News K&M Elektronik gehackt, benutzt und jetzt offline

[engine]

...Ich habe die EXE durch Virus-Total gejagt. Kein Scanner hat die EXE als Malware/Virus erkannt. So viel zu diesen Snakeoil-Produkten...

Bei VirusTotal fehlt auch der verhaltensbasierte Teil des AVs. Installiere die exe mal auf deinem PC. Da sollte jedes AV-Programm anspringen.


Ach ganz vergessen @g0pher, willkommen hier bei ComputerBase und der erste Beitrag schon informativ, wenn es so richtig ist.

 

[NorwegianViking]

K&M ist aber nicht gewillt Geld zu investieren in ihre Sicherheit .
da sie ziemlich Geizig sind , und ihren Mitarbeiten den Top Lohn pro Monat versprechen und am ende nur muell raus kommt

 

[g0pher]

Bei VirusTotal fehlt auch der verhaltensbasierte Teil des AVs. Installiere die exe mal auf deinem PC. Da sollte jedes AV-Programm anspringen.

War es - bei dem Kollegen - es passiert nichts. AV-Scanner: Nod32.

 

[PiPaPa]

K&M ist aber nicht gewillt Geld zu investieren in ihre Sicherheit .

Du scheinst mehr über die laufenden und fixen Kosten von KM Elektronic zu wissen....

da sie ziemlich Geizig sind , und ihren Mitarbeiten den Top Lohn pro Monat versprechen und am ende nur muell raus kommt

Man sollte seinen Arbeitsvertrag schon mal durchlesen bevor man irgendwas unterschreibt.

 

[Mr. Bush*]

Zu Angriffen auf Atomanlagen, nur mal nen Blick auf den Iran da hat ähnliches schon stattgefunden.

Mach dir lieber darüber Gedanken bzw. Sorgen, das der Stuxnet Wurm in Israel getestet wurde, bevor man ihn in Richtung Iran geschickt hat. Des Weiteren gab es auf der TED-Konferenz einen guten Beitrag von Ralph Langer, der die Funktion des Wurms erklärt hat und am Ende noch den Mossad und die USA als leitende Macht hinter dieser Attacke gegen den Iran hinstellt.

Und du willst hier allen ernstes LulzSec oder ähnliche "Hobby-Hacker" auf die gleiche Stufe stellen wie die Typen, die so einen komplexen Wurm geschrieben haben? Lies den NYT-Times Artikell und schau dir das Video an, dann wirst du hoffentlich merken, dass man sich nicht vor Lulz fürchten sollte, sondern vor einigen bestimmten Regierungen. Denn genau das ist die Form von Terrorismus, vor der du hier Panik schiebst...

 

[Tronx]

Und du willst hier allen ernstes LulzSec oder ähnliche "Hobby-Hacker" auf die gleiche Stufe stellen wie die Typen, die so einen komplexen Wurm geschrieben haben?

Recht hast Du, aber vergiss eines nicht, die hatten auch ganz andere Mittel und viel mehr ManPower, aber Lulz würde ich jetzt nicht als "niedriger" einstufen. Da sitzen auch sehr fähige Leute. Ein Dachdecker ist kein Schreiner, aber beide Verstehen mit Holz umzugehen.

 

[ice-breaker]

Recht hast Du, aber vergiss eines nicht, die hatten auch ganz andere Mittel und viel mehr ManPower, aber Lulz würde ich jetzt nicht als "niedriger" einstufen. Da sitzen auch sehr fähige Leute. Ein Dachdecker ist kein Schreiner, aber beide Verstehen mit Holz umzugehen.

da sind Lichtjahre zwischen Lulz und Stuxnet, das ist wirklich nicht vergleichbar.
Stuxnet wurde von absoluten Profis mit jahrelanger Erfahrung und extremen Detailwissen geschrieben, da saßen die besten Leute der Branche dahinter
Würde auch nur einer von Lulz ähnliches Wissen haben, wäre er nicht bei Lulz, denn in der freien Marktwirtschaft gehört sojemand zu den bestbezahlten Leuten.
Gehe auch bitte nicht davon aus, dass Stuxnet von "Hackern" geschrieben wurde, da saßen Leute mit Unmengen Wissen über diese Steuerungssoftware dahinter, das lernt sich kein Hacker an, da brauchst du 1-2 Jahrzehnte dafür.

