1 Punkte von GN⁺ 2024-06-01 | 1 Kommentare | Auf WhatsApp teilen
  • Die URL lautet the-pumpkin-eclipse, aber der bereitgestellte Text ist nicht der eigentliche Artikeltext zur Kürbisfinsternis, sondern die Blog- und News-Hub-Seite von Lumen Technologies
  • Die hervorgehobenen Beiträge oben stellen den Trend in den Mittelpunkt, dass sich durch KI der Unternehmensbetrieb verändert und dafür programmierbare, skalierbare und sichere Netzwerke nötig sind
  • Lumens geplante Übernahme von Alkira wird als Beispiel dafür eingeordnet, eine für Konnektivität der nächsten Cloud-Generation nötige Control Plane bereitzustellen
  • Weitere empfohlene Inhalte schließen an mit programmierbaren Netzwerken, dem Einsatz von Lumen und Zoom AI bei der Bank of Tennessee sowie einem Beispiel für unterstützte Konnektivität bei globalen AWS-Events
  • Die Bereiche mit aktuellen Nachrichten und zur Navigation bieten Unternehmensmeldungen wie Tauschangebote, Beförderungen von Führungskräften und Ergebnisse von Übernahmeangeboten zusammen mit Filtern nach Themen, Branchen und Services

Charakter der tatsächlich bereitgestellten Seite

  • Der Haupttext ist die Blog- und News-Hub-Seite von Lumen Technologies, die technologische Innovationen, Strategien und Fachwissen rund um digitale Transformation und KI-Bereitschaft bündelt
  • Die Seite ist in empfohlene Inhalte, aktuelle Nachrichten und einen Bereich zur Inhaltsnavigation gegliedert
  • Der ursprüngliche URL-Pfad ist the-pumpkin-eclipse, aber im bereitgestellten Text gibt es keinen tatsächlichen Artikelinhalt über die Kürbisfinsternis

Verlauf der empfohlenen Inhalte

Aktuelle Nachrichten

Filter zur Inhaltsnavigation

  • Die Themenfilter umfassen Application Protection, Customer Success, Data Center, DIA, Ransomware, SD WAN, API, Artificial Intelligence, Cloud Computing, DDoS Protection, SASE, ZTNA und weitere
  • Die Branchenfilter bieten Manufacturing, State and Local Government, Technology, Defense Intelligence, Federal Government, Education, Gaming, Healthcare, Retail, Financial Services, Public Safety und weitere
  • Die Servicefilter bestehen aus Infrastructure services, Connectivity services, Security services, Communication services und Media Entertainment

1 Kommentare

 
GN⁺ 2024-06-01
Meinungen auf Hacker News
  • Es wäre gut, wenn man die Write-Enable-Leitung des Flash-Chips mit der Firmware abfangen könnte, um Updates zu verhindern, und den Müll, der nur im Speicher sitzt, durch tägliche Neustarts loswürde.
    Das war vor 20 Jahren bei Satellitenreceivern eine gängige Methode; vielleicht müssen wir inzwischen alle Geräte, die am Internet hängen, als anfällig für ähnliche elektronische Gegenmaßnahmen betrachten.
    Zumindest bei meinen eigenen Geräten würde ich gern überwachen, ob ein Update stattfindet, und bei einem Update eine Kontrollleuchte angehen lassen, damit man sieht, ob es legitim ist oder nicht.

