Category Archives: Internet

Miele Geschirrspüler mit Directory Travelsal Attack

Posted on by

Wie  The Register berichtet, hat Miele einen Industrie Geschirrspüler „Professional PG 8528“ mit Netzanschluß auf den Markt gebracht. Wie nicht anders zu erwarten, patzte der Hersteller bei der Sicherheit ( Was war das doch gleich ? )  und baute ein Netzwerkmodul mit Directory Travelsal Attack Schwachstelle im mitgelieferten Webserver ein.

Es kam wie es kommen mußte, jemand hat mal nachgeschaut und wie auch schon bei anderen IoT Schwachstellenberichten, hat Miele bislang nicht auf die Meldung des Finders der Lücke, Jens Regel von der Firma Schneider-Wulf, reagiert. Auf Updates und Bugfixes werden wir ohne verzichten müssen.

Das Vulnerability Advisory wurde dann auch über die Full Disclosure Mailingliste versendet, so daß jetzt jedes Restaurant, daß die Maschine ordnungsgemäß ins Netz gehängt hat, darauf warten kann, wann der Geschirrspüler das nächstgelegene Wifi hackt oder Spams versendet 😀 Und das alles, weil jemand vom PC aus nachsehen will, ob die rote BetriebsLED am Gehäuse auch funktioniert 😀

All Hail IoT!

 

Update: Miele hat sich dann doch noch gemeldet, nachdem Heise Security nachgefragt hat. „Äh ja, können wir uns auch nicht erklären….usw. usw.“

Selten eindeutiger krimineller Spam

Posted on by

Spams unterliegen ja wie alles andere einer Mode. Heute flatterte ein richtig eindeutiger Spam ins Haus, der sich nicht eindeutiger als Spam outen lies. Besonders war nur, was damit wirklich geplant war.

Ich hatte eigentlich bei dem Betreff „for CV“ ein Bild oder ein WordDoc erwartet, daß einen Exploit enthält, aber tatsächlich kam das hier:

Dear info,

We are looking for employees working remotely.

My name is Rich, I am the personnel manager of a large International company.
Most of the work you can do from home, that is, at a distance.

Salary is $2300-$5300.

If you are interested in this offer, please visit Our Site

http://www.buildmypodcast.com/wp-content/themes/twentyfifteen/{GEHACKTEURL}.html

d_healthHave a nice day!

Spamassassin hat die Mail  extrem eindeutig als Spam erkannt. Eine Regel sticht besonders ins Auge :

 Inhaltsanalyse im Detail:   (27.5 Punkte, 5.0 benötigt) 
 Pkte Regelname              Beschreibung
 ---- ---------------------- --------------------------------------------------
...
  3.0 URI_WP_HACKED          URI for compromised WordPress site, possible malware
...
Subject: for CV

Was meint, daß die URL in der Email eine WordPress Installation ist, die vermutlich gehackt wurde.

Spamassassin lernt also auch immer dazu, und das ist gut so 😉

Der Sinn der Sache war übrigens, den Empfänger als Finanzagent für Geldwäsche anzuwerben.  Wenn Sie also sowas sehen, wie immer, aber in die Tonne damit.

Kleine Anekdote am Rande: Für eine fiktive Deutsche Firma hat mich so ein Spam auch schon erreicht. Da in dem Fall allerdings nachvollziehbare Login, Adressen usw. vorhanden waren, ging das ausnahmsweise an die Staatsanwaltschaft, statt direkt in der Tonne zu landen.

Backups in der Post Locky Era

Posted on by

Wie macht man normalerweise ein automatisches Backup ?

Ganz grob gesagt, packt man mit einem Archivprogramm wie TAR seine Dateien zusammen und speichert sie auf eine andere Festplatte. Der Speicherort könnte auch ein anderer Server sein, weil dann die Gefahr, daß wenn dem lokalen Rechner was passiert, die Daten weg sind, gebannt ist.

Jetzt die schlechte Nachricht: das Konzept ist so leider überholt.

Spielverderber: Ransomware

Seit Locky’s Linux Verwandte unterwegs sind, reicht so eine Backupstrategie nicht mehr aus, denn sie hat einen gravierenden Nachteil und der ist nicht mal auf Linux beschränkt:

Malware wie Locky verschlüsselt die Dateien, verzögert aber die Meldung, das die Daten verschlüsselt wurden, um gerne mal vier Wochen und mehr.

Die Folge

Auf dem oben beschriebenen Backupweg sichert man die verschlüsselten Dateien, löscht irgendwann die alten Backups aus Platzmangel und vermutlich erst danach kommt (zufällig) die Ransomwaremeldung.

Für den backupenden Rechner war das nicht erkenntlich, weil die Malware das verhindert, indem sie wochenlang den Zugriff auf die Dateien durchleitet (on-the-fly Entschlüsselung).

Außerdem könnte die Malware nach genau so einer Backuplösung suchen, das Ziellaufwerk einhängen und dann einfach die Backups auch verschlüsseln.

Fazit: Backup gemacht, Daten trotzdem weg.

Eine Lösung

Ein autarker Backupserver mounted den zusichernden Rechner bei sich,
prüft bestimmte Dateien, ob die noch den richtigen Type und Namen haben,
macht dann erst das inkrementelle Backup und lagert die Daten bei sich ein.

Statt Daten aktiv zu senden, werden diese gepollt.

Auf dem Weg kann eine Infektion gefunden werden, wenn ein Cryptotrojaner bereits am Werk ist. Mit etwas Glück sind die Dateien noch für ein händisches Inhaltsbackup verfügbar, aber auf jeden Fall sind die alten Backups sicher vor Überschreibung. Damit erleidet man maximal nur einen partiellen Verlust.

Natürlich hat das andere Ansprüche an die heimische Infrastruktur, also eine „Ich sichere auf die lokale NAS“ Lösung.
Beide Computer müssen an und im Netz verfügbar sein, damit das überhaupt klappen kann.

Ob das von privaten Anwendern so angenommen wird, ist fraglich, weil die Bequemlichkeit oft über Sicherheit stellen. Siehe : Facebook, kein TLS im Emailprogramm, WhatsApp, Google+, LinkedIn und wie der ganze Überwachungskram so heißt.