Einloggen
[c] [test] [fefe]

/fefe/ – Fefes Kommentarfunktion


Antwort erstellen

(≤ 4)



[Zurück]

  • [l] Ach gucke mal, böse Cyberkriminelle greifen über ... Effe ## Mod Tue, 23 Nov 2021 18:53:07 GMT Nr. 64445
    JPG 450×600 39.4k
    Ach gucke mal, böse Cyberkriminelle greifen über kaputte VPN-Clients an [0]. Na sowas!

    Hmm, mir fällt gerade auf, dass ich dazu noch nicht ausreichend viel gerantet habe. Mich kotzt das seit Jahren an, dass praktisch jeder Kunde von mir ein halbes Dutzend andere stinkende Clients verlangt. Zoom, Slack und Teams sind ja schon die Krätze in Tüten, aber noch krasser finde ich VPN-Clients.

    Eine Videokonferenzsoftware braucht Zugriff auf die Kamera und läuft mit Anwenderrechten. Eine VPN-Software läuft im Allgemeinen mit Administratorrechten.

    Nun ist da in der Praxis nicht viel Unterschied zwischen, denn wenn jemand einmal auf dem System ist, ist es zu spät. Der kann dann deine Tastatur mitlesen, dein Passwort ausspähen, deine Daten kopieren und verschlüsseln, und das ist ja schon Maximalschaden.

    Aber vom geforderten Vertrauensverhältnis her ist eine Software, die nicht mal so tut, als gäbe sie sich schon Mühe, mit minimalen Rechten zu laufen, wie so typische VPN-Gammeldienste, absolut unakzeptabel. Das kann man überhaupt nur noch toppen, wenn der Dienst sich dann nicht davon abhalten lässt, sich automatisch zu starten beim nächsten Booten, und es keinen "Geh Weg"-Button gibt. Da hilft dann nur jeweils deinstallieren nach Benutzung.

    In Sachen VPN ist das IPsec, das bei eurem Betriebssystem beiliegt, absolut ausreichend. Häufig ist das sogar qualitativ deutlich besser als alles, was euch irgendwelche Schrott-Clients überzuhelfen versuchen. Alle 20 Jahre kommt mal ein Fall vorbei, wo etwas nachträglich installiertes vertrauenswürdiger ist, aktuell wäre das Wireguard. Aber selbst dann: Wenn dir jemand ein Binary in die Hand drückt, das du ausführen sollst, ist das immer fünf rote Warnlampen auf einmal. Seriöse Gegenüber sagen dir: Wir sprechen IPsec oder Wireguard, hier sind die relevanten Einstellungen, und fertig ist die Laube. Du suchst dir Betriebssystem und Client aus. Du brauchst keinen "Support" von denen, am besten noch in Form eines verkackt automatisch übersetzten PDFs von irgendeinem schon im Original schlechten "ist alles voll einfach"-Lügenhowto.

    Wir sollten alle viel häufiger rebellieren, wenn jemand uns EXE-Dateien in die Hand zu drücken versucht. Ich bin schon bei mehreren Kunden als Querulant verschrien, weil ich immer rumzicke bei sowas.

    [0] https://heise.de/-6274101

    https://blog.fefe.de/?ts=9f63f710
  • [l] Update Effe ## Mod Tue, 23 Nov 2021 18:58:35 GMT Nr. 64447
    @@ -14,0 +15,4 @@
    +Ich bin Code-Auditor. Ich lese Code. Dafür muss und will ich nicht in eurem Slack-Kanal abhängen. Schon gar nicht will ich einen halben Tag damit verbringen, eure verkackte Onboarding-Bürokratie über mich ergehen zu lassen, damit ich dann 2FA für einen Slack-Zugang habe, den ich nie haben wollte. Ich bin immer wieder schockiert, dass dieselben Leute, die mir erklären, PGP sei zu kompliziert, dann Wochen meiner Lebenszeit mit solchem Bürokratie-Scheiß verplempern.
    +
    +Apropos 2FA und Slack: Meine Beobachtung ist, dass die Leute da allesamt überhaupt keinen Bock drauf haben, für etwas so unessentielles und wenig hilfreiches wie ein verkacktens Chat-System 2FA einzurichten. Am Ende machen die alle einfach nie ihren Browser zu und bleiben monatelang eingeloggt. Toller Sicherheitsgewinn, dieses 2FA!1!! Hat am Ende negativen Nutzen, genau wie das Security-Theater am Flughafen und bei Banken. Wieso wurde Chiptan eigentlich abgeschafft?
    +

  • [l] Felix Tue, 23 Nov 2021 19:01:17 GMT Nr. 64448
    >Zoom, Slack und Teams sind ja schon die Krätze in Tüten
    Der selbsternannte IT-Sicherheitsexperte weiß nicht, dass man Zoom, Slack und Teams auch im Browser laufen lassen kann?
  • [l] Felix Tue, 23 Nov 2021 19:05:36 GMT Nr. 64450
    >noch krasser finde ich VPN-Clients.
    Sinnvolle Alternativen für VPN? Zero-Trust Archtiekturen ohne Perimeter oder was?