    • Das ist eine Situation, in der man nicht gewinnen kann. Wenn man Firmware-Updates blockiert, hätte man diesen Angriff verhindert, blockiert aber auch Sicherheits-Patches, die verhindern, dass der Router Teil eines Botnets wird.
      Was ich in diesem Fall allerdings nicht verstehe: Warum konnte man die Geräte nicht in den Originalzustand zurückversetzen? Wenn die gesamte Firmware einschließlich Backups zerstört werden kann, wirkt das wie ein Designfehler.
    • Es gab ein Open-Hardware-Projekt für eine SD-Karten-Emulation, die Schreibzugriffe verweigern kann: https://github.com/racklet/meeting-notes/blob/main/community...
      Für SPI-Flash gibt es ebenfalls eine Open-Source-Emulation: https://trmm.net/Spispy/
      Einige USB-Sticks (Kanguru) und SSD-Gehäuse (ElecGear M.2 2230 NVME) können Schreibzugriffe per Firmware und physischem Schalter verhindern; das ist nützlich, um ein angepasstes Live-ISO zu booten, das im RAM läuft.
    • Aus Sicht von jemandem, der HU-Karten vom Schwarzmarkt benutzte, war DirecTV gewissermaßen ein Beispiel für eine Advanced Persistent Threat. So hatte ich darüber früher nie nachgedacht.
    • Mit DSL-Lösungen für Verbraucher kenne ich mich nicht gut aus, aber bei Kabelmodems werden Firmware und Konfiguration vom CMTS verwaltet. Denn wenn sich Technik und Konfiguration auf der Headend-Seite ändern, können auch Änderungen auf Kundenseite nötig sein, damit alles weiter funktioniert.
      Da Kabelanlage und Headend-Geräte aufgerüstet und gewartet werden, ändern sich Frequenzpläne, Signalraten usw.; die Konfiguration ist also ziemlich dynamisch.
      Wenn man versucht, die Schreibfreigabe des EEPROM zu sperren, wird am Ende wahrscheinlich die Modem-Provisionierung fehlschlagen.
    • Man könnte das „First-Party-Malware“ nennen.
  • Dem Artikel fehlen interessante Details. Ich frage mich, wie sie eingedrungen sind und ob diese Router standardmäßig offene Ports und Dienste haben und im Internet sinnvoll antworten.
    Könnte man nicht auch verschiedene Firmware-Versionen besorgen und vergleichen?
    Es sieht nach dem üblichen Ansatz aus, OpenWrt mit einem Vendor-SDK zu kombinieren: https://forum.openwrt.org/t/openwrt-support-for-actiontec-t3...
    Interessant ist, dass spekuliert wird, der Anbieter habe möglicherweise ein bösartiges oder defektes Update ausgeliefert: https://www.reddit.com/r/Windstream/comments/17g9qdu/solid_r...
    Wenn das stimmt, warum gibt es dann keine offizielle Mitteilung des ISP? Wenn es ein Angriff war, müsste es doch eine Untersuchung geben. Ich weiß nicht, wie so etwas in den USA gehandhabt wird, aber es wirkt wirklich seltsam.
    Vielleicht waren diese Geräte mit Bots infiziert, und der Anbieter hat ein Update ausgerollt und dabei alles kaputtgemacht.
    Oder es war, wie der Artikel sagt, ein koordinierter Angriff, bei dem sogar Erpressung im Spiel war, und allen wurde nur gesagt: „Das ist ein fehlerhaftes Firmware-Update, bleiben Sie ruhig.“
    Auch das wäre aus Kundensicht ziemlich schlecht, weil man wissen möchte, ob es einen Sicherheitsvorfall gab.
    Ich frage mich, ob es Firmware-Images dieser Geräte oder Links zu genaueren Informationen gibt.

    • Es könnte richtig sein anzunehmen, dass die Entscheidung des ISP, keine offizielle Mitteilung zu veröffentlichen, auf den Untersuchungsergebnissen beruhte.
      Ich frage mich auch, welcher Teil der Austauschkosten von der Versicherung übernommen wird. Wahrscheinlich keiner; dann trägt der ISP ein erhebliches Risiko für die Geschäftskontinuität. Das wäre ein weiterer Grund, nichts zu veröffentlichen.
  • Dort heißt es: „Lumen identifizierte mehr als 330.000 eindeutige IP-Adressen, die mit einem der 75 beobachteten C2-Knoten kommunizierten.“ Wie kann die globale Telemetrie von Black Lotus Labs wissen, welche IP mit welcher IP kommuniziert hat, ohne eine der beiden Endstellen zu kontrollieren? Wer speichert welche Traffic-Logs?
    Wenn sie das können, hätte ich gern noch einmal erklärt, warum Tor sicher ist: die Erklärung, dass es unmöglich sei, Pakete von meinem Gerät über Onion-Routing-Hops bis zum Exit-Node zu verfolgen, während am Exit-Node dieselben Pakete unverschlüsselt sichtbar sind.

