Ransomware in der Firmware: Orqa FPV-Brillen unbrauchbar

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.949
Beinahe täglich lesen wir Berichte zu Behörden oder Unternehmen, die durch Ransomware lahmgelegt wurden. Die vermeintlichen Angreifer gehen dabei meist relativ passiv vor, setzen auf Masse und befallen die Systeme und Netzwerke meist über schlecht gesicherte Active-Directory-Verwaltungen und Markos. Wenn nötig, kommt auch ein etwas gezielteres Social Engineering hinzu.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hört sich für mich nach rache an. Da hat wohl der "gierige" dienstleister wohl verlgsnt dass er wie vereinbart bezahlt wird, und sich so gerächt. Dies kommt ja leider dirchaus vor dass es einige firmen da nicht ernst nehmen.
 
Schon unglaublich, was da teilweise abgeht. Da bin ich gespannt, was die Behörden so alles herausfinden, wer, warum und was dahintersteckt. Wenn das so einfach ist unentdeckt über einen längeren Zeitraum in der Firmware zu bleiben, dann frage ich mich, wie die Sicherheit aller Geräte sind, die Firm-/Biosprogramme beinhalten? Lohnt sich, dass alle mal ihre Firmware kontrollieren ... :LOL:
 
Wer die Firmwareentwicklung extern vergibt für seine Geräte gibt alle Sicherheit aus seinen Händen. Ist für mich unverständlich!
 
Das Statement spricht nicht für die Firma. "greedy, exorbitant, perfidious" klingt ziemlich deutlich nach Stimmungsmache, außerdem warum sollte ein Subunternehmen zu solch drastischen Mitteln greifen? Ich würde vermuten, dass die Geschichte entweder komplett erfunden ist, oder aber, das Qrqa nicht so unschuldig sind, wie sie sich darstellen.
 
Wie hat sich die externe Firma das mit der Erpressung vorgestellt? o_O
Oder sitzen die in den Tiefen von Russland und Co. wo sie rechtlich unangreifbar wären?
Wer die Firmwareentwicklung extern vergibt für seine Geräte gibt alle Sicherheit aus seinen Händen. Ist für mich unverständlich!
Alles selbst machen ist halt nicht mehr wirtschaftlich und irgendwie logisch, denn sonst braucht man Spezialisten für absolut alles im eigenem Haus.

Lohnt sich, dass alle mal ihre Firmware kontrollieren ... :LOL:
Leichter gesagt als getan. Da wird nicht deutlich kommentiert "// Timebomb here" stehen sondern es ist irgendwo in irgendeiner binary versteckt die aus validen Gründen kompiliert geliefert wird und noch eine Reihe sinnvoller Dinge tut usw.
 
Zuletzt bearbeitet:
Wer weis wo der ganze Code einfach zusammen kopiert wurde und für was die Funktion ursprünglich da war. Das passiert halt wenn irgendwo billig ein paar Codeaffen eingekauft werden. Ich warte ja auf den Tag wo es einen der großen Automobilhersteller trifft.
 
Hört sich für mich nach rache an. Da hat wohl der "gierige" dienstleister wohl verlgsnt dass er wie vereinbart bezahlt wird, und sich so gerächt. Dies kommt ja leider dirchaus vor dass es einige firmen da nicht ernst nehmen.
Macht absolut gar keinen Sinn, da der Dienstleister ja weiterhin gerne mit der Firma zusammen gearbeitet hat ...
 
Wie hat sich die externe Firma das mit der Erpressung vorgestellt? o_O
Kann auch nur ein (externer) Mitarbeiter der externen Firma gewesen sein.

Hardware wird unbrauchbar durch die Firmware, der Hersteller hat damit ein Problem. Um seine Geräte für die er ja Garantie leisten muss, wieder lauffähig zu kriegen, muss er Lösegeld zahlen.

Alles selbst machen ist halt nicht mehr wirtschaftlich und irgendwie logisch, denn sonst braucht man Spezialisten für absolut alles im eigenem Haus.
Stimmt und kommt mittlerweile in genau solchen Fällen immer häufiger vor, weil die die solche Geräte "bauen" oft Hardwareentwickler sind, die oft aber halt keine Softwareexperten sind. Aber weil halt heutzutage nichtmehr alles in Hardware gegossen wird, sondern eben über eine Firmware gesteuert wird, brauchen die dann Externe, die so eine Firmware programmieren.

