20 November 2018
1.889
1.196
Schwer zu glauben, dass da keine Kundendaten abgegriffen worden wären. Vor allem - wie lange reichen die Logs für die Audits zurück, und, sind diese frei von Manipulationen?
 
26 August 2019
169
51
Schwer zu glauben, dass da keine Kundendaten abgegriffen worden wären. Vor allem - wie lange reichen die Logs für die Audits zurück, und, sind diese frei von Manipulationen?

Das ist die erste Frage die ich mir auch gestellt hab.

Die zweite Frage ist: Kann A1 garantieren, dass die Angreifer nicht weiter zu Kunden vorgedrungen sind. Also Kundenrouter kompromitiert haben? Kenn mich da zu wenig aus, wie das so ausschaut bei A1, aber prinzipiell wär's ja möglich....
 
  • Gefällt mir
Reaktionen: Jonas12
7 Juni 2015
1.152
369
Mich wundert nichts mehr.

Sollte man den ACS Server übernommen haben oder die Modems seinen ACS Server zugewiesen haben, hat man eigentlich gewonnen. Bei manchen Modems muss der ACS Server nicht einmal in dem passenden Management VLAN sein, sondern kann auch in jedem anderem Netz sein.
Da würde dann nur noch ein tausch aller Router helfen
 
  • Gefällt mir
Reaktionen: charmin.armin
26 August 2019
169
51
Mich wundert nichts mehr.

Sollte man den ACS Server übernommen haben oder die Modems seinen ACS Server zugewiesen haben, hat man eigentlich gewonnen. Bei manchen Modems muss der ACS Server nicht einmal in dem passenden Management VLAN sein, sondern kann auch in jedem anderem Netz sein.
Da würde dann nur noch ein tausch aller Router helfen

Das wär ja dann das worst case Szenario. Somit könnten die Angreifer mehrere Kunden infiziert haben und drauf jetzt noch immer ihr Unwesen treiben.

Wie schaut das eigentlich bei @fonira aus, seid ihr über diesen Vorfall benachrichtigt worden? Kann das euer Netz irgendwie betreffen? Also irgendwo muss es ja eine Schnittstelle zu A1 geben.
 
Zuletzt bearbeitet:
29 März 2014
1.428
492
gar nicht mal so gut für a1

Ursprünglich erlangten die Angreifer damit lediglich normale Zugangsrechte auf einem Arbeitsplatz-PC. Sie konnten diese jedoch auf einem nicht ausreichend abgesicherten Server auf die eines lokalen Administrators ausbauen. Und dann war es nur noch eine Frage der Zeit. Irgendwann meldete sich ein Domänen Administrator auf dem System an – und dann war es "Game Over". Das komplette Windows-Netz gehörte den Angreifern.

würden die ganzen firmen mal die best practices von Microsoft umsetzen und mal zeitnah patchen. Aber gut in den neuen campus bürokonstrukten mit desksharing und software phone in form von skype 4 business oder was auch immer. wirds halt schwer ein sicheres admin tier konzept einzuführen. da darf man sich dann auch nicht wundern, wenns ordentlich raucht
 
Zuletzt bearbeitet:
26 August 2019
169
51
Aber gut in den neuen campus bürokonstrukten mit desksharing und software phone in form von skype 4 business oder was auch immer. wirds halt schwer ein sicheres admin tier konzept einzuführen. da darf man sich dann auch nicht wundern, wenns ordentlich raucht

Naja, zertifizierte Makros wären da schon mal ein Anfang, wenn man Makros unbedingt braucht....
 
  • Gefällt mir
Reaktionen: sebinity
26 August 2019
169
51
Wieder ein Argument gegen Zwangsrouter und für mehr Soft- und Hardwarediversität.

oder einfach transparenz wenn etwas passiert ;) Und nicht nichts sagen, weil's ja dem Unternehmensruf schaden könnt.

Allein schon die Aussage: "... Um es zukünftigen Angreifern nicht unnötig leicht zu machen, will Schwabl dazu keine Details nennen. Einzig dass jetzt wirklich alle Zugänge mit Zweifaktor-Authentifizierung gesichert werden, ließ er sich entlocken. ..." zeugt davon, dass sie noch immer dem "security through obscurity" prinzip folgen.....
 
  • Gefällt mir
Reaktionen: telephon und pc.net
6 April 2015
893
469
Wär noch interessant zu wissen ob sie einen HoneyPot eingerichtet haben um die Verursacher zu finden ;)
 

Aktuelle Themen