Sicherheitsproblem "Kennwort knacken"

[loeweadolf]

Ich habe nachstehend die Stellungnahme des Mitarbeiters aufgeführt, der diem Kennwörter rausgefunden hat.

mfg. Ludger

Tagchen!

Ist ja schon interessant...

Also muss CA mit SSL/Telnet her? Da muss CA auf ALLEN PC's neu
installiert werden - na dann Prost&Mahlzeit!

> Seit der Einführung von Client-PC's an der AS/400 gibt es diese
> "Probleme", die eigentlich gar keine sind !!!

Wie gesagt: das gleiche (Kennwort-Auslesen-)Problem wäre auch, wenn zwei
AS400's sich über's Netz unterhalten.
Es ist schon klar, daß das nicht problematisch ist, wenn AS400
ausschließlich über "Russenschirme" bedient wird. Es ist auch klar, daß
mein uralter Windows-3.11-PC auch nicht zu knacken ist, wenn der keine
Netzwerkverbindung hat und ich die Festplatte in der Hosentasche herumtrage.

> Bei konsequenter Umsetzung des Berechtigungssystems der AS/400 lassen
> sich alle Probleme abschalten, so dass der Benutzer nur noch das darf,
> wozu er berechtigt ist.

Das Problem ist nur, daß man zunächst von höchster Sicherheit ausgeht
(Werbung, Anschein der Sitzungen, Aufwand mit Anmeldungen usw.), in
Wirklichkeit aber "offen wie ein Scheunentor" ist. Jetzt, 10 Jahre und
1000e Dateien später, muss man sich nachträglich um die Sicherheit
kümmern - soweit ich die Sache verstanden habe (!), ist das mit
AS400-Bordmitteln auch nicht unbedingt vollständig möglich (zumindest im
Excel-DÜ/FTP-Fall), es werden u.U. zusätzliche Tools benötigt.
Das wird schwierig - wie auf anderen Systemen auch, wenn das
Sicherheitskonzept erst nachträglich angelegt wird.

Sicher kommt mit den PCs noch das Problem dazu, daß viele "interessante"
Programme verfügbar sind (Sniffer usw., bequeme
Datenübertragungsprogramme wie FTP-Clients oder Excel-Datenübertragung,
ODBC-Treiber usw. z.T von IBM selbst geliefert) und zudem nicht mehr
ausschließlich "menugesteuerte" User vor dem Schirm sitzen. Für viele
PC-User ist der Begriff "FTP" sicherlich kein Fremdwort, schon wer
Excel+IBM-Datenübertragung-Plugin auf dem PC hat, ist ein
Sicherheitsrisiko.

Na dann,
I. K.

[BenderD]

Hallo Ludger,

diese Probleme sind keineswegs auf PCs als Terminals beschränkt. Auch Terminals lassen sich sniffen auch auf Twinax oder sonstigen beliebigen Leitungen. Noch besser sind alle Funkstrecken, zum Beispiel lässt sich der Transfer zwischen kabelloser Tastatur und Rechner abfressen, selbst nach potentieller Umstellung auf SSL; mit empfindlichen Geräten sicherlich auch von außerhalb des Büros oder sogar Gebäudes.
Sicherheit besteht im wesentlichen aus vier Bausteinen:
1. geschützte Netzwerkverbindungen, oder Verschlüsselung (SSL)
2. physikalischer Schutz zentraler Rechner (manuell hochgefahren von einem alternativen Boot Device fressen diese Viecher aus der Hand!)
3. selektive Installation zentraler Rechner und kontrollierter Betrieb (nur die Dienste, die benötigt werden)
4. adäquate Rechtevergabe und Benutzer Authentifikation
Menüschutz und was es da noch so alles an Pseudolösungen gibt (beinahe hätte ich hier Produkte erwähnt) bringen da nicht weiter, beruhigen allenfalls ungemein.
Wenn da noch offene Außenverbindungen da sind, dann geht das nur mit spezieller Firewall (Hardware/Software) alles andere ist Prinzip Hoffnung.

mfg

Dieter Bender,
der sich nicht mehr mit diesen Dingen beschäftigt.

Ich habe nachstehend die Stellungnahme des Mitarbeiters aufgeführt, der diem Kennwörter rausgefunden hat.

mfg. Ludger

[Fuerchau]

@Ludger
Die Stellungnahme deines Kollegen finde ich ja höchst interessant!

Klar ist:

Sobald ich eine Tür aufmache, muss ich zusehen wen ich hereinlasse oder nicht.
Die AS/400 ist eine der sichersten Maschinen !
Wenn ich natürlich von vorneherein das Sicherheitskonzept vernachlässige und offene Türen und Fenster (Windows) einfach ignoriere, kan man natürlich schnell sagen, dass die AS/400 nicht sicher ist.

