Computer machen sowas/Computer-FU-thread

[Nixonian]

 

 

Präventiv kann ein Provider mMn nicht viel machen: Die Telekom kann sich nicht auf Verdacht jede bekannte Sicherheitslücke einschießen, sie kann höchstens abwarten, ob sie wirklich irgendwann missbraucht wird.

 

Natürlich kann ein Provider präventiv etwas machen. Meeresdruide hat es doch skizziert. Für die Fernwartung der Router wird ein entsprechendes VPN aufgebaut. Da kommen Feld-, Wald- und Wiesenzugriffe aus dem Wilden Netz nicht heran.

 

Ein VPN hilft da nicht. Höchstens eine zusätzliche VLAN-Infrastruktur.

 

VLAN machst du im LAN. Drum heißt das so Ich weiß auch nicht, warum sich Akeem da beirren läßt. Nachdem es nur 4096 VLANs gibt, wärst du damit auch in einem überschaubaren Netz recht schnell am Ende, wenn du nicht Q in Q in Q in Q... bauen willst.

 

Natürlich müßte man da zumindest ein MPLS-VPN mit entsprechenden Eintrittspunkten (dann von mir aus mit einem EFM mit getrennten VLANs, können aber auch nur unterschiedliche PPP-Sessions sein) ins Netz bauen. Früher ging das bei ATM recht bequem mit einem eigenen ATM-PVC.

 

Das hilft aber alles nicht, wenn derselbe Router dann trotzdem im Internet hängt. Wie willst du das denn am (Home)Router selbst trennen, wenn die entsprechenden Probes von der öffentlichen Seite aus kommen? Da kann man nur mehr am Router eine entsprechende Rule anwenden (nimm keine TR069-Steuerung an, die nicht vom Netz x.y.z.0/xx kommt oder nicht über VLAN a oder nicht über PPP-Connection z) - das bewirkt aber trotzdem möglicherweise einen DoS, wenn das arme Consumer-Routerlein ein paar hundert Pakete pro Sekunde gegen die entsprechende Firewall-Rule checken und droppen muß. Die Dinger haben keine ASICs, sondern meistens irgendein auf iptables (ja, das ist kein Fehler, die Kernel sind meistens älter) gebaute Struktur auf einem brustschwachen Prozessor mit wenig Speicher.

 

Abschießen wirst du den also trotzdem können, trotz, oder eigentlich gerade wenn er halbwegs sauber gebaut ist.

[dabba]

Da dreht man sich auch im Kreis: Wenn die Router nach außen erreichbar sind, gibt es immer eine Möglichkeit, sie mit Anfragen zu überschütten und ggf. ihre Schwachstellen zu nutzen.

Es ist ein bisschen wie im RL: Die Leute, die wirklich etwas können, haben keinen Grund, das System zu (zer)stören.

 

An dieser Stelle nochmal DANKE an die Entwickler von Blaster, Sasser und Co. Eure Würmer waren unterwegs, als viele Windows-Kisten direkt am Netz (über Modem o. ä.) hingen.

Hätten Eure Würmer damals nicht einfach nur Blödsinn gemacht (und dabei nur aus Versehen Rechner neu gestartet), sondern - wie Locky und die anderen Geldgeier - Daten verschlüsselt, wäre der Schaden nicht ein paar Milliarden, sondern ein paar Billiarden Euro schwer gewesen. Außerdem und vor allem wäre das allgemeine Vertrauen in die Internet-Nutzung nachhaltig geschädigt worden.

Bearbeitet 1. Dezember 2016 von dabba

[Meeresdruide]

Natürlich müßte man da zumindest ein MPLS-VPN mit entsprechenden Eintrittspunkten (dann von mir aus mit einem EFM mit getrennten VLANs, können aber auch nur unterschiedliche PPP-Sessions sein) ins Netz bauen. Früher ging das bei ATM recht bequem mit einem eigenen ATM-PVC.

ATM gäbe es bei DSL immer noch, ganz unten. Tatsächlich macht man aber eher Ethernet-Briding oberhalb von ATM, und dort gibt es VLAN-Tags und man kann so getrennte Verbindungen aufbauen. Das ist nicht theoretisch, sondern wird auch gemacht, um VoIP-Traffic oder IPTV-Traffic zu trennen. Laut Google wird da sogar bunt PPPoE (i.d.R. für Internet) und direktes Ethernet mit DHCP (für VoIP, bei Netcologne auch für TR-069) gemischt.

