Security through obscurity? 😒

Rant: Immer wieder mal soll ich Systeme in kleinen und mittleren Unternehmen administrieren, die schon von jemand anderem eingerichtet wurden. Meist sind die Geräte, Systeme, Benutzer und Dienste sinnvoll benannt, so dass man sich ein Bild machen kann. Ich gebe mal ein Beispiel:

gmbh-hy01 (Hyper-V Server Nummer 1 der GmbH)
gmbh-hy02
gmbh-dc01 (Domain Controller 1 der GmbH)
gmbh-ts01 (Terminal Server 1 der GmbH)
gmbh-fs01 (Fileserver…)
gmbh-sql01
usw…

Der Administrator des Netzwerks von Firma gmbh heißt “admin” oder “administrator” (oder sadmin und diradmin, wenn man dem macOS Admin Handbuch folgt) und die Domain “gmbh”.

Immer wieder gibt es dann aber auch so Leute, die wohl meinen, dem Kunden eine besonders komplexe und hochsichere Umgebung vorgaukeln zu müssen, in dem sie unnötig komplizierte Abkürzungen für Gerätenamen, Benutzer und Dienste nutzen…ein bisschen wie in einem 80er Hollywood-Hackerfilm.

ghhprvsvrw2k121 (G[mb]H Hyper-V Server Windows 2012 Nummer 1)
ghwndmstrbbzzsadm ((G[mb]H Windows Master Big Boss Admin)

Es ist sinnvoll, ein komplexes und sicheres Kennwort zu benutzen, keine Frage (Tipp: Sichere Kennwörter müssen kein Albtraum beim Eintippen sein, siehe dieser Passwort-Generator und die Erklärung dazu). Die anderen Werte aber so merk- und tippunfreundlich zu gestalten ist einfach nur kundenfeindlich und sinnlos. Der naive Gedanke ist wohl, dass ja dann auch der Benutzername erst mal erraten werden müsse… das Konzept nennt sich “security through obscurity” und ist schlecht, denn gleichzeitig wird meist an tatsächlicher Sicherheit gespart.

In solchen Netzwerken sieht man dann übrigens auch oft “in den hohen Ports maskierte” offene Ports in der Firewall, die das RDP Protokoll direkt auf den Hauptserver durchleiten, was eine sehr schlechte Idee ist, weil ein Portscan aller Ports (siehe Wikipedia-Artikel) in wenigen Minuten durch ist.

Wenn ein Admin solche Namen und Sachen fabriziert, sollte man ihn mal fragen, warum das nötig ist.