CVEs für VA-Technik? - Willkommen in der neuen Welt | Info an grandMA-2-Nutzer

    tldr: Auf grandMA2-Konsolen gibt's einen offenen root-Zugang mit Standard-Passwort, der jedem, der es in das Netz der grandMA2 schafft div. Möglichkeiten gibt, Spaß zu haben.

    Zitat von julian knödler

    Und wie soll wer auch immer (Russe?) da rein kommen?

    Z.B. wenn jemand einfach das Netzwerk mit den Pulten und den Rechnern im Produktionsbüro (zum Fileaustausch) über eine Fritzbox mit Defaultpasswort ins offene Netz hängt "weil wir Internet brauchen". So selten kommt das leider gar nicht vor.

    Economics in eight words: "There ain't no such thing as free lunch."

    Ich seh da kein Problem. Ton- und Lichtnetzwerke werden lokal isoliert ausgeführt und fertig. Wer mehr braucht, muss halt sehen, dass er die Expertise dazu hat bzw. einkauft. Dann ist das alles beherrschbar.

    Machen wie sonst ja auch so - wer Lasten über Publikum fliegen will, braucht die Expertise. Wer sie nicht hat, hängt halt nix über Publikum.

    Ehrlich gesagt fand ich die Meldung erst mal auch eher lustig als bedenklich. Das mag sich ändern, wenn man mal an einer VA beteiligt ist, die ggf. ein wenig bedeutender einzuschätzen ist als der 50te Geburtstag von Onkel Heinz.


    Relevanter sehe ich da eher das Grundproblem: Plötzlich sind Geräte im Netzwerk erreichbar, die nie dafür gedacht waren (oder zumindest so, daß sich nur freundliche Menschen im gleichen Netzwerk herumtreiben). Ob das nun Kraftwerkssteuerungen, MRTs oder Urananreicherungsbeschleuniger sind - oder eben eine Oma2. Und - ehrlich gesagt - genau so wie Fernsehhersteller, Lampen-Fabrikanten und viele andere IOT-Buden haben die Leute, die das an den Start gebracht haben meist alles, nur kein Gefühl für Netzwerksicherheit.


    ... damit ist leider "wer sowas macht hat auch die Expertise (zu haben)" reines Wunschdenken. Das kriegen nicht mal die hin, die damit ernsthaft Geld verdienen (Cisco, HP, Oracle, F5, Juniper, ... - siehe andere CVEs oder IT-Security-Newsletter)


    Wichtig ist, die Grundsensivität dafür zu schaffen - dass man da nicht unangreifbar ist.

    Überall, wo ein Computer mit externen Zugriffsmöglichkeiten besteht - besteht "Gefahr".


    Früher musste man, um ernsthaft eine VA zu stören an den Hauptstromverteiler kommen - dann ging evtl. das Licht aus oder die PA war stumm.

    Heute reicht ein wenig Cracker-Equipment und ein ruhiger Platz in Reichweite des Produktions-WLans.

    Sollte dann noch der letzte MA eher unglücklich das Unternehmen verlassen haben (oder sonst irgendein Zwist mit einem ehemaligen Partner, Subunternehmer oder ähnlichem exisiteren) - habt ihr bei jedem Personalwechsel immer alle Konsolen-, WLAN- und sonstigen Infrastruktur-Passworte geändert? Sind alle beteiligten Geräte immer auf aktuellstem Patchlevel? Oder hängt doch noch der Win95-Laptop für's Recording im gleichen WLan wie der Pult-Remote-PC ("Pultfile habe ich Dir per Mail gschickt") und die Remote-Software für's PA-Controlling? Alles an einem wunderbaren Cisco- oder HP-Switch inkl. WLAN-Accesspoint mit Management-Funktion und Hersteller-Default-Passwort, weil seit dem Kauf keiner mehr ein Firmware-Update eingespielt hat?


    Ja, beim Geburtstag von Onkel Heinz ist das nicht relevant - aber es gibt ja andere Jobs, wo ggf. auch relevantere Infos verkündet werden als der dritte Sieger im Blumenschmuckwettbewerb...

    (und wenn plötzlich der aus dem Pult fallende Video-Content ein wenig ein anderer ist als vom Vorstandsvorsitzenden angenommen kommt's drauf an, ob das ein Grinsen verursacht oder ein paar Mio Börsenwert kostet)


    So, nun aber wieder zurück in die Realität. Aktuell dürfte der Angriffsvektor nicht geziehlt abgegrast werden - dazu ist es vermutlich noch zu speziell und ggf. gibt's viel einfachere Möglichkeiten der Sabotage.

    Jobs, die relevanter sind als der 50. Von Onkel Heinz, auf denen blrsenrelevante Infos Verlautbarungen werden, sollten aber auch tatsächlich Inselnetzwerke für Pulte etc. haben. Alles andere ist grob fahrlässig.

    Dass das bei IOT keiner hören will, ist keine Entschuldigung, es im professionellen Umfeld auch so zu machen.

    Zitat von robert müller

    Dass das bei IOT keiner hören will, ist keine Entschuldigung, es im professionellen Umfeld auch so zu machen.

    In der VT will das auch (noch) keiner hören. Immer mehr Gewerke brauchen in irgendeiner Form auch während der Show Internetzugang weil es entweder schlicht benötigt wird (Streaming, Videokonferenz, Online-Präsentation, Kommunikation mit externen Gegenstellen, Fileaustausch) oder die Hersteller das verlangen (Lichtsteuerungs-App die Firmware-Updates macht...).

    Für 90 % dieser Sachen gilt derzeit "Security through obscurity". Es passiert nur deswegen nix weil die Angriffspunkte zumeist nur wenige Tage bestehen und es kaum publizierte Zugänge (Website, Portal etc.) gibt.

    Am ehesten gefährdet sehe ich bei so was länger bestehende Installationen (grosse Clubs, Theater, Freilichtspiele) und grosse Festivals (Visualisierung, Streaming). Da ist vor allem in den letzten 3 Jahren viel unkontrolliert und "mal eben schnell" mit dem Internet verbunden worden was nie dafür vorgesehen war.

    Economics in eight words: "There ain't no such thing as free lunch."

    Zitat von niggles

    In der VT will das auch (noch) keiner hören. Immer mehr Gewerke brauchen in irgendeiner Form auch während der Show Internetzugang weil es entweder schlicht benötigt wird (Streaming, Videokonferenz, Online-Präsentation, Kommunikation mit externen Gegenstellen, Fileaustausch) oder die Hersteller das verlangen (Lichtsteuerungs-App die Firmware-Updates macht...).

    Die Antwort heißt wie so oft VLANs. Geräte, die einerseits Internet brauchen, andererseits in irgendwelchen Management-Netzwerken hängen, haben dann zwei physisch getrennte Netzwerkverbindungen.

    Ein USB - Ethernet Adapter kostet kein Vermögen. Ich hab für Systemrechner immer 2 Ethernet Anschlussmöglichkeiten dabei ( Anschluss am Rechner + USB Adapter bzw. Thunderbolt und USB Adapter)

    Zitat von HenrySalayne

    Die Antwort heißt wie so oft VLANs. Geräte, die einerseits Internet brauchen, andererseits in irgendwelchen Management-Netzwerken hängen, haben dann zwei physisch getrennte Netzwerkverbindungen.

    Genau dann sind die Geräte eine wunderbare Brücke um vom einem ins andere Netz zu kommen ;) Ein Gerät einerseits mit dem Internet (Wlan?) und dem lokalen Netzwerk zu verbinden ist Sicherheitstechnisch eigentlich das schlimmste das man machen kann

    Zitat von gemini

    Genau dann sind die Geräte eine wunderbare Brücke um vom einem ins andere Netz zu kommen ;) Ein Gerät einerseits mit dem Internet (Wlan?) und dem lokalen Netzwerk zu verbinden ist Sicherheitstechnisch eigentlich das schlimmste das man machen kann

    Grundsätzlich wird zwischen den Netzen nicht bebridget (zumindest nicht bei Windows), es muss also das eine Gerät mit zwei Verbindungen kompromittiert werden. Ja, das ist immer noch ein Problem, aber bei weitem besser als Geräte mit einem Patch-Stand von 2011 an Internet und in großes lokales LAN zu hängen.

    Die Geräte müssen ja gar nicht bringen. Das macht schon später derjenige, der sich von der Internetseite reingehackt hat. ;)


    Ernsthaft, man muss das auch differenzieren. Es ist allemal besser, ein Gerät auf aktuellem Patchstand mit zwei Netzen zu verbinden, und dann die "Nur-für-private-Netze-gedacht"-Geräte nur im zweiten, nicht öffentlichen Netz zu haben.


    Aus netzwerkarchitektonischer Sicht ist es aber besser, solche netzübergreifenden Zugriffe auf dem zentralen Router mit Firewall und ggf. IDS/IPS zu regeln. Dann hat man nämlich nicht an X Stellen mögliche Netzübergänge, sondern hat das alles an zentraler Stelle beisammen und kann es dort ggf. auch gescheit überwachen.


    Im Beispiel mit dem quasi-offenen Root-Zugang bei der GrandMA kann man das sogar weiter mitigieren, indem man in der Firewall eben nur die benötigten Ports für den netzübergreifenden Zugriff freischaltet (wozu SSH dann natürlich nicht gehören sollte). Das kann mit der Doppelanbindung eines Hosts überhaupt nicht geleistet werden.

    fassen wir zusammen: man sollte es tunlichst vermeiden, irgendwie internet in die wichtigen lokalen netze zu bekommen. eine Lösung wäre eine Ssd platte um Daten zu übertragen. sozusagen manuell.

    wenn was gestreamt werden soll, dann muß es eben fürs licht und die ton Daten ein eigenes lokales netz sein und ein definierter übergabe punkt ins offene böse internet :)

    Zitat von test

    eine Lösung wäre eine Süd platte um Daten zu übertragen. sozusagen manuell.

    Ich nehme an du meinst eine SSD?


    Tatsächlich muss man bei sowas auch aufpassen, dass der Datenträger nicht von Geräten am offenen Netz infiziert wird, was sich dann im abgekapselten Netz weiter fortpflanzen kann.

    Auf diese Weise ist z. B. damals Stuxnet in iranische Urananreicherungsanlagen gelangt. Da hat die CIA (oder sonst eine Drei-Buchstaben-Behörde, so genau weiß ich das nicht mehr) einen USB-Stick irgendwo auf dem Parkplatz "vergessen", den ein neugieriger Mitarbeiter dann in der Anlage an einen Rechner im abgeschotteten Netz angesteckt hat. Dieser Rechner wurde befallen, und von dort aus hat sich die Malware ins Produktionsnetz ausgebreitet und dort die Scada-Steuerungen für die Zentrifugen derart manupiliert, dass diese sich langsam selbst zerstörten.


    Zugegeben - das ist ein sehr spezielles Szanario. Es sollte aber gelten: Auch die Geräte am Internet sollten möglichst auf aktuellem Patchstand und sauber sein, und die eingesetzten Medien vertrauenswürdig und sauber. Wenn wirklich CIA oder KGB bei Euch reinwollen, schaffen die das auch. Aber zumindest das normale Botnetz-Gesocks & Co. hält man damit schon mal gut auf Abstand.

    Der letzte Absatz war auch eher allgemein auf abgesicherte Netzwerke bezogen. Ich glaube auch nicht, dass es viele Veranstaltungen gibt, bei denen NSA&Co ihr Logo per Hintertür auf den Medienserver packen wollen. ;)

    das ist ja ein weiteres Geschäftsfeld für meine hacker Unterorganisation:

    ich wollte ja mal den server von buderus hacken, die Heizungen für ne stunde abschalten um dann bei Junkers anrufen und ihnen meine bitcoin wallet id schicken :)

    das mache ich dann auch mit den grand ma usern ;)


    ja diese Thema Daten Sicherheit ist ein Riesen problem.

    wäre ja auch ne nette Idee das mit d&b usern vor einer wichtigen vw Hauptversammlung zu machen ;)