 

Das hilft aber alles nicht, wenn derselbe Router dann trotzdem im Internet hängt. Wie willst du das denn am (Home)Router selbst trennen, wenn die entsprechenden Probes von der öffentlichen Seite aus kommen? Da kann man nur mehr am Router eine entsprechende Rule anwenden (nimm keine TR069-Steuerung an, die nicht vom Netz x.y.z.0/xx kommt oder nicht über VLAN a oder nicht über PPP-Connection z) - das bewirkt aber trotzdem möglicherweise einen DoS, wenn das arme Consumer-Routerlein ein paar hundert Pakete pro Sekunde gegen die entsprechende Firewall-Rule checken und droppen muß.

Es macht einen großen Unterschied, ob ein Router Pakete nur wegwirft oder versucht, die gesendeten Daten zu interpretieren. Im ersteren Fall benötigt ein Angreifer viel Bandbreite, im zweiten Fall kann - wie jetzt - ein einzelnes Paket reichen, das den Router zum Absturz bringt.

 

Außerdem braucht es dazu nicht einmal iptables. Der Management-Port ist halt einfach nur auf dem internen Interface offen. Auf dem Management-Netz darf ich dann übrigens von Provider-Seite aus beliebig filtern, weil ich damit die getrennte Internet-Verbindung nicht beeinflusse. Deswegen reicht dann ein VLAN für alle Kunden.

 

Natürlich darf dann der Router-Hersteller nicht so doof sein, den Port auf allen Interfaces auf zu machen.

Bearbeitet 1. Dezember 2016 von Meeresdruide

[Nixonian]

ATM gäbe es bei DSL immer noch, ganz unten. Tatsächlich macht man aber eher Ethernet-Briding oberhalb von ATM, und dort gibt es VLAN-Tags und man kann so getrennte Verbindungen aufbauen. Das ist nicht theoretisch, sondern wird auch gemacht, um VoIP-Traffic oder IPTV-Traffic zu trennen. Laut Google wird da sogar bunt PPPoE (i.d.R. für Internet) und direktes Ethernet mit DHCP (für VoIP, bei Netcologne auch für TR-069) gemischt.

ATM gibt es bei neueren DSL-Standards nicht mehr. Auch nicht ganz unten (und so weit unten finde ich LAY2 nicht, weil DSL ist LAY1)

Und du mußt nicht google befragen, nur mir glauben   Machen kann man das alles. Sowohl mit VLANs im EFM, wie auch Vlan bridged over ATM, wie auch mit ATM-PVC, wie auch mit L2TP/PPPox und MPLS-VPN dann abführen usw.

 

Nur: Ein VLAN vom Kunden bis zum Core wird man nie ziehen. Schon gar nicht für alle Kunden im gleichen VLAN, selbst wenn es nur ein Management-VLAN wäre. Broadcast-Domains sollte man doch irgendwo begrenzen.

 

 

 

Es macht einen großen Unterschied, ob ein Router Pakete nur wegwirft oder versucht, die gesendeten Daten zu interpretieren. Im ersteren Fall benötigt ein Angreifer viel Bandbreite, im zweiten Fall kann - wie jetzt - ein einzelnes Paket reichen, das den Router zum Absturz bringt.

 

So wie es z.B. hier beschrieben ist https://comsecuris.com/blog/posts/were_900k_deutsche_telekom_routers_compromised_by_mirai/ schaut das auch eher nach einem Speicherproblem aus - der web-connector saugt durch unzulässige Anfragen Ressourcen, man schießt ihn wohl nicht mit einem Paket ab, sondern mit beständigen (dann wahrscheinlich hängenden half-open-connections) Anfragen geht er in die Knie.

 

Aber egal: Ja, man sollte immer absichern. Wir leben nicht mehr in einem Internet von Schmetterlingen und Blumen.

[Widukind]

Die Frage ist eher, ob ich generell möchte, dass mein Route auf bestimmte Ports "lauscht", ohne dass ich das als Benutzer so eingerichtet habe.