 

[TStarGermany]

Dass du die Leute vergoetterst, merkt man, aber deine Einschaetzung ist haltlos, weil diese 2 Dinge von der technischen Seite her nichts miteinander zu tun haben.

Stuxnet war ne aufwendige Auftragsarbeit, ein Hybrid.
Auf der einen Seite steht simple Programmierarbeit, wie sie von etlichen Softwarefirmen tagtaeglich durchgefuehrt wird; Software-Interface-Hardware, das wars. Alles, was man benoetigt, sind die entsprechenden Dokumentationen des zu steuernden Objekts und der entsprechenden Controller.
Der zweite Teil ist die Maskierung als Virus.

Die Brisanz von Stuxnet liegt in der offensichtlichen Tatsache, dass die Informationen ueber die anzugreifenden Anlagen und die Steuerungsmechanismen dieser Anlagen nicht frei verfuegbar sind, d.h. es ist sonnenklar, dass hier Geheimdienst(e) mitgemischt haben, sowohl bei der Informationsbeibringung, als auch bei der Ausbreitung in Virusform. Erst durch diese Zusammenarbeit ist Stuxnet eine reale Gefahr geworden.

Lulzsec ist ein voellig anderes Phaenomen.
Das sind Leute, die enormes Wissen um den Aufbau von Netzwerkinfrastruktur und systematische Schwachstellen von ueblicherweise verwendeter Software haben; "klassische" Hacker.

Die Frage, wer von beiden "gefaehrlicher" ist, laesst sich so nicht beantworten. Beide haben die Moeglichkeit, im Rahmen ihrer Mittel grosse Schaeden bei den Zielen anzurichten.
Wenn im Iran irgendeine Pumpenanlage die Graetsche macht, koennte das (ich kenn die Details nicht) lokale Auswirkungen haben, bzw. macht- und energiepolitische Folgen haben.
Wenn global irgendwelche Services oder Informationsquellen ausfallen, ohne die hunderttausende oder Millionen von Menschen nicht arbeiten/leben koennen, dann sind die Folgen mindestens genauso "schwerwiegend", wenn nicht viel brutaler.

Man stelle sich nur mal ganz einfache Konstellationen vor, wo die Bezahlservices aller globalen Kreditkartenunternehmen fuer ein Wochenende stillgelegt werden oder wo wichtige Datenbestaende wie z.B. Buchhaltung/Kontofuehrung bei Banken manipuliert werden... da tanzt der Baer.

 

[DrToxic]

Man stelle sich nur mal ganz einfache Konstellationen vor, wo die Bezahlservices aller globalen Kreditkartenunternehmen fuer ein Wochenende stillgelegt werden oder wo wichtige Datenbestaende wie z.B. Buchhaltung/Kontofuehrung bei Banken manipuliert werden... da tanzt der Baer.

Nur, dass man bisher noch nichts von einem erfolgreichen Hack auf KK-Firmen oder Banken gehört hat. Das wäre der absolute Ruin für ein solches Unternehmen und das wissen die auch - deswegen wird dort genügend Geld und Know-How hinein gesteckt, um gerade so etwas zu verhindern.

Ganz anders bei Shops oder Spielefirmen, bei denen die Kundendaten meistens einfach ein nettes Zubrot oder potentielle zusätzliche, kostenlose Werbemittel sind.

Sieht man ja auch jetzt: Sony verkauft immer noch CD-Player und Playstations, Shops haben es ein wenig schwerer, aber trotzdem noch Umsatz - eine Bank mit Vertrauensverlust ist eigentlich dem sofortigen Untergang geweiht.


