Angriff mit Ransomware legt weltweit Zehntausende Rechner lahm

    Naja, ist ja logisch, daß AV immer hinterherhinkt oder false positive auf Codeähnlichkeiten (Bekanntes) reagiert bzw.
    reagieren kann. War unter Anderem meine Intension, den Sicherheitsthread zu starten, um im Vorfeld schon einiges
    zum Verbessern, (ab)härten, genutzter Netzwerke etc. zu tun, z.B. nicht benötigte Funktionalitäten abzuschalten
    (z.B. UPnP Services usw. usf.).


    Hier mal aufgelistet, wie das Teil funktioniert:
    https://blog.malwarebytes.com/threat-analysi…ds-wanacrypt0r/

    Mit dem Kenntnisstand kann man die bekannte Version gleich an mehreren Stellen aushebeln, sogar ohne
    Security-Patch, aber eben nur diese! und keine neuere Version mit kleinsten Änderungen.

    Um ein OS nach besten Wissensstand aktuell gehalten kommt man wohl nicht drumherum und auch da wird der nächste
    Angriff wegen wenig und erst kürzlich bekannt gewordener, bestehender Sichheitslücken (durchnummerierte CVE) nicht
    ewig auf sich warten lassen. Don Quichote und die Windmühlen, Sisyphos, Hase und Igel..

    Ist eben alles Menschenwerk und nur durch Manpower (testen, gegentesten, erneut testen) halbwegs einzudämmen.

    Edit:
    Achja, wie zu lesen ist, sind auch Ticketautomaten der Bahn betroffen. Das bedeutet im Umkehrschluß für mich, an den
    Dingern niemals mit EC/Master- GiroCard zu zahlen, sondern immer nur bar.

    Zitat von styvi


    Achja, wie zu lesen ist, sind auch Ticketautomaten der Bahn betroffen. Das bedeutet im Umkehrschluß für mich, an den
    Dingern niemals mit EC/Master- GiroCard zu zahlen, sondern immer nur bar.

    Wenn das Deine Handlungsweise ist, dann solltest Du das dafür benötigte Bargeld am Schalter abheben, denn Geldautomaten werden zu großen Teilen noch mit Windows XP betrieben...

    We are Microsoft of Borg. Assimilation is imminent. Resistance is... Error in Borg.dll. Press OK to abort.

    "Am Ende stellt sich eben auch die Frage warum heute wirklich alles und jeder vernetzt sein muss. Unabhängig vom OS findet sich dadurch nämlich immer irgendwie ein Weg Schaden anzurichten. "

    leider arbeitet heute alles und jeder darauf hin. cloudservices und co müssens ja sein. gerade im gewerblichen bereich würde ich inselsysteme mit geschlossenem lan oft begrüßen. das würde dann auch die ständigen updates unnötig machen. am beispiel der krankenhäuser: wenn die medizinischen systeme nur krankenhaus intern vernetzt wären und keinen internetzugang hätten, könnte man ohne weiteres ein funktionstüchtiges zertifiziertes und ausgereiftes win xp oder win 2 k-system weiterverwenden. oft sind neuerung da nur aus sicherheitsgründen notwendig und bringen keine neuen funktionalitäten. warum also müssen die wichtigen medizinischen systeme mit den büromaschinen vernetzt sein? müssen krankenakten eben auf cd gebrannt werden um sie aus dem internen netzwerk zu holen und versenden zu können. dauert n paar minütchen länger, aber die minuten hat man ja durch die einsparungen bei der systemadministration wieder raus, spätestens aber, wenn wiedermal das krankenhaus gehacked und lahmgelegt wird. ist ja jetzt nicht das erste mal dass sowas bei krankenhäusern passiert...

    war letztens mal nach jahren wieder beim hausarzt und in dem behandlungszimmer stand zur bedienung von medizinischen geräten ein pc mit pentium 1 cpu und os war offenbar win98. nur die angeschlossenen messgeräte sehen neuer aus, scheinen aber mit der alten software zu laufen. den pc hat er seit jahrzehnten nicht geändert weil er funktioniert. internet braucht das teil offenbar nicht, das gibts nur an der rezeption. primitiv aber funktional und sicher. vor jahren fand ichs rückständig, inzwischen sehe ich das eher als vorteil. kein mensch muss das system warten, niemand kann es angreifen. getreu dem motto "never change a running system". ich glaub keiner folgt dem motto so treu wie mein hausarzt xD

    Einmal editiert, zuletzt von Lübke (15. Mai 2017 um 13:02)

    Zitat von styvi


    Edit:
    Achja, wie zu lesen ist, sind auch Ticketautomaten der Bahn betroffen. Das bedeutet im Umkehrschluß für mich, an den
    Dingern niemals mit EC/Master- GiroCard zu zahlen, sondern immer nur bar.

    Die Kartenterminals sind in sich eigenständige Geräte, welche keine Daten der Karten an das übergeordnete System weitergeben.
    Die Autorisierung und Bezahlung erfolgt dediziert, dem Host wird nur mitgeteilt, dass der angeforderte Tranfer erfolgreich vollzogen wurde. Ansonsten könnte man ja mit einem entsprechenden Terminal sämtliche Karten einfach mal eben so auslesen, das ist technisch nicht mögich.

