Zum Inhalt springen

Computer machen sowas/Computer-FU-thread


stefanie

Empfohlene Beiträge

Wie auch immer, ihr seht aber, dass es technisch möglich gewesen wäre, das bereits im Vorfeld so einzurichten, dass der Angriff nicht nur ins Leere gelaufen, sondern gar nicht erst hätte durchgeführt werden können. Das ist der Punkt, worum es mir geht. Ob dafür jetzt ein Port geblockt wird oder nicht, ist mir aus technischer Sicht sowas von wumpe.

Link zu diesem Kommentar

Ein klassischer Denail-of-Service also, nur eher unabsichtlich bzw. als Kollateralschaden.

Wie so oft: Der Blaster-Wurm sollte damals auch keine Windows-Rechner neu starten, sondern sich nur verbreiten.

 

Allerdings war die Infizierungs-Routine fehlerhaft, dadurch ist die Windows-RPC-Schnittstelle abgestürzt, dadurch hat Windows sich selbst neu gestartet - und die Reboot-Orgie, die viele Rechner unbenutzbar gemacht hat und deshalb mit dem Blaster-Wurm assoziiert wurde, begann.

Auch da war die Lücke längst vorher bekannt und per Windows-Update auch gefixt worden - allerdings nutzten viele Leute eine Windows-XP-Schwarzkopie und/oder hatten automatische Updates abgeschaltet.

Link zu diesem Kommentar

Wie auch immer, ihr seht aber, dass es technisch möglich gewesen wäre, das bereits im Vorfeld so einzurichten, dass der Angriff nicht nur ins Leere gelaufen, sondern gar nicht erst hätte durchgeführt werden können. Das ist der Punkt, worum es mir geht. Ob dafür jetzt ein Port geblockt wird oder nicht, ist mir aus technischer Sicht sowas von wumpe.

Tja, nu: Es reicht ein Hersteller, der billige Firmware in seine Geräte packt und (deshalb?) selbige billig anbietet. Schon sind Millionen unsicherer Geräte draußen in freier Wildbahn. Noch bitterer wird es, wenn die Firmware von einem Zulieferer kommt und deshalb bei verschiedenen Herstellern genutzt wird.

Wir haben nun mal ein Internet, in das jeder seine selbst gebastelte Hard- und Software hängen kann.

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

Bearbeitet von dabba
Link zu diesem Kommentar

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

 

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

Link zu diesem Kommentar

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

Was hat denn der Provider mit der Fernwartung der Endverbraucher-Router zu tun?

Link zu diesem Kommentar

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

 

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

 

Ein VPN hilft da nicht. Höchstens eine zusätzliche VLAN-Infrastruktur.

Link zu diesem Kommentar

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

Was hat denn der Provider mit der Fernwartung der Endverbraucher-Router zu tun?

 

 

Wenn es sich um einen von der Telekom gemieteten Router handelt, musst du die Fernwartung aktiviert haben. ...und das waren genau die betroffenen Router.

Link zu diesem Kommentar

 

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

 

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

 

Ein VPN hilft da nicht. Höchstens eine zusätzliche VLAN-Infrastruktur.

 

 

Ja, mein Fehler, ich meine VLAN, habe aber VPN geschrieben.

Link zu diesem Kommentar

 

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

Was hat denn der Provider mit der Fernwartung der Endverbraucher-Router zu tun?

Wenn es sich um einen von der Telekom gemieteten Router handelt, musst du die Fernwartung aktiviert haben. ...und das waren genau die betroffenen Router.

Ja, ok, in diesem konkreten Fall hätte es natürlich zig Methoden gegeben, den Seiteneffekt des Angriffes (den mehr war es ja nicht) zu vermeiden. :)

Link zu diesem Kommentar

 

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

 

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

 

Ein VPN hilft da nicht. Höchstens eine zusätzliche VLAN-Infrastruktur.

 

VLAN machst du im LAN. Drum heißt das so ;) Ich weiß auch nicht, warum sich Akeem da beirren läßt. Nachdem es nur 4096 VLANs gibt, wärst du damit auch in einem überschaubaren Netz recht schnell am Ende, wenn du nicht Q in Q in Q in Q... bauen willst.

 

Natürlich müßte man da zumindest ein MPLS-VPN mit entsprechenden Eintrittspunkten (dann von mir aus mit einem EFM mit getrennten VLANs, können aber auch nur unterschiedliche PPP-Sessions sein) ins Netz bauen. Früher ging das bei ATM recht bequem mit einem eigenen ATM-PVC.

