Betroffen sind Netzwerkplatten MyBook Live von WD. Es gibt eine Sicherheitslücke, durch die jemand bei bekannter IP-Adresse aufs System kommt und die eingebauten Platten urlöscht. WD empfielt, diese Dinger sofort abzustöpseln. dieser Angriff passiert grade ziemlich häufig. https://nvd.nist.gov/vuln/detail/CVE-2018-18472 Nun fragt man sich natürlich: Was hat ein Angreifer davon, daß alle deine Daten weg sind? Mögliche Erklärung: Kürzlich wurde eine krypto mining software vorgestellt, die gültige hashes anhand des zur Verfügung stehenden freien Speicherplatzes vorreiht... :-) Sowas kommt von sowas!
Helge schrieb: > Mögliche Erklärung: Kürzlich wurde eine krypto mining software > vorgestellt, die gültige hashes anhand des zur Verfügung stehenden > freien Speicherplatzes vorreiht... :-) Sowas kommt von sowas! Meinst du Chia? Ich würde anstelle des Angreifers die Platten verschlüsseln und Lösegeld verlangen.
Beitrag #6738361 wurde von einem Moderator gelöscht.
Manche Leute sind einfach Arschlöcher nach dem Motto "Ich hab zwar nix davon, aber dir soll das Leben auch nicht als Paradies erscheinen", oder einfacher: die machen's weil's geht.
Jens M. schrieb: > Manche Leute sind einfach Arschlöcher nach dem Motto "Ich hab zwar nix > davon, aber dir soll das Leben auch nicht als Paradies erscheinen", oder > einfacher: die machen's weil's geht. Also die meisten Leute hier im Forum.
Helge schrieb: > WD empfielt, diese Dinger sofort abzustöpseln. Um der Rache von McAfee zu entgehen? LG, Sebastian
Helge schrieb: Nun fragt man sich natürlich: Was hat ein Angreifer davon, daß alle deine Daten weg sind? Vielleicht war die Funktion fuer einen bestimmten Zweck vorgesehen, die nun Spitzbuben gefunden haben. Zum Beispiel zum remoten Loeschen von Inhalten, die aus hoeheren Gruenden aus der Welt sollen. Formatieren ist aber in dem Falle aber viel zu auffaellig.
Sebastian schrieb: > Um der Rache von McAfee zu entgehen? Unmöglich scheint das nicht? Man schrieb irgendwo, dass er noch eine Zeitbommbe als Lebensversicherung hätte. Genauer prüfen, ob z.B. nur bestimmte Virenscanner betroffen sind, wäre interessant?
100Ω W. schrieb: > Meinst du Chia? Das könnte es sein. Es ist doch so einfach, mit der Masche zu neuem Spielgeld zu kommen: Man stelle sich vor, 10 Leute tun sich zusammen. Jeder von denen hackt sich 10TB leere Platte zusammen. Das ganze wird zusammengeführt zu einem virtuellen shared volume. Haste 100TB ganz leer, diesen Platz können die 10 Leute gleichzeitig fürs Spielgeld nutzen. Das freut den 'neuen' Nakamoto-Algorithmus. :-) Die diversen Krypto-Erpresser sind Dilettanten dagegen.
Helge schrieb: > Mögliche Erklärung: Kürzlich wurde eine krypto mining software > vorgestellt, die gültige hashes anhand des zur Verfügung stehenden > freien Speicherplatzes vorreiht... :-) Sowas kommt von sowas! Ich muss dich leider enttaeuschen, solche Malware gibt es schon so lange wie es Computer gibt. Helge schrieb: > Man stelle sich vor, 10 Leute tun sich zusammen. > Jeder von denen hackt sich 10TB leere Platte zusammen. Das ganze wird > zusammengeführt zu einem virtuellen shared volume. Haste 100TB ganz > leer, diesen Platz können die 10 Leute gleichzeitig fürs Spielgeld > nutzen. Moeglicherweise solltest du dich nochmal schlau machen, wie das genau funktioniert. Nach deiner naiven beschreibung brauchen Festplattenhersteller keine Festplatten mehr verkaufen. Waere ja viel sinnvoller, wenn die Hersteller da mit machen... Ich glaube du bist da was ganz grossem auf der Spur.
Helge schrieb: > Die diversen Krypto-Erpresser sind Dilettanten dagegen Ihr meint ernsthaft das McSowieso ne Lücke in ner Amateur@Internet Platte ausnutzt um Post mortem irgendjemandem eins auszuwischen? Oder hab ich da was falsch verstanden?
Der Typ hat vermutlich neben seinem AntiVirus Enterprise noch die nötigen Viren hergestellt. Das ist reine Spekulation aber für Mucky - der in seiner Jugend schon die ganzen Zuhälterbanden seines Viertels (vulgo Kiez) umschiffen musste, nicht ganz unplausibel. Wenn ihr schon Kompromat sucht empfehle ich eher diesen Ansatz.
Mucky F. schrieb: > Oder hab ich da was falsch verstanden? In meiner welt: ja. Der geepsteinte wird sich höchstens post mortem an denen rächen, deren Protektion er verspielte. Erst mal wichtig: Wer noch so einen WD Netzwerkplatte betreibt, sollte die bis zu einem firmware-update nich ins Netz hängen. Bis auf das klaffende Loch in der FW (immerhin 9,8 auf der Gefahrenskala) scheinen die ja ziemlich stsbil zu sein.
> scheinen die ja ziemlich stsbil zu sein
Damit mein NAS umkippt, muss ich schon sehr heftig dagegen treten.
Das ist ergo viel stabiler.
Der Titel hier ist etwa unklar. Betroffen sind die NAS Geräte von WD und nicht etwa die Festplatten, die von WD als NAS geeignet verkauft werden. Wer also z.B. WD Red in seinem Linux Server hat, ist natürlich nicht betroffen. Es scheint, als ob der Angreifer das 'FactoryReset.sh' Skript auslösen kann, ohne Zugang als Admin haben zu müssen - was fatal ist. Mögl. hilft es schon, das Skript zu entfernen, aber weitere Diagnose ist sicherlich sinnvoll.
Jens M. schrieb: > Manche Leute sind einfach Arschlöcher nach dem Motto "Ich hab zwar nix > davon, aber dir soll das Leben auch nicht als Paradies erscheinen", oder > einfacher: die machen's weil's geht. Ich glaube, diese Leute machen sich darüber keine Gedanken. Die finden es einfach Lustig, anderer Leute Dinge kaputt zu machen. Das ist vergleichbar mit der Zerstörung von Parkbänken, Mülleimern, Briefkästen, Vorgärten etc. Ich denke aber, dass hier nicht wirklich an die anderen Leute gedacht werden. Im Endeffekt haben die Vandalen nichts davon. Das ist bei den Platten das selbe.
Zu dem bug scheint es noch keine vollständige Analyse zu geben. Diese Ethernetlaufwerke melden sich an einem Rechner von WD an, über den man Fernwartung auch durch Gateways machen kann. Wer jetzt 'nur' formatiert hatte, könnte theoretisch auch viel ärgere Sachen durchziehen. Immerhin lassen sich auf vielen der Geräte Dateien mittels recovery-Programmen wiederfinden. Vielleicht gab es plötzlichen Datenreichtum bei WD?
Helge schrieb: > https://nvd.nist.gov/vuln/detail/CVE-2018-18472 Der ist vom 19. Juni 2019. Also schon gut abgehangen. In https://www.wizcase.com/blog/hack-2018/ steht seit Herbst letzten Jahres relativ weit unten etwas dazu (am Anfang geht es um andere Geräte). Demnach ist es ein Kinderspiel. Es brauchte also nur jemanden ohne viel Knowhow, der sich der Sache annahm. Nun sind die Dinger anscheinend seit 2015 End-Of-Life, was WD angeht. Dort hielt man seit 2 Jahren die Füsse still. In Zeiten, in denen es jeden erwischen kann, ist wohl auch Rufschädigung nicht mehr relevant.
:
Bearbeitet durch User
Christian H. schrieb: > ist bei den Platten das selbe. Wenn sie diesen NAS-Plattenplatz einige Zeit für ihre Chia-Spielchen missbrauchen können, wäre das so eine Art Gelddruckmaschine? Allerdings würde langsame Netzanbindung den Spaß limitieren.
Sebastian schrieb:
> Um der Rache von McAfee zu entgehen?
Du meinst seinen Geist. ?? Der ist nämlich seit 3 Tagen tot.
Dieter schrieb: > Helge schrieb: > Nun fragt man sich natürlich: Was hat ein Angreifer davon, daß alle > deine Daten weg sind? Hast du schon mal einen geärgert, einen Streich gespielt etc. Was hattest DU davon. Und WO ist der Unterschied. Einige Streiche enden tödlich für Menschen und einige Tödlich für Daten. Was die Platte angeht. Es ist doch allgemein bekannt das bei allen, wo das Internet eine untergeordnete Rolle spielt, die Sicherheitsmaßnahmen gegen 0 gehen. Es gibt das z.b. schon schöne Berichte im Netz wie man Smart-Home Teile "Übernimmt". Fernseher mit Sicherheitslücken sind nix neues. Man eben den TV des Nachbarn ausmachen per Handy / Wlan. Wieso nicht, ist er wenigstens leise. ;) Leute ernsthaft. Mit der Sache bekommen wir noch Spaß. Und ich mache meine Tür immer noch mit ein Schlüssel auf. Wenn schon Einbrecher dann wenigstens ein Profi und kein Script-Kiddy :)
Ich baue niemandem smart home mit Internet ins Haus, fernsteuerbare Solaranlagen oder cloud-Heizungen. Jedes gerät bringt seine eigenen Sicherheitslücken mit. Konnte man an dem großen Raub vor ein, zwei Jahren sehen, in Las Vegas glaubich wars. Mit dem löchrigen IoT-gesteuerten Aquarium im Foyer den Tresor aufgemacht :D Bis vor einem Jahr konnte ich dem vom Provider gelieferten Modem einen read-only-USB-Stick oder ein anderes von außen erreichbares USB-Gerät verpassen. Nach dem update hätte das einen kompletten Durchgriff von außen auf alles in der Wohnung erlaubt, alle von mir beeinflußbaren Sicherheitseinstellungen wurden "wegoptimiert". Die jungs auf deren Soglosigkeit hingewiesen. Antwort war, der durchschnittliche Nutzer kümmert sich eh nicht um Sicherheit :/
Also wenns danach geht, sind WD-Platten sowieso nicht mit hoher Lebensdauer gesegnet. Vor allem WD Green und WD Blue sind mir jetzt schon drei Platten mit defekten Sektoren zerbröselt und bei Kumpels auch noch ein paar. Daß McAffe noch irgendwo eine "Lebensversicherung" hat, glaube ich nicht. Die hätten Programmierer lange gefunden und ausgebaut, oder glaubt ihr ehrlich, der Herr hat die letzten 20 Versionen seines Virenscanners noch selbst programmiert? Der würde sich auch nicht um den Hersteller der Platten kümmern, sondern wenn dann jede Platte rasieren.
Andererseits sind meine WD Red richtige Läufer mit über 60000h Dauerbetrieb und keinerlei reallozierten Sektoren. Die bisher besten Serverplatten, die ich hatte. Die WD Green taugen allerdings wirklich nicht viel und die Blue kauft man ja praktisch schon als defekt.
:
Bearbeitet durch User
Matthias S. schrieb: > Andererseits sind meine WD Red richtige Läufer mit über 60000h > Dauerbetrieb und keinerlei reallozierten Sektoren. Die bisher besten > Serverplatten, die ich hatte. > Die WD Green taugen allerdings wirklich nicht viel und die Blue kauft > man ja praktisch schon als defekt. Hast Du die Gelben bereits ausprobiert? Kann ich nur empfehlen.
Das wird ziemlich sicher nix mit dem geepsteinten zu tun haben. Sowas bastelt auch keiner in paar Stunden hin. Irgendjemand hat da plötzlichen Datenreichtum im NAS remote access Bereich von WD hinbekommen, und den dann ausgenutzt. Gefährdung 9,8 von 10 im NIST mußte erst mal schaffen.
Schlaumaier schrieb: > Sebastian schrieb: >> Um der Rache von McAfee zu entgehen? > > Du meinst seinen Geist. ?? Der ist nämlich seit 3 Tagen tot. McAffee ist nicht tot! Er läuft im Hintergrund als Dienst weiter!
Malte schrieb: > Hast Du die Gelben bereits ausprobiert? Kann ich nur empfehlen. Meinst du 'WD Gold'? Die sind mir einfach zu teuer und auch zu gross. M.W. gibts die erst ab 4TB. Habe jetzt gerade in den Server eine 2TB WD Red als Spare nachgesteckt und die war mit etwa 80 Euro angemessen.
:
Bearbeitet durch User
Update: https://arstechnica.com/gadgets/2021/06/hackers-exploited-0-day-not-2018-bug-to-mass-wipe-my-book-live-devices/ Liest sich interessant. Darin auch Spekulation, dass der Factory Reset vorherige Botnet-Integration der WD verdecken könnte.
:
Bearbeitet durch User
Liest sich jedenfalls wie ein typischer Entwickler Shortcut. Der Typ kommentiert die Authentifizierung aus, um die Funktion ohne lästige Passwortabfrage zu testen, ist zufrieden und vergisst, die Funktion wieder zu aktivieren. Kein anderer muss das abnicken und so gehts ohne weitere Kontrolle in die Fertigung. Es ist nur ein Wunder, das es erst jetzt aufgespürt wurde nach all den Jahren. Den Usern muss man allerdings vorwerfen, das sie so eine Büchse ohne weiteres ins Internet hängen. Das Webinterface hat m.M.n. nichts in der Öffentlichkeit verloren.
:
Bearbeitet durch User
Die technische Ursache ist also ein Programmierfehler. Da der Angriff von sehr vielen verschiedenen IP kommt, war das wahrscheinlich ein botnet. Ich finde da noch keine schlüssige Argumentation, warum das passiert ist.
Matthias S. schrieb: > Das Webinterface hat m.M.n. nichts in der Öffentlichkeit verloren. Ist vielleicht auch nicht nötig. Viele Hersteller solcher NAS-Disks bieten Proxy-Services im Netz an.
:
Bearbeitet durch User
Jens M. schrieb: > Manche Leute sind einfach Arschlöcher nach dem Motto "Ich hab zwar nix > davon, aber dir soll das Leben auch nicht als Paradies erscheinen", oder > einfacher: die machen's weil's geht. Für den einzelnen ist es unter Umständen schmerzhaft, aber solche Aktionen schärft das Sicherheitsbedürfnis im Allgemeinen. "Es muss erst was passieren bevor sich was tut." Also global betrachtet handelt es sich vielleicht sogar um gute Taten.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.