Ach gucke mal, böse Cyberkriminelle greifen über kaputte VPN-Clients an. Na sowas!

Hmm, mir fällt gerade auf, dass ich dazu noch nicht ausreichend viel gerantet habe. Mich kotzt das seit Jahren an, dass praktisch jeder Kunde von mir ein halbes Dutzend andere stinkende Clients verlangt. Zoom, Slack und Teams sind ja schon die Krätze in Tüten, aber noch krasser finde ich VPN-Clients.

Eine Videokonferenzsoftware braucht Zugriff auf die Kamera und läuft mit Anwenderrechten. Eine VPN-Software läuft im Allgemeinen mit Administratorrechten.

Nun ist da in der Praxis nicht viel Unterschied zwischen, denn wenn jemand einmal auf dem System ist, ist es zu spät. Der kann dann deine Tastatur mitlesen, dein Passwort ausspähen, deine Daten kopieren und verschlüsseln, und das ist ja schon Maximalschaden.

Aber vom geforderten Vertrauensverhältnis her ist eine Software, die nicht mal so tut, als gäbe sie sich schon Mühe, mit minimalen Rechten zu laufen, wie so typische VPN-Gammeldienste, absolut unakzeptabel. Das kann man überhaupt nur noch toppen, wenn der Dienst sich dann nicht davon abhalten lässt, sich automatisch zu starten beim nächsten Booten, und es keinen "Geh Weg"-Button gibt. Da hilft dann nur jeweils deinstallieren nach Benutzung.

In Sachen VPN ist das IPsec, das bei eurem Betriebssystem beiliegt, absolut ausreichend. Häufig ist das sogar qualitativ deutlich besser als alles, was euch irgendwelche Schrott-Clients überzuhelfen versuchen. Alle 20 Jahre kommt mal ein Fall vorbei, wo etwas nachträglich installiertes vertrauenswürdiger ist, aktuell wäre das Wireguard. Aber selbst dann: Wenn dir jemand ein Binary in die Hand drückt, das du ausführen sollst, ist das immer fünf rote Warnlampen auf einmal. Seriöse Gegenüber sagen dir: Wir sprechen IPsec oder Wireguard, hier sind die relevanten Einstellungen, und fertig ist die Laube. Du suchst dir Betriebssystem und Client aus. Du brauchst keinen "Support" von denen, am besten noch in Form eines verkackt automatisch übersetzten PDFs von irgendeinem schon im Original schlechten "ist alles voll einfach"-Lügenhowto.

Wir sollten alle viel häufiger rebellieren, wenn jemand uns EXE-Dateien in die Hand zu drücken versucht. Ich bin schon bei mehreren Kunden als Querulant verschrien, weil ich immer rumzicke bei sowas.

Ich bin Code-Auditor. Ich lese Code. Dafür muss und will ich nicht in eurem Slack-Kanal abhängen. Schon gar nicht will ich einen halben Tag damit verbringen, eure verkackte Onboarding-Bürokratie über mich ergehen zu lassen, damit ich dann 2FA für einen Slack-Zugang habe, den ich nie haben wollte. Ich bin immer wieder schockiert, dass dieselben Leute, die mir erklären, PGP sei zu kompliziert, dann Wochen meiner Lebenszeit mit solchem Bürokratie-Scheiß verplempern.

Apropos 2FA und Slack: Meine Beobachtung ist, dass die Leute da allesamt überhaupt keinen Bock drauf haben, für etwas so unessentielles und wenig hilfreiches wie ein verkacktens Chat-System 2FA einzurichten. Am Ende machen die alle einfach nie ihren Browser zu und bleiben monatelang eingeloggt. Toller Sicherheitsgewinn, dieses 2FA!1!! Hat am Ende negativen Nutzen, genau wie das Security-Theater am Flughafen und bei Banken. Wieso wurde Chiptan eigentlich abgeschafft?

11/23/2021