 

Das hilft aber alles nicht, wenn derselbe Router dann trotzdem im Internet hängt. Wie willst du das denn am (Home)Router selbst trennen, wenn die entsprechenden Probes von der öffentlichen Seite aus kommen? Da kann man nur mehr am Router eine entsprechende Rule anwenden (nimm keine TR069-Steuerung an, die nicht vom Netz x.y.z.0/xx kommt oder nicht über VLAN a oder nicht über PPP-Connection z) - das bewirkt aber trotzdem möglicherweise einen DoS, wenn das arme Consumer-Routerlein ein paar hundert Pakete pro Sekunde gegen die entsprechende Firewall-Rule checken und droppen muß. Die Dinger haben keine ASICs, sondern meistens irgendein auf iptables (ja, das ist kein Fehler, die Kernel sind meistens älter) gebaute Struktur auf einem brustschwachen Prozessor mit wenig Speicher.

 

Abschießen wirst du den also trotzdem können, trotz, oder eigentlich gerade wenn er halbwegs sauber gebaut ist.

Link zu diesem Kommentar

Da dreht man sich auch im Kreis: Wenn die Router nach außen erreichbar sind, gibt es immer eine Möglichkeit, sie mit Anfragen zu überschütten und ggf. ihre Schwachstellen zu nutzen.

Es ist ein bisschen wie im RL: Die Leute, die wirklich etwas können, haben keinen Grund, das System zu (zer)stören.

 

An dieser Stelle nochmal DANKE an die Entwickler von Blaster, Sasser und Co. :) Eure Würmer waren unterwegs, als viele Windows-Kisten direkt am Netz (über Modem o. ä.) hingen.

Hätten Eure Würmer damals nicht einfach nur Blödsinn gemacht (und dabei nur aus Versehen Rechner neu gestartet), sondern - wie Locky und die anderen Geldgeier - Daten verschlüsselt, wäre der Schaden nicht ein paar Milliarden, sondern ein paar Billiarden Euro schwer gewesen. Außerdem und vor allem wäre das allgemeine Vertrauen in die Internet-Nutzung nachhaltig geschädigt worden.

Bearbeitet von dabba
Link zu diesem Kommentar

Natürlich müßte man da zumindest ein MPLS-VPN mit entsprechenden Eintrittspunkten (dann von mir aus mit einem EFM mit getrennten VLANs, können aber auch nur unterschiedliche PPP-Sessions sein) ins Netz bauen. Früher ging das bei ATM recht bequem mit einem eigenen ATM-PVC.

ATM gäbe es bei DSL immer noch, ganz unten. Tatsächlich macht man aber eher Ethernet-Briding oberhalb von ATM, und dort gibt es VLAN-Tags und man kann so getrennte Verbindungen aufbauen. Das ist nicht theoretisch, sondern wird auch gemacht, um VoIP-Traffic oder IPTV-Traffic zu trennen. Laut Google wird da sogar bunt PPPoE (i.d.R. für Internet) und direktes Ethernet mit DHCP (für VoIP, bei Netcologne auch für TR-069) gemischt.

 

Das hilft aber alles nicht, wenn derselbe Router dann trotzdem im Internet hängt. Wie willst du das denn am (Home)Router selbst trennen, wenn die entsprechenden Probes von der öffentlichen Seite aus kommen? Da kann man nur mehr am Router eine entsprechende Rule anwenden (nimm keine TR069-Steuerung an, die nicht vom Netz x.y.z.0/xx kommt oder nicht über VLAN a oder nicht über PPP-Connection z) - das bewirkt aber trotzdem möglicherweise einen DoS, wenn das arme Consumer-Routerlein ein paar hundert Pakete pro Sekunde gegen die entsprechende Firewall-Rule checken und droppen muß.

Es macht einen großen Unterschied, ob ein Router Pakete nur wegwirft oder versucht, die gesendeten Daten zu interpretieren. Im ersteren Fall benötigt ein Angreifer viel Bandbreite, im zweiten Fall kann - wie jetzt - ein einzelnes Paket reichen, das den Router zum Absturz bringt.

 

Außerdem braucht es dazu nicht einmal iptables. Der Management-Port ist halt einfach nur auf dem internen Interface offen. Auf dem Management-Netz darf ich dann übrigens von Provider-Seite aus beliebig filtern, weil ich damit die getrennte Internet-Verbindung nicht beeinflusse. Deswegen reicht dann ein VLAN für alle Kunden.

 

Natürlich darf dann der Router-Hersteller nicht so doof sein, den Port auf allen Interfaces auf zu machen.

