News NASA: Hacker erbeuten Daten per Raspberry Pi

[sikarr]

Die NASA ist wie Deutschland und dem Netzausbau und zwar abgehängt von anderen und man scheut sich vor den notwendigen Investitionen.

Dafür baut die NASA noch funktionierende Sonden, ich verweise auf den tollen Bohrer aus Deutschland der nach 30cm verreckt.

Es wäre genauso peinlich wenn’s eine PlayStation 4 oder eine Xbox One gewesen wäre.

Was wäre daran peinlich?

Die Lehre dürften sie daraus gezogen haben

Das bezweifliche Ich, da wirds ein böses DuDuDu geben, evtl ein kleinen Personalwechsel aber es wird wohl so weiter gehen wie vorher, das sind grundsätzliche Probleme innerhalbn der NASA.

dass mir die Lust und der Sinn nach der Nutzung des Sticks vergeht.

Richtig so, Immerhin wird die Kette bei euch eingehalten.

 

[SVΞN]

Was wäre daran peinlich?

Jedes nicht autorisierte System in einem solchen Netzwerk ist/wäre peinlich. Egal ob's sich [wie in dem Fall] um einen Respberry Pi oder eine PlayStation oder eine Xbox One handelt.

Es ist grundsätzlich sehr peinlich für die Behörde dass da Geräte [ungeschützt] herumstehen und nicht einmal ranghohe Administratoren wissen davon bzw. geben sogar zu dass das bei der NASA keine Ausnahme ist.

Das ist peinlich.

 

[sikarr]

Das ist peinlich.

OK, ich dachte es ging jetzt mehr um die Art der Hardware als der um ein autorisiertes System im Intranet.
Das Unis teilweise Konsolen für Clustering, als günstige Alternative nutzen sollte bekannt sein, daran sehe ich nix schlimmes. Auch einen Pi sehe ich nicht Kritisch, eher das er so einfach integriert werden konnte und keinerlei Monitoring darüber lief.

 

[Corros1on]

Das meinte ich.

Es wird halt krampfhaft versucht eine Verbindung zu Trump herzustellen und gleich dessen Schuld darin zu sehen.
Das meinte ich.

Dafür baut die NASA noch funktionierende Sonden, ich verweise auf den tollen Bohrer aus Deutschland der nach 30cm verreckt.

Naja, die NASA hat in Sachen Raumfahrt einiges mehr auf den Kerbholz was es an Fehlschlägen und Unglücken angeht, dagegen ist ein versagender Bohrer harmlos dagegen.

Ich glaube jede Weltraumorganisation hat mit und an ihren Fehlschlägen zu kämpfen oder können sich davon Lossprechen.

Auch Scheitern gehört zu einem Erfolg dazu

 

[sikarr]

Gefühlt werden deren Projekte aber meist eher ein Erfolg. Klar haben die haufen Rückschläge gehabt, und das ist wahrscheinlich auch der Grund das sie jetzt so halbwegs gut beim Sondenbau sind.

Man bedenke Rosetta und Philae oder ExoMars Trace Gas Orbiter und Schiaparelli. Beides nicht so gut gelaufene Missionen. Die NASA hat dafür Mars Observer (1992), Mars Climate Orbiter und Mars Polar Lander (1999) ansonsten haben die NASA sehr erfolgreich Sonden, Pioneer, Voyager, Juno, usw. und die diversen Mars Rover vorzuweisen.

 

[Ultrapower]

So ich will jetzt Bilder von fließendem Wasser auf dem Mars sehen

 

[DerHotze]

@DerHotze
So eine Fritzbox ist Spielzeug, welches seinen Anwender an vielen Stellen davon abhält sich ins eigene Fleisch zu schneiden. Die Geräte für gehobene Ansprüche kennen solche Beschränkungen nicht.

Selbst wenn, wenn es dumm kommt baut irgendwer ein VPN, welches von Außen irgendwie Zugriffe erlaubt. Da ist die Fritzbox am Ende und mit den großen Netzwerklösungen wird es auch aufwendiger.

Du willst damit sagen ,dass Geräte "für den gehobenen Anspruch" per default ALLE Geräte ins Internet lassen?
Ich glaube das nicht, zumal Adressbereiche vergeben werden müssen die zueinander passen um im internen Netz zu kommunizieren.
(ich glaube da fallen mehr als 255 Geräte Rum)

Ein VPN welches von außen irgendwie Zugriffe erlaubt?
Also ein normales VPN...

Ein VPN das dritten Zugriffe erlaubt? Wie soll das gehen?
Nur über ein zweites VPN...

Also Sabotage...