Mann kann einen Router ja auch so einstellen, dass er einmal am TAg von sich aus nachfragt, ob irgendwelche Updates für ihn da sind.

[Nixonian]

Ich weiß nicht, ob du das möchtest. Ich weiß, daß der absolute Großteil aller Kunden (und ich schließe hier auch Firmen mit eigener EDV-Abteilung ein) sich sogar erwartet, daß der Router auf einem Port lauscht, sodaß er jederzeit von der Ferne vom Provider überprüft bzw. rekonfiguriert werden kann.

Das enthebt aber nicht von der Verpflichtung, das möglichst sauber abzusichern und/oder vielleicht ein Opt-in-System zu erstellen? Also etwas, wo man explizit von vornherein einwilligt, daß von Providerseite zugegriffen werden soll?

[Widukind]

Ich weiß nicht, ob du das möchtest. Ich weiß, daß der absolute Großteil aller Kunden (und ich schließe hier auch Firmen mit eigener EDV-Abteilung ein) sich sogar erwartet, daß der Router auf einem Port lauscht, sodaß er jederzeit von der Ferne vom Provider überprüft bzw. rekonfiguriert werden kann.

Das enthebt aber nicht von der Verpflichtung, das möglichst sauber abzusichern und/oder vielleicht ein Opt-in-System zu erstellen? Also etwas, wo man explizit von vornherein einwilligt, daß von Providerseite zugegriffen werden soll?

Das kann man auch so realisieren, dass für die Fernwartung ein Knopf (Gerne auch ein echter auf dem Gehäuse) gedrückt werden muss.

Ich habe schon einen Server im Internet betreiben und daher: Alles zu, was nicht unbedingt auf sein muss.

 

P.S.: Meinen Router habe ich selber gekauft und nicht vom Netzprovider. Funktioniert tadellos.

Bearbeitet 9. Dezember 2016 von Widukind

[Nixonian]

Erster Tag, daß wir Teil einer neuen Firma sind. Noch alles in Unsicherheit, Schwebe, wir bekommen Bescheid.... Und noch hängen wir mit den Systemen komplett im alten Konzern. 12:30: Ich bekomme einen Anruf, daß man mir keine Mails mehr schicken kann. Meine Mailadresse gäbe es nicht mehr. Will mich einloggen - geht auch nicht. Frage bei der IT: Stimmt - dich gibt es nicht mehr. Gar nicht. AD-User, zentraler Anforderungsuser, M$-Clouduser, alles verbunden, alles nicht mehr da. Na prima. Fristlos gekündigt oder was? Chef gefragt, der parliert mit der HR, die macht Emergency-Anruf in die Mutterzentrale (naja, da bin ich schon einmal beruhigt, wenn die HR-Chefin sich selbst hinter den Hörer klemmt, offenbar wirklich nur ein EDV-Fehler)

Ergebnis: Es gab ein "random purge of Lukas" - alle Lukasse wurden auf einen Schlag gelöscht.  

Was auch nett ist: Nachdem wir voll vercloudet sind: Keine Mails am Rechner, kein Laufwerk am Rechner. Liegt ja alles in der Cloud und ist somit sicher. In dem Fall sicher weg.

Ich warte jetzt drauf, daß ich 10 Jahre meines Arbeitslebens wiederhergestellt bekomme.  

[Akeem al Harun]

Einmal mit Profis...

[Kameril]

Tut gut zu lesen, dass es in anderen Firmen auch so Themen gibt. Die andere Firma hat ihre IT nicht zufällig konsolidiert und im kostengünstigeren Ausland ausgelagert? Das Verfolgen der Auswirkungen mancher Management-Entscheidungen wirkt mitunter wie die Betrachtung einer Schnellzug-Kollision in Zeitlupe. 

[Akeem al Harun]

Es ist schon erstaunlich, wie stiefmütterlich IT in vielen Unternehmen im deutschsprachigen Raum behandelt. Es ist ein notwendiges Übel, darf nichts kosten und muss immer reibungslos funktionieren. Lieber Aufträge an externe Firmen vergeben, als eigene Expertise aufbauen. Nicht umsonst sind einige US Unternehmen viel Erfolgreicher, als EU Unternehmen. Sie zum Beispiel Amazon.

Bearbeitet 3. November 2017 von Akeem al Harun

[Nixonian]

Am 3.11.2017 um 11:20 schrieb Kameril:

Tut gut zu lesen, dass es in anderen Firmen auch so Themen gibt. Die andere Firma hat ihre IT nicht zufällig konsolidiert und im kostengünstigeren Ausland ausgelagert? Das Verfolgen der Auswirkungen mancher Management-Entscheidungen wirkt mitunter wie die Betrachtung einer Schnellzug-Kollision in Zeitlupe. 

Die andere Firma hat damit gar nichts zu tun.

Tja, und mit Ausland liegst du richtig, aber wie definiert sich Ausland? Denn das gehört zum Konzern und ist in einem EU-Land zentralisiert. Und ehrlich gesagt: Das schaut nach irgendeinem "Crackshot" aus, der irgendein wildes Skript hat runterrasseln lassen, ohne das sauber zu testen, etwas, das du wahrscheinlich nicht hättest in einem "kostengünstigen Ausland" weil die dann für alles und jedes einen Prozess bräuchten.

Man sollte manchmal auch pawlowsche Reflexe überprüfen  

[Kameril]

Da hast Du sicherlich Recht mit den Reflexen. Ich habe von meinen Erfahrungen auf andere geschlossen. In unserem Fall Osteuropa und das Thema liegt wohl auch eher darin, dass man eben erfahrene Mitarbeiter mit Kenntnissen der Systeme, Schnittstellen, Abhängigkeiten und Zusammenhänge einspart um sie durch kostengünstigere zu ersetzen. Das Ergebnis ist dann ein gesteigerter Anteil solcher Leute, die dann einfach mal ein Update einspielen ohne die dafür vorgesehenen Prozesse (für alles und jedes) zu beachten. 

Aber, wie bereits angedeutet ist das ein Thema, dass bei mir seit einer Weile arbeitet und von dieser Konstellation Verallgemeinerungen abzuleiten ist nicht gegeben. Mein Fehler. 

[Widukind]

Alexa feiert eine Party. Allein.

[Akeem al Harun]

Ja, habe ich auch schon gelesen. So ganz allein kann ich kaum glauben. Aber heute hat sie auch auf geflüsterte Ansprache aus ca. 5 m Entfernung reagiert... (Es war noch nicht mal Ansprache, mein Sohn hat extra geflüstert, damit Alexa NICHT reagiert. Hat aber nicht geklappt... also das Flüstern schon, aber nicht das nicht reagieren.)

Übrigens kann man seine Alexa mit Spotify fernsteuern, wenn man Alexa mit Spotify verbunden hat. Das habe ich auch schon mal versehentlich gemacht, es aber bemerkt, bevor jemand vom Hocker fällt.

Bearbeitet 6. November 2017 von Akeem al Harun

[Detritus]

Ihr stellt euch freiwillig ein Abhörgerät ins Haus? Kein Wunder, dass die Datenkraken so erfolgreich sind.

[Ma Kai]

NAS im LAN, per Ethernetkabel an Fritzbox. Admin-Interface im Windows-Explorer sichtbar und zugreifbar. Wenn ich es herunterfahre, schickt es korrekt eine e-Mail an meine externe Mail. Ist also definitiv kein Kabelthema. 

Auf das andere NAS, ebenso angebunden, kann ich gut zugreifen. Nur von diesem NAS sehe ich das Dateisystem ums Verrecken nicht im Windows Explorer. 

Was könnte fehlen?

[draco2111]

vor 6 Stunden schrieb Detritus:

Ihr stellt euch freiwillig ein Abhörgerät ins Haus? Kein Wunder, dass die Datenkraken so erfolgreich sind.

Habt ihr kein Smartphone?

[Lukarnam]

Ich hatte gestern die Gelegenheit mit einem Controller zusammen zu arbeiten und Voraus- Budget zu planen.

Dabei habe ich gelernt, dass in den meisten Firmen (vermutlich soweit keine IT Firma) die IT (Dienst-)Leistungen nicht als Wertschöpfung betrachtet werden. Gilt für alle "enabling functions).