    Lübke: Das is aber auch schwer zu realisieren, weil beliebigen Schadcode hast auch schnell auf Offlinewegen eingeschleust, wenn auch Verwaltungsrechner mit veralteter Software laufen. User A steckt seinen infizierten USB Stick an (wer benutzt heute noch CDs?) um User B schnell was zu zeigen, und BAMM sitzt die Sau im "abgekapselten" LAN und räumt auf mit der gesamten Infrastruktur. Wennst anfangen mußt, physische Zugangswege zu sperren (USB dicht, keine Wechsellaufwerke mehr), dann erschwerst auch den Datenaustausch mit außen zu stark.

    Is alles ned so einfach.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Einmal editiert, zuletzt von GrandAdmiralThrawn (15. Mai 2017 um 13:14)

    An Bord (wo wir ohnehin nur Internet im Funkraum hatten) wurden externe Daten ins bordinterne Netz auch nur von dort eingespielt.

    Im Prinzip spricht nichts dagegen es ähnlich bei einem geschlossenen Netz in z.B. einem Krankenhaus zu machen.

    Zitat von GrandAdmiralThrawn

    [align=justify]Wennst anfangen mußt, physische Zugangswege zu sperren (USB dicht, keine Wechsellaufwerke mehr), dann erschwerst auch den Datenaustausch mit außen zu stark.

    Wenn man dann noch BadUSB nimmt, ist man im Zweifel eh immer geliefert.

    Ich habe mal einen Windows 7 PC gebaut der keine weiteren USB-Geräte als die aktuell bekannten nutzen konnte und mittels SAFER sehr stark beschnitten. Nicht 100% sicher, aber doch sehr stark auf das beschränkt, was er nur können sollte.

    Wer Lust auf SAFER hat: http://schneegans.de/computer/safer/
    Damit nimmt man sich sehr schnell sehr viel Komfort ;)

    Das ist doch der casus knacktus: Entweder es ist komfortabel, oder es ist sicher.
    Beides schließt sich nach meinem Verständnis gegenseitig weitgehend aus ;)

    Will ich es halbwegs sicher komfortabel muß ich selber vorabsichern (kostet Zeit = weniger Komfort anfangs), oder es
    an andere delegieren und dafür zahlen (kostet Arbeitszeit), habe aber ggf. noch immer Fehler in Pauschallösungen..

    Man muß eben für den jeweiligen Einsatzzweck das entsprechende Maß finden.

    LOL, ich hab' heute (!), 06.06.2017, eine E-Mail an mein Krankenhaus geschickt und bekam zur Antwort:

    Zitat

    Liebe Patienten,
    dies ist eine automatische Antwort.

    Durch die Medien wurde bereits mehrfach auf den neuen Virus „Wanna-Cry“ hingewiesen und aktuell betrifft es leider auch den medizinischen Bereich in Krankenhäusern. Daher wird bis auf weiteres unsere Internetverbindung deaktiviert. Emails können daher weder gelesen noch bearbeitet werden. Wir bitten Sie sich mit Ihrem Anliegen telefonisch unter (...), per Fax unter (...) oder direkt vor Ort zu den angegebenen Öffnungszeiten an uns zu wenden.(...)

    Ich habe schon mehrfach gesehen, dass die dort "irgendein" Windows XP (hoffentlich POS ready) verwenden. Auf Nachfrage beim medizinischen Personal gab es sinngemäß die Antwort: "Die Rechner an den verschiedenen Standorten sind ja nur per VPN miteinander verbunden und gar nicht richtig am Internet. Das ist alles sicher." Wahrscheinlich hatten die das von ihrer EDV - Abteilung so erzählt bekommen. Hoffentlich fährt man dort im Krankenhaus eine Backup - Strategie. Ob das Problem durch den offiziellen Patch gelöst werden könnte?

    Vielleicht liest sich aus der automatischen E-Mail aber auch nur, dass eine Vorsichtsmaßnahme ergriffen wurde und alle Rechner noch offline funktionieren. Wer weiß.

    Schätzungsweise ist man bei Microsoft nicht an allen Stellen unglücklich über Wanna-Cry / Wanacry / was auch immer; immerhin scheint er schon irgendwie ein Verkaufsargument für ein Windows 7/8/10 - Upgrade zu sein. Ich arte hier nicht in Verschwörungstheorien aus, dass MS selbst das Virus programmiert hätte oder so'n Quatsch!
    :topmodel:
    @OOR: Der Virus benutzt (lt. Video) einen Exploit, der der NSA schon länger bekannt ist? Geil.

    Jo, ist so @NSA, wurde eh weiter oben schon erwähnt? Das war der Punkt, wo ich mir die Frage gestellt habe, wieviele wichtige Knotensysteme aus dem Bereich Infrastruktur, Medizin usw. nicht eventuell schon NSA-infiltriert sind..

