Kann eine Festplatte über das Internet komplett durchsucht werden, gerade bei älteren OS?
4 Antworten
Ältere, gerade End-of-Life Betriebssysteme haben bekannte, nicht mehr behobene Schwachstellen, die für solche Zwecke ausgenützt werden könnten. Wenn man sein System nicht gerade völlig offen konfiguriert hat, braucht es mitunter aber schon einiges an Wissen, um einfach so eine ganze Festplatte mit Hilfe eines oder mehrerer Exploits aus der Ferne heimlich auszulesen. Das schafft nicht jeder. Bei den Trojanern ist es der User meist selbst, der unwissentlich durch Softwareinstallationen sich das Backdoor auf's System installiert.
Ja, ein Fernzugriff ist über mehrere (Angriffs-)Wege möglich. Einer davon wäre die Verbreitung/Verwendung eines Remote Access-Trojaners (kurz RAT). Ein solcher übernimmt dann die administrative Kontrolle und neben dem Durchsuchen u.a. auch das Herunterladen, Kopieren sowie Verändern am System und Dateien ermöglicht.
Kann man sich ja auch leicht als "Fernwartung" vorstellen.
Ja, kann man sich so vorstellen und noch darüber hinausgeht. Als Angreifer baut oder kauft man sich einen RAT, lässt Metasploitable oder ähnliches laufen und im Idealfall ohne bemerkt zu werden so ziemlich alles anstellen kann.
Im schlimmsten Fall ist dann nicht nur das eine Gerät sondern gleich das ganze Netzwerk davon betroffen. Wenn man dann obendrein noch Smart Home-Gedöns im Netz hängen hat und es auch angesteuert wird, wäre das ein Super-GAU.
Wenn da ein mal die "Fernwartung" (RAT) drin ist, hat der Angreifer auch alle Zeit der Welt alles gründlich zu durchsuchen und alle Möglichkeiten die das Netzwerk bietet aus zu probieren.
Dazu können dann noch irgendwelche Sachen umgeleitet werden um die IP des Angreifers zu verstecken. Dann geht das alles mit der IP des PC Besitzers heraus. So können dann hunderte PCs weltweit hintereinander geschaltet werden und es ist unmöglich das zurück verfolgen zu können.
Denn bis man alle dieser PCs eingesammelt und untersucht hat bzw. dessen Providerdaten durchsucht hat vergehen sicherlich Jahrzehnte weil die ja in verschiedenen Ländern stehen.
Steht man da weit hinten oder sogar als Letzter in dieser Kette, kann es auch sein, dass man dann auch noch von der Polizei durchsucht wird und erst mal alles beschlagnahmt wird weil die halt diese IP als Herkunft irgendwelcher Machenschaften ermittelt haben. Also sind nicht nur sensible Daten kopiert worden sondern man kann auch viel Ärger haben zu beweisen, dass man selber nur Opfer ist.
Dazu können dann noch irgendwelche Sachen umgeleitet werden um die IP des Angreifers zu verstecken.
Solche Umleitungen fallen zum Teil weg, da für derlei Angriffe gerne gekaperte Server genutzt werden. Bei der Verteilung von RAT und Co im Grunde dasselbe Spiel, in dem dieser ebenso von fremden Servern (Webspaces) verteilt werden.
Also sind nicht nur sensible Daten kopiert worden sondern man kann auch viel Ärger haben zu beweisen, dass man selber nur Opfer ist.
Der Beweis wird eigentlich erbracht, wenn die beschlagnahmte Hardware digitalforensisch untersucht wird/wurde. Nichtsdestotrotz hat man allemal den Ärger und erst einmal damit klarkommen muss, dass die eigene Hardware fehlt.
Was auch ein großen Problem darstellt, sind Zero-Day-Exploits. Vor allem wenn diese nur bei den "falschen" Sicherheitsbehörden bekannt sind und statt zu melden (bekannt zu machen) lieber für eigene Zwecke offen gelassen werden.
Ich erinnere nur mal an WannaCry und dessen Nachfolger EternalRocks. Und letzterer hat sich gezielt NSA-Exploits zu nutzen gemacht. In Summe gibt es also genügend Angriffswege, um sich administrativen Vollzugriff zu verschaffen.
Ich sag ja nicht, dass man eingesperrt bzw. verurteilt wird sondern erst einmal den ganzen Ärger hat.
Klar nehmen die gerne Server wegen der hohen Bandbreite. Aber wenn man zigtausende oder Millionen IP Adressen braucht (DDOS Angriff), dann kann man sich für wenig Geld Bot-Netze die überwiegend aus privaten Computern an normalen Privatanschlüssen bestehen.
Ich weiß leider nicht wie echt das ist, kann mir das aber gut vorstellen. Ich habe ein YT Video gesehen wo Jemand herausfinden wollte wie unsicher ein frisch aufgesetzter W2000 Rechner ist. Der hat den neu aufgesetzt und ans Internet angeschlossen. Als der gerade dabei war in Foren Bescheid zu sagen, dass der da ist begann das Ding sich bereits komisch zu verhalten.
Dass W2000 in Sekunden gehackt werden kann und wie, das ist ja bekannt. Dass da immer noch gezielt nach solchen Maschinen gesucht wird, das dürfte auch klar sein. Aber so schnell!?
Klar nehmen die gerne Server wegen der hohen Bandbreite.
Die hohe Bandbreite ist eine Sache. Es geht vor allem darum selber unbekannt zu bleiben. Am gekaperten Server und dessen Seiten wird vielleicht nicht mal etwas verändert und dessen Betreiber lange nicht mitbekommt was darüber mit verteilt wird.