 

[Piktogramm]

@DerHotze
Du kennst auch nur Fritzbox & Co oder?
Die Defaults der Geräte sind oft "mach garnix" und den ganzen Kram wie NAT, DHCP, Firewall muss man wenn man es will selbst konfigurieren. Genauso ob man da nun IPs aus dem private Blöcken verteilt oder den Rechnern doch gleich public IPs gibt. Als AS270 hat die Nasa sowohl genügend IPv4 als auch v6 Adressen:
https://bgp.he.net/AS270#_asinfo
Man beachte, dass die Nase noch weitere Subbereiche mit eigenen AS-Nummern hat und dort mitunter nochmals mehr IP-Ranges bekommen hat. Die AS297 hat auch gleich mal noch ein /32 IPv6 Block (das ist wirklich ein µ mehr als 255, aber echt mal, welcher Knauserer verteilt nur /24 IPv4 o.O)

Ja klar VPN welches Zugriffe von außen erlaubst. Man tunnelt an der Firewall vorbei zu einem öffentlichem Server. Der Server leitet einfach alle Anfragen auf Port 22, 80, 448 auf den Tunnel um. Das wäre nicht das erste mal, dass irgendein Labortechniker seine Anlage von Zuhause überwachen können will/muss und so etwas bastelt, weil es die eigene Adminstration nicht ermöglicht.

Es sind auch andere Szenarios denkbar. Gern gesehen ist auch sauber konfiguriertes IPv4 Netzwerk welches am Stichtag IPv6 ausrollt und da dann auch einmal Geräte via IPv6 im Netz hängen.
Oder auch gern, Pi der via Wifi im LTE Hotspot im Netz hängt um von extern erreichbar zu sein und noch ein Kabeluplink ins Intranet hat.

So viele Möglichkeiten

 

[BFF]

Oder China oder der Iran. Nord Korea ist ja jetzt BFF.

Das vergiss mal janz schnell. Ich bin immer noch ich.

BFF

Ergänzung (25. Juni 2019)

Jedes nicht autorisierte System in einem solchen Netzwerk ist/wäre peinlich. Egal ob's sich [wie in dem Fall] um einen Respberry Pi oder eine PlayStation oder eine Xbox One handelt.

Es ist grundsätzlich sehr peinlich für die Behörde dass da Geräte [ungeschützt] herumstehen und nicht einmal ranghohe Administratoren wissen davon bzw. geben sogar zu dass das bei der NASA keine Ausnahme ist.

Das ist peinlich.

Ist ueberhaupt irgendwo schon rueber gekommen wie die "Angreifer" zu dem nicht "genehmigten" Raspberry gelangt sind? Das Teil wird doch nicht per USB-Netzwerk-Adapter im Internet und per RJ-45 im internen Netz gestanden haben.

BFF

 

[DerHotze]

@DerHotze
Du kennst auch nur Fritzbox & Co oder?
Die Defaults der Geräte sind oft "mach garnix" und den ganzen Kram wie NAT, DHCP, Firewall muss man wenn man es will selbst konfigurieren.

Zu deiner arroganten Art sage ich mal nichts...

Du behauptest weiter hin dass per default alle (der Firewall unbekannten) Geräte DMZ sind?


An dieser Stelle habe ich mich vermutlich missverständlich ausgedrückt:

@DerHotze
Selbst wenn, wenn es dumm kommt baut irgendwer ein VPN, welches von Außen irgendwie Zugriffe erlaubt. Da ist die Fritzbox am Ende und mit den großen Netzwerklösungen wird es auch aufwendiger.

Ein VPN welches von außen irgendwie Zugriffe erlaubt?
Also ein normales VPN...

Es müsste natürlich heißen:
Ein VPN verschafft nicht irgendwie Zugriff auf ein Netzwerk sondern leitet Nutzerrechte (bzw. Adminrechte) direkt zu einem entfernten Rechner!

Btw. Ein VPN tunnelt nicht zu einem öffentlichen Server ; was soll das überhaupt sein?
Und warum soll man Ports weiterleiten wenn man VPN hat?
Warum leitet, der von dir ins Spiel gebrachte, öffentliche Server Ports ins VPN (in dem Fall Richtung NASA)?

Je mehr du schreibst, desto wirrer wird es...

 

[Piktogramm]

@DerHotze
Ich äußere Vermutungen und lasse die auf mir bekannten Installationen fußen.
Dabei vermute ich, dass Geräte im Intranet landen, wenn sie in Büros / Laboren angestöpselt/mit dem Wlan verbunden werden wurden. Wobei es den Netzwerkzugang dann einfach so gab, oder aber durch Anpassen der Macadresse oder über das feste Eintragen von Mitarbeiter Credentials. Wobei es im Intranet dann gern auch mal public IPs gibt.

Ein VPN verschafft nicht irgendwie Zugriff auf ein Netzwerk sondern leitet Nutzerrechte (bzw. Adminrechte) direkt zu einem entfernten Rechner!

