A1 offen wie ein Scheunentor...

A1 offen wie ein Scheunentor... (58 Beiträge, 1522 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

... ein halbes Jahr lang. Wie beruhigend, einmal mit Experten arbeiten!

https://www.heise.de/hintergrund/Massiver-Angriff-auf-A1-Telekom-Austria-4775451.html

https://blog.haschek.at/telekoma1

Ja, ich musste auch lachen, als ich las, dass keine sensiblen Kundendaten betroffen waren.

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

08.06.2020, 14:46 Uhr - Editiert von Lazy Jones, alte Version: hier

one of their main concerns is keeping all of this under wraps and not really acting because that could "alarm the attackers that we are watching"

Dann hat das anwesende ERT seinen Sinn nicht ganz verstanden. Hint: Offline + Lockdown bitte.

So they implemented all kind of additional monitoring (like running Sysmon on many internal Windows systems and centrally analyzing the data) while they let the attackers pull all kind of data from their systems including massive amounts of customer data.

Where my InfoSec gang at? Was muss man eigentlich rauchen, um auf den genialen Schachzug zu kommen? Das ist fast noch intelligenter als mit seinem Auto weiterzufahren, obwohl es brennt, damit der Fahrtwind den Brand löschen kann.

So blöd muss man erst mal sein... Oder nicht ganz so blöd und nur so tun um dem Kunden die Daten illegal zukommen zu lassen.

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

Aber geh: Mit einer Vorratsdatenspeicherung wäre das nie passiert. Da hätte man die S A I B A K R A I Mler gleich mit abgefangen. Oder so.

Pro tip: VDS wurde nie abgedreht...

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

Wenn der Softwarestack für die VDS so gut ist wie die InfoSec, dann dürfte der Spaghetticode nie vernünftig kompiliert haben.

Dann hat das anwesende ERT seinen Sinn nicht ganz verstanden. Hint: Offline + Lockdown bitte.

Du wirst lachen, aber sowas ist tatsächlich manchmal der "falsche" Weg (für den Betroffenen).

Wir hatten das auch mal bei einem Kunden, nicht ganz klein, weltweit tätig, bei dem wurde so ein Einbruch festgestellt. Verdacht auf eine Golden Ticket Attack.

Und was ist passiert? Nicht viel, was den Angriff aktiv abgewehrt hätte. Ganz im Gegenteil. Man hat geschaut, was/wo/wie da versucht oder vielleicht auch gemacht wurde, verfolgt, und das so "normal" wie möglich ausschauen lassen.

Man hat die Infos diesbezüglich auch nicht via Mail oder IM verschickt, damit der Angreifer da nicht vielleicht mitliest und weiß, dass man ihm auf die Schliche gekommen ist.

Und warum?

Weil es keinerlei Hinweise gab, dass es zu "zerstörerischem Verhalten" seitens des Angreifers gekommen war. Kein Datenverlust wegen Löschungen oder verschlüsselten Daten, keine Bots, C&C-Server, Würmer, nix.
Die Befürchtung war nämlich, dass ab dem Zeitpunkt, wo der Angreifer wusste, dass man ihm auf den Fersen war, dieser seine Strategie ändert und wirklichen Schaden anrichten würde.

Der "Diebstahl" von Daten (den es so ja nicht gibt, die Daten bleiben Dir ja erhalten) ist für die Unternehmen nämlich deutlich billiger als der Aufwand, den sie betreiben müssten, wenn sie beginnen, Systeme herunterzufahren, neu aufzusetzen und Daten wiederherzustellen.

greetz

glockman

- There's no replacement for displacement. Not even Diesel. - ________________________________________________________________

Who is General Failure, and why is he reading my disk?

Der "Diebstahl" von Daten (den es so ja nicht gibt, die Daten bleiben Dir ja
erhalten) ist für die Unternehmen nämlich deutlich billiger

Bis ein Richter dieses Verhalten als grob fahrlässig einstuft und dir die Höchststrafe nach DSGVO aufbrummt.

