brammer
Goto Top

Hackerangriff auf Trinkwasseranlage

Hallo,

als Schlagzeile der Tageschau mag das ja passen "Hackerangriff auf Trinkwasseranlage"

In Florida haben Hacker einen Angriff auf eine Aufbereitungsanlage für Trinkwasser verübt. Laut Behörden dabei wurde der Anteil von Natriumhydroxid im Wasser mehr als verhundertfacht - eine "potenziell gefährliche" Erhöhung.

Reuters und Wired sind da etwas präziser.

Angriff auf eine Teamviewer Verbindung wäre wohl passender gewesen...

brammer

Content-ID: 649663

Url: https://administrator.de/knowledge/hackerangriff-auf-trinkwasseranlage-649663.html

Ausgedruckt am: 24.12.2024 um 19:12 Uhr

Doskias
Doskias 09.02.2021 um 10:26:47 Uhr
Goto Top
Auf Heise.de stehen noch n Paar Uhrzeiten. Demnach soll die "Hintertür" um 08:00 Uhr installiert worden sein und um 13:30 ausgenutzt.
GNULinux
GNULinux 09.02.2021 um 12:17:12 Uhr
Goto Top
Die Öffentlichkeit sei nie in Gefahr gewesen.
Die war nicht nur in Gefahr, sondern ist es noch immer, so lange da Teamviewer auf einem internen Steuerungs-PC läuft... enttäuschend, dass weder Tagesschau und noch nicht mal Heise das erwähnen.

Außerdem sei noch unklar, ob der Angriff aus den USA oder dem Ausland verübt worden ist.
Das ist natürlich der wichtigste Aspekt dabei: Woher kamen die bloß? Wenn wir das wissen, spielt es doch überhaupt keine Rolle mehr, wie wie da rein gekommen sind. Dann haben wir einen bösen, auf den wir mit dem Finger zeigen können und lenken davon ab, dass eine vernünftige Absicherung der eigenen Systeme viel wichtiger wäre als zu ermitteln, welchen Zugangspunkt die Angreifer genutzt haben.
117471
117471 09.02.2021 um 12:23:55 Uhr
Goto Top
Hallo,

naja - ob TeamViewer wirklich gehackt wurde oder ob lediglich ein Passwort abgegriffen wurde dürfte wohl noch zu klären sein.

Zumal hier ja auch bewusst grundlegende Sicherheitsfunktionen wie 2FA deaktiviert wurden.

Ich würde es als unseriös empfinden, diesen Angriff auf die verwendeten Werkzeuge zu schieben. Bei einem Mord ist ja auch nicht das Messer schuld.

Gruß,
Jörg
Visucius
Visucius 09.02.2021 um 12:48:26 Uhr
Goto Top
Naja, was heißt “Ausland” ... “man" hofft doch nur auf ne Verbindung nach “Russland”.


Mir ist das ja immer schon rein Rätsel gewesen, wie man (auch) Serversysteme dauerhaft mit nem Teamviewer zugänglich lassen kann. Ne offene Verbindung an allen Sicherheitssperren vorbei aus dem Unternehmen heraus halte ich persönlich für Vorsatz.
radiogugu
radiogugu 09.02.2021 aktualisiert um 13:06:32 Uhr
Goto Top
Zitat von @Visucius:
Mir ist das ja immer schon rein Rätsel gewesen, wie man (auch) Serversysteme dauerhaft mit nem Teamviewer zugänglich lassen kann. Ne offene Verbindung an allen Sicherheitssperren vorbei aus dem Unternehmen heraus halte ich persönlich für Vorsatz.

Absolute Zustimmung.

Es gibt nunmal Hersteller von Software, welche ausschließlich mit Teamviewer & Co. Unterstützung leisten. Wir haben Teamviewer und andere Remote-Apps in unserer Sonicwall "ausgeklammert" und aktivieren diese nur bei Bedarf für eben solche Fälle.

Leider ist das wahrscheinlich in den seltensten Fällen die Regel face-sad

Zitat von @117471:
Ich würde es als unseriös empfinden, diesen Angriff auf die verwendeten Werkzeuge zu schieben. Bei einem Mord ist ja auch nicht das Messer schuld.

Verwerflich die ganze Geschichte und @117471 hat natürilich auch vollkommen Recht, dass Remote-App Bashing falsch wäre. Daher finde ich den Artikel bei Reuters mit dem großen TV Logo schon sehr meinungs-vorbildend face-sad

Gruß
Marc
brammer
brammer 09.02.2021 um 14:28:15 Uhr
Goto Top
Hallo,

@117471

naja - ob TeamViewer wirklich gehackt wurde oder ob lediglich ein Passwort abgegriffen wurde dürfte wohl noch zu klären sein.

von gehackt habe ich nichts geschrieben!

Angriff auf eine Teamviewer Verbindung

Ein Angriff auf ein TV Verbindung kann ja auf verschiedene Wege passieren (MITM, Shoulder Surfing, Social Enginieering oder auch gehackt)

Für Fahrlässig halte ich eine Fernwartung über Teamviewer aber trotzdem.

Mit ein wenig mehr krimineller Energie und hätte der "Angreifer" richtig Schaden anrichten können.

brammer
GNULinux
GNULinux 09.02.2021 um 17:25:17 Uhr
Goto Top
Zitat von @117471:
Ich würde es als unseriös empfinden, diesen Angriff auf die verwendeten Werkzeuge zu schieben.
Mir geht es auch nicht ums Werkzeug sondern um die Details, die den Angriffsverlauf nachvollziehbar machen. In dem Kontext bedeutet der Einsatz von TeamViewer zwei grundlegende Sicherheitsmängel: Ein Steuerungs-PC für die Anlage ist 1. Im Internet und 2. läuft auch noch eine Fernwartungssoftware darauf. Und zwar direkt, denn laut Artikel hat der Mitarbeiter ja beobachtet, wie der Wert manipuliert wurde.

Ob das nun TeamViewer, Bomgar oder was ganz anderes ist, spielt dabei eine untergeordnete Rolle. Zumindest so lange, bis nichts gegenteiliges bekannt wird wie z.B. eine Sicherheitslücke in TV, dann ist es natürlich wieder anders - bisher scheint es aber keine Details zu geben. Aber selbst mit TV Sicherheitslücke trägt derjenige, der dieses Tool für diesen Zweck eingesetzt hat, eine Mitverantwortung.
GNULinux
GNULinux 09.02.2021 um 18:40:00 Uhr
Goto Top
Zitat von @brammer:
von gehackt habe ich nichts geschrieben!

Der Sheriff im Wired-Artikel schon. Es ist ja auch möglich. Allerdings hat er keine Details dazu genannt, wirkt eher wie Schuldabweisung. Um das seriös beurteilen zu können, fehlen aktuell als Außenstehender zu viele Infos.
117471
117471 09.02.2021 um 18:40:25 Uhr
Goto Top
Hallo,

Zitat von @brammer:

von gehackt habe ich nichts geschrieben!

Du nicht. Aber derjenige, der sich die Betreffzeile ausgedacht hat face-smile

Für Fahrlässig halte ich eine Fernwartung über Teamviewer aber trotzdem.

Naja - dann passt es ja wenigstens zum Betriebssystem face-smile

Gruß,
Jörg
Doskias
Doskias 09.02.2021 um 18:47:59 Uhr
Goto Top
Bei Heise steht:

Den Angaben zu Folge hatte der Hacker Freitag 8 Uhr Lokalzeit eine Hintertür installiert und war dann um 13:30 wiedergekehrt, um die Einstellung zu manipulieren.

Würde für mich ebdeuten, dass der Hacker selbst Teamviewer installiert oder sich zumindest selbst ein Kennwort vergeben hat.
GNULinux
GNULinux 09.02.2021 um 19:25:39 Uhr
Goto Top
Zitat von @Doskias:
Würde für mich ebdeuten, dass der Hacker selbst Teamviewer installiert oder sich zumindest selbst ein Kennwort vergeben hat.
Heise hat da leider wie gesagt journalistisch keine besonders tiefgehende Arbeit geleistet, schau dir mal den Wired Artikel an. Da steht z.B.
Initially, he wasn't concerned; the plant used the remote-access software TeamViewer to allow staff to share screens and troubleshoot IT issues, and his boss often connected to his computer to monitor the facility's systems.
Folglich hat er sich maximal ein Kennwort über TV vergeben. Gewundert haben die sich jedenfalls erst, als später per TeamViewer die Werte der Anlage so massiv verändert wurden.
Doskias
Doskias 09.02.2021 um 20:58:39 Uhr
Goto Top
Wie auch immer. Zeigt wieder wie gut es ist, sich nicht blind auf die Software zu verlassen. Bin froh, dass wir das nicht einsetzen und wenn nur sehr rudimentär. Nur den Quicksupport für den Dienstleister und dann auch nur nach vorherigem anrufen und einer manuellen Freischaltung in der Firewall, die die Verbindung nach 30 Minuten automatisch wieder trennt. Und dann auch nur beaufsichtigt arbeiten lassen. Diese ganze "Lösung" mit gespeicherten Kennwörtern hat mir schon immer missfallen.
117471
117471 09.02.2021 um 21:31:53 Uhr
Goto Top
Hallo,

ich habe den regelmäßig und gerne verwendet. Ich selber hatte ein Exklusivkenntwort und habe ggf. für Dienstleister eigene Kennwörter aufgeschaltet.

Um Mitternacht lief dann immer eine Aufgabe, die alle Dienstleisterkennwörter gelöscht hat. Die hatten also max. 24h Zugriff.

Gruß,
Jörg
GNULinux
GNULinux 11.02.2021 um 12:49:36 Uhr
Goto Top
Zitat von @Doskias:
Wie auch immer.
Das macht schon einen Unterschied.
Zitat von @Doskias:
Zeigt wieder wie gut es ist, sich nicht blind auf die Software zu verlassen.
Das sehe ich nicht nur auf TeamViewer oder Fernwartungssoftware bezogen, sonden im Grunde auf ALLE Software. Selbst ein nur intern genutztes Programm kann zum Einfallstor werden, wenn z.B. deren Entwickler kompromittiert werden. Solche Angriffe sind bisher nur deswegen vergleichsweise selten, weil es oft viel einfacherere Angriffsvektoren gibt. Fernwartungssoftware ist da ein gutes Beispiel, aber es gibt genug andere. Auch heute noch glauben manche Entwickler, sie müssen z.B. nur mod_security vor ihre Anwendung packen und sich nicht mehr um Sicherheit kümmern, weil dafür ja das Modul da ist.
brammer
brammer 11.02.2021 um 12:49:53 Uhr
Goto Top
Hallo,

es gibt weitere Informationen zu diesem "Angriff"

Further, all computers shared the same password for remote access and appeared to be connected directly to the Internet without any type of
firewall protection installed.

https://www.theverge.com/2021/2/10/22277300/florida-water-treatment-chem ...

brammer
Visucius
Visucius 11.02.2021 um 13:02:59 Uhr
Goto Top
Hab nix anderes erwartet ... 😂
Doskias
Doskias 11.02.2021 um 13:08:48 Uhr
Goto Top
Das war dann aber wirklich umständlich noch den TeamViewer zu nehmen, wen das Ding ohne Firewall im Netz klebt face-smile
NetzwerkDude
NetzwerkDude 11.02.2021 um 14:20:26 Uhr
Goto Top
Naja, schlecht gesicherte Systeme gibts überall - aber was für ein perverser muss man sein um eine ganze Stadt vergiften zu wollen? Es war ja keine drohung o.ä. - er hat es einfach fucking gemacht.

Man sollte den Begriff Hacker hier nicht verwenden, sondern hirnverbrannter massenmörder... seriously, wtf?

Hoffe man findet ihn und hängt ihn an den genitalien auf
GNULinux
GNULinux 11.02.2021 aktualisiert um 16:49:40 Uhr
Goto Top
Zitat von @NetzwerkDude:
Naja, schlecht gesicherte Systeme gibts überall
Achso, na dann ist das ja halb so wild wenn es jeder macht oder wie?

Zitat von @NetzwerkDude:
aber was für ein perverser muss man sein um eine ganze Stadt vergiften zu wollen?
Du hast schon mal von Menschen mit psychischen Problemen und extremen Einstellungen gehört?
Oder noch viel schlimmer: Vor Regierungen ohne Skrupel? Schau dir z.B. Stuxnet an. Da haben Staaten (ja, nicht ein Skriptkiddy, sondern komplette Regierungen mit GANZ anderen Mitteln!) systematisch das iranische Atomprogramm (!!!) sabotiert.

Ich will damit diese Tat nicht gut heißen, im Gegenteil. Aber das was du hier schreibst, wirkt doch realitätsfremd: Es gibt nun mal einen Teil an Menschen, die keine Skrupel haben. Teils wie gesagt sogar Regierungsorganisationen. Folglich halte ich es für falsch, hier alles auf den Hacker zu schieben. Wenn er denn überhaupt einer ist, aktuell wird eher ein Ex-Mitarbeiter vermutet, nach dessen Kündigung das PW nicht geändert wurde, aber sei es drum.

Erhebliche Mitschuld sehe ich hier bei den Betreibern, diese Anlagen derart ungeschützt grob fahrlässig zu betreiben. Man kann nicht die rosarote Brille aufsetzen und so tun, als hätte jeder Mensch nur das Beste für sich selbst und den rest der Welt im Sinn. Wäre das so, bräuchten wir weder Türschlösser noch digitale Zugangskontrollen.

Zitat von @NetzwerkDude:
Hoffe man findet ihn und hängt ihn an den genitalien auf
Wow, krasse Einstellung... Das hoffe ich nicht, solche Foltermethoden sind mindestens genau so ekelhaft und nebenbei gesagt das absolute Gegenteil von Rechtsstaatlichkeit. Und so betiteln sich die USA ja noch, auch wenn der leider seit langem bröckelt. Ich hoffe daher, dass er ein faires Verfahren bekommt, wie es in unserer angeblich so zivilisierten westlichen Welt selbstverständlich sein sollte.

Wie heißt es so schön: Man erkennt die Gesinnung eines Staates daran, wie er mit seinen Gefangenen umgeht.