Rechte? Das sind Services die nach außen angeboten werden und keine Rechte -.-

Btw. Ein VPN tunnelt nicht zu einem öffentlichen Server ; was soll das überhaupt sein?
Und warum soll man Ports weiterleiten wenn man VPN hat?
Warum leitet, der von dir ins Spiel gebrachte, öffentliche Server Ports ins VPN (in dem Fall Richtung NASA)?

Aus den gleichen Gründen wie auch viele Forennutzer das machen. Man hat in irgend einem Intranet ein Service, denn man aus dem Internet erreichen will. Eine Möglichkeit ist da entsprechende Tunnel zu bauen. So kommt der 0815 Nutzer global an sein NAS/sein Nextcloud oder aber der Nasa Mitarbeiter an seine Anlagensteuerung.

 

[senf.dazu]

Uns ist es im Unternehmen AUSDRÜCKLICH untersagt, fremde Geräte (Access Points, gemanagte Switchtes, Notebooks/PCs, etc.) ins System einzubringen. Warum? Ganz einfach. Weil diese u.a. nicht die Group Policies bezogen haben (läuft über den Domain Controller), oftmals bereits mit Viren, Trojanern usw. befallen sind und bereits mit Software laufen, welche auf Firmengeräten nicht zugelassen ist.
Neulich wurde ich von meinem Chef gefragt, ob Notebook XYZ meins wäre, welches im Gäste-WLAN hing. Ja, war es. Es blieb zum Glück bei einer mündlichen Aufforderung, das Gerät aus dem WLAN zu entfernen und entweder mein Firmennotebook zu verwenden, oder über meinen eigenen Hotspot ins Internet zu gehen.

Ja, je größer eine Organisation ist, desto schwieriger wird die Kontrolle. Bei zehntausenden Geräten verliert selbst der beste Admin irgendwann die Übersicht. Wobei ich bei einer Organisation wie der NASA schon erwarten würde, dass dort zumindest ein Warnsystem das die Netzwerke überwacht, welches bei der Installation von neuen/fremden Geräten Alarm schlägt. Wobei auch hier das beste, automatisierte System nicht viel bewirkt, wenn die zuständigen Admins pennen.

Passiert dir aber in jeder Butze ob klein oder groß mit eigener Entwicklungsabteilung das die Leute an eigener Hardware (heut ganz modern meist auch mit Netzwerk ..) rum"basteln". Gelegentlich tauchen da auch Raspis auf denn die haben für gestandene Entwickllungsingenieure den gleichen Vorteil wie für Bastler - fertige preiswerte Hardware die man als Prototyp für sofortige Softwareentwicklung nutzen kann. Nicht jeder dieser Entwicklungsingenieure ist dabei Netzwerkadministrator (in der Regel keiner) und kennt Dinge wie Windows-Sprech-GroupPolicies .. der guckt den Admin dann mit großen Augen an und fragt berechtigerweise häh ich nur sprechen gebrochen linux-admin ? Und aus dem Netz ausschließen kann man solche Entwicklungsgeräte auch nicht - zum einen sollen sie ja vielleicht gerade das funktionieren im Netz lernen (man könnte ja auch gerade einen brandneuen Switch oder Scanner entwickeln) - bei allen OS muß man auch Updates aus dem Netz nachladen können sprich der Kontakt nach draußen ist nötig - und man muß auch Daten von den lokalen Serverplatten (entwickelte Software, Daten) auf den "Raspi" kriegen können und umgekehrt.

Und in einer Liste sollten die Geräte vielleicht nur eingetragen sein damit die Admins die und ihre Ansprechpartner bei Bedarf auch zügig wiederfinden können. Aber eigentlich sollte der Zugriff von außen ins Netz durch den Firewall gesichert sein .. und neue Rechner automatisch erstmal von außen unerreichbar sein.

Da lag wohl was anderes im Argen - möglicherweise Fehler/Lücken an dem Firewall. Natürlich kann auch eine Anwendersoftware (wie ein Raspi OS - oder ein Programm dafür) den Bösewicht spielen und den Kontakt von innen nach außen aufmachen. Aber das sind Gefahren mit denen Entwickler täglich umgehen müssen .. ob eine konkrete Software XY Malware enthält oder nicht sieht aber auch der Admin erstmal nicht .. kann nur die Augen verdrehn - oh neue Software - ganz schlecht. Ab in die Liste und vergessen da kümmern sich bei uns höhere Stellen drum. Kannst dann in 6 Monaten mit deiner Entwicklung weitermachen. Auch keine Lösung. Ist aber durchaus typisch in großen Konzernen das die Entwickler in der Minderzahl sind - und die Admins für die Normal-User da sind und Restriktionen funktionieren für die überwältigende Mehrheit ja auch gut.