Und genau darum geht es doch: Seit es PC's gibt MUSS man sich um seine Sicherheit kümmern und kann sich nicht darauf berufen, dass das doch alles automatisch geht.

Nicht umsonst ist die AS/400 bisher virenfrei !!!

Und was die Kommunikation AS/400 zu AS/400 ist, so muss die sich überhaupt nicht im Klartext unterhalten und das ohne weitere Produkte einzusetzen. Das funktioniert sogar über WAN's !

@Dieter
Wenn man den Gerüchten glauben soll, besitzt der CIA einen Generalschlüssel für die 128-Bit-Verschlüsselung, da kann man sich mit SSL ja auf den Kopf stellen.
Wie war der Closed-Shop-Betrieb doch so angenehm.

[BenderD]

@Baldur

Das erste ist das klassische Missverständnis überhaupt. Die AS400 hat bis V3R2 gebraucht, um C2 Security zu bekommen (was nicht das höchste Level ist) und die Prüfer müssen damals volltrunken gewesen sein, wenn man sich den Stand von V3R2 ansieht (kein Adressschutz, schwache Kennwörter etc.). Was hier richtiger wäre: die AS400 ist ein System, das man mit wenig Aufwand für die Sicherheitsanforderungen typischer kommerzieller Nutzer einrichten kann. Aber auch hier muss man was tun. Ein Hochsicherheitsrechner ist dies keinesfalls: es ist kein Zufall, dass nie eine Firewall auf der AS gelaufen ist (es gab mal auf dem IPCS unter einem kastrierten OS2). Der Auslieferungszustand der Maschine hat sich zwar gebessert, aber der reicht nicht einmal für niedrige Anforderungen aus.

Das zweite ist auch so eines von selbigen; die AS400 hat sogar ein eingebautes Schadprogramm (CFINT lässt grüßen) das ist kein Virus, sondern eher ein Wurm, aber der klassische Beleg, dass das sehr wohl geht, mit ähnlich unkontrollierbaren Auswirkungen und beabsichtigten und versehentlichen Schadwirkungen. Wenn es nicht soviele gibt und da nix publiziert wird, liegt das eher daran, dass die kritische Masse an Installationen nicht da ist und sich die meisten hacker mit anderen Betriebssystemen beschäftigen (auch hier sollte man mal über die kommerziellen Aspekte nachdenken.

Das mit dem CIA, naja wenn man höchste Sicherheitsanforderungen hat, darf man eigentlich generell keine amerikanischen Produkte kaufen; aber auch hier gäbe es Alternativen PGP ist noch in ungepatchten Versionen zu bekommen.

In jedem Fall ist es eine gute Idee, wenn man sich darum kümmert, was eigentlich alles so auf einem Rechner los ist, damit man merkt, wenn jemand versucht Unfug anzurichten, damit man ihn wenigstens erwischt, wenn er Schaden angerichtet hat und ihn rechtzeitig aus dem verkehr ziehen kann. Verhindern kann man das ohnehin nur wenn man den Rechner zum Authismus verdammt.

Dieter

Klar ist:

Die AS/400 ist eine der sichersten Maschinen !

Nicht umsonst ist die AS/400 bisher virenfrei !!!

Wenn man den Gerüchten glauben soll, besitzt der CIA einen Generalschlüssel für die 128-Bit-Verschlüsselung, da kann man sich mit SSL ja auf den Kopf stellen.
Wie war der Closed-Shop-Betrieb doch so angenehm.

[Fuerchau]

Wenn ich einen Telnet zu einem Windows-Server aufbaue, wird da die Kennworteingabe verschlüsselt übertragen ?
Wie sieht es bei einer DCOM-Anwendung aus ? Erfolgt die Anmeldung da verschlüsselt ?
Wie sieht es bei einer Anmeldung bei einem SQL-Server (Microsoft/Oracle) aus, wenn ich in meinem Connection-String (ODBC/OLEDB) UID und PASSWORD im Klartext angebe ?

Ich glaube auch hier läßt sich trefflich darüber streiten, wie sicher denn die PC's im Intranet gegen Datenspionage sind !
SSL-Verschlüsselung bei PC-PC-Kommunikation findet man (ausser im Internet) auch eher selten.

Auch für WindowsXP gilt ja eigentlich dass es sicher ist. Aber wenn ich keine Firewall verwende oder zumindest die "Internetverbindungsfirewall" aktiviere kommt jeder rein und bei den "erweiterten Sicherheitseinstellungen" ist normalerweise auch nichts aktiviert sondern die Intra-/Internet-Anmeldung läuft da auch unverschlüsselt.

Fazit:
Um Sicherheit muss man sich kümmern !!
Automatisch läuft da nix !!