Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!
es ist wirklich beelendend: der miserable Rundschau-Bericht betrifft nur die RUAG International, der Schlussatz des Artikels ergibt keinen Sinn. und warum wird zuerst das korrekte "sensible" und später zweimal das falsche "sensitive" verwendet? hat das jemand korrekturgelesen?
Da Sie ja ein so genauer Leser sind, ist erstaunlich, dass Sie übersehen haben, dass es sich bei den beiden „sensitive“ um Zitate handelt. Das erste „sensitiv“ ist ein indirektes, das zweite ein direktes Zitat. Nun könnte man darüber streiten, ob dieser Fehler in einem Zitat wirklich korrigiert werden muss oder ob das korrekte Zitieren der Quelle Vorrang hat. Die Bedeutung ist ja dadurch keineswegs beeinträchtigt.
Eigene Ueberschall-Knaller, Vorführungen der Patrouille-Suisse und eigenes Panzerketten-Gerassel mögen vielleicht die "wehrhafte Schweiz" beruhigen - gerade in den heutige Tagen. Die subtileren und "drohnenden" (sic!) Gefahren abzuwehren hingegen kosten nur Geld, erfordern eine dauernde Bereitschaft und umfassendes Fachwissen. Wann endlich lernen wir in der Schweiz, diese permanenten Bedrohungen ernst zu nehmen, ihnen die nötige Beachtung zu schenken und genügend Mittel zur Verfügung zu stellen?
RUAG Ammotec ist "europäischer Marktführer für Kleinkalibermunition" und RUAG MRO International "Betreuer und Integrator von Systemen und Komponenten für die zivile und militärische Luftfahrt". Beide Teil von RUAG International. https://www.ruag.com/de/ueber-ruag-international
RUAG International ist absout sicher alles andere als ein Waffenkonzern, also weder Waffen noch Konzern. der Deutsche Wall hat vor mehr als einem Jahr erklärt, so schrieb der Tagi, dass er alles außer der Sparte "Space" verkaufen will. RUAG Ammotec hat weder mit dem Artikel noch mit dem Rundschaubericht etwas zu tun. meiner Meinung nach darf man die verschiedenen, ehemaligen Teile der RUAG AG nicht in einen Topf werfen. das ist zwar weitherum üblich, der Republik aber nicht würdig.
Was bringt sie dazu, oben solche Kleinikeiten hart zu rügen und hier solchen Unsinn zu verbreiten? Eigentlich ist mir meine Zeit zu schade, aber orgendwie muss man trotzdem reagieren.
Danke liebe Republik, dass ihr dran bleibt an diesen Security Themen.
Ich würde mir jedoch etwas mehr technisches Detail wünschen, dann aus dem was ich im Artikel lesen kann, erschliesst es sich mir nicht, inwiefern dieser Filesharingdienst etwas erlaubte, dass nicht jede 3rd Party machen kann.
Um sicherzustellen, dass nicht von einer 3rd Party E-Mail im eigenen Namen versendet werden, gibt es zwei wichtige Systeme: DKIM und SPF. Mit DMARC werden die beiden Systeme logisch verbunden.
Ob die Ruag (ruag.ch) DKIM verwendet, lässt sich auf der grünen Wiese nicht feststellen (wäre aber in den headers einer "offiziellen" Ruag Mail zu erkennen). Ob ein SPF Record existiert lässt sich einfach prüfen – https://www.dmarcanalyzer.com/spf/checker/ hat ein nettes Webinterface zu dem Thema. Und JA, die Ruag hat ein SPF Record. Das ist schon mal gut. Aber wenn ich mir das SPF Record anschaue, dann gibt es offensichtlich eine fast unüberschaubare Menge von IP Adressen von denen aus 'legale' Ruag E-Mails versendet werden dürfen, was auf einen ziemlichen Wildwuchs hindeutet.
Noch schlimmer, das SPF Record der Ruag (v=spf1 redirect=_spfgroupa.admin.ch) ist dasselbe das auch admin.ch verwendet. Das heisst die Ruag hat einfach die Regeln von admin.ch übernommen.
Bei Ruag International (ruag.com) ist die Situation etwas anders. Es sind zwar weniger IP Adressen zugelassen als legale Absender von ruag.com Mail, aber unteranderem ist outlook.com dabei, was darauf hin deutet, dass die Ruag International ihre E-Mail nicht im Haus handhabt, sondern an Microsoft ausgelagert hat.
Man vergleiche die Konfigurationen von grossen Konzernen wie zb Swisscom oder Facebook.
ruag.ch und admin.ch haben auch ein DMARC Record, mit dem festgelegt werden kann, was passieren soll wenn eine Mail den DKIM oder SPF Test nicht besteht. Das Record ist auf 'quarantaine' eingestellt. Das sagt, wenn E-Mail als ungültig erkannt wird soll sie zurückgehalten werden. Auch ruag.com hat ein DMARC Record, dort ist jedoch festgehalten, dass mit einer E-Mail welche die Regeln verletzt, nichts spezielles passieren soll.