Bearbeitet von Meeresdruide
Link zu diesem Kommentar

ATM gäbe es bei DSL immer noch, ganz unten. Tatsächlich macht man aber eher Ethernet-Briding oberhalb von ATM, und dort gibt es VLAN-Tags und man kann so getrennte Verbindungen aufbauen. Das ist nicht theoretisch, sondern wird auch gemacht, um VoIP-Traffic oder IPTV-Traffic zu trennen. Laut Google wird da sogar bunt PPPoE (i.d.R. für Internet) und direktes Ethernet mit DHCP (für VoIP, bei Netcologne auch für TR-069) gemischt.

ATM gibt es bei neueren DSL-Standards nicht mehr. Auch nicht ganz unten (und so weit unten finde ich LAY2 nicht, weil DSL ist LAY1)

Und du mußt nicht google befragen, nur mir glauben ;)  Machen kann man das alles. Sowohl mit VLANs im EFM, wie auch Vlan bridged over ATM, wie auch mit ATM-PVC, wie auch mit L2TP/PPPox und MPLS-VPN dann abführen usw.

 

Nur: Ein VLAN vom Kunden bis zum Core wird man nie ziehen. Schon gar nicht für alle Kunden im gleichen VLAN, selbst wenn es nur ein Management-VLAN wäre. Broadcast-Domains sollte man doch irgendwo begrenzen.

 

 

 

Es macht einen großen Unterschied, ob ein Router Pakete nur wegwirft oder versucht, die gesendeten Daten zu interpretieren. Im ersteren Fall benötigt ein Angreifer viel Bandbreite, im zweiten Fall kann - wie jetzt - ein einzelnes Paket reichen, das den Router zum Absturz bringt.

 

So wie es z.B. hier beschrieben ist https://comsecuris.com/blog/posts/were_900k_deutsche_telekom_routers_compromised_by_mirai/ schaut das auch eher nach einem Speicherproblem aus - der web-connector saugt durch unzulässige Anfragen Ressourcen, man schießt ihn wohl nicht mit einem Paket ab, sondern mit beständigen (dann wahrscheinlich hängenden half-open-connections) Anfragen geht er in die Knie.

 

Aber egal: Ja, man sollte immer absichern. Wir leben nicht mehr in einem Internet von Schmetterlingen und Blumen.

Link zu diesem Kommentar

Ich weiß nicht, ob du das möchtest. Ich weiß, daß der absolute Großteil aller Kunden (und ich schließe hier auch Firmen mit eigener EDV-Abteilung ein) sich sogar erwartet, daß der Router auf einem Port lauscht, sodaß er jederzeit von der Ferne vom Provider überprüft bzw. rekonfiguriert werden kann.

Das enthebt aber nicht von der Verpflichtung, das möglichst sauber abzusichern und/oder vielleicht ein Opt-in-System zu erstellen? Also etwas, wo man explizit von vornherein einwilligt, daß von Providerseite zugegriffen werden soll?

Link zu diesem Kommentar

Ich weiß nicht, ob du das möchtest. Ich weiß, daß der absolute Großteil aller Kunden (und ich schließe hier auch Firmen mit eigener EDV-Abteilung ein) sich sogar erwartet, daß der Router auf einem Port lauscht, sodaß er jederzeit von der Ferne vom Provider überprüft bzw. rekonfiguriert werden kann.

Das enthebt aber nicht von der Verpflichtung, das möglichst sauber abzusichern und/oder vielleicht ein Opt-in-System zu erstellen? Also etwas, wo man explizit von vornherein einwilligt, daß von Providerseite zugegriffen werden soll?

Das kann man auch so realisieren, dass für die Fernwartung ein Knopf (Gerne auch ein echter auf dem Gehäuse) gedrückt werden muss.

Ich habe schon einen Server im Internet betreiben und daher: Alles zu, was nicht unbedingt auf sein muss.

 

P.S.: Meinen Router habe ich selber gekauft und nicht vom Netzprovider. Funktioniert tadellos.

Bearbeitet von Widukind
Link zu diesem Kommentar
  • 10 Monate später...

