Start Cloud Das Problem mit der Cloud-Sicherheit ist…

Das Problem mit der Cloud-Sicherheit ist…

53
0


Das Teilen von Details des Hacks, der „sein Leben ausgelöscht“ hat, hat Mat Honan einen Platz in den Annalen der Sicherheit von Informationssystemen eingebracht; die spezifische Interdependenz fehlerhafter Authentifizierungssysteme, die ihn so teuer gemacht haben – einschließlich Apple, iCloud, Amazon.com, Gmail und mehr – würde wahrscheinlich noch existieren, wenn Honan nicht an die Börse gegangen wäre. Wired hat die ganze Geschichte für diejenigen, die es nicht auf Twitter gesehen haben.

Als sich am vergangenen Wochenende die Nachricht verbreitete, wie viele von Honans Daten die Hacker gelöscht hatten – durch Social Engineering des Apple Supports, um sein iPhone, iPad und MacBook zu löschen – ging das Unternehmen schnell dazu über, das telefonische Zurücksetzen von Apple-ID-Passwörtern auszusetzen. Auch Amazon reagierte und laut einem Folgebericht in Wired: „übergab an seine Kundendienstabteilung eine Richtlinienänderung, die es nicht mehr erlaubt, sich anzurufen und Kontoeinstellungen wie Kreditkarten oder E-Mail-Adressen, die mit seinen Benutzerkonten verknüpft sind, zu ändern“.

Problem gelöst? Nicht wirklich

Während es jetzt unmöglich ist, genau den Hack zu replizieren, der Honans Leben ausgelöscht hat – was wohl ein Trost ist, nehme ich an –, ist es durchaus möglich, dass es andere Möglichkeiten gibt, schwache Verbindungen in Authentifizierungsmethoden auszunutzen, die derzeit von separaten, aber miteinander verflochtenen Informationen verwendet werden Systeme. Basierend auf mehreren Jahrzehnten, die ich damit verbracht habe, Muster des Systemmissbrauchs zu beobachten, würde ich sagen, dass es äußerst wahrscheinlich ist, dass:

  • Weitere Hacks wie dieser sind möglich
  • Mehr Menschen denn je suchen sie gerade
  • Nicht alle diese Leute haben ehrenhafte Absichten

Technisch gesehen leidet die Online-Welt derzeit unter einer schrecklichen Verschmelzung von Identifikatoren mit Authentifikatoren (Ihre Telefonnummer, E-Mail-Adresse und Sozialversicherungsnummer sind Identifikatoren, keine Authentifikatoren). Diese Situation wird durch ein weit verbreitetes Versäumnis verschärft, gemeinsame Geheimnisse effektiv zu implementieren (der Name Ihres ersten Haustieres ist kein gemeinsames Geheimnis, und nach allen Ziffern meiner PIN-Nummer zu fragen ist verschwenderisch und lädt zum Abfangen ein). Hinter all diesem Durcheinander steht eine übermäßige Abhängigkeit von der Ein-Faktor-Authentifizierung und ein alarmierend weit verbreiteter Irrglaube, dass mehrere Authentifikatoren einer Multi-Faktor-Authentifizierung entsprechen.

Die Multi-Faktor-Authentifizierung bezieht sich auf die drei Faktoren:

  • Etwas, das du kennst, z. B. ein Passwort
  • Etwas, das du hast, wie einen physischen Schlüssel
  • Etwas, das du bist, wie dein Gesicht oder deine Fingerabdrücke oder die Adern in deiner Handfläche

Mich nach zwei oder drei oder mehr Informationen zu fragen, die ich kenne, ist keine Multi-Faktor-Authentifizierung. Warum große Unternehmen mit großen Forschungsbudgets so etwas falsch machen, ist schwer zu verstehen und es erscheint mir unfair, Verbraucher dazu zu zwingen, Sicherheitsexperten zu werden, nur um sicher durch Dienste zu navigieren, für die jemand bezahlt (entweder der Verbraucher selbst oder die Leute, die für Anzeigen zahlen) auf werbefinanzierten Websites oder in werbefinanzierten Apps und Diensten).