Ähnlich wie bei Drogendealern. Willst du sie vom derzeitigen Verkaufsort vertreiben, oder willst du sie verhaften? Im ersten Fall sind sie in Kürze wo anders wieder unterwegs und die Fahndun/Ermittlung geht von vorne los

09.06.2020, 11:30 Uhr - Editiert von zeddicus, alte Version: hier

keine sensiblen Kundendaten betroffen

Grimms Märchen, heute erzählt von A1

mfg
AVS

kann den bitte wer rufen?

08.06.2020, 19:42 Uhr - Editiert von AVS_reloaded, alte Version: hier

Krimms Märchen, heute erzählt von A1

Die Gebrüder Krimm, nach denen auch die Krimmler Wasserfälle benannt sind?

Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Oder der Krim(m)-Sekt...

mfg

- - - Signatur bitte hier abtrennen - - -

Daher kommt ja auch die Bezeichnung "Krimminalpolizei".

mfg

- - - Signatur bitte hier abtrennen - - -

ja, genau die.
Danke

mfg
AVS

kann den bitte wer rufen?

Standardaussage bei möglichen digitalen Einbrüchen, erinnert mich immer an dies: https://www.youtube.com/watch?v=nj_DnV0Q7P0

ganz genau

mfg
AVS

kann den bitte wer rufen?

Da lob ich mir mein VPN. Selbst wenn ein Angreifer meinen Traffic bei der ISP abgreift, sieht er nur verschlüsselte pakete zu und vom vpn server!

Gilt das auch für DNS?

Das gilt für alles. Das VPN läuft am Router. Kein Gerät im Netz kann etwas am VPN vorbei schicken, wenn ich es nicht ausdrücklich erlaube.

OK.

Auf welches DNS greifst du wie zu?
Und routest du den DNS traffic auch schon übers VPN?

Als dns verwende ich 1.1.1.1. das ist am PC konfiguriert. Der merkt gar nicht, dass er hinter einem VPN hängt, weil der Router den Verbindungsaufbau übernimmt. Wie gesagt, es geht alles übers VPN, weil der Router nichts vorbei lässt.

Und wer ist dein VPN-Provider. Tauscht du nicht das Risiko vom ISP auf den VPN Einwahlpunkt? Natürlich hat man da mehr Auswahlmöglichkeiten, aber das ist eine Abwägungssache. Ist auch die Frage ob die Hacker an den Internet-Verkehr oder doch mehr an den Firmendaten wie Rechnungsadressen, Telefonnummer, Kreditkarten, etc bei A1 interessiert waren.

Tauscht du nicht das Risiko vom ISP auf den VPN Einwahlpunkt?

das beantworte ich hier: https://forum.geizhals.at/t900370,8019393.html#8019393
kurz: Ja.

Und was sieht der Hoster des VPN-Servers?

Kennst du schon https://tailscale.com ?

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

Tailscale kenne ich nicht. Werd ich mir mal anschauen.

Der VPN Provider ist natürlich eine Schwachstelle an dem Konzept. Aber da dieser damit Geld verdient, dass er meine Privatsphäre schützt, mach ich mir da wenig sorgen.

Der konkrete Provider, den ich verwende, hat auch ein Audit durch PwC hinter sich.

edit:
Tailscale ist derzeit nichts für meinen use case. Siehe:

Tailscale is intended to be turned on all the time. As a result, it avoids capturing Internet-facing browser traffic. Instead, it captures traffic to individual corporate IP addresses and internal subnets, but leaves the rest alone.

Several users have requested the ability to route all traffic through a node, at least optionally, in order to protect against hostile local networks and occasionally for regulatory compliance reasons. This ability is planned, for optional activation, in a later release of Tailscale.

Quelle: https://tailscale.com/kb/1062/reviewer-guide#can-i-route-all-a-users-internet-traffic-through-a-central-node

Ansonsten ist es aber eine gute Lösung, wenn man von überall aus und komplett transparent aufs eigene Netzwerk zugreifen will.

09.06.2020, 19:45 Uhr - Editiert von kaufinator1, alte Version: hier

Auch dein VPN Provider ist Kunde eines Providers. Und der ist auch per Definition sicher?

Vergiss nicht, A1 ist nicht nur Telco sondern auch Hosting & Housing Provider. Das heißt, die Server deines VPN "Lieferanten" könnten durchaus bei A1 im Keller stehen. Oder in einer schwindligen Cloud.

Und A1 ist per GESETZ zu Datenschutz & Sicherheit verpflichtet. Nicht bloß aus kommerziellen Interessen.

Und dazu gibt's in der EU noch die DSGVO. Gilt die auch für dein VPN?

09.06.2020, 15:57 Uhr - Editiert von Paulas_Papa, alte Version: hier
Dieser Beitrag bezieht sich auf eine ältere Version des beantworteten Postings!

Der Provider kann den Traffic, der aus dem VPN server kommt, keiner einzelnen Person zuordnen bzw ist das hoch kompliziert. Insofern ist das Risiko einer Beeinträchtigung der Privatsphäre durch eine äußerliche Überwachung des VPN Servers gering.

Der von mir verwendete Dienst hat außerdem Vorkehrungen getroffen, um einen Einbruch in die Server zu erschweren bzw sinnlos zu machen. Der Server wird von einem digital signierten Image gestartet und läuft in einer Ram disk. Nach jedem Neustart ist das System wieder sauber.

zu deinem Edit: Mir ist vollkommen klar, dass ich das Risiko nur vom ISP zum vpn provider verlagere. Aber dieser hat die Privatsphäre als Geschäftsmodell. Wenn da was schief rennt, gibts einen riesen image schaden, der sich auch finanziell auswirkt. Der Server breach bei NordVPN hat denen sicher weh getan.

Auf der anderen Seite siehst du ja am Beispiel A1, dass die dsgvo und die sonstigen Gesetze auch nicht gegen Hacker helfen.

09.06.2020, 16:37 Uhr - Editiert von kaufinator1, alte Version: hier

Ich denke, dass sowohl A1 als auch dein VPN Provider sicher sein WOLLEN. So eine Katastrophe wünsch sich kein Rechenzentrum oder Provider.

Bloß ist das nicht so leicht und kostet VIEL Geld. Ich arbeite für Banken und seit 2 Jahren in der Cloud. Die Sicherheitskosten sind UNVORSTELLBAR.

Wo ich einen Vorteil deines VPN Providers gegenüber A1 sehe ist, dass er kleiner ist und auf ein Thema fokussiert. Daher werden seine Lösungen simpler sein und dadurch weniger Angriffsvektoren bieten.

Aber ob das wirklich so ist, weiß nur ein Auditor, falls der bei den Freunden überhaupt hineinschauen darf. Denn was sie auf der Homepage schreiben, kannst du dir einrexen.

Die A1 hingegen wird Länge x Breite auditiert und bietet dahingegen vermutlich mehr Transparenz & Qualität.

Ich glaube, dass der Einbruch bei A1 ihnen keinen einzigen Kunden kosten wird. Wenn das selbe bei einem VPN Provider passiert, überlegt sich die Zielgruppe 2 mal, ob sie den Vertrag verlängert.

Was die Privatsphäre betrifft, sehe ich die Interessenlage zwischen mir und dem vpn provider daher eher im Gleichklang als bei mir und einer ISP.

Der Auditor lebt überhaupt nur von seiner Glaubwürdigkeit. Er hat daher viel zu verlieren, wenn er ein Gefälligkeitsgutachen erstellt. Dann kann er seinen Beruf bald an den Nagel hängen.

Ich arbeite für Banken und seit 2 Jahren in der Cloud.