Erster Tag, daß wir Teil einer neuen Firma sind. Noch alles in Unsicherheit, Schwebe, wir bekommen Bescheid.... Und noch hängen wir mit den Systemen komplett im alten Konzern. 12:30: Ich bekomme einen Anruf, daß man mir keine Mails mehr schicken kann. Meine Mailadresse gäbe es nicht mehr. Will mich einloggen - geht auch nicht. Frage bei der IT: Stimmt - dich gibt es nicht mehr. Gar nicht. AD-User, zentraler Anforderungsuser, M$-Clouduser, alles verbunden, alles nicht mehr da. Na prima. Fristlos gekündigt oder was? Chef gefragt, der parliert mit der HR, die macht Emergency-Anruf in die Mutterzentrale (naja, da bin ich schon einmal beruhigt, wenn die HR-Chefin sich selbst hinter den Hörer klemmt, offenbar wirklich nur ein EDV-Fehler)

Ergebnis: Es gab ein "random purge of Lukas" - alle Lukasse wurden auf einen Schlag gelöscht. :silly: 

Was auch nett ist: Nachdem wir voll vercloudet sind: Keine Mails am Rechner, kein Laufwerk am Rechner. Liegt ja alles in der Cloud und ist somit sicher. In dem Fall sicher weg.

Ich warte jetzt drauf, daß ich 10 Jahre meines Arbeitslebens wiederhergestellt bekomme. :dozingoff: 

  • Haha 2
  • Sad 3
Link zu diesem Kommentar

Tut gut zu lesen, dass es in anderen Firmen auch so Themen gibt. Die andere Firma hat ihre IT nicht zufällig konsolidiert und im kostengünstigeren Ausland ausgelagert? Das Verfolgen der Auswirkungen mancher Management-Entscheidungen wirkt mitunter wie die Betrachtung einer Schnellzug-Kollision in Zeitlupe. 

Link zu diesem Kommentar

Es ist schon erstaunlich, wie stiefmütterlich IT in vielen Unternehmen im deutschsprachigen Raum behandelt. Es ist ein notwendiges Übel, darf nichts kosten und muss immer reibungslos funktionieren. Lieber Aufträge an externe Firmen vergeben, als eigene Expertise aufbauen. Nicht umsonst sind einige US Unternehmen viel Erfolgreicher, als EU Unternehmen. Sie zum Beispiel Amazon.

Bearbeitet von Akeem al Harun
Link zu diesem Kommentar
Am 3.11.2017 um 11:20 schrieb Kameril:

Tut gut zu lesen, dass es in anderen Firmen auch so Themen gibt. Die andere Firma hat ihre IT nicht zufällig konsolidiert und im kostengünstigeren Ausland ausgelagert? Das Verfolgen der Auswirkungen mancher Management-Entscheidungen wirkt mitunter wie die Betrachtung einer Schnellzug-Kollision in Zeitlupe. 

Die andere Firma hat damit gar nichts zu tun.

Tja, und mit Ausland liegst du richtig, aber wie definiert sich Ausland? Denn das gehört zum Konzern und ist in einem EU-Land zentralisiert. Und ehrlich gesagt: Das schaut nach irgendeinem "Crackshot" aus, der irgendein wildes Skript hat runterrasseln lassen, ohne das sauber zu testen, etwas, das du wahrscheinlich nicht hättest in einem "kostengünstigen Ausland" weil die dann für alles und jedes einen Prozess bräuchten.

Man sollte manchmal auch pawlowsche Reflexe überprüfen ;) 

Link zu diesem Kommentar

Da hast Du sicherlich Recht mit den Reflexen. Ich habe von meinen Erfahrungen auf andere geschlossen. In unserem Fall Osteuropa und das Thema liegt wohl auch eher darin, dass man eben erfahrene Mitarbeiter mit Kenntnissen der Systeme, Schnittstellen, Abhängigkeiten und Zusammenhänge einspart um sie durch kostengünstigere zu ersetzen. Das Ergebnis ist dann ein gesteigerter Anteil solcher Leute, die dann einfach mal ein Update einspielen ohne die dafür vorgesehenen Prozesse (für alles und jedes) zu beachten. 

Aber, wie bereits angedeutet ist das ein Thema, dass bei mir seit einer Weile arbeitet und von dieser Konstellation Verallgemeinerungen abzuleiten ist nicht gegeben. Mein Fehler. 

Link zu diesem Kommentar

Ja, habe ich auch schon gelesen. So ganz allein kann ich kaum glauben. Aber heute hat sie auch auf geflüsterte Ansprache aus ca. 5 m Entfernung reagiert... (Es war noch nicht mal Ansprache, mein Sohn hat extra geflüstert, damit Alexa NICHT reagiert. Hat aber nicht geklappt... also das Flüstern schon, aber nicht das nicht reagieren.)

Übrigens kann man seine Alexa mit Spotify fernsteuern, wenn man Alexa mit Spotify verbunden hat. Das habe ich auch schon mal versehentlich gemacht, es aber bemerkt, bevor jemand vom Hocker fällt.

Bearbeitet von Akeem al Harun
Link zu diesem Kommentar

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
×
×
  • Neu erstellen...