Und @g0pher:

So viel zu diesen Snakeoil-Produkten.

Ein sehr interessanter Beitrag von dir - danke dafür!

Nur was genau sind Snakeoil-Produkte? Die etwas versprechen und nichts halten?

Achja und willkommen im Forum - super Start

 

[epicfail]

Wenn die Administratoren dort so viel verdienen wie die Studenten an der Kasse, kommt so etwas halt dabei heraus.

Was die grünen Peons an der Kasse bekommen Geld ? halt ich fürn Gerücht

Also ich habe meine Peons immer mit nem Netzwerkkabel und den Worten "work work" zum Arbeiten bewegt.

Hätten die Hacker mal lieber den Mailserver von q@q.de gehackt dann hätten sie nun K&M Gutscheine im wert von ein paar Millionen Euro erbeutet !!!!! (Achtung Insider)

Spaß bei seite ich denke K&M kann sich glücklich schätzen das hier offensichtlich Dummköpfe am Werk waren.

Ich hätte in diesen Mails eher realistische Gutscheine im Wert von 50 Eur einlösbar ab einem Einkaufswert von 200 Eur rausgejagt und die Empfänger direkt auf eine gespiegelte Seite des K&M Shop verlinkt. Dort dann Bezahlung per Paypal, Kreditkarte, Sofortüberweisung usw (eben Vorkasse) angeboten und mich über eine nette Summe Geld gefreut.
Ein paar nette Sonderangebote auf dem gefakten K&M Online Shop mit für Kunden realistischen Rabatten (Stichwort K&M verdient ja mindestens 100 Euro an einem Notebook) und der Schaden wäre mit Sicherheit höher gewesen als ein dummes Script das bei den meisten Usern eh eine Warnmeldung seitens Windows oder Vierenschutz auswirft.


In sofern haben Keller, Mötting und Konsorten noch einmal richtig Glück im Unglück gehabt.


Im übrigen behaupte ich nun einfach einmal das K&M aber auch andere vergleichbare Anbieter dieser größe gar nicht die Ressourcen haben um ihre Server tatsächlich wirksam vor Profis zu schützen. Sony ist/war das beste Beispiel die wurden garantiert auch nicht mal so nebenbei von einem Scriptkiddie gecrackt.

Lobenswert ist jedoch das man bei K&M seine Server sofort vom Netz genommen hat.

Ein Imageschaden hat K&M dennoch mit sicherheit erlitten wer in Zukunft auf nummer Sicher gehen will soll direkt in den Fillialen einkaufen die haben jeweils eigene Kundenkarteien und die scheinen von dem Angriff nicht betroffen zu sein.


Zusammenfassend Gilt ein altes Sprichwort:

Das beste Geschäftskonzept der Welt:
Jeden Tag steht ein dummer auf mann muss ihn nur finden.

Wer zu blöd für das Internet ist und auf solche Mails reinfällt soll bitte offline bleiben dann braucht der Rest der User auch kein IPv6 mehr weil genug IP Adressen da sind



Greetz Epicfail

Edith sagt: bin selbst ehemaliger Mitarbeiter aber ich möchte einigen anderen hier doch mal anraten aufzupassen welche Internas ihr hier ausplaudert denn wie euch bekannt sein sollte hat euer ehemaliger Arbeitgeber eine eigene Rechtsabteilung......

 

[ArnoNühm]

ich hab per fax und absichtlich nicht mehr per kontaktformular einen antrag auf löschung aller personenbezogenen daten gestellt.

kann ja echt nicht an gehen, kann man die nicht irgendwie verklagen oder abmahnen, zwecks verstoß gegen deren eigene datenschutzrichtlinie?

 

[flo.ct]

K&M wurde nicht gehackt und es wurden auch keine Daten gestohlen. Was die Phisher hier ausgenutzt haben, war eine "Sicherheitslücke" im K&M-Shopsystem.
[...]

Das manipulieren und einschleusen von Schadenscode ist die eine Sache.

Erklärt aber noch nicht wie die Hacker Zugriff auf den Mailverteiler bekommen haben und somit Vorname/Nachname/E-Mailadresse.

 

[engine]

das wurde aber so oft schon genannt der Link. Aber ehrlich, ich lese auch nicht immer alles, gar nicht sinnvoll.

"...Die Kundendatenbank von K&M befindet sich bereits seit geraumer Zeit in den Händen von Kriminellen, wie K&M-Elektronik gegenüber heise Security bestätigte. Bereits im November 2009 haben Unbekannte den Server angegriffen und Anschriften sowie Mailadressen sämtlicher Kunden kopiert. Obwohl das Unternehmen seinen Shop nach dem Vorfall einer Sicherheitsprüfung unterzogen haben will, gelang es Kriminellen im Mai dieses Jahres erneut, die Kundendaten zu entwenden. Wie viele Kunden bei K&M registriert und somit von den Vorfällen betroffen sind, wollte K&M auf Rückfrage von heise Security nicht bekannt geben: "Wir bitten wir um Verständnis dafür, dass der Vorstand solche Daten als Betriebsgeheimnis betrachtet..."

 

[MegaGigaTera]

warum sollte diese "garntie" gerboichen worden sein, ssl ist eine sichere verbidung, und entspciht eben den standart, hat mit anderen sicheheitsllücken nix zu tun...

Wenn ich doch explizit schreibe

Wenn deine Daten kopiert wurden klar. Schalte einen Anwalt ein den die Garantie wurde "gebrochen".

Dann wurde doch klar die Garantie gebrochen.

Mir wird garantiert dass meine daten sicher seien.
Wenn ich also schreibe, dass falls die daten kopiert wurden und man dies belegen kann, die sicherheit nicht statt gefunden hat und somit die garantie hier eingreifen muss.

Was muss den deiner Meinung nach passieren damit diese Garantie zum zuge kommt?
Dann könnte doch der Shop hinschreiben: Wir sind stehts bemüht top Sicherheit zu liefern.

Aber hier wird es GARNATIERT.

 

[JX666]

Nichts ist mehr sicher

 

[68Marcus69]

Ja, ja die Hacker....

 

[Der_Alkoholiker]

kein Shop kann dir 100% Sicherheit garantieren, selbst Itunes soll es doch erwischt haben.

Das soll was heissen?
Dass iTunes das A und O der sicherheit ist?

 

[ice-breaker]

Dass du die Leute vergoetterst, merkt man, aber deine Einschaetzung ist haltlos, weil diese 2 Dinge von der technischen Seite her nichts miteinander zu tun haben.

ich vergötter die nicht, nur der Vergleich ist haltlos, denn für Stuxnet wurden außergewöhnliche Leute mit jahrelanger Erfahrung benötigt.

Stuxnet war ne aufwendige Auftragsarbeit, ein Hybrid.
Auf der einen Seite steht simple Programmierarbeit, wie sie von etlichen Softwarefirmen tagtaeglich durchgefuehrt wird; Software-Interface-Hardware, das wars. Alles, was man benoetigt, sind die entsprechenden Dokumentationen des zu steuernden Objekts und der entsprechenden Controller.
Der zweite Teil ist die Maskierung als Virus.

du bist aber kein Software-Entwickler oder?
Stuxnet muss Hardware steuern, das ist eine ganz andere Liga, als der Rest.
Vergleichbar kann ich dir sagen, dass es genauso aufwendig ist wie Software an einer Trägerrakete, die man ins All schießt. Und das ist auch nichts was etliche Softwarefirmen jeden Tag machen.