Die Herausforderungen bei der Beschränkung des Zugriffs auf Online-Daten und -Dienste werden durch die Umstellung auf E-Mail+Passwort für die Authentifizierung anstelle von Benutzername+Passwort verschärft (die E-Mail einer Person ist leichter zu erraten oder zu entdecken als ein nicht öffentlicher Benutzername). Hinzu kommt die offensichtliche Unfähigkeit einiger Unternehmen, Passwörter vor neugierigen Blicken zu schützen. Wie bereits berichtet, wurden allein im Juni Millionen von Passwörtern von LinkedIn bekannt gegeben. eHarmonie und Letztes FM. Letzten Monat wurden mehr als 400.000 Benutzernamen und Passwörter von Yahoo gestohlen, während die Social-Networking-Site Formspring, Bekleidungsfirma Billabong, Spieleseite Gamigo, und Foren unter Phandroid und Nvidia, alle erlitten ähnliche Verstöße.

Ich bin sicher, regelmäßige Leser sind der Empfehlung überdrüssig, Passwörter zu ändern, schwer zu erratende Passwörter zu wählen und unterschiedliche Passwörter für verschiedene Dienste zu verwenden. Dazu müssen wir möglicherweise Folgendes hinzufügen: Verwenden Sie unterschiedliche E-Mail-Adressen für wichtige Dienste, die E-Mail-Adressen als Kontokennungen verwenden. Wir könnten auch hinzufügen: Lassen Sie Ihre Frustrationen den großen Online-Spielern bekannt sein. Es gibt bessere Möglichkeiten für die Authentifizierung und wir müssen Unternehmen wissen lassen, dass wir mehr von ihnen erwarten.

Nachbeben werden wahrscheinlich anhalten

Wie sehr wird dieser Vorfall die Akzeptanz von Cloud-Diensten für Verbraucher im Allgemeinen und Apples iCloud im Besonderen behindern? Nun, bis sich die Authentifizierungsdienste verbessern, sehe ich nicht viele Sicherheitsexperten, die empfehlen, Ihre Datensicherung Allzweck-Cloud-Diensten wie den von Google, Amazon, Dropbox, Microsoft oder Apple anzuvertrauen. Die Nachrichten für Anbieter von dedizierten Online-Backup-Diensten wie Mozy und Carbonite sind möglicherweise nicht so düster. Wenn Ihr gesamtes Geschäftsmodell ein Backup ist, werden Sie wahrscheinlich genau darauf achten, wie Sie es verwalten.

In der Zwischenzeit besteht wahrscheinlich ein erneutes Interesse an Offline-Backups, beispielsweise für USB-Festplatten (ironischerweise ein Bereich, in dem sich Apple in der Vergangenheit hervorgetan hat – Time Machine in OS X ist mein persönliches Backup meiner Wahl). Hier bei ESET haben wir definitiv eine erhöhte Leserschaft des Artikels gesehen Optionen zum Sichern Ihres Computers von Sicherheit Aryeh Gorestsky (11-seitige .pdf-Datei).

Nachdruck mit Genehmigung

Bildnachweis: doomu/Shutterstock

Zertifizierter IT-Sicherheitsexperte seit 1996, Stephen Cobb verfügt über mehr als 20 Jahre Erfahrung in der Unterstützung von Unternehmen, Regierungsbehörden und Verbrauchern bei der Verwaltung ihrer Computersicherheit und des Datenschutzes, insbesondere im Bereich neu auftretender Bedrohungen. Jetzt lebt er in San Diego und arbeitet im Forschungsteam von ESET in der Rolle des Sicherheitsevangelisten.



Vorheriger ArtikelZombies, lauf! 2 kommt auf iOS und Android
Nächster ArtikelApple vergeudet seinen Reichtum

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein