Dieser Post ist ein Rant.

Vor einigen Monaten habe ich mit einem Kollegen länger geplaudert, dessen Fokus in der IT-Sicherheit liegt. Wir haben Geschichen darüber ausgetauscht, wie traurig und fast unlösbar kaputt der allgemeine Zustand der Sicherheit unserer Branche ist. In diesem und (vielleicht irgendwann) folgenden Beiträge möchte ich verschiedene Beispiele zeigen, die ich in der Praxis in Unternehmen gesehen habe.

Alle Beispiele sind anonymisiert. Ich will nicht die Schuld auf einzelne Informatiker*innen schieben - denn häufig ist das Fehlen ein Sicherheitskultur ein Fehler des Management - weil es ganz ans Ende der Prioritäten geschoben wird, oder schlicht niemanden interessiert. So muss die aktuelle Ransomware-Welle auch niemanden wundern.

Der Zombie-Webserver im Internet

Eine Geschichte aus einem vorherigen Job:

Der Dienstleister einer Partnerfirma hatte ein Web-Schnittstelle (API), über welchen täglich eine große Menge an personenbezogenen Daten auf unser System zur Weiterverarbeitung und Speicherung übertragen wurde. Eines Tages haben wir unsere Server auf die neueste LTS-Version von Ubuntu aktualisiert, was auch ein neues OpenSSL enthielt. Und genau dieses weigerte sich nun, mit dieser API zu sprechen. Also fing ich eine kleine Untersuchung an.

Bei SSL/TLS-Problemen nutze ich in der Regel Qualys' praktischem SSL Server Test, welcher eine Vielzahl von Prüfungen durchführt und einen übersichtlichen Bericht über die TLS-Fähigkeiten eines Systems liefert.

Die Ergebnisse waren, nunja, etwas verstörend:

None
TLS 1.0 stammt ja nur aus den 90ern, ist also noch recht neu...

Es wurden für den Dienst zwei unterschiedliche Webserver verwendet, und Nummer zwei war sogar noch schlechter:

None
Man könnte fast meinen, jemand wollte einen negativen Highscore knacken.

Dazu kam auch, dass die verwendete nginx-Version des Webservers schon knapp 7 Jahre alt war, inklusive mehreren offenen CVE.

Meldung an den Hersteller

Ich habe die Lücken prompt unserer Partnerfirma gemeldet (das war August 2020), welche diese Probleme wiederum an ihren IT-Dienstleister weitergeleitet haben, welcher die Server betreut.

Damit sollte das Problem erledigt sein, oder?

Ein Kartenhaus aus Legacy

Als zuerst versucht wurde, die offensichtlich seit Jahren ungepatchten System zu aktualisieren, fiel deren halbe Plattform auseinander - da das ganze gesammelte Technical Debt wohl ziemlich tief in den Stack gereicht hat - bis hin zu der Clientsoftware, die an Enduser verteilt wurden.

Der Fix wurde mehrfach wieder zurück genommen und das Update mehrfach wiederholt. 🤡

None
(c) Kyle Kingsbury (aka @aphyr)

An einem gewissen Punkt (so 2 Monate später) erhielt ich eine Nachricht von unserem Partner:

würde ich bei ... arbeiten, wäre mir persönlich das jetzt extrem peinlich. Aber so sitze ich auch nur in der Mitte und schüttle den Kopf

Wohlgemerkt ist dies kein Webdienst für Katzenbilder, sondern dieser überträgt personenbezogene- und Bewegungsdaten von tausenden von Menschen jeden Tag - ohne der Möglichkeit eines Opt-Outs.

Im März 2021 (7 Monate später) kam endlich die Bestätigung von unserer Partnerfirma, dass das Sicherheitsproblem final behoben wurde. Hurrah?

Wirklich gefixt?

Nach der Diskussion mit meinem Kollegen (Ende 2021) habe ich die beiden Server erneut geprüft - und siehe da, man ist wieder zurück auf den Anfang - über 14 Monate (!) nachdem ich den Fehler zum ersten Mal gemeldet habe.

