Sicherheitsverletzung | Quebec und Ottawa haben Websites und Dienste der Regierung geschlossen

(Quebec) Quebec hat die vorbeugende Abschaltung aller seiner über das Internet zugänglichen Computersysteme – mindestens 3.992 Websites und Dienste – angeordnet, nachdem weltweit eine schwerwiegende Sicherheitsverletzung entdeckt wurde, die Server betrifft.

Aktualisiert am 12. Dez. 2021

Tommy Chouinard

Tommy Chouinard
Journalismus

Joel Dennis Belavance

Joel Dennis Belavance
Journalismus

In Ottawa hat die Bundesregierung beschlossen, dasselbe zu tun, indem sie mehrere möglicherweise gefährdete Dienste schließt, während die Situation bewertet wird. Die Canada Revenue Agency (CRA) ist eine davon.

“Die Behörde ist auf Sicherheitslücken aufmerksam geworden, die Unternehmen auf der ganzen Welt betreffen. Wir haben vorsichtshalber die proaktive Entscheidung getroffen, unsere Online-Dienste auszusetzen, während wir notwendige Aktualisierungen an unseren Systemen durchführen. Derzeit gibt es keinen Hinweis darauf, dass die Systeme der Behörde betroffen sind kompromittiert oder der Zugriff ist unbefugt. Aufgrund dieser Schwachstelle kann es zu einer Autorisierung von Steuerzahlerinformationen gekommen sein”, sagte die Regulierungsbehörde für Kommunikation in einer Erklärung.


Berühre den Bildschirm

Die Website des Ministeriums für Bildung und Hochschulbildung war am Sonntag nicht erreichbar.

Revenu Québec hat auch seine Online-Dienste ausgesetzt, obwohl seine Website weiterhin für die Konsultation grundlegender Informationen geöffnet ist. “Es gibt keinen Hinweis darauf, dass unsere Systeme von dieser Schwachstelle betroffen sind, aber wir ergreifen proaktive Maßnahmen, um ihre Integrität aufrechtzuerhalten. Unsere Dienste werden so schnell wie möglich wieder verfügbar sein”, heißt es auf der Website.

Am Ende des Sonntagnachmittags zog die Stadt Montreal nach und kündigte eine präventive Abschaltung einiger ihrer digitalen Dienste an.

Defekte “Log4Shell”

Der “Log4Shell”-Fehler ermöglicht es einem Hacker, Computercodes auf einem Unternehmensserver auszuführen und die Kontrolle über sein System zu übernehmen. Interessiert ist die weltweit verbreitete Java-Bibliothek der Firma Apache. In Quebec wurde das State Cyber ​​​​Defense Center am 10. Dezember auf diese Schwachstelle aufmerksam und bat alle Computersicherheitsadministratoren, diesen Fehler in Quebec-Systemen zu finden.

” [En fin de journée samedi]Wir waren uns einig, dass die Gefahr eines Schadens größer ist als der Schaden, der durch die Abschaltung aller Regierungssysteme verursacht wird, auf die über das Internet zugegriffen werden kann“, erklärte der bevollmächtigte Minister für digitale Transformation Eric Kaer während einer Pressekonferenz in Begleitung von Chief Information Officer Pierre Rodrigue am Sonntag.


Foto von Graham Higgs, Canadian Press Archives

Eric Kaer, Ministerdelegierter für digitale Transformation

Wir standen vor einer Bedrohung mit einem kritischen Level von 10 von 10. Ein kritischer Wert von 10 schaltet das Zielsystem automatisch ab.

Eric Kaer, Ministerdelegierter für digitale Transformation

Daher wurde eine Anordnung erlassen, 3.992 staatliche Websites und Internetdienste präventiv zu schließen, eine außergewöhnliche Entscheidung, die in der Regierung von Quebec beispiellos war.

Eric Kayer betonte, dass „die Richtlinie auf den gesamten allgemeinen Apparat abzielt“. Das Ranking betrifft unter anderem staatliche Dienste, die den Bürgern im Internet angeboten werden – etwa solche, die CLICSÉQUR nutzen – und die Websites des Bildungs- und Gesundheitsnetzwerks. Das Terminsystem für den COVID-19-Impfstoff sei „bereits debuggt“ und zugänglich, und die Impfpassdaten seien von dem Risiko nicht betroffen, erklärte der Minister.