Damit sind diese automatisch immer reine Kostenverursacher (in zunehmend wachsender Höhe) und somit immer ein automatisches Ziel für (vermeintliches) Einsparungspotential. Mindestens aber soll ein (möglichst) niedriger Festkostenblock erreicht werden - das geht sauber (compliant) nur "extern". Sonst hauen "Shadow-IT" und kollegiale Unterstützung über die Stränge.

(So das rein rechnerische Kalkül.)

[Widukind]

vor einer Stunde schrieb Lukarnam:

Ich hatte gestern die Gelegenheit mit einem Controller zusammen zu arbeiten und Voraus- Budget zu planen.

Dabei habe ich gelernt, dass in den meisten Firmen (vermutlich soweit keine IT Firma) die IT (Dienst-)Leistungen nicht als Wertschöpfung betrachtet werden. Gilt für alle "enabling functions).

Damit sind diese automatisch immer reine Kostenverursacher (in zunehmend wachsender Höhe) und somit immer ein automatisches Ziel für (vermeintliches) Einsparungspotential. Mindestens aber soll ein (möglichst) niedriger Festkostenblock erreicht werden - das geht sauber (compliant) nur "extern". Sonst hauen "Shadow-IT" und kollegiale Unterstützung über die Stränge.

(So das rein rechnerische Kalkül.)

Und das ist ja auch alles per se nicht falsch. Okay, wir aktivieren hier manche Leistungen tatsächlich, aber das muss schon was handfestes und werthaltiges sein, z.B. eine "richtige" Applikation.

[Detritus]

vor 7 Stunden schrieb draco2111:

vor 13 Stunden schrieb Detritus:

Ihr stellt euch freiwillig ein Abhörgerät ins Haus? Kein Wunder, dass die Datenkraken so erfolgreich sind.

Habt ihr kein Smartphone?

Mein Smartphone reagiert nicht auf Zuruf oder Flüstern.

[Ma Kai]

6 hours ago, Lukarnam said:

Ich hatte gestern die Gelegenheit mit einem Controller zusammen zu arbeiten und Voraus- Budget zu planen.

Dabei habe ich gelernt, dass in den meisten Firmen (vermutlich soweit keine IT Firma) die IT (Dienst-)Leistungen nicht als Wertschöpfung betrachtet werden. Gilt für alle "enabling functions).

Damit sind diese automatisch immer reine Kostenverursacher (in zunehmend wachsender Höhe) und somit immer ein automatisches Ziel für (vermeintliches) Einsparungspotential. Mindestens aber soll ein (möglichst) niedriger Festkostenblock erreicht werden - das geht sauber (compliant) nur "extern". Sonst hauen "Shadow-IT" und kollegiale Unterstützung über die Stränge.

(So das rein rechnerische Kalkül.)

Wertschöpfung ist, was ein Produkt dergestalt verändert, dass der Kunde dafür zahlt.

Wenn Euer Kunde also einen Preisbestandteil "Vergütung Rückverfolgbarkeit" hat, dann ist die IT in entsprechendem Umfang wertschöpfend. Sonst...

[draco2111]

vor einer Stunde schrieb Detritus:

Mein Smartphone reagiert nicht auf Zuruf oder Flüstern.

Das denkst du zumindest.

[Nixonian]

Das Fall Creators Update von Windows 10 hat anscheinend Grundfunktialitäten verschlimmbessert. Der Explorer, der bisher schon lächerlich war, weil er hing, wenn ich Ordner wechseln wollte, hängt sich jetzt z.T. komplett auf, und zwar so, daß ich hart neu starten muß, weil ich mich weder abmelden, noch ein command-Fenster aufmachen kann. Ich glaub, ich werd doch den eventuell initialen Aufwand auf mich nehmen, mir wieder einen Rechner mit Linux-only aufzusetzen. Es ist einfach den Ärger nicht wert - komplett abstürzende Rechner habe ich schon seit Jahrzehnten nicht mehr gehabt, Windows schafft das in letzter Zeit wieder ganz gut.

[Galaphil]

Der Firefox hat zum Glück auch mit dem Creators Update kein Problem.