Verschlüsselungstrojaner

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Lustig, wenn man dies durchliest. " Und die Hacker hangelten sich durch das Windows System".
Tja, wie ich schon geschrieben habe, ist bei mir alle Windows Gedöns vor zig Jahren rausgeflogen und durch Apple ersetzt werden. Eine Schwachstelle weniger bei mir.
Und wie schon geschrieben ist Linux nach wie vor kein Betriebssystem für die Masse! Deine Entscheidung ist gut für dich und hilft keinem anderen.
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
131
Punkte für Reaktionen
14
Punkte
18
Aber eines meine ich gelesen zu haben was ich gerne nochmal hinterfragen möchte.
Standarduser Admin deaktivieren und stattdessen einen AdminUser anlegen, wird das praktiziert, macht das Sinn? Hab ich schon einige mal gehört...
würde gerne eure Meinung dazu hören...
Das ist das erste was man machen sollte... Was meinst du wie viele sich über den Admin einloggen wollen. Mit deaktivierten Account läuft das dann ins leere. ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Hier in der Diskussion vermischen 2 verschiedene Ursachen und auch Auswirkungen.
Der fatale Zugriff über Docker mit Adminrechten kompromittiert das NAS von Innen. Komplett die A...karte gezogen.
Der "Standard" bei Emotet und Konsorten ist Zugriff via Windows (nachdem man durch Link oder Mailanhang selbst die Tür geöffnet hat) und dann auf alle damit verbundenen Laufwerke, die einen Laufwerksbuchstaben haben. Emotet verschlüsselt in dieser Phase keine Systemdateien oder Ordner auf dem NAS die es nicht sehen kann. Auch keine Backups in einem nicht freigegebenen Ordner!
Diese Steigerung auch Adminrechte des Servers zu erhalten hängt gemäss Interview, das diese Herren schon gegeben haben, davon ab wie brisant die bereits gefundenen Daten sind. Lohnt sich der Aufwand den Server zu hacken oder reicht einem die Verschlüsselung der Nutzerdaten.
Der dritte Fall, hacken des Routers und danach des Netzwerkes, ist der am Unwahrscheinlichste. Aufwand und Risiko stehen in keinem Verhältnis zum Nutzen, ausser man ist irgendetwas wichtiges, geheimes, besonderes....
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Alles ist kein Drama, wenn man solche Installationen strikt auf das Heimnetz beschränkt.

Lass ich das jetzt so stehen und euch alle in rein gefühlter, trügerischer Sicherheit? Ich behaupte mal: falsche Website besucht -> Ende.

Sowas hatten wir in der Vergangenheit schon etliche male... mag man verdrängt haben, aber die z.B. Routerhersteller hatten nicht "immer" lange Passwörter und nein, auch bei den Fritzboxen gab es nicht "immer" diese kleinen Zettel im Karton (oder am Router) mit Logindaten... (kommt mir irgendwie grade so vor, als hätte ich das schon mal geschrieben... vielleicht ein paar Seiten vorher, oder ich hatte es wieder gelöscht :ROFLMAO:)

Kleine Rätselrunde? root/123456 - das waren die Zugangsdaten von welchem der heutigen größten Deutschen Provider?.... Richtig.... Vodafone Easybox... herzlichen Glückwunsch! (muss man ja eigentlich auch erstmal sacken lassen, aber andere waren auch nicht wirklich besser... :ROFLMAO:)

Punkt ist einfach, dass diese Umstellung (grade bei den Routern) nicht "einfach so" kam, sondern genau deswegen, weil weniger freundliche Gruppierungen/Personen gezielt auf solche Systeme gegangen sind (und das über Websites und teils untergeschobene Links). So richtig "schäbig" wird es dann halt, wenn bestimmte Dinge verändert werden (bekommt man ja i.d.R. schon garnicht mehr mit)... wie z.B. (um jetzt mal richtig auf die Kacke zu hauen)... die Änderung des DNS-Servers. Bei so einem Router damals recht fatal, da die Clients ja meist alle den Router gefragt haben... böse böse... bei so einem ioBroker vermutlich nicht soooo wild (wenn man mal davon absieht, dass auch Paketquellen geändert werden können und/oder DNS-Einstellungen auf etwas anderes (böses) geändert werden können).

