Quickies: Google, SolarWinds

Ein paar Quickies zum Wochenende:

Google Chrome:

Der Browser Google Chrome, der sehr weit verbreitet ist, wird in der Version 90, die für Mitte April angekündigt ist, https zum Standard machen. Das bedeutet, wenn Sie die URL www.untertauchen.info eingeben, wird zuerst versucht, die sichere Version der Webseite, also https://www.untertauchen.info/ zu kontaktieren. Erst wenn das fehl schlägt wird die unsichere Version http://www.untertauchen.info/ geholt. Es ist davon auszugehen, dass alle Chromium-basierten Browser das übernehmen, u.a. Edge. Brave kann das heute schon. Im Firefox können Sie das mit dem Add-on HTTPS Everywhere heute schon und er warnt Sie, wenn die Seite kein https anbietet.

SolarWinds:

Es wäre wirklich zum Lachen, wenn es nicht so gefährlich und traurig wäre.

Wie wir wissen, ist die Forensik nach einem Einbruch in ein Netzwerk immer schwierig. Hacker sind gut darin, ihre Spuren zu verwischen. Der frühere SolarWinds-CEO Kevin Thompson sagte, dass der in den Medien bekannt gewordene Hack damit begonnen haben könnte, dass ein Praktikant ein wichtiges Passwort auf „‚solarwinds123“ gesetzt hat. Dann, was die Sache noch schlimmer machte, teilte der Praktikant das Passwort auf GitHub (einer Plattform für Entwickler, die dort Code einstellen und managen können). Eine Frage wurde nicht gestellt und nicht beantwortet: Wieso lässt man einen Praktikanten wichtige Passwörter auswählen und setzen?
Kevin Thompson sagte bei einer gemeinsamen Anhörung der Ausschüsse für Aufsicht und Innere Sicherheit des US-Repräsentantenhauses, dass das Passwort

… ein Fehler war, den ein Praktikant gemacht hat. Er hat gegen unsere Passwortrichtlinien verstoßen und das Passwort auf seinem eigenen privaten Github-Konto veröffentlicht. Sobald es identifiziert und meinem Sicherheitsteam zur Kenntnis gebracht wurde, haben sie es entfernt.

Kevin Thompson, Ex-CEO von SolarWinds

Thompson’s verantwortungsvoll klingende Aussage wurde jedoch von SolarWinds‘ aktuellem CEO Sudhakar Ramakrishna widersprochen, der zugab, dass das Passwort „solarwinds123“ bereits 2017 in Gebrauch war. Macht es aus meiner Sicht auch nicht besser. Haben die noch nie davon gehört, Passwörter auch mal zu wechseln? Vinoth Kumar, der Sicherheitsforscher, der das durchgesickerte Passwort für einen der Dateiserver von SolarWinds entdeckte, hatte zuvor erklärt, dass SolarWinds das Passwort erst im November 2019 geändert hat, nachdem er es im Internet entdeckt und gemeldet hatte.
Das unsichere Passwort ist einer von drei möglichen Angriffswegen, die SolarWinds untersucht, um herauszufinden, wie es von den Hackern kompromittiert wurde. Die beiden anderen Theorien sind das Brute-Force-Raten von Firmenpasswörtern (was bei einem derartigen Passwort dann sicher schnell ging) sowie die Möglichkeit, dass die Hacker über kompromittierte Software von Drittanbietern eingedrungen sein könnten.
Mit anderen Worten, wir wissen es nicht sicher, und da die Forensik nach einem Einbruch schwierig ist, werden wir vielleicht nie sicher sein. Aber ein privates Passwort öffentlich auf Github zu veröffentlichen, ist sicherlich nicht der richtige Weg, es geheim zu halten.

Wieviel haben Sie von den Medien und der Regierung zum SolarWinds Hack gehört und inwieweit Deutschland betroffen ist? Eben!!!!