    • Ich habe einen Freund, der bei Black Lotus arbeitet; vielleicht hat er diesen Beitrag geschrieben. Black Lotus gehört zu Lumen, und Lumen ist einer der weltweit größten Backbone-Traffic-Anbieter, zu dem Level3 und CenturyLink gehören.
      Ein enormer Anteil des weltweiten Traffics läuft durch ihr Netzwerk, daher können sie wahrscheinlich direkt in Traffic mit entsprechenden Indikatoren hineinschauen.
    • Das ist ziemlich ernüchternd. Bedeutet das, dass es praktisch unmöglich ist, einem IP-Fingerprinting auf irgendeine Weise zu entgehen? Selbst mit Tor oder VMs? Muss man am Ende dem Betreiber vertrauen, solange man den physischen Server nicht selbst besitzt?
    • Das ist auf Backbone-Routern eine ziemlich standardmäßige Funktion. TCP-Header müssen ohnehin in Hardware geparst werden, und häufige Endpunkte lassen sich mit O(1)-Zustand verfolgen.
      Am anderen Ende des Spektrums gibt es natürlich die Situation, dass die NSA Kern-Internetlinks anzapft, alles Mögliche aufzeichnet und für immer speichert.
    • Wahrscheinlich protokolliert Windstream routinemäßig den Kundentraffic. Es kann sich um Metadaten handeln (NetFlow/sFlow/IPFIX usw.), aber um diese Informationen zu haben, müssen sie sie jedenfalls aufzeichnen und aufbewahren.
      Ich hoffe, dass das in den Vertragsbedingungen von Windstream klar festgehalten ist.
    • Tor beruht auf der Annahme, dass man geschützt ist, weil der Traffic vor dem Exit über mehrere Knoten läuft und sich dabei vermischt. Wenn man die meisten oder alle Knoten im Netzwerk hat und den Traffic analysieren kann, lassen sich manche Flows vielleicht finden.
      Allerdings wird es umso schwieriger, je mehr Traffic ein einzelner Knoten verarbeitet.
      Die einfachere Methode ist, einfach einen Exit-Node zu betreiben.[1]
      1: https://en.wikipedia.org/wiki/Tor_(network)#Exit_node_eavesd...
  • Seit einigen Jahren kaufe ich kleine x86-Boxen mit Dual-NIC und lasse darauf OpenWRT laufen. Es ist Open Source, hat viel Support, eine gute Community und unterstützt auch WireGuard
    Die neueste Version kann sogar Docker-Container ausführen

    • Aber in diesem Fall geht es um ein DSL-Modem. Irgendwann braucht man auf der WAN-Seite eine Schnittstelle zum Netz, egal ob DSL, Koax oder Glasfaser
      Selbst ein DSL-Adapter für einen PCIe-Slot ist im Grunde ein System in Stick-Form; ihm fehlt nur das Gehäuse, aber er hat alle Funktionen und Bugs eines „Routers“
    • Betroffen war das Modem, daher hätte OpenWRT wohl keinen Schutz geboten
    • Ich nutze ein altes PC-Engines-Board mit OpenBSD, und es lief etwa acht Jahre lang erstaunlich problemlos
    • „Die neueste Version kann auch Docker-Container ausführen“ – was soll da schon schiefgehen …
  • So etwas passiert, wenn man in 600.000 Routern eine Backdoor platziert und in einen der Patches einen Firmware-Bug einbaut
    Konnte man das Update nicht gestaffelt ausrollen? Malware-Autoren und -Nutzer sind offenbar zu cool, um Standard-Betriebspraktiken zu übernehmen