Kurze off-topic Frage: Der Schweizer online-speicher Anbieter tresorit.com hat auf seiner homepage (hier: https://tresorit.com/demo ) das Logo der Erste Bank abgebildet und suggeriert, dass diese den Dienst verwendet.

Mich überrascht, dass eine Bank einen Anbieter außerhalb der EU als Auftragsverarbeiter verwendet. Gibts in der EU nix besseres?

Die Dsgvo gilt auch in der Schweiz, da sie nicht ortsgebunden ist. Und es gibt einen Angemessenheitsbeschluss der EU zur Schweiz. https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en

Das bedeutet, die Schweiz hat dem EU Recht gleichwertige Datenschutzgesetze.

Warum und wofür die Erste den Service nutzt, weiß ich nicht. Und ob’s was besseres in der EU gibt, auch nicht.

Die Dsgvo gilt auch in der Schweiz,

Ich würde gerne sehen, wie du ein Schweizer Gericht dazu bringst, die DSGVO anzuwenden. Die DSGVO ist ein Rechtsakt des europäischen Parlaments und gilt als solcher nur für die Mitgliedstaaten der EU.

Der von Dir verlinkte Angemessenheitsbeschluss bedeutet nur, dass ein Unternehmen Daten in die dort genannten Drittländer übermitteln darf, ohne dass eine besondere Genehmigung dafür notwendig ist. Das bedeutet nicht, dass dort die DSGVO gilt.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

Das ist nicht dein Problem, sondern das der Erste Bank.

Sie hat deine persönlichen Daten übernommen und legal an die Schweizer Firma weitergegeben. Damit haftet die Erste unter Androhung von Horrorstrafen, dass der dortige Verarbeiter Dsgvo konform agiert.

Scheinbar können Sie es: https://eurocloud.org/news/article/tresorit-finalist-in-the-eurocloud-awards-2017/

auf dein Surfverhalten hats ein Angreifer da da mal eben tausende Server infiltriert ungefähr so abgesehen wie auf die dreckigen Socken des Nachbarn
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Sag das mal Google und Facebook. Die verdienen mit Daten zum Surfverhalten Milliarden.

und brechen dazu aufwändig wo ein ? eher nicht.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Diese Daten haben einen Wert und ich werde sie nicht verschenken.

nö, du bezahlst sogar einen Anbieter dafür das er die schön zentralisiert für dich oder wen anderen speichert
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Durch die Aggregation der Daten beim VPN Provider werden sie nutzlos, weil sie nicht einer Person zugeordnet werden können. Und ich bezahle genau dafür, dass die Daten nicht aufgezeichnet werden.

natürlich....

sorry, aber wer nicht verstanden hat das solche VPNs lediglich zur Umgehung von Geo IP Fencing geeignet sind, sollte lieber nochmal kurz nachdenken bevor der/diejenige das Abo beim Anbieter nochmal verlängert
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

lediglich zur Umgehung von Geo IP Fencing geeignet sind

Das ist ein Schwachsinn, weil VPNs schon lange von allen gängigen Streaming Anbietern blockiert werden. Genau dafür sind sie ungeeignet.

Übrigens werben die VPNs auch kaum mehr damit, geo Blockaden umgehen zu können. Die Werbung der VPN Anbieter zielt heute auf den Erhalt der Privatsphäre und in diese Richtung geht die Anstrengung.

10.06.2020, 19:41 Uhr - Editiert von kaufinator1, alte Version: hier

passt, somit gibts also gar keinen Grund mehr für den Blödsinn
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Also das da keine personenbezogenen Daten abhanden gekommen sind (es ist völlig unerheblich ob Kunde oder Mitarbeiter) wage ich mal sehr stark zu bezweifeln.

ich kann ebenfalls nachvollziehen das man nicht sofort alles abgeriegelt hat, da angeblich kein Erpressungsversuch oder Sabotage stattgefunden hat und die Attacke anscheinend sehr professionell abgelaufen muss man da eben erst beobachten und versuchen den Angreifer nicht aufzuscheuchen. Erst wenn man wirklich sicher ist alles mit einem Schlag zu beenden sollte man da agieren.