Lulzsec ist ein voellig anderes Phaenomen.
Das sind Leute, die enormes Wissen um den Aufbau von Netzwerkinfrastruktur und systematische Schwachstellen von ueblicherweise verwendeter Software haben; "klassische" Hacker.

für einen DDoS brauchst du keine Ahnung von Netzwerkinfrastruktur, und für die meisten Hacks auch nicht, da hält man "einfach" Ausschau nach ein paar Sicherheitslücken um erstmal in die Nähe des Systemkerns zu kommen und ab da helfen einem die vielen BugTracker etc. die für jede Sofware und jedes OS schon viele nette Bugs kennen.
Es ist zwar immernoch Arbeit, aber nicht so wie diejenigen die die echten Schwachstellen im OS usw. entdecken und melden.

Die Frage, wer von beiden "gefaehrlicher" ist, laesst sich so nicht beantworten. Beide haben die Moeglichkeit, im Rahmen ihrer Mittel grosse Schaeden bei den Zielen anzurichten.
Wenn im Iran irgendeine Pumpenanlage die Graetsche macht, koennte das (ich kenn die Details nicht) lokale Auswirkungen haben, bzw. macht- und energiepolitische Folgen haben.

Wenn du es richtig anstellst kannst du die Zentrifuge in die Luft jagen (denn die wurden angegriffen), das gibt ordentlichen Schaden und kann zu einer Kettenreaktion führen.

Man stelle sich nur mal ganz einfache Konstellationen vor, wo die Bezahlservices aller globalen Kreditkartenunternehmen fuer ein Wochenende stillgelegt werden oder wo wichtige Datenbestaende wie z.B. Buchhaltung/Kontofuehrung bei Banken manipuliert werden... da tanzt der Baer.

was meinst du warum da nichts passiert?
Weil die wirklich Ahnung haben und die IT dort auch mehr als genug Geld bekommt, um solche Probleme zu vermeiden, im Gegensatz zu den vielen anderen der letzten Wochen.

 

[tihnk]

K&M wurde nicht gehackt und es wurden auch keine Daten gestohlen.

Da sagen die seriösen Berichte aber was ganz anderes. Woher sonst sollen die Phisher auch persönliche Daten bekommen haben, die der Email Vertrauen einflösen sollte? Name hat gestimmt, Email Adresse, diese Kombination setze ich nur bei einer Handvoll Internetläden ein und zufälligerweise hört man jetzt, dass K&M gehackt wurde... welch großer Zufall! An die Kundendaten kommt man nicht mal ebenso, da sind schon ausgefeiltere Hacks notwendig.

Was die Phisher hier ausgenutzt haben, war eine "Sicherheitslücke" im K&M-Shopsystem.

Das vielleicht noch zusätzlich, aber laut heisec heißt es

Bereits im November 2009 haben Unbekannte den Server angegriffen und Anschriften sowie Mailadressen sämtlicher Kunden kopiert.

Das heißt im Klartext:

Der K&M Server mit kundenspezifischen
datenschutzkritschen Informationen
wurde gehackt/gecrackt!​

Und das hat K&M laut Bericht bestätigt. Nur dazu stehen tun sie nicht.

 

[ice-breaker]

Da sagen die seriösen Berichte aber was ganz anderes. Woher sonst sollen die Phisher auch persönliche Daten bekommen haben, die der Email Vertrauen einflösen sollte? Name hat gestimmt, Email Adresse, diese Kombination setze ich nur bei einer Handvoll Internetläden ein und zufälligerweise hört man jetzt, dass K&M gehackt wurde... welch großer Zufall! An die Kundendaten kommt man nicht mal ebenso, da sind schon ausgefeiltere Hacks notwendig.

nicht unbedingt, es gibt wirklich einige Angriffe wozu das nicht notwendig ist.
Es reicht schon eine SQL- und Mail-Injection um Phising-Mails zu senden ohne dass man den ganzen Server gekapert hat.

Was nun wirklich der Wahrheit entspricht werden wir nie erfahren.
Kann man sich bei sowas eigentlich an die Datenschutzbeauftragten der Länder zwecks Aufklärung widmen? Denn es geht hier ja um eine Vertuschungsaktion eines Datenschutz-Lecks, wenn man keine Angaben auf Grund von fadenscheinigen Argumenten macht.