Das an Externe zu vergeben ist aber eine äussert ungünstige Entscheidung. Ich kenne viele Firmen die so angefangen haben, meist weil "man braucht ja nur "jetzt schnell" diese ein Firmware und dafür lohnt es sich nicht Softwareentwickler einzustellen", die rudern mit der Zeit aber alle zurück und machens dann doch immer öfter lieber selber.
Klar, Firmware ist mit die hardwarenahste Software die man sich vorstellen kann. Das heisst auch, das man dem Softwareentwickler exakte und sehr detailierte Hardwarespecs geben muss. Auch ist da dann meist Kommunikation zwischen den Hardware- und den Softwareentwicklern gefragt. Sowas also einfach mal mit "Pflichtenheft" nach Indien schicken und zu erwarten man kriege dann eine funktionierende Firmware zurück, geht sowieso in die Hose.
Desweiteren ist auch Firmware eine Software und wenn die "mal schnell" an Externe vergeben wird, hat man am Ende meist eine Firmwareversion "1.0" und da wirds auch nie ein Update geben, egal ob Bugs oder Sicherheitslücken drin sind.


Leichter gesagt als getan. Da wird nicht deutlich kommentiert "// Timebomb here" stehen
Selbst wenn man den Source hat, kann man das nicht einfach mal schnell überprüfen. Wenn man jemanden hat, der das sinnvoll überprüfen könnte, dann hat man auch jemanden der die Firmware machen könnte. :d

sondern es ist irgendwo in irgendeiner binary versteckt die aus validen Gründen kompiliert geliefert wird und noch eine Reihe sinnvoller Dinge tut usw.
Das ist dann aber maximal dämlich vom Auftraggeber. Ich hatte noch keinen einzigen Fall wo nicht der Sourcecode ausgeliefert wurde. Ganz im Gegenteil, steht in all unseren Verträgen sogar, das der Auftraggeber nicht nur den Sourcecode kriegt, sondern der Sourcecode auch in sein Eigentum übergeht.
 
Macht absolut gar keinen Sinn, da der Dienstleister ja weiterhin gerne mit der Firma zusammen gearbeitet hat ...
Laut news sporadisch, um keinen verdacht zu erregen. Ich bin in meinem alter langsam vorsichtig mit so aussagen wie "das kann nicht sein" oder "das ergibt keinen sinn"
 
Laut news sporadisch, um keinen verdacht zu erregen. Ich bin in meinem alter langsam vorsichtig mit so aussagen wie "das kann nicht sein" oder "das ergibt keinen sinn"
In "deinem Alter" solltest du eher vorsichtig sein Verbrechen durch Unmut zu rechtfertigen ...
 
Und wo hat Richard88 irgendwas gerechtfertigt?
 
In "deinem Alter" solltest du eher vorsichtig sein Verbrechen durch Unmut zu rechtfertigen ...
Und in deinem allter sollte man sinnbegreifen lesen können und den unterschied zwischen eine mögliche erklärung abgeben und rechtfertigen wissen. Und vor allem anderen nicht sofort etwas unterstellen wenn man auch nachfragen kann.

Aber wiedereinmal erwarte ich zu viel von einem internet forum
 
Ihr liegt alle Falsch!

In Wirklichkeit war das ein Test, bald kommt jede Soft und Hardware nur noch mit Zeitbombe, wenn es die neue version gibt drückt der Hersteller auf den "Red Button" und *ZACK* dürft Ihr neu kaufen. :d
Ein Traum geht für die Hersteller dann in Erfüllung!
 
Gab's doch schon bei Druckern und Fernsehern. Ist nichts neues.
 
Und in deinem allter sollte man sinnbegreifen lesen können und den unterschied zwischen eine mögliche erklärung abgeben und rechtfertigen wissen. Und vor allem anderen nicht sofort etwas unterstellen wenn man auch nachfragen kann.

Aber wiedereinmal erwarte ich zu viel von einem internet forum
Vielleicht ließt du deinen eigenen Post noch mal, in dem du tatsächlich versuchst das Verhalten zu rechtfertigen und den Dienstleister in Schutz nimmst ... Oder was genau soll das "gierigen" in Anführungszeichen sein?
 
Vielleicht ließt du deinen eigenen Post noch mal, in dem du tatsächlich versuchst das Verhalten zu rechtfertigen und den Dienstleister in Schutz nimmst ... Oder was genau soll das "gierigen" in Anführungszeichen sein?
Oioioi, bitte lies endlich. Ich habe nicht das opfer hier als gierig bezeichner, sonder den dienstleister, derjenige der angeblich diese software in injiziert hat. Ausserdem wurde er ja im statement des "opfers" als gierig bezeichnet. Ausserdem habe ich das gierig in "" gesetzt weil es sein könnte dass er als gierig bezeichner wird nur um diskreditiert zu werden. Deshalb halte ich mich mit einee unterstellu g zurrück und setze den wortlaut des unterstellers in anführungszeichen. Oder muss ich dir erklären warum man anführingszeichen verwendet.

Und eine mögliche ursache oder beweggrund zu nennen ist KEINE rechtfertigung.

"Der hersteller hat es verdient, wenn er seine leute nicht anständig bezahlt" siehst du, das wäre eine rechtfertigung, sogar mit anführungszeichen.
Soetwas kam von mir nicht. Also erst denken, dann posten.
Aber ich verlange wieder zu viel
 
Bitte bleibt bei den Fakten...

Ransomware in der Firmware:

Im Text steht dann aber...

Motivation hinter der Firmware-Zeitbombe soll wohl ein Erpressungsversuch sein. Forderungen gab es aber offenbar noch keine.

Also was denn nun? So ist es dann erneut nur Clickbait. Wie wäre es mit "vermeindlich" oder "Firmware mit Zeitbombe" etc pp.
 
Und wo hat Richard88 irgendwas gerechtfertigt?
Vielleicht nicht gerechtfertigt, ein Pauschalurteil hat er aber dort geäußert
Hört sich für mich nach rache an. Da hat wohl der "gierige" dienstleister wohl verlgsnt dass er wie vereinbart bezahlt wird, und sich so gerächt. Dies kommt ja leider dirchaus vor dass es einige firmen da nicht ernst nehmen.
indem er impliziert, dass der Auftraggeber wohl seinen Verpflichtungen nicht nachkgeommen ist (Bezahlung).

Ruhe! Entweder ihr löscht alles oder lässt es unkommentiert stehen. Halbe sachen mag ich nicht.
Alter! Du weißt aber schon, dass du hier in diesem Haus nur Gast bist, oder?
 
Artikel schrieb:
Der entsprechende Code befindet sich laut Orqa bereits einige Jahre im Bootloader, blieb bisher aber unentdeckt, was sicherlich auch die Frage aufwirft, warum hier nicht besser geprüft wurde.
Uff, das gibt einem ja viel vertrauen gegenüber den diversen Herstellern, wenn die nicht mal so etwas essenzielles überprüfen. :cautious:
Hier kommt die frage auf, wie viele andere noch betroffen sind, in anderer Hardware. :unsure:
Vor allem wenn die Schädlinge nicht so auffällig sind, die dazu da sind um Daten (Personenbezogene Daten, Onlinebanking, Zugangsdaten usw.) zu klauen... 😢
 
@Sinush

1. Ja da stimme ich dir zu ich hätte ein "für mich" nochmal einfügen sollen. So kann es durchaus missverstanden werden, vorallem wenn man es darauf anlegt *auf plitzkra schiel*.

2. Stimmt, aber der hausherr soll klartext machen, mit dem finger wedeln nutzt nichts.
 
Leichter gesagt als getan. Da wird nicht deutlich kommentiert "// Timebomb here" stehen sondern es ist irgendwo in irgendeiner binary versteckt die aus validen Gründen kompiliert geliefert wird und noch eine Reihe sinnvoller Dinge tut usw.
Ja, das ist schwierig, besonders wenn es fremdvergeben ist. Da wird wahrscheinlich keine(r) da sein, der/die es auf Richtigkeit kontrolliert. Da verliert man die inhaltliche Kontrolle. Es ist kein Problem nur Teile einer Schadsoftware in der Firmware zu implementieren, die dann unauffällig schlummert, bis ein kleines (unauffälliges) Zusatzprogramm als App von einem anderen Anbieter (Mittäter) die noch fehlenden Programmkomponenten zusammensetzt, was dann die Schadsoftware aktiviert und z.B. Sicherheitsmechanismen aushebelt, bevor sie überhaupt aktiv werden können. Wenn das alles stimmt, dann bin ich echt gespannt, ob es ein Netzwerk gibt, was diese Möglichkeit ausnutzt.
 
Am Ende wars eh nur ein Schreiberling der sich die Tür aufhalten wollte evtl. noch was raus quetschen zu können anstatt nur sein Gehalt.
Sowas klingt nicht nach einer Firma oder