    Mich wundert's trotzdem noch immer, daß MS da eingestellte Systeme mit dem Patch versorgt. Wenn ich da jetzt der klassische MS Businessobsoleszenzler gewesen wäre, hätte ich einfach gesagt "Selbst schuld, was habt's halt nicht upgraded?". Besseres Verkaufsargument gibt's eh bald nicht mehr. Und die XP/2003 Systeme die unter speziellen Wartungsverträgen stehen (sowie POSReady2009), die kriegen's wie gesagt eh sowieso..

    Najo, wie bereits erwähnt, soll mich nicht stören.

    1-6000-banner-88x31-jpg

    Stolzer Besitzer eines 3dfx Voodoo5 6000 AGP Prototypen:

    • 3dfx Voodoo5 6000 AGP HiNT Rev.A-3700

    [//wp.xin.at] - No RISC, no fun!

    QotY: Girls Love, BEST Love; 2018 - Lo and behold, for it is the third Coming; The third great Year of Yuri, citric as it may be! Edit: 2019 wasn't too bad either... Edit: 2020... holy crap, we're on a roll here~♡!

    Quote Bier.jpg@IRC 2020: "Je schlimmer der Fetisch, desto besser!"

    Zitat

    In internen Netzen nutze „Petya“ aber zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und könne damit auch Systeme befallen, die auf aktuellem Stand seien, warnte das BSI.

    Welches "gängige tool" meinen die denn? Remotedesktop?

    Hört sich nach RDP an, wobei mir nix frisches bekannt ist.

    In der Pressemeldung vom BSI heißt es genauer...

    Zitat

    In internen Netzen benutzt Petya zusätzlich ein gängiges Administrationswerkzeug zur Weiterverbreitung und kann damit auch Systeme befallen, die auf aktuellem Patchstand sind.


    Hört sich nach 0day an.

    Hm...was ist gängig?

    Vergiss das mit Industrie 4.0... vielfach (so auch bei uns) sind die Kisten rückständig mit Patches, da man Angst hat, dass diese u.U. eigene Firmensoftware beeinflussen könnte.
    Daher versucht man grundlegend, dass man nichts ins System einschleppt, also quasi eine Mauer um das ganze herum. Innerhalb der Mauer sind die Häuser dann aber eben nicht zwingend mit den neuesten Türen und Schlössern ausgestattet.

    Vielleicht interessant:

    HMS Queen Elizabeth is 'running outdated Windows XP', raising cyber attack fears

    Also ein neues 3,5 Mrd. Pfund - Schiff wurde schon zu Windows XP - Zeiten bestellt und erst kürzlich ausgeliefert. Darum läuft auf dem Schiffscomputer Windows XP.

    Im Bericht steht der Satz

    Zitat

    "Why would you put an obsolete system in a new vessel that has a lifetime of decades?"

    Da drängt sich mir ein Gedanke auf: Im Artikel wird der eingestellte Support seitens Microsoft als Risiko (und darum Ransomwareanfälligkeit etc. pp.) angegeben. Wenn das Ding aber jahrzehnte lang fahren soll, dann kann man auch nicht jetzt ein aktuelles Windows 7-10 installieren, weil der Support derer auch viele Jahre vor dem angepeilten Ende des Schiffes liegt. Man könnte höchstens alle paar Jahre das Schiff teuer "aufrüsten" (soft- und hardwaremäßig).

    [Blockierte Grafik: http://abload.de/img/4107191_620x310_rdqkld.jpg]

    Die QE hat ja schon länger die Werft verlassen. Direkt beim Auslaufen habe ich diesen Bullshit zum ersten Mal gelesen.
    Die gleichen Zeitungen sprechen von "der Gefahr das die Maschinen auseinanderbrechen" (Admiral Kuznetsov) oder davon, dass "Schotte geflutet wurden" (USS Fitzgerald).

    Würde man sich weniger auf die reißerische Überschrift konzentrieren und sich mehr mit der Thematik beschäftigen (oder zumindest ein grundlegendes Verständnis davon haben), käme man relativ schnell zu dem Ergebnis, dass Windows XP noch in vielen anderen Bereichen, vermutlich noch über Jahre eingesetzt werden wird. Bloß weil irgend nen Zeitungsfutzi seinen XP Home Rechner von daheim im Kopf hat, heißt das noch lange nicht das die Computer auf einem Flugzeugträger genauso funktionieren und vor allem ähnlich angreifbar sind.

    Eine teure Aufrüstung findet während der Lebenszeit eines Kriegsschiffes (ca. 30-35 Jahre) ohnehin immer wieder statt. Spätestens wenn neue Waffensysteme eingerüstet werden. Als meine ehemalige Einheit in Dienst gestellt wurde, gab es aktuell den 486er und der wurde da damals sicherlich nicht verbaut (nur um mal zu zeigen von welchen Zeiträumen und technologischen Fortschritten wir hier sprechen). Zuletzt gabs XP, z.B. auf der Brücke.

    An dieser Stelle verrate ich dann auch gleich ein Geheimnis:
    Im A380 läuft ebenfalls Windows.

    Übrigens läuft XP auch auf diesen Zerstörern.

    Skandal! :rolleyes: