Sollten Sie einen Ubiquiti Router haben, überlegen Sie sich, ob Sie ihn ersetzen. Er ist offen für Kriminelle und Hacker und jeden, der gerade einen Router zur Verschleierung krimineller Aktivitäten benötigt. Oder einfach nur Ihren Datenverkehr überwachen will um an Bankdaten zu kommen.
Netzwerksegmentierung ist für die Sicherheit unerlässlich. Das bedeutet, zu Hause mehr als ein Netzwerk zu verwenden, zum Beispiel um Ihre Firmendaten von den privaten Daten zu schützen. Sie kennen das von Ihrem WLAN Router: Sie haben Ihr Netz und wenn Party ist, schalten Sie das Gastnetz an. Dann können die Gäste dieses Nutzen und Ihre Rechner nicht sehen oder ansprechen.
Empfehlenswert in diesem Kontext ist, IoT Geräte in einem separaten Netzwerk zu behandeln, so dass sie keine Daten über Ihr Netz, Ihre Geräte und anderes nach Hause (sehr oft China) telefonieren können. Sie können das erreichen, in dem Sie beispielsweise an Ihre FritzBox mehrere GL.iNet Beryls schliessen. Die sind kostengünstig, performant, klein und können Ihr WLAN sehr schön segmentieren. Aber ich verliere den Faden.
Also: Ubiquiti bietet einiges an Netzwerkgeräten zum Verkauf. Ubiquiti bot als einer der ersten sehr günstige Ethernet Router an, bei denen jeder Port ein eigenes Netzwerk darstellen konnte. Also eine hardware-gesteuerte Segmentierung.
Aus diesen (und anderen) Gründen waren die Geräte von Ubiquiti sehr gefragt. Aber die Probleme haben nicht nur diese Geräte betroffen. Ich wollte das Thema Segmentierung nur mal erklären und wie wichtig es ist, es passt sonst bisher nirgends.
Wann ist eine Datenpanne wirklich schlimm, es gibt doch so viele? Dafür gibt es viele Kriterien, aber wenn sich Brian Krebs einem Thema annimmt und darüber berichtet, dann ist es schlimm. Richtig schlimm. Für Sie, aber dann meist auch für den Anbieter.
Brian Krebs hat einen Whistleblower gefunden, der ihm Insider-Infos geben konnte. Die Firma Ubiquiti verwendet Server in der Amazon Cloud. Und seit kurzer Zeit werden Kunden dazu genötigt, wenn sie ihr (neues) Gerät einrichten oder ein bestehendes Gerät aktualisieren, Konten in der Cloud anzulegen. Warum ein Router unbedingt ein Konto in der Cloud haben muss erschliesst sich mir nicht. Im Gegenteil: Ich finde das schwierig. Egal was ich heutzutage kaufe, wenn es Strom hat will es, dass ich vor der Nutzung ein Konto in der Cloud anlege. Meint das die Regierung, wenn Sie über Digitalisierung redet? Das mein neuer Toaster nur funktioniert, wenn er in der Cloud verbunden ist?
Offensichtlich legt Ubiquiti Daten seiner Kunden und Geräte dort ab und aktualisiert sie von dort mit der neuesten Firmware.
Ubiquiti wurde gehackt und die Angreifer erhielten Zugang zu den Ubiquiti Servern in der Cloud. Sie waren dadurch in der Lage Zugriff auf Schlüssel für die Verschlüsselung der Daten zu erhalten. Sie haben Daten für priviligierte Anmeldeinformationen (root oder Superuser Rechte) erhalten. Diese waren, man kann es kaum glauben, in einer LastPass (Passwortmanager) Datenbank eines Ubiquiti Mitarbeiters gespeichert. Komisch. Dafür hat Ubiquiti keine Cloud verwendet. Damit erhielten die Angreifer volle Administrationszugriffe auf alle Ubiquiti Konten in der Cloud, alle Festplatten, alle Daten, alle Datenbanken, alle Andwendungsprotokolle, alle Benutzerdatenbanken und deren Anmeldeinformationen und alle Informationen, die es ermöglichen, sog. Single-Sign-On Cookies (also Cookies mit denen Sie sich einmal anmelden und dann auf viele verschiedene Server ohne erneute Anmeldung zuzugreifen) zu fälschen.
Damit können sich Kriminelle auf über 85 Millionen Endgeräten in 200 Ländern mit vollen Administrationsrechten anmelden und diese missbrauchen. Über diese Router können Kinderpornografie, Waffen und andere illegalen Produkte vertrieben werden. Sie können verwendet werden um die Spuren von Hackerangriffen zu verschleiern. Im schlimmsten Fall unterstellt die Polizei den Ubiquiti Besitzern, dass sie das waren. Kein wirklich toller Gedanke.
Nochmal: Das nur, weil Ubiquiti darauf besteht, dass Sie für deren Geräte einen Cloud-Account anlegen. Der für den reinen Betrieb eines Routers nicht nötig ist.
Ubiquiti spielt die Datenpanne herunter. Trotz aller Beweise. Sie wussten im Januar davon und haben es vertuscht. Wie Belege nahe legen, um den Aktienkurs nicht zu gefährden.
Im Januar gab Ubiquity bekannt,
unautorisierten Zugriff auf bestimmte unserer Informationstechnologie-Systeme, die von einem dritten Cloud-Anbieter gehostet werden“ erkannt zu haben.
Übersetzt von Krebsonsecurity
In der Mitteilung heißt es, dass es zwar keine Beweise dafür gibt, dass die Eindringlinge auf Benutzerdaten zugegriffen haben, das Unternehmen aber nicht ausschließen kann, dass sie Namen, E-Mail-Adressen, kryptografisch gehashte Passwörter, Adressen und Telefonnummern der Benutzer erlangt haben. Ubiquiti empfahl den Benutzern, ihre Passwörter zu ändern und die Zwei-Faktor-Authentifizierung zu aktivieren (das sollten Sie sowieso und immer tun, wo immer möglich).
Wie wir am 11. Januar informiert haben, wurden wir Opfer eines Cybersecurity-Vorfalls, bei dem sich Unbefugte Zugang zu unseren IT-Systemen verschafft haben. Aufgrund der Berichterstattung von Brian Krebs ist das Interesse und die Aufmerksamkeit an dieser Angelegenheit neu entfacht und wir möchten unsere Community mit weiteren Informationen versorgen. Zunächst möchten wir darauf hinweisen, dass sich an unserer Analyse von Kundendaten und der Sicherheit unserer Produkte seit unserer Meldung am 11. Januar nichts geändert hat. Als Reaktion auf diesen Vorfall haben wir externe Incident-Response-Experten beauftragt, eine gründliche Untersuchung durchzuführen, um sicherzustellen, dass der Angreifer aus unseren Systemen ausgesperrt wurde. Diese Experten haben keine Beweise dafür gefunden, dass auf Kundendaten zugegriffen wurde oder dass es zu einem Angriff kam. Der Angreifer, der erfolglos versuchte, das Unternehmen zu erpressen, indem er mit der Herausgabe von gestohlenem Quellcode und bestimmten IT-Anmeldeinformationen drohte, behauptete nie, auf Kundeninformationen zugegriffen zu haben. Dies und andere Beweise sind der Grund, warum wir glauben, dass Kundendaten nicht das Ziel des Vorfalls waren oder auf andere Weise in Verbindung mit dem Vorfall zugegriffen wurde.
Übersetzt von IT World Canada
Die Aussage, dass es keine Beweise für einen Zugriff auf Kundendaten gab geht nur, weil keine Logdaten dafür geschrieben werden. Keine Daten, keine Beweise.
Schauen Sie mal bei Ihrem Router von der Telekom oder Vodafone nach. Auch diese sind ferngewartet (meistens). Sie können sie aber ersetzen. Gehen Sie in einen Mediamarkt, kaufen dasselbe Modell, lassen sich von Ihrem Anbieter die Daten geben (das müssen sie herausgeben) und richten Sie ihn neu ein. Dann schicken Sie den Router des Anbieters zurück. Wie ich schon sagte: Ich bin gerne mein eigener Herr.