- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Und wie schon geschrieben ist Linux nach wie vor kein Betriebssystem für die Masse! Deine Entscheidung ist gut für dich und hilft keinem anderen.
Verschlüsselungstrojaner
- Ersteller LutzHase
- Erstellt am
Das ist das erste was man machen sollte... Was meinst du wie viele sich über den Admin einloggen wollen. Mit deaktivierten Account läuft das dann ins leere.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Hier in der Diskussion vermischen 2 verschiedene Ursachen und auch Auswirkungen.
Der fatale Zugriff über Docker mit Adminrechten kompromittiert das NAS von Innen. Komplett die A...karte gezogen.
Der "Standard" bei Emotet und Konsorten ist Zugriff via Windows (nachdem man durch Link oder Mailanhang selbst die Tür geöffnet hat) und dann auf alle damit verbundenen Laufwerke, die einen Laufwerksbuchstaben haben. Emotet verschlüsselt in dieser Phase keine Systemdateien oder Ordner auf dem NAS die es nicht sehen kann. Auch keine Backups in einem nicht freigegebenen Ordner!
Diese Steigerung auch Adminrechte des Servers zu erhalten hängt gemäss Interview, das diese Herren schon gegeben haben, davon ab wie brisant die bereits gefundenen Daten sind. Lohnt sich der Aufwand den Server zu hacken oder reicht einem die Verschlüsselung der Nutzerdaten.
Der dritte Fall, hacken des Routers und danach des Netzwerkes, ist der am Unwahrscheinlichste. Aufwand und Risiko stehen in keinem Verhältnis zum Nutzen, ausser man ist irgendetwas wichtiges, geheimes, besonderes....
Der fatale Zugriff über Docker mit Adminrechten kompromittiert das NAS von Innen. Komplett die A...karte gezogen.
Der "Standard" bei Emotet und Konsorten ist Zugriff via Windows (nachdem man durch Link oder Mailanhang selbst die Tür geöffnet hat) und dann auf alle damit verbundenen Laufwerke, die einen Laufwerksbuchstaben haben. Emotet verschlüsselt in dieser Phase keine Systemdateien oder Ordner auf dem NAS die es nicht sehen kann. Auch keine Backups in einem nicht freigegebenen Ordner!
Diese Steigerung auch Adminrechte des Servers zu erhalten hängt gemäss Interview, das diese Herren schon gegeben haben, davon ab wie brisant die bereits gefundenen Daten sind. Lohnt sich der Aufwand den Server zu hacken oder reicht einem die Verschlüsselung der Nutzerdaten.
Der dritte Fall, hacken des Routers und danach des Netzwerkes, ist der am Unwahrscheinlichste. Aufwand und Risiko stehen in keinem Verhältnis zum Nutzen, ausser man ist irgendetwas wichtiges, geheimes, besonderes....
Lass ich das jetzt so stehen und euch alle in rein gefühlter, trügerischer Sicherheit? Ich behaupte mal: falsche Website besucht -> Ende.
Sowas hatten wir in der Vergangenheit schon etliche male... mag man verdrängt haben, aber die z.B. Routerhersteller hatten nicht "immer" lange Passwörter und nein, auch bei den Fritzboxen gab es nicht "immer" diese kleinen Zettel im Karton (oder am Router) mit Logindaten... (kommt mir irgendwie grade so vor, als hätte ich das schon mal geschrieben... vielleicht ein paar Seiten vorher, oder ich hatte es wieder gelöscht
)Kleine Rätselrunde? root/123456 - das waren die Zugangsdaten von welchem der heutigen größten Deutschen Provider?.... Richtig.... Vodafone Easybox... herzlichen Glückwunsch! (muss man ja eigentlich auch erstmal sacken lassen, aber andere waren auch nicht wirklich besser...
)Punkt ist einfach, dass diese Umstellung (grade bei den Routern) nicht "einfach so" kam, sondern genau deswegen, weil weniger freundliche Gruppierungen/Personen gezielt auf solche Systeme gegangen sind (und das über Websites und teils untergeschobene Links). So richtig "schäbig" wird es dann halt, wenn bestimmte Dinge verändert werden (bekommt man ja i.d.R. schon garnicht mehr mit)... wie z.B. (um jetzt mal richtig auf die Kacke zu hauen)... die Änderung des DNS-Servers. Bei so einem Router damals recht fatal, da die Clients ja meist alle den Router gefragt haben... böse böse... bei so einem ioBroker vermutlich nicht soooo wild (wenn man mal davon absieht, dass auch Paketquellen geändert werden können und/oder DNS-Einstellungen auf etwas anderes (böses) geändert werden können).
