor Man-in-the-Middle-Attacken, wenn das Prüfen der Zertifikate deaktiviert ist.
1Das wird manchmal auch als »Vier-Augen-Prinzip«, »Zwei-Personen-Regel« oder »Zwei-Mann-Regel« bezeichnet.
2Der Begriff »Syslog« kann verwirrend sein, weil er oft genutzt wird, um sich auf ein Programm zu beziehen, das Syslog-Nachrichten annehmen kann, auf ein Netzwerkprotokoll (meist über udp/514 oder tcp/514 laufend) oder auf ein Format für Zeilen in einer Log-Datei.
3In vielen Organisationen wird es Computer Security Incident Response Team (CSIRT) genannt, um es von anderen Incident Response Teams zu unterscheiden.