Au weia. 🤦‍♂️

Als ein frühes Weihnachtsgeschenk habe ich dieses Problem dem BSI gemeldet.

Das BSI hat löblicherweise sehr schnell reagiert, meine Einschätzung bestätigt und mir mitgeteilt, dass an der Behebung gearbeitet wird, aber es bis nach den Feiertagen dauern wird, das Problem zu beheben. Kein Wort darüber, ob das System in der Zeit abgeschaltet wird - man lässt es wohl lieber so offen stehen.

None
Immerhin bilde ich mir diese Probleme nicht nur ein...

None
Und es wird an der Behebung gearbeitet!

Zeit ist relativ

Danach war erstmal Ruhe. Knapp 2 Monate nach der initialen Meldung kam nun die Info, dass man wohl nochmal 3 Wochen braucht, um Updates einzuspielen:

None
Die Lücken waren 5+ Jahre alt, warum sich also stressen mit der Behebung?

Juhu, endlich alles sicher!

3 Monate nach der BSI-Meldung ist es soweit, die Lücken wurde geschlossen. Hurrah! 🥳

None
3 Monate für ein Webserver-Update, just Neuland things.

Aber kaum 30 Minuten später kam nochmal eine E-Mail? 😳

None
TLS auf Unterseiten

Ernsthaft? 🤦‍♂️

Ich habe daraufhin den gleichen Test vom Anfang an gemacht. Und siehe da: Es wurde gar nix repariert. Da stellte sich mir wirklich die Fragen:

  • Wie konnte das BSI das überhaupt bestätigen?
  • Und wieso reden die von "Unterseiten", wenn hier ganze Server betroffen sind?

Naja, nach weiteren 2 Wochen kam nun der finale Abschluss:

None
Die Lücken waren 5+ Jahre alt, warum sich also stressen mit der Behebung?

Aber ist es wirklich repariert?

Task failed successfully

Jain. Die gröbsten Sicherheitslücken sind wirklich behoben, auch wenn der Server immernoch Sicherheitsprotokolle aus dem Jahr 1999 verwendet, deren Verwendung seit über einem Jahr praktisch unzulässig sind. Selbst der BSI Mindeststandard schreibt vor, dass mindestens TLS 1.2, und nichts älteres erlaubt ist. Die meisten Browser haben den Support für TLS 1.0 und 1.1 auch schon entfernt, warum lässt man das also server-seitig noch eingeschaltet?

None
Immerhin kein SSL 3.0 mehr...

Dazu kommt jetzt hinzu, dass sich das System nun als "Apache/2.4.6" meldet, eine eher antiken Version vom Juli 2013 mit mindestens 35 bekannten Sicherheitsproblemen.

🔥 🔥 🔥

Wie geht's weiter?

Ich könnte natürlich jetzt das Ticket wieder auf machen.

Aber wieso noch mehr meiner Zeit verschwenden, wenn manche Firmen ein offensichtliches Desinteresse an der Sicherheit ihrer Systeme haben?

¯\_(ツ)_/¯

Fazit

Zusammengefasst, was lief hier alles falsch?

  • Ein Dienstleister installiert Systeme die aus dem Internet erreichbar sind (und verteilt auch Software an Kundensysteme) hat aber keinerlei Patchmanagement.

  • Nachdem die Lücke gemeldet wurde, begann ein chaotischer Prozess, der jedoch irgendwann einfach abgebrochen wurde.

  • Der Kunde vom System macht selbst keinen Druck, dieses Problem zu lösen - und scheinbar war es ihm irgendwann auch egal (wahrscheinlich weil ich nichts mehr gesagt habe).

  • Selbst nachdem das BSI eingeschaltet wurde, dauerte es mehr als 3 Monate, bis die gröbsten Probleme behoben wurden - und dabei wurden neue aufgemacht (oder entdeckt).

  • Am Ende ist das System immernoch unsicher, weil wohl nirgendwo jemals ein Update installiert wurde.