    >>64448
    Achja, muss man nur JavaScript dafür anschalten, ne? Nicht mit mir, Freundchen!
  • [l] Felix Tue, 23 Nov 2021 20:09:16 GMT Nr. 64457
    da muss ihn sein Kanaken-"Partner" echt Druck machen, sonst kann man ja sich seine Kunden selbst aussuchen.
  • [l] Felix Wed, 24 Nov 2021 09:43:45 GMT Nr. 64495
    PNG 330×418 26.6k
    >>64450
    Fefe meint nachzuinstallierende Programme von Drittanbietern, die am Ende das gleiche bewirken wie die mitgelieferte VPN-Funktionalität.
    Bild relativiert ist zum Beispiel Felix' (vorinstallierter) Zugang zur Heimarbeit. Den eigentlichen Tunnel über IKEv2 könnte Windows 10 von Haus aus aufbauen; die einzige Errungenschaft besteht darin, dass diese Software bereits am Anmeldebildschirm verfügbar ist (damit sich der Nutzer mit seinem Roaming-Profilen im Anschluss sauber anmelden kann) und über ihre Firewall-Komponente Zugriffe auf Netzwerke unterbindet, die nicht per Ping-Paket an eine bestimmte IP-Adresse als "intern" erkannt werden (was nur so semi-toll funktioniert, da trotzdem DNS-Anfragen bezüglich der Domäne ins heimische Netz lecken, bevor das VPN aktiv ist).
  • [l] Felix Wed, 24 Nov 2021 10:11:55 GMT Nr. 64496
    >Den eigentlichen Tunnel über IKEv2 könnte Windows 10 von Haus aus aufbauen; die einzige Errungenschaft besteht darin, dass diese Software bereits am Anmeldebildschirm verfügbar ist (damit sich der Nutzer mit seinem Roaming-Profilen im Anschluss sauber anmelden kann)
    Das kann die integrierte IKEv2-Funktionalität in Windows 10 auch.
  • [l] Felix Wed, 24 Nov 2021 10:35:28 GMT Nr. 64497
    na wenn Windows das alles aus der Box kann, haltet doch mal die Fettarme und verwendet die Windowsfunktionalität.
  • [l] Felix Sat, 27 Nov 2021 09:32:00 GMT Nr. 64702
    >>64448
    Nicht wirklich. Teams erlaubt nur Chrome (wtf?) und kann dann die Hälfte der Features nicht. Und Zoom benutzt kein WebRTC, sondern hat seinen Gammelcodec in JavaScript implementiert (WTF?).
  • [l] Felix Sat, 27 Nov 2021 09:33:28 GMT Nr. 64703
    >>64497
    Es geht um Firmenrechner. Da kann sich der Mitarbeiter das nicht aussuchen.
  • [l] Felix Sat, 27 Nov 2021 11:01:54 GMT Nr. 64707
    >>64702
    >Teams erlaubt nur Chrome (wtf?)
    Chromium tut auch, BTDTMT. Feuerfuchs bei Videokonferenzen findet Felix ohnehin eher so semi.
    >und kann dann die Hälfte der Features nicht
    Felix hat das bisher keine Einschränkungen bemerkt.
    >Und Zoom benutzt kein WebRTC, sondern hat seinen Gammelcodec in JavaScript implementiert (WTF?).
    Mag sein, tut im Brausierer aber trotzdem.
  • [l] Felix Sat, 27 Nov 2021 11:24:14 GMT Nr. 64709
    >>64707
    Der Punkt ist nicht, welchen Browser man nehmen muß, sondern daß das inkompatible Kackscheiße ist und kein ordentliches HTML5.

    Die größte Einschränkung ist wohl Hintergrund zu maskieren, die Option wird im Browser ohne Grund verweigert. Ansonsten komme ich in die Hälfte aller Teams-Einladungen, die ich so kriege, mit Browser nicht rein. Es kommt keine sinnvolle Fehlermeldung.
  • [l] Felix Sat, 27 Nov 2021 16:49:36 GMT Nr. 64724
    >>64709
    Der Punkt ist, dass es in Browser läuft und du nicht auf irgendwelche Clients (wenn das das Problem ist) angewiesen bist. Fertig.
  • [l] Felix Sat, 27 Nov 2021 16:57:24 GMT Nr. 64727
    >>64724
    Es läuft halt eben nicht vernünftig.
  • [l] Felix Sat, 27 Nov 2021 17:57:32 GMT Nr. 64729
    >>64727
    ¯\_(ツ)_/¯
    kann man machen nix.
  • [l] Felix Sat, 27 Nov 2021 18:26:51 GMT Nr. 64730
    >>64709
    >Die größte Einschränkung ist wohl Hintergrund zu maskieren
    man obs


[Zurück]
[c] [test] [fefe]