Es gäbe da also durchaus noch Raum für Verbesserung bei ruag.com, ruag.ch und admin.ch, und ev noch Material für weitere Stories ...
Danke, so einen Kommentar wollte ich auch gerade schreiben. Dazu kommt eine Vermischung der Begriffe "Spam" (unerwünschte Werbemails) und "Phishing" (Betrugsversuche via E-Mail). Ein gezielter Täuschungsversuch ist kein Spam.
Die Absenderadresse kann bei E-Mail jeder frei wählen. Problematisch ist hier mehr, dass man unauthentisiert solche Mails vom Dasdex-Mailserver aus verschicken kann, was zu validem SPF-Check führt und eine Legitimität vortäuschen kann. Sicher fehlende due diligence seitens der Ruag beim Eintragen des SPF-Records.
Da ich mir die E-Mail, welche von Dasdex aus mit einer falschen Absenderadresse an die Bundesräte und Parlamentarierinnen geschickt wurde, auf die Anfrage von Adrienne Fichter hin anschaute, kann ich gerne Auskunft zu den technischen Aspekten geben.
Der Dienst wurde von der Codebase AG betrieben und die E-Mail wurde von ihrem eigenen Server aus verschickt. Ruag(.com) stellte lediglich eine Sub-Domain zur Verfügung, was für den Versand der E-Mail keine Rolle spielte.
Die E-Mail enthielt keine DKIM-Signatur und die IP-Adresse des Servers war nicht im SPF-Record von ruag.com aufgeführt.
Wie im Artikel erwähnt, ist die fehlende Authentisierung der Absenderadresse das eigentliche Problem: "Jeder kann ein Tool wie Dasdex nachbauen und E-Mails in fremdem Namen verschicken."
Das vorausgefüllte Passwort machte Social Engineering lediglich besonders einfach. (Zudem ist die Wahrscheinlichkeit, dass die E-Mail ausgefiltert wird, kleiner, wenn sie bezüglich allen Aspekten nicht von legitimen E-Mails zu unterscheiden ist.)
Da die erwähnte E-Mail eine @ruag.com-Adresse als Absender hatte, schaute ich mir lediglich den DMARC-Record von ruag.com an, welche, wie von Tobias Oetiker erwähnt, keine Policy vorsieht (p=none).
Ich würde mir auch verbindliche Mindeststandards bei Behörden (und Zulieferern) wünschen, so wie die UK das zu haben scheint: https://www.gov.uk/government/publi…ance-dmarc
Wie im Artikel erwähnt, setzen leider fast alle Organisationen die Standards zur Verhinderung gefälschter Absenderadressen noch nicht um. Beispielsweise haben bei den Empfängern der E-Mail weder parl.ch noch republik.ch DMARC-Einträge.
Neben der Echtheit gäbe es noch den Aspekt der Vertraulichkeit in der Gegenwart eines aktiven Angreifers (siehe https://explained-from-first-princi…t-security). Leider sind wir hier noch weniger weit als bei der "Domain Authentication", weshalb ich diesen Aspekt oft gar nicht erst aufbringe.
(Ich habe meine Punkte nur nummeriert, um eine allfällige Diskussion zu vereinfachen.)
Treuherzige Unbedarftheit! Das ist seit Jahren das was nicht nur die offizielle Schweiz im Umgang mit der Cybersicherheit, sondern auch im Umgang mit den unseligen Influenzern (Lobbyisten) auszeichnet. Ein System, das höchsten Sicherheitsaspekten dienen soll, darf nur offline betrieben werden und der Zugang zu den Daten muss auf wenige Vertrauenspersonen beschränkt, die zu diesem System nur über Offline-Computer ohne USB- und andere heute gebräuchliche Datenanschlüsse Zugriff haben. Dies ist natürlich alles andere als bequem. Aber Sicherheit ist durch Bequemlichkeit nicht zu erreichen.
In was für eine Abhängigkeit wir uns mir unserer Bequemlichkeit gebracht haben, wird uns erst bewusst, wenn wir uns vorstellen, was passieren würde, wenn dass das Internet für nur wenige Tage ausfallen würde, oder wenn unser Stromnetz an nur wenigen entscheidenden Knotenpunkten sabotiert würde. NICHTS FUNKTIONIERT MEHR !!!
Oel- und Gasheizungen funktionieren ohne Strom nicht. Einkaufen ist wegen streikender Kassen auch nicht mehr möglich. Alles in kleinem Rahmen bei Computerausfällen schon erlebt.
Also bitte etwas weniger naiv gegenüber den ´Segnungen‘ der Digitalonik!
Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz