profile

Michael Mayer

Super Security Bros.

Published 16 days ago • 4 min read

Warst du als "Kind" (hüstel 😅) auch so verrückt nach Super Mario und hast es tausende Stunden gespielt wie ich?

Viele verschiedene Welten, viele Gegner, Fallen, Geheimwege und herausfordernde Endbosse. Am Ende winkt die Prinzessin als Belohnung. Da schlägt das kompetitive Spielerherz gleich höher.

Aber stell dir jetzt einfach mal vor: Mario ist nicht der Held, sondern der Angreifer. Und dein Netzwerk ist das Spielfeld.

Wirst du durchgespielt?

Viele in der IT-Security denken, dass ihr Netzwerk eine Festung ist, aber in Wahrheit sind es viele verschiedene Welten, die miteinander verknüpft sind.

Hacker, ganz egal ob gut oder böse, sind sehr ehrgeizig und kompetitiv. Wenn du mit einem Pentester mal über seine Arbeit sprichst, wird er/sie garantiert Wörter wie knifflig, herausfordernd und spannend verwenden.

Es ist die Jagd, die Herausforderung und die Neugierde, die die Leidenschaft von Hackern entfacht. Eben wie in einem Super Mario Spiel.

Wenn du den Controller in die Hand nimmst und dir gleich der erste Koopa ein Leben abzieht, dann drehst du die Konsole auch nicht gleich ab. Du denkst dir: Na warte, jetzt erst recht! Dir werd' ich’s zeigen! 😄

Aufgeben ist keine Option. Solange Hacker kein “Game Over” haben, also von der Polizei geschnappt werden, fangen sie einfach immer wieder neu an. Das ist gut für sie, aber schlecht für dich!

Level-Design

Welt 1: Grüne Wiese (User-Umgebung)

Hier ist die Welt noch in Ordnung. Die Blumen blühen bunt, und die grüne Wiese erinnert an Windows XP. Mario findet sich schnell zurecht, denn das Level ist in jedem Spiel annähernd gleich.

Er findet auch ein paar leicht zugängliche Power-Ups: Gespeicherte Kennwörter, verbundene Netzlaufwerke mit Daten und viele offene Ports, um ins nächste Level zu kommen.

Es gibt ein paar Goombas und Koopas als Gegner. Die sind entweder schnell besiegt, oder man überspringt sie einfach: UAC, Anti-Virus & Spam-Filter

Welt 2: Untergrund (Server-Landschaft)

Jetzt wird's interessant. Das Terrain wird anspruchsvoller, es gibt mehr Gegner, mehr Fallen und erste Bosse tauchen auf: Die Admins!

Jetzt wird's Zeit für bessere Items: Eine paar Admin-Credentials und Service-Accounts haben hier noch nie geschadet.

Damit Mario es schnell ins Ziel schafft, braucht er das richtige Timing. Die Sprünge und Abläufe müssen sitzen, sonst fängt er wieder von vorne an. Dauert dann länger, ist mit genug Leben aber auch kein Problem.

Er hüpft geschickt von Plattform zu Plattform. Wären diese Netzwerke doch nur besser segmentiert, würde er die höheren Ebenen gar nicht erreichen.

Welt 3: Lava-Land (OT/Produktion)

Hier wird’s heiß! Ein falscher Sprung und es ist vorbei. Aber nicht für Mario, sondern für die heiklen OT-Geräte in der Fertigung. Hier muss jeder Handgriff sitzen, um lange unentdeckt zu bleiben.

Wenn die vorherigen Levels gut designt waren, dann sollten es nur die absoluten Hardcore-Profis bis hierher schaffen. Oft gibt es aber Abkürzungen, um von Welt 1 direkt bis zum Endgegner zu springen. Die kennt vielleicht nicht jeder, aber je erfahrener der Spieler, umso einfacher wird es.

Am Ende der Maschinenhalle sitzt Bowser: Dein Senior Admin! Er hat alle Rechte, alle Zugriffe und hat die Welten designt. Entweder Mario tritt gegen ihn im Duell an, oder er schleicht sich einfach an ihm vorbei und stiehlt die Prinzessin, ohne dass es jemand merkt.

Welt 4: Star-Road (Identity Management)

Hoppla! Wer auf der geheimen Star Road landet, der hat entweder den Senior Admin besiegt oder ein Super-Item gesammelt: Domain Admin Credentials, oder einen Enterprise Admin Zugang

Mario kann sich jetzt in allen Welten frei bewegen, hat immer einen Super-Stern dabei und ist unverwundbar. Er hat Zugriff auf alle Systeme, Backups und Firmen-Geheimnisse.

Game Over: Wenn du jetzt nicht den Stecker ziehst, wirst du ihn nicht los.

Bau deine eigenen Kaizo-Levels

Jetzt wird’s nerdig! 😅 Kaizo-Levels sind gnadenlos schwierige Levels, die von Fans erstellt wurden. Das Timing der Sprünge und Aktionen muss perfekt sitzen. Selbst erfahrene Profi-Gamer brauchen teilweise hunderte bis tausende Anläufe, um sie zu schaffen.

Quelle: https://kaizomariomaker.fandom.com/wiki/Kaizo_Level

Schwierigkeitsgrad reversieren

Du solltest es dir nicht zum Ziel machen, dein Kaizo-Level erst zum Schluss zu bauen, sondern bereits am Anfang. Wenn Angreifer in Level 1 schon unüberwindbare Hürden finden, dann geben sie eher auf, als wenn sie kurz vorm Ziel sind.

Das Problem ist, dass die User-Experience darunter leiden kann. Wenn deine Anwender ein extrem hohes Skillset brauchen, um einfachste Arbeiten zu erledigen, dann hemmt das die Produktivität. MFA ist super, aber bitte nicht alle 2 Minuten abfragen.

Smarte Gegner

Gewöhnliche Anti-Viren-Programme sind wie Koopas, sie sind berechenbar. Setze unberechenbare Gegner ein, die sich auf ungewöhnliche Weise fortbewegen. Die Angreifer brauchen mehr Zeit, um die Abläufe zu lernen. Das macht es schwieriger, aber dafür können Admins sie frühzeitig erkennen und aussperren.

Items reduzieren

Auch wenn es nur ein kleines Power-Up ist, hilft es Angreifern in deinem Netzwerk voranzukommen. Damit sind Anmeldeinformationen gemeint, also gespeicherte Kennwörter, zugängliche Daten und privilegierte Service-Accounts.

Warp-Zones entfernen

Abkürzungen liebt jeder! Das war damals in Super Mario Bros. 3 schon verdammt geil, dass man mit der Flöte direkt zu Bowser fliegen konnte. Für Speedrunner ein Traum, für uns Admins hingegen ein Horror.

Bitte prüfe unbedingt, ob alle Abkürzungen zur Star-Road und zur Produktion entfernt wurden. Lass keine Admin-Credentials herumliegen und segmentiere deine Netzwerke strikt.

Wenn du unbedingt Schnittstellen brauchst, wie zum Beispiel für Dashboards, dann baue dazwischen eine DMZ (Demilitarisierte Zone) auf. Du kannst auch einen Datenbroker, oder Proxy dazwischenschalten. Der empfängt dann nur die Daten lesend und leitet sie zur Anzeige auf dem Dashboard weiter.

Speedruns buchen

Lass in regelmäßigen Abständen die Profi-Gamer ran. Pentester können dir Wege aufzeigen, die deine IT nicht mal zu träumen wagt. Selbst Nintendo staunt immer wieder, wenn Speedrunner Spiele in Minuten durchspielen, obwohl sie hunderte Stunden bräuchten. Das kann dir in deinem Netzwerk auch passieren. Der Pentester stellt dir eine Rechnung aus und schreibt dir einen schönen Bericht. Ein Angreifer hingegen kann mit dir machen, was er will.

Fazit

Für Hacker gibt es kein Game Over, sondern nur ein Continue. Für sie ist es nur ein Spiel mit Herausforderungen und unterschiedlichen Schwierigkeitsgraden. Die Neugierde treibt sie an und auch das Lösen von Rätseln. Die Kirsche auf der Torte ist dann aber die Prinzessin, also die finanzielle Belohnung.

Wenn deine Levels schwieriger sind, als die Belohnung, die für die Hacker dabei rausschaut, dann werden sie sich auch ein anderes Spiel suchen!

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Halloween ist zwar erst nächste Woche, aber es wäre langweilig, am 1. November noch einen Grusel-Newsletter zu lesen. Daher gibt es ihn schon diese Woche! 🧟🎃 Was ist schlimmer als Stillstand? Auf einem Zombie-Pferd zu reiten! Damit meine ich keine schlecht selektierten Tools, sondern falsche Schlussfolgerungen. Die Logik, dass das Netzwerk sicher ist, weil bisher noch nichts passiert ist, ist genauso schwachsinnig wie die Vorstellung, unsterblich zu sein, nur weil man noch nicht gestorben...

1 day ago • 2 min read

Niemand klatscht, wenn nichts passiert. Keine standing Ovations, wenn das automatisierte Patching wie jeden Monat nahtlos durchläuft. Es gibt auch keinen Bonus, wenn der Spam-Filter keine Phishing-Mails durchlässt. Wenn nachts um 03:00 Uhr der Alarm losgeht und der heldenhafte Incident-Responder ausrückt, obwohl der Angriff vermeidbar gewesen wäre, gibt es ein fettes Dankeschön der Geschäftsführung und Kuchen für alle. Willkommen bei Security Tetris. Wo Erfolg niemals zählt, aber kleinste...

9 days ago • 3 min read

Wenn du Cyberangriffe auf deine Infrastruktur stoppen möchtest, dann ist das wie eine Sisyphusarbeit. Du hast dich dazu verdonnert einen riesigen Felsbrocken einen steilen Berg hinaufzurollen. Aber so wie damals im alten Griechenland, wirst du diesen Gipfel aber niemals erklimmen… Perfection kills Progress Manchmal habe ich das Gefühl, als gäbe es in Cybersecurity Branche nur 0 und 1. Also faktisch, nicht binär. 😅 Die einen möchten nichts tun, oder fast nichts. Die anderen sind totalitär...

23 days ago • 3 min read