Quebec stellt fest, dass bisher keine Aktivität festgestellt wurde, die darauf hindeutet, dass ein Hacker diesen Fehler ausgenutzt hat. So gab es zum Beispiel im Moment kein Durchsickern von persönlichen Daten oder sensiblen Regierungsinformationen.

“Möglicherweise gibt es Personen, die die Systeme gescannt haben. Dies hinterlässt keine Spuren und wir wissen es nicht. Aber es gab keinen Einbruchsversuch, also hat niemand versucht, mit diesem Hack in den Server einzudringen und Schaden anzurichten. Es gibt sie nichts, während wir sprechen“, sagte Eric Kaer.

Alle Ministerien, öffentlichen und halbstaatlichen Stellen sollten prüfen, ob sie die jeweilige Java-Bibliothek verwenden und damit ihre Computersysteme gefährdet sind. „Wir suchen die Nadel im Heuhaufen, das verheimliche ich Ihnen nicht!“, ließ der Minister fallen.

„Entschuldigung für den Ausdruck, aber wir müssen alle unsere Systeme überprüfen, weil wir keinen Vorrat haben. Es ist, als würde man sagen, wie viele Räume in allen Regierungsgebäuden in Quebec 60-Watt-Glühbirnen verwenden. Ich weiß es nicht. Also wir Gehen Sie durch die Räume und die Glühbirnen, um zu sehen, ob es 60 Watt sind. Das ist die Aufgabe eines Mönchs.“

Internetseiten und -dienste werden schnell wieder geöffnet, wenn festgestellt wird, dass sie von der Sicherheitsverletzung nicht betroffen sind. Andere müssen einen Patch für den Computer installieren und dann überprüfen, ob das Problem weiterhin besteht. “Es gibt eine Reihe von Tests, die durchgeführt werden müssen”, sagte Eric Kaer. Es werden mehrere Tage benötigt, um den Vorgang abzuschließen und alle Computersysteme wiederherzustellen. Von „Abstrichen“ kann für den Minister keine Rede sein.

Wenn Regierungswebsites jetzt zugänglich sind, liegt das entweder daran, dass sie die Abschaltanordnung noch nicht umgesetzt haben – das wäre eine sehr kleine Minderheit – oder weil schnell festgestellt wurde, dass sie „nicht von dem Fehler betroffen sind oder dass ihre Systeme es waren gepatcht – das ist bei Seiten im Gesundheitsnetz der Fall. Die Plattform Québec.ca, die die fragliche Bibliothek nutzt, wurde geschlossen und bald wieder online, seit die Reparaturen durchgeführt wurden.

„Kritische Standorte, die sensibelsten und am meisten genutzten, werden priorisiert, um die Auswirkungen zu minimieren und sicherzustellen, dass sie so schnell wie möglich verfügbar sind“, sagte Minister Kair. Am Montag wird die Regierung voraussichtlich eine Liste der Standorte und Dienste veröffentlichen, die wiedereröffnet wurden und solche, die geschlossen bleiben.

Bürger, die einen online bereitgestellten Dienst benötigen und mit einer geschlossenen Website konfrontiert sind, müssen „einen anderen Weg wählen“, und „Beamte können die Bedürfnisse der Bürger erfüllen“, sagte Eric Kayer zufrieden.

In Ottawa sagte Verteidigungsministerin Anita Anand, dass alle Anstrengungen unternommen werden, um die Integrität der Websites der Bundesregierung und der darin enthaltenen vertraulichen Daten zu schützen.

“Der kanadischen Regierung ist eine von Apache gemeldete Schwachstelle bekannt. Diese Schwachstelle könnte es Angreifern ermöglichen, Angriffe mit begrenzter und begrenzter Reichweite zu starten. […] Die kanadische Regierung verfügt über Systeme und Tools, um potenzielle Bedrohungen zu überwachen, zu erkennen und zu analysieren und erforderlichenfalls Maßnahmen zu ergreifen. Aus äußerster Vorsicht haben einige Abteilungen ihre Online-Dienste ausgesetzt, um potenzielle Schwachstellen zu bewerten und zu mindern. Zum jetzigen Zeitpunkt, so hieß es in einer Stellungnahme, gebe es keine Hinweise darauf, dass diese Schwachstellen auf Regierungsservern ausgenutzt worden seien.

Das kanadische Zentrum für Cybersicherheit hat alle Bundesministerien und -behörden aufgefordert, Aktualisierungen vorzunehmen, um die Sicherheit ihrer Standorte zu gewährleisten.

Hat die Regierung die richtige Entscheidung getroffen?

Laut Marc-Etienne Léveillé, leitender Malware-Forscher bei der Computersicherheitsfirma ESET, haben die Regierungen die richtige Entscheidung getroffen, indem sie ihre Websites und Dienste vorübergehend geschlossen haben. Der Forscher schätzt, dass „die Auswirkung einer Abschaltung des Standorts für einige Stunden, in einigen Fällen für einige Tage, im Vergleich zu den Risiken für eines dieser Systeme sehr gering ist“.

Jean-Philippe Décarie-Mathieu, Leiter der Cybersicherheit bei den Commissionaires du Québec, sagte, der Fehler mache Programme anfällig für die Ausführung von Remote-Code. „Das ist die schlimmste Schwäche, die es geben kann.“

Fachmännischer Rat

Hat die Regierung die richtige Entscheidung getroffen?

Laut Marc-Etienne Léveillé, leitender Malware-Forscher bei der Computersicherheitsfirma ESET, haben die Regierungen die richtige Entscheidung getroffen, indem sie ihre Websites und Dienste vorübergehend geschlossen haben. Der Forscher schätzt, dass „die Auswirkung einer Abschaltung des Standorts für einige Stunden, in einigen Fällen für einige Tage, im Vergleich zu den Risiken für eines dieser Systeme sehr gering ist“.

Jean-Philippe Décarie-Mathieu, Leiter der Cybersicherheit bei den Commissionaires du Québec, sagte, der Fehler mache Programme anfällig für die Ausführung von Remote-Code. „Das ist die schlimmste Schwäche, die es geben kann.“

Wann wurde der Mangel festgestellt?

Spezialisierte Seiten berichteten, dass der Fehler Apache bereits am 24. November bekannt war, nachdem er von einem Experten des chinesischen Unternehmens Alibaba aufgedeckt und der Patch am 6. Dezember veröffentlicht wurde. Die befragten Experten Journalismus Sie gaben ihrerseits an, am Donnerstag, den 9. Dezember, von dem „Log4Shell“-Defekt erfahren zu haben.

“Was passieren sollte, ist, dass es nicht am 24. November angekündigt wurde, sondern der Forscher Apache hätte warnen sollen”, glaubt Sebastien Gambs, Professor am Institut für Informatik an der Universität von Quebec in Montreal (UQAM). Ihm zufolge hätte Apache lieber auf die Veröffentlichung des Patches warten sollen, bevor er den Fehler der Öffentlichkeit offenbarte, da sie nichts tun konnten, um ihn zu beheben.

Haben Regierungen zu spät reagiert?

Nicht laut Mr. Gambs. “Updates dauern oft ein paar Tage oder Wochen. Er erklärt, dass Updates am ersten Tag, an dem ein Patch veröffentlicht wird, wirklich selten sind. Das öffentliche Aufdecken eines Fehlers ist nur eine Möglichkeit, den Leuten zu sagen: Dies ist ein sehr ernstes Problem, bitte aktualisieren. ”

Wer kann den Fehler ausnutzen?

Laut Marc-Etienne Léveillé ist der Fehler für Programmierer „relativ einfach“ auszunutzen. Insbesondere böswillige Personen können Malware auf einer Zielwebsite implementieren. Hacker, die die „Log4Shell“-Schwachstelle ausnutzen, könnten auch Zugriff auf alle Informationen auf einer Website erhalten, einschließlich personenbezogener Daten darauf, im Fall von Regierungswebsites.

Ist der Defekt das Werk des Hackers?

Nein, sagt Marc-Etienne Levy. Der Forscher glaubt, „es ist die Schuld der Software-Entwickler“.

Mit Coralie Laplante, Journalismus

Leave a Comment