Grundsätzlich ist also ein Gerät im LAN eben "nicht" als "sicher" einzustufen, da halt schon der Besuch der falschen (oder komprimitierten) Website in der Theorie reichen kann, um sich richtig übel was einzufangen (und das nicht am "surfenden" Client, der öffnet nur die Tür!). Deswegen ist es ja auch wichtig, auch vernünftige Passwörter "innerhalb" des LANs zu verwenden. Es ist halt grundsätzlich wichtig, dass man sich dessen "immer" bewusst ist und - jut - Ei ist gelegt, ändert man nun eh nix mehr dran und ist ja zum Glück nochmal "gut" ausgangen, aber in der Theorie hatte das Tor "erstmal" nix mit der Syno zu tun. Heisst ja immer so schön "der Weg" ist das Ziel... jo... egal, ob offener iobroker-Adminirgendwas-Port, oder Office-Dokument, oder falsche Website und und und... Sobald ein Weg existiert, wird er früher oder später ausgenutzt. Darunter fällt eigentlich "jegliche" Art von "bidrektionaler" Kommunikation. Wo etwas raus geht, geht auch wieder was rein (zumindestens die "Antwort").

Grundsätzlich bauen die aktuellen Router auf 2 Firewall-Technologien auf: Der klassische Paketfilter ("nix darf rein, alles darf raus" + Portweiterleitungen), sowie die Stateful Packet Inspection (SPI, "alles darf wieder rein, was vorher angefragt wurde" - also die "Antwort"). Letzteres ist dann eben auch eines der einfachsten Einfallstore, denn wenn in der Antwort Mist ist, wird diese trotzdem durchgelassen, da nicht nach Mist gefiltert wird. Da springen heutzutage glückerlicherweise in der Regel die Virenscanner der Clients an (also hat der Schadcode schon den Client erreicht und ist somit im LAN!), welche mittlerweile auch Webinhalte nach schädlichen Dingen untersuchen, allerdings fischen die halt auch nicht "alles" raus und "ganz neue" (ggf. 0-Day-Exploits) meistens eher nicht. Somit ist ein kleiner - aber "permanenter" - Zustand der Unsicherheit gegeben.

Mich hat es auch mal erwischt, es war eine Lücke im Firefox, die genau "einen" Tag später gefixt wurde. Hat mir nur in diesem Moment auch nicht geholfen (Backups sind was tolles... ;)). Damit will ich nur sagen: Man kann soviel Ahnung haben wie man will, wirklich "sicher" ist man nicht. Wenn man dann noch hingeht und irgendwas ohne Login (oder generell "ungeschützt") im LAN hinterlässt, besteht da durchaus die Möglichkeit, dass ein Gerät im LAN durch das Verhalten eines anderen Clients im LAN zum Opfer wird.

Bei Portweiterleitungen wäre z.B. auch sowas hier möglich: Tiny Fragment Attack, wo der Kommunikationsport erst im 2. Paket angegeben wird (das erste ist "zu klein" daher auch "tiny") wird, das erste ggf. schon angenommen wird und somit auch das zweite (was ja theoretisch mit zum ersten gehört) automatisch akzeptiert wird. Das ist aber noch relativ simple im Vergleich zu manch anderen Dingen... Ist also vielleicht alles nicht so... "sicher"... im LAN ;)

EDIT: OSX basiert nicht auf Linux, sondern auf BSD, wenn schon müsste man es "unixartig" schimpfen... bin schon wieder still...?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
sind schon beide gepatcht (Win10 20H2)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Okay? Hatte nur kurz den heise-Artikel überflogen und da hiess es

Damit wären alle Windows-Versionen, von Windows 7 bis zur aktuellen Windows 10 20H2, samt den Server-Pendants betroffen. Beim Google Project Zero geht man davon aus, dass die Microsoft gemeldete Schwachstelle zum nächsten Patchday am 10. November 2020 geschlossen wird.

Aber umso besser, wat weg is, is weg... (oder verschlimmbessert) ?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat