Paging Captain CIRK… (Nachtrag: alles wieder gut)

Hallo Kommando Cyber- und Informationsraum: An eurer Webseite müsst ihr noch was tun? Siehe Screenshot von www.cir.bundeswehr.de am Freitag um 14 Uhr…

(Danke für den Leserhinweis.)

Nachtrag: jetzt geht’s.

36 Gedanken zu „Paging Captain CIRK… (Nachtrag: alles wieder gut)

  1. Vor allem… die Seite ist über https nicht erreichbar – zumindest bei mir nicht. Auch nicht die Portalseite…

  2. Dies ist wiederum abhängig vom verwendeten Browser respektive der Einstellung des Browsers.

    Firefox ergänzt in der Standardeinstellung automatisch das www nach dem http://

    Microsoft Edge tut dies z.B. nicht.

  3. Wenn so Hochtechnologie-Staaten verteidigt werden sollen……
    Sehr Professioneller Auftritt der neuen TSK.
    Wenn da mal nicht einer unter die Fallschwertmaschine gerät.

  4. @ Sapientis

    Firefox ergänzt bei mir z.B. gar nichts. Wie auch? Denn der Apache gibt als „Subdomain“ nicht „www“ zurück sondern in dem Fall „cir“. Korrekterweise müsste der Virtual Host des Apache entsprechend angepasst werden, um auf „www.cir.bundeswehr.org“ zu reagieren.

    Dennoch verwunderlich, dass die Website des CIR nicht mal HTTPS bietet… TLS 1.2+ mit hyperelliptischen Kurven und RSA 1024 bit als Basis Schlüssel sollte heute eigentlich der Standard sein…

  5. Oida …
    Kollege hofft gerade, dass das nur ein Honeypot ist.
    Ich glaube da bewerbe ich mich, wollte schon immer mal Cyberhauptmann werden.

  6. umeier | 07. April 2017 – 17:54
    Ich glaube da bewerbe ich mich …

    Dann viel Erfolg mit der Kontaktaufnahme: ich versuche seit Tagen vergeblich, die im Intranet für telefonische Personalauskunft angegebene Person zu erreichen … ach ja: Einrichtung einer Anrufweiterleitung hat ja wirklich nix mit CIR zu tun … also dann …

  7. Der Fehler ist immernoch da, wenn das einige der Leser hier bereits wieder korrekt sehen ist das vermutlich ein Problem mit der DNS-Umschaltung von Domains.

  8. @DeltaR95: Ja,wird wohl eine unvollständige vhost-Konfiguration sein. Aber jetzt ist erst mal Wochenende, SAZV und so. ;-)

    Was die gesicherte Verbindung anbelangt: Der Bund bekommt es ja nicht hin, als CA aufzutreten. Anstatt mit Bw-externen Dritten per PKI (z.B. S/MIME) zu kommunizieren, ist in dem Fall immer noch Chiasmus vorgeschrieben. Chiasmus ist ein symmetrischer, nicht offengelegter Algorithmus… Symmetrisch: alle Teilnehmer benötigen den gleichen Schlüssel. Je nach Vorgang muss man eine Vielzahl von Schlüsseln verwalten, um die Beteiligten voneinander zu trennen (Marineschlüssel an Industrie ist keine gute Idee, also neuer Schlüssel; Funkbude versteht nur Marineschlüssel, also die gleiche Nachricht zweimal versenden). Schlüssel dürfen nur offline verteilt werden. Schlüsselwiderruf ist nicht vorgesehen. Und zu schlechterletzt: Verheimlichen des Cipher-Algorithmus schützt nicht vorm Brechen der Verschlüsselung (security by obscurity wirkt nicht)!

    So gesehen ist Chiasmus für mich die Enigma der Neuzeit. Hmm, haben wir nichts gelernt?

  9. @ nur 2 Cent

    Man hatte ja auch nur ein Jahr, um den Launch der Website vorzubereiten… eine Firma im zivilen Bereich, die in Cybersicherheit macht, aber ihre Website nicht mal als https oder mit HSTS anbietet, würde keine Auftrag bekommen… würde mich nicht wundern, wenn gerade jedes Script-Kiddie sein Kali/Parrot mit Metasploit mal über den Webserver laufen lässt, um zu schauen, wie sicher der ist…

    Geschätzte Dauer der Umstellung des Apache auf TLS, wenn das Zertifikat der CA vorliegt und man saubere vHosts hat? 5 Minuten…

    Ansonsten zu ihren Ausführungen 100 prozentige Zustimmung. Vor allem, weil eine akkreditierte Lösung (SINA) marktverfügbar ist…

  10. Ich vermute mal, dass da nur die redirect-Anweisung bzw. der Port 443 im vHost für die Subdomain cir.bundeswehr.de fehlt – kleiner handwerklicher Fehler, der eigentlich sehr behoben sein sollte… und eigentlich auch in der Pre-Launch-Phase auffallen sollte.

    Vielleicht sollten wir das erst mal nicht „überbewerten“… der Bereich ist ja gerade frisch aufgestellt und muss sich zusammenfinden…

  11. Wenn man sich informationssicherheitstechnisch weit aus dem Fenster lehnt (Deutschland wird auch im Cyberraum* verteidigt), dann dürfen solche Fehler nicht passieren. Dadurch kann man ganz schnell in die Opferrolle geraten. Skriptkiddies wurden ja schon erwähnt.

    Zumal es ja kein brandneuer OrgBer ist, sondern „alte Hasen“ am Werk sind.

    Klar, Menschen machen Fehler. Aber deshalb hat der Mensch sich auch Methoden gegeben, um das einzudämmen. QM sollte noch drin sein…


    * Dieser Begriff bzw seiner inflationären Verwendung durch fachlich unbeleckte Personen ist kaum noch zu ertragen. Ich verbinde Cyber- mit Norbert Wiener (entlehnt von griech. kybernetes, Steuermann, Leitung) und dem Beginn der modernen Regelungstechnik. Beim aktuellen Gebrauch warte ich darauf, dass jeden Moment ein Rasenmähermann um die Ecke biegt…

  12. Liebe fachkompetente Leserschaft,

    die technische Qualität der Präsenz unter dem URL http://cir.bundeswehr.de ist nicht auf das Know-How der Cyber-Truppe zurückzuführen. Im Impressum steht wer die Seite technisch betreibt. Das ist derzeit – übergangsweise – die Online-Redaktion der Streitkräftebasis. Deren Leiter bin ich.

    Der Auftritt für das KdoCIR ist ein Auftritt, wie der aller anderen Organisationsbereiche(nicht TSK). Ein statischer web1.0 Auftritt, der auf der zentralen Redaktionsplattform der BWI betrieben wird. Zu ALLEN Mängeln und/oder Fehlern erstellen wir Tickets, die im entsprechenden Zeitfenster, zuverlässig durch die Kolleginnen und Kollegen abgestellt werden. Ist es etwas sicherheitsrelevantes oder der komplette Ausfall, oder z.B. die Nicht-Erreichbarkeit der mobilen Webansicht, dann Prio 1 … sehr schnell.

    Bezgl. „It works“ – haben wir gerade ein Ticket aufgemacht. Sollte also bald Geschichte sein. Ist aber kein Prio 1 Ticket.

    Die Redaktionen selbst haben übrigens keinen Zugriff auf Server-Konfigurationen bzw. vhost-Dateien oder gar DNS-Einträge. Sorry. Aber so läuft das nicht in unserer wirklich großen Firma ;-)

    Dass die TSK/OrgBer-Seiten nicht über https also SSL/TLS erreichbar sind finden wir auch „Schade“.

    Ich hoffe, ich konnte ein wenig Informationsbedarf stillen.

    Liebe Grüße

    Jan (Cyber-Hauptmann) außerhalb CIR ;-)

  13. @Jan

    Danke für die Info.

    In einem Punkt bin ich allerdings sehr grundsätzlich anderer Meinung:

    Bezgl. „It works“ – haben wir gerade ein Ticket aufgemacht. Sollte also bald Geschichte sein. Ist aber kein Prio 1 Ticket.

    Das kann, denke ich, so nicht gehen: Wenn es bei einer Webseite um das Aushängeschild eben der Truppe geht, die für den Cyberraum (wo auch immer dessen linke und rechte Grenze liegt) zuständig ist, dann ist eine falsch konfigurierte Webseite auf jeden Fall Prio 1. Wegen der öffentlichen Wahrnehmung nämlich, die für jemanden, der auch im Informationsraum unterwegs ist, schon Bedeutung haben sollte…

  14. @ Jan

    Ich bin gerade baff und wortlos… der „neue“ Bereich CIR schafft es nicht, ohne Unterstützung der BWI so ein Problem zu beheben bzw. seinen Webserver zu administrieren? Ich hoffe doch sehr, dass dieser „Umweg“ mit dem Aufwuchs abgeschafft wird?

    „It works“ ist ohne weitere Analyse nicht mal so eben als „nicht Prio 1“ ab zu tun – das sprich eher für einen blanken Webserver, an dem noch mehr zu machen ist.

    Egal ob nun die BWI oder CIR oder Gott diesen Webserver an das Internet gehängt hat, ist absolut irrelevant, da der Fehler die gesamte Bundeswehr schlecht aussehen lässt…

  15. @Jan

    Aua, da muß ich aber @T.W. kräftigst beipflichten – das ist nun wirklich Kindergarten-Niveau auf dem sie sich bewegen. – „Schade“. ;-(

  16. Schlimmer als befürchtet. Man stelle sich mal vor, die Infanterie würde anstatt mit Kanonen mit Besenstiel… Oh.

  17. @T.Wiegold – Über die Nutzung von www zusätzlich zur Subdomäne kann man sich sicherlich trefflich streiten. (vgl: https://www.sitepoint.com/domain-www-or-no-www/) Abgefangen sollte die Anfrage aber auf jeden Fall, da gebe ich allen Beteiligten Recht und wird sie ja auch werden. Die Webseite ist natürlich nicht falsch konfiguriert – lediglich ein Eintrag, der die Anfrage nach http://www.cir.bundeswehr.de weiterleitet auf cir.bundeswehr.de wurde beim Einrichten vermeintlich vergessen. Menschen machen Fehler – wir lernen daraus – passiert uns und den Beteiligten sicherlich kein zweites mal.

    @DeltaR95 – Bei der Bundeswehr betreibt KEIN OrgBer seinen eigenen Webserver für die Informationsarbeit. Ich bin mir sicher, dass es im Bereich CIR mehr als genug Menschen gibt, die das könnten. Das ist aber tatsächlich nicht deren Job. Das macht bei uns die BWI.

    @Alle – Nach gerade geführter Rücksprache mit CERTBw geht von dieser Fehlkonfiguration keine Gefährdung für den Webserver oder die zentrale Redaktionsplattform aus. Der Mangel wird schnellstmöglich behoben.

  18. @Jan

    Da sind wir beim Kern des Problems.

    Nach gerade geführter Rücksprache mit CERTBw geht von dieser Fehlkonfiguration keine Gefährdung für den Webserver oder die zentrale Redaktionsplattform aus. Der Mangel wird schnellstmöglich behoben.

    Das hat, glaube ich, auch niemand hier behauptet oder vermutet.

    Um es mal auf eine andere Begrifflichkeit zu bringen: Das Wirken im Informationsraum setzt u.a. gewisse Vertrauensbeziehungen mit dem Sender einer Nachricht voraus. Die hier gezeigte Fehlkonfiguration beeinträchtig die Wirkung. Da ist es dann ziemlich nebensächlich, dass das CERTBw sagt, keine Gefährdung für den Webserver – die sehen die rein technische Seite und haben mit den Auswirkungen im Informationsraum gar nichts zu tun.

  19. Wie man sieht, kleine Ursache, große Wirkung…

    @ Jan

    Dann gehe ich mal davon aus, dass der Webserver auch entsprechend gehärtet wurde. Aber ich stocher sehr gerne nach – nicht böse gemeint oder falsch verstehen! Inzwischen gehe ich davon aus, dass es sich hierbei auch nicht um einen Apache handelt, sondern auf Grund des Headers scheint das eher ein IBM Websphere Portal Server zu sein, womit auch die Kontext-Interpretation anders ist (nach dem Header scheint es ja auch ein Servlet/3.0) zu sein… ich denke, dass Thema ist hier lang und breit getreten worden…

    Die Frage nach dem für und wider des „www“ als Subdomain ist, da gebe ich ihnen recht, rein akademisch – zumindest heutzutage. Brauchen tut man es definitiv nicht mehr… der Link zu CIR ist schon lang genug ;)

    Zitat: „Bei der Bundeswehr betreibt KEIN OrgBer seinen eigenen Webserver für die Informationsarbeit. Ich bin mir sicher, dass es im Bereich CIR mehr als genug Menschen gibt, die das könnten. Das ist aber tatsächlich nicht deren Job. Das macht bei uns die BWI.“

    Wenn so wie von ihnen dargestellt der Anteil „IT-Betrieb“ in dem Bereich in der Hand der BWI liegt, wo genau ist jetzt die Grenze zwischen CIR und BWI? BWI als reiner Service Provider und im CIR sitzen nur „User“, die aber keinen direkten Durchgriff auf die Systeme haben (sollen)? Vielleicht könnten Sie zum allgemeinen Verständnis eine Abgrenzung versuchen?

  20. Hihi, da konnte sich wohl jemand nicht entscheiden ;-)
    Tja, ist halt blöd dass soche URL wie http://www.cir.de oder http://www.skb.de schon vergeben sind.
    (http://www.cir.de/) (http://www.skb.de/) Da muß man also sich über Bundeswehr.de richtig einbinden lassen, wenn man direkt erreichbar sein will….und das ist imho nicht nur eine Frage von mit oder ohne www. Vielleicht noch einmal über das „cir“ nachdenken ? Ist imho sowieso kein besonders „medienwirksames“ identidy-label. Die SKB hat sich ja auch „ausgeschrieben“, vielleicht auch deshalb weil man mit http://www.skb.bundeswehr.de bei Google landet und nicht direkt auf der skb-page.
    just my two cents

  21. @T.W.

    Ja, sorry, ist nicht vergeben sondern steht zum Verkauf. Das problem ist doch, dass wer zu faul zum suchen ist mit der Eingabe „cir“ genau wie mit der Eingabe „skb“ irgendwo im Nirwana landet. Mit „streitkräftebasis“ gibt mir Google als ersten Treffer die Startseite der SKB an. Nur das wollte ich mit meinem „Einwand“ hervorheben. „cir“ ist imho in mehrfacher keine besonders pfiffiges Net-Label für den neuen OrgBereich, selbst wenn man bei der Web-Implentierung technisch nicht geschlampt hätte.

  22. @DeltaR95

    Zu der Abgrenzung zwischen der Nutzung zentral bereitgestellter IT im Rechenzentrum für z.B. die Internetauftritte der Bundeswehr und STAN (grüne) IT für die Durchführung des eigenen Auftrages kann ich keine Aussagen treffen.

    Die BWI als zentraler Dienstleister bleibt uns für z.B. die Internetauftritte, die bereitgestellten APC und andere Services auch in Zukunft erhalten.

  23. @Jan: Und wer schützt die APCs, Web- und andere Dienste? Das wäre ja so, als ob Soldaten sich nicht mehr selbst bewach… Oh wait!

  24. Hier muss ich Jan aber mal zur Seite springen:
    Seit dem Projekt Herkules werden die Dienste im Grundbetrieb von der BWI übernommen.
    Vom Arbeitsplatzcomputer bis hin zum Internetauftritt.
    Wer den Wildwuchs kennt, den wir davor hatte, sieht auch die Vorteile. Hier zeigen sich auch ganz deutlich die Vorteile einer zentralen Verwaltung.
    Angesichts der großen Vakanzen in den FüUstgBtl ist das durch die Truppe auch nicht mehr zu schaffen.
    Egal wie gut die ITFw in KdoCIR also sind, an dem Webserver können und dürfen sie nichts machen, weil der Webserver der BWI gehört.
    Im Einsatz und für Übungen gibt es weiterhin „grüne“ IT, welche durch Soldaten betreut wird. Da haben die Soldaten Adminrechte und auch physikalische Gewalt über die IT. Gleiches gilt für einige Waffensysteme und Sonderprojekte.

    Geschützt wird beides u.A. nach Vorgaben des CertBw, wo dann wiederum Soldaten dabei sind.

    Ob das jetzt Prio1 im Störungsticket ist, müssen andere wissen. Die Außenwirkung ist schlecht, aber im Vergleich zu einem offenen Webserver oder einem unkontrollierten Netzübergang, über den Informationen abfließen, halte ich die Dringlichkeit für nachrangig.

  25. @DavidShuster

    Multiple intelligence sources: US govt „digital interference“ (hacking) disrupted North Korea missile launch attempt. More @i24NEWS_EN

    Kann da was dran sein? Heutiger nordkoreanischer Raketenstart gehackt?

Kommentare sind geschlossen.