    • Ihr wirtschaftlicher Druck ist einfach ein anderer. Es ist nicht ihre eigene Hardware, die gebrickt wird, und die Wahrscheinlichkeit, zur Verantwortung gezogen zu werden, ist gering
  • Ich verstehe nicht, was der Titel des Artikels bedeuten soll

    • Der Angriff fand ein paar Tage vor Halloween 2023 statt, daher vielleicht „Kürbis“, und dass die Zahl der mit dem Internet verbundenen Geräte stark zurückging, ähnelt vielleicht einer Sonnenfinsternis, die plötzlich Dunkelheit bringt
      Das ist nur meine Interpretation; ich finde den Titel ebenfalls schwer verständlich
    • War der Titel vor ein paar Stunden nicht noch verständlicher?
  • Für alle, die der Titel verwirrt hat: Es geht nicht um einen Router für 600.000 Dollar, sondern darum, dass 600.000 einzelne kleine Router zerstört wurden

  • Wenn es auf HN Karma-Punkte gibt, könnte man dem Einreicher zusätzliche Punkte geben, weil er den ursprünglich miserablen Clickbait-Titel verbessert hat
    Hier wird für einen Vorfall vom vergangenen Oktober das Präsens verwendet

    • Für Einreichungen mit Titeln, die so wirken, als würden sie zu Schaden anstiften, könnte man auch Punkte abziehen
  • Ein verwandter Artikel von Ars Technica: https://arstechnica.com/security/2024/05/mystery-malware-des...

    • Das ist weniger ein verwandter Artikel als eher eine Neuformulierung des Originals. Er enthält keine eigenen zusätzlichen Details
  • Für mein Heimnetzwerk habe ich einen Computer in Form einer Networking-Appliance gekauft. Im Grunde ist es ein gewöhnlicher i3 mit VT-x-Unterstützung, lüfterlosem Gehäuse und vier 2,5-GiB-NICs
    Auf Host und VM habe ich jeweils eine stabile Linux-Distribution mit regelmäßigen automatischen Sicherheitsupdates installiert und drei der NICs dieser VM per Device-Mapping zugewiesen. Die verbleibende NIC ist nirgends angeschlossen, außer wenn ich per SSH auf den Host möchte
    In der VM übernehmen UFW und Shorewall Firewall und Routing. Wenn ich etwas anpassen möchte, gehe ich per SSH auf diese VM. Außerdem gibt es VM-Disk-Snapshots, damit ich bei einem Fehler leicht zu einem bekannten guten Zustand zurückkehren kann
    Ich habe auch ein paar günstigere kommerzielle WLAN-Access-Points gekauft und im Haus verteilt, und die Kanäle so eingestellt, dass Interferenzen minimiert werden
    Früher habe ich mehrfach Netzwerkprodukte von Apple, Google, ASUS und anderen genutzt, aber alle hatten Leistungs- und Stabilitätsprobleme. Zum Beispiel fielen während Zoom-Meetings zufällig für 3 bis 5 Sekunden Pakete aus, was extrem nervig war
    Seit ich es selbst eingerichtet habe, gibt es überhaupt keine Probleme mehr, und ich bin deutlich sicherer, dass es sicher konfiguriert ist und die relevanten Sicherheitsupdates erhält. Kurz gesagt: Solange nicht ein erheblicher Teil der Welt, der dieselbe bekannte stabile Linux-Distribution nutzt, gleichzeitig Probleme bekommt, bleibt auch mein Heimnetzwerk problemlos

    • Dieser Angriff betraf das Modem; selbst mit so schicker Hardware wärst du also trotzdem offline gewesen
    • Aus Neugier: Welche Networking-Appliance-artige Computer hast du gekauft?