Marketingtechnisch ist das für A1 natürlich ein Dämpfer, der ein oder andere wird evtl den Hut nehmen müssen, aber sonst wird heir doch eh nix weiter passieren
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

Marketingtechnisch ist das für A1 natürlich ein Dämpfer,

Ach was, die haben den Angriff ja "nach 6 Monaten erfolgreich abgewehrt"

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

man neigt natürlich dazu grade dem schwerfälligen Ungetüm A1 hier Lahmarschigkeit nachzusagen...aber müsste man jetzt sehr detailliert anschauen was hier so lang gedauert hat. Die Unternehmen an die sich A1 wendet sind doch meist eher agil....schwer zu sagen, reine Bauchgefühlssache...ja 6 Monate ercheint mir auch etwas sehr lange
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't

reine Bauchgefühlssache...ja 6 Monate ercheint mir auch etwas sehr lange

Ich nehme ja vergnügt das Schlimmste an, dass irgendeiner der zahlreichen regimeberatenden Ex-Bundeskanzler ein "Datendienste-Gesamtpaket" vermittelt hat und man daher ein bisschen länger "schauen" musste.

----------------------------------------------------------------------------------------------------------
Alle aktuellen Erkenntnisse zu COVID-19, von Wissenschaftlern für Journalisten

Faustregel: 1 Langstreckenflug emittiert (pro Passagier) so viel CO2 wie 1 Jahr Autofahren (pro Auto) Yes, Prime Minister Global Warming Part 1, Part 2

Als jemand der in der Branche arbeitet kommen mir diese sechs Monate überhaupt nicht so lange vor - da hast du eine Evaluierungsphase wo du oft mit Geräten die noch im Netzwerk sind arbeiten musst ohne den Angreifern einen Hint zu geben (Port mirroring hilft nur bedingt weil heute alles verschlüsselt ist, auch die command-control-Kanäle, sowas wie IRC kommt hier nicht mehr zum Einsatz), und dann musst du es schaffen den Kunden (hier also A1) von der Tragweite zu überzeugen und dass traditionelle Methoden nicht funktionieren werden (bzw. wird das hier sicher auch zuvor gemacht worden sein, lokale IT bei A1 wird ziemlich clueless sein wie ich den Saftladen kenne), und dann musst den "Rundumschlag" noch koordinieren während die dreiviertelten Mitarbeiter nix wissen und evtl. sogar die Mitarbeiter der Helpdeskhotline nicht informiert werden.

Das heißt du hast dann von einer Stunde auf die nächste tausende Mitarbeiter bis je nach Unternehmensgröße viele tausende Mitarbeiter von allen Systemen ausgesperrt, sagst dem Helpdesk zur Sicherheit nix bis das ganze schon im Laufen ist und deren Call-Queue hunderte Anrufe drinhat.

Davon musst das Management aber überzeugen, dass das Unternehmen einen Tag lang absichtlich Däumchen drehen soll. Bei einem Technologieunternehmen wie A1 geht das noch, bei anderen (vor allem kleineren Unternehmen) die der IT nicht soviele Resourcen zuweisen kann sowas scheitern. Und um zu überzeugen brauchst halt Detailinfos und damit schließt sich wieder der Kreis hin zur Evaluierungsphase am Anfang.

Du musst sogar davon ausgehen, dass ein eigener Mitarbeiter beteiligt sein könnte. Daher musst du erst einmal eine genügend große Runde internet und externer GARANTIERT SAUBERER Experten am Ball haben, bevor du überhaupt zu agieren beginnen kannst.

KEIN Manager eines größeren IT Unternehmens wünscht sich die Situation. Das ist eine echte Katastrophe. Und realistisch betrachtet hast du gegen einen professionellen, gezielten Angriff ab einer gewissen Unternehmensgröße und Heterogenität kaum eine Chance.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung