Alternativen dazu?

Ohne Wissen der Eigentümer (von Ubiquiti Routern) ist hier also eine Gefahrenquelle per Fernwartung beseitigt worden. Was wären denn die Alternativen? Es so belassen? Schlecht, auch weil ja der infizierte Router weitere Schadsoftware verbreiten kann. Die Eigentümer/Betreiber informieren, und Patch bereitstellen? Wie weiß man da, daß die tatsächlich ihre Router zügig patchen? Außerdem wissen dann mit Sicherheit auch der GRU und die Cyberkriminellen, daß ihre Malware jetzt bekannt ist, und können, wenn sie schnell genug sind, auch noch eine neue Malware auf den Routern einrichten die der Patch nicht beseitigt.
Und es gibt da die Frage: wie sieht's denn mit der Haftpflicht der Router Eigentümer oder Betreiber aus, nach Benachrichtigung derartige Sicherheitsprobleme schnell und gründlich zu beseitigen? Wie ist das hier in Deutschland geregelt? Ist da schonmal jemand deswegen - Malware Präsenz war dem Betreiber bekannt, aber es wurde nichts unternommen - rechtlich belangt worden?
@Golem: Das wär doch mal ein interessanter Artikel mit wichtigen Informationen für IT Profis die hier direkt betroffen sein können.

Die Alternative wäre, den Anschluss zu sperren.
Nicht verkehrssicher -> stillegen

M.P. schrieb:
--------------------------------------------------------------------------------
> Die Alternative wäre, den Anschluss zu sperren.
> Nicht verkehrssicher -> stillegen


Also legen wir alle Computer und Smartphones einfach still? Denn sicher war bisher beides noch nie. Sieht man bei jedem Update aufs neue.

@M.P. : stimme Dir vollständig zu! Allerdings ist die Frage, wie man nicht gepatchte Geräte erkennt und aus dem Verkehr zieht? Ich weiß zB nicht, ob's dafür eine Rechtsgrundlage gibt, und wenn, wie das durchgesetzt werden soll.
Ist ja auch so bei zB einem Auto mit durchgescheuerten Bremsbelägen - solange es keinen schweren Unfall gibt, merkt man das nur, wenn das Fahrzeug in die Werkstatt kommt, oder beim TÜV. Aber zumindest da gibt es eine klar definierte Haftung des Besitzers oder Betreibers; wer mit defekten Bremsen trotzdem fährt, haftet für Schäden von anderen, und es gibt rechtliche Konsequenzen.
Vielleicht sollten wir hier von den rechtlichen Bestimmungen lernen, die in der Medizin bei bestimmten Infektionskrankheiten eingesetzt werden: gesetzliche Melde- und Behandlungspflicht. Natürlich wird da das Geschrei groß sein, aber einfach so weiter machen geht auch.
@tnbh: Da würde ich natürlich erst mal "oben" anfangen, also Router im Backbone -> Router in größeren Netzwerken (Firmen, Behörden..) -> Server -> PCs in Sicherheitsrelevanten Situationen usw. Vor allem aber muss hier eine Pflicht der Hersteller da sein, zügig Patches auch für Geräte zu bringen, die schon einige Jahre alt sind. Gerade da sind zB PCs ja Smartphones (Android) immer noch weit voraus. Auf keinen Fall darf man hier den Samsungs, Xiaomis, Honors usw erlauben, so durch die Hintertür eigentlich noch brauchbare Smartphones zu Elektroschrott zu erklären. Das sowas bis vor kurzem gang und gäbe war, ist eine Riesen Sauerei!

Und, leicht OT: gerade hier (Malware und Patchen) gibt's ja zig Millionen Geräte (IoT, andere Geräte mit Netzzugang) alleine in Deutschland, die so gut wie keine Updates bekommen bzw je hatten, und oft sogar noch mit Malware vorinstalliert ausgeliefert werden. Und natürlich die billigen Router für zu Hause, die nie irgendwelche Security Updates bekommen.

@Golem: Das wär doch mal ein toller Test und Artikel: um die 100 IoT vernetzte Geräte für ~ € 5-10 bei Temu, Wish usw bestellen, und durchchecken. Angeblich haben die Versender ja alle Rückgabe Garantie, also bleibt Euch da v.a. der Arbeitsaufwand. Und so ein Artikel würde auch viel Resonanz in den allgemeinen
Medien (Nachrichten etc) finden, was ja gut für Eure Seite ist (Werbekunden!)



1 mal bearbeitet, zuletzt am 18.02.24 19:16 durch eastcoast_pete.

Bei der HU werden auch nur die Autos stillgelegt, die bei der Untersuchung auffällig waren.

Wenn von einem Anschluss nachweislich ein DoS Angriff ausgeht, oder er als Spam-Schleuder dient sollte der Provider verpflichtet werden, den Anschluss nach Aufforderung zu sperren ...

Irgendwie werden die gekaperten Router ja von den Kaperern ja genutzt. Wenn von dem Anschluss dann Angriffe detektiert werden ...

Bei staatlichen Akteuren ist es natürlich auch möglich, dass man die Router nach der Übernahme erstmal möglichst unauffällig in der Gewalt behält, um sie am "Tag X" nutzen zu können ...

tnbh schrieb:
--------------------------------------------------------------------------------
> M.P. schrieb:
> ---------------------------------------------------------------------------
> -----
> > Die Alternative wäre, den Anschluss zu sperren.
> > Nicht verkehrssicher -> stillegen
>
> Also legen wir alle Computer und Smartphones einfach still? Denn sicher war
> bisher beides noch nie. Sieht man bei jedem Update aufs neue.
Wenn es denn für das Gerät (noch) Updates gibt.

In DE bekommt der Provider eine E-Mail und dieser muss handeln. Ist mir selber sogar 2 mal passiert, bei meinem Server. Da hat sich der BSI bei meinem Hoster gemeldet und der hat gehandelt. Beim ersten mal war der Server direkt offline und ich habe den dann auf Nachfrage entsperrt bekomme und musste innerhalb von 24 Stunden die Lücke schließen. Beim anderen mal blieb der Server online und ich habe nur eine Frist bekommen.
Allerdings war der Server von meiner Seite aus falsch konfiguriert und hätte missbraucht werden können.

Es ist auch der einzige richtige Weg. Man selber fasst nichts fremdes an, solange man nicht die ausdrückliche Genehmigung hat. Wenn es erforderlich ist, dann kappt man die Leitung. Wobei was macht man, wenn man jemanden hat, der willentlich etwas "falsch" hat? Prinzipiell kann ja jeder machen was er will. Solange es im eigenen Netzwerk rumturnt und nur einen selber "gefährdet" ist es ja nicht verboten. Da müsste man ja auch erst mal nachweisen, dass die Software bei einem genau das macht, was behauptet wird.

Man darf ja nicht vergessen, es gibt auch Sicherheitsforscher. Ich kann ja ein Gerät als Honeypot anbieten und dann mit dem drum herum alles scannen und sicher gehen, dass eine Gefährdung anderer ausgeschlossen ist.