Grundsätzlich ist also ein Gerät im LAN eben "nicht" als "sicher" einzustufen, da halt schon der Besuch der falschen (oder komprimitierten) Website in der Theorie reichen kann, um sich richtig übel was einzufangen (und das nicht am "surfenden" Client, der öffnet nur die Tür!). Deswegen ist es ja auch wichtig, auch vernünftige Passwörter "innerhalb" des LANs zu verwenden. Es ist halt grundsätzlich wichtig, dass man sich dessen "immer" bewusst ist und - jut - Ei ist gelegt, ändert man nun eh nix mehr dran und ist ja zum Glück nochmal "gut" ausgangen, aber in der Theorie hatte das Tor "erstmal" nix mit der Syno zu tun. Heisst ja immer so schön "der Weg" ist das Ziel... jo... egal, ob offener iobroker-Adminirgendwas-Port, oder Office-Dokument, oder falsche Website und und und... Sobald ein Weg existiert, wird er früher oder später ausgenutzt. Darunter fällt eigentlich "jegliche" Art von "bidrektionaler" Kommunikation. Wo etwas raus geht, geht auch wieder was rein (zumindestens die "Antwort").
Grundsätzlich bauen die aktuellen Router auf 2 Firewall-Technologien auf: Der klassische Paketfilter ("nix darf rein, alles darf raus" + Portweiterleitungen), sowie die Stateful Packet Inspection (SPI, "alles darf wieder rein, was vorher angefragt wurde" - also die "Antwort"). Letzteres ist dann eben auch eines der einfachsten Einfallstore, denn wenn in der Antwort Mist ist, wird diese trotzdem durchgelassen, da nicht nach Mist gefiltert wird. Da springen heutzutage glückerlicherweise in der Regel die Virenscanner der Clients an (also hat der Schadcode schon den Client erreicht und ist somit im LAN!), welche mittlerweile auch Webinhalte nach schädlichen Dingen untersuchen, allerdings fischen die halt auch nicht "alles" raus und "ganz neue" (ggf. 0-Day-Exploits) meistens eher nicht. Somit ist ein kleiner - aber "permanenter" - Zustand der Unsicherheit gegeben.
Mich hat es auch mal erwischt, es war eine Lücke im Firefox, die genau "einen" Tag später gefixt wurde. Hat mir nur in diesem Moment auch nicht geholfen (Backups sind was tolles...
). Damit will ich nur sagen: Man kann soviel Ahnung haben wie man will, wirklich "sicher" ist man nicht. Wenn man dann noch hingeht und irgendwas ohne Login (oder generell "ungeschützt") im LAN hinterlässt, besteht da durchaus die Möglichkeit, dass ein Gerät im LAN durch das Verhalten eines anderen Clients im LAN zum Opfer wird.Bei Portweiterleitungen wäre z.B. auch sowas hier möglich: Tiny Fragment Attack, wo der Kommunikationsport erst im 2. Paket angegeben wird (das erste ist "zu klein" daher auch "tiny") wird, das erste ggf. schon angenommen wird und somit auch das zweite (was ja theoretisch mit zum ersten gehört) automatisch akzeptiert wird. Das ist aber noch relativ simple im Vergleich zu manch anderen Dingen... Ist also vielleicht alles nicht so... "sicher"... im LAN
EDIT: OSX basiert nicht auf Linux, sondern auf BSD, wenn schon müsste man es "unixartig" schimpfen... bin schon wieder still...?
Wo es grade so schön passt: https://www.heise.de/news/Windows-0...mc=nl.red.ho.ho-nl-daily.2020-11-01.link.link Patch frühstens am 10.11.2020 (MS Patchday)... Also erstmal alle mit Chrome potentielel ausgeliefert (bis mindestens 10.11.2020 und wer weiss wie lange schon...). "Sicher".... ?
?Okay? Hatte nur kurz den heise-Artikel überflogen und da hiess es
Aber umso besser, wat weg is, is weg... (oder verschlimmbessert) ?
Aber umso besser, wat weg is, is weg... (oder verschlimmbessert) ?
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