Ich weiß leider nicht wie echt das ist, kann mir das aber gut vorstellen. Ich habe ein YT Video gesehen wo Jemand herausfinden wollte wie unsicher (...)
Das war nicht echt und so schnell geht es bei weitem nicht. Also bezüglich Plattformsuche und kapern der selbigen. Wie soll auch danach gesucht werden, bei Milliarden an temporären IP-Adressen und unterschiedlichen Endgeräten.
Als der gerade dabei war in Foren Bescheid zu sagen, dass der da ist begann das Ding sich bereits komisch zu verhalten.
Das Ding verhält sich alleine schon deshalb komisch, weil es mit neueren Technologien nichts anfangen kann. Mit älteren Systemen und deren Browsern lässt sich heute vieles ohnehin nicht mehr aufrufen.
Dass da immer noch gezielt nach solchen Maschinen gesucht wird, das dürfte auch klar sein. Aber so schnell!?
Es wird eigentlich nur gezielt danach gesucht, wenn man konkrete Infrastrukturen im Fokus hat. Vieles an Malware ist ohnehin von minderer Qualität und stammt teils aus Bausätzen die im Darknet eingekauft werden können.
Wobei man selbst in dem Umfeld immer mehr dazu übergeht, die eigene Malware nur noch als SaaS weiterzugeben. Sprich dir für Summe X ein Bot-Netz einkaufst und als Käufer gar nicht mal die große Ahnung im IT-Umfeld haben musst.
Der hat einen alten PC verwendet mit allen damals zugehörigen Treibern. Auch hing das nicht an einer Firewall sondern direkt im Internet, sozusagen so wie früher bei Dialup oder DSL-Modem (ohne Router).
Wie viel Zeit vergangen ist, also wie lange das Ding drin hing weiß ich nicht. Der hatte auch noch nichts aufgenommen da der selber überrascht war.
Wie gesagt, ich weiß nicht, ob das echt ist und ob und wie der da "nachgeholfen" hat.
So weit ich das sehen konnte ist da nichts unmögliches gemacht worden. Wenn man so was macht, ist es keine Frage "ob" was passiert sondern nur noch wie lange das dauert. Und das ist dann wie beim Lotto spielen. Man kann sofort gewinnen oder erst nach einer Million Jahren.
Damals zur XP Zeit habe ich mir mal angesehen was die Firewall des Forschungsinstitues da alles so abwehrt. Da habe ich massiv "Designed for Windows 95" Angriffe gesehen. Damals war ich noch so naiv und hatte mich gewundert wer sich da solche Mühen gibt.
Wenn man aber sieht, dass gerade viele Industriesteuerungen heute noch auf Win3.11/95/98/W2k/XP laufen und manche davon sogar im Netzwerk sind, dann wird einem eher schlecht.
P.S.:
Ich war vor zwei Wochen in einer Einrichtung am Leitstand, die hatten sogar noch Dinger mit CP/M laufen!
Wenn man aber sieht, dass gerade viele Industriesteuerungen heute noch auf Win3.11/95/98/W2k/XP laufen und manche davon sogar im Netzwerk sind, dann wird einem eher schlecht.
Das die alten Steuerung noch laufen wäre nicht so wild, wenn sie nicht am Netzwerk hängen würden. Wenn irgendein Handwerksbetrieb noch 'ne alte CNC mit alter SPS herumstehen hat, halb so wild. Alles andere wäre eher ein No-Go.
Ich habe erst letzte Woche wieder ein 3.11 und 95 neu aufgesetzt - und nein, dass läuft bloß als/im Container und Debian zwecks Unterbau. Dient jedoch mehr als Backup für alte Maschinen, damit deren Gedöns über einen kleinen Thin-Client läuft.
Wie gesagt, ich weiß nicht, ob das echt ist und ob und wie der da "nachgeholfen" hat.
Egal mit welcher Plattform man im Internet hängt, davon wird keine ohne eigenes zutun gefunden. Das gibt es so in der Form nicht und man schon Update-Server kapern müsste, um dann darüber wie auch immer weiterzuleiten.
Wenn irgendein Handwerksbetrieb noch 'ne alte CNC mit alter SPS herumstehen hat, halb so wild. Alles andere wäre eher ein No-Go.
Und irgendeiner meint dann, dass das eine Superidee ist die ins Netzwerk einzubinden damit man keine Disketten mehr braucht.
Egal mit welcher Plattform man im Internet hängt, davon wird keine ohne eigenes zutun gefunden
Einfach so IP Adressen durch zu scannen kostet doch nichts - warum sollte das keiner machen? Das ist wie mit SPAM Mails. Zu 99,9999% bringen die gar nichts, aber wenn man dann den richtigen Idioten angeschrieben hat, dann kriegt man viel Geld.
Und wenn man bereits Computer für ein Botnet angezapft hat, können die völlig kostenlos weitere PCs rekrutieren um Teil des Botnets zu werden. Das kostet nichts, für den der das macht noch nicht mal Strom, den bezahlen die "opfer".
ja natürlich, das ist kein Problem
vor allem dann nicht, wenn das gegenüber vollen Zugriff auf das Gerät und den Datenträger hat
Grundsätzlich schon.
Korrekt. Dann hat man die volle Kontrolle so wie Jemand der direkt an dem PC sitzt.
Kann man sich ja auch leicht als "Fernwartung" vorstellen. Und bei den heutigen Internetgeschwindigkeiten können in kürzester Zeit große Datenmengen kopiert werden. Für die paar MB die man als Emails und persönliche Dokumente hat braucht man dazu nur wenige Sekunden. Auch eine Liste mit allen Dateinamen auf den Festplatten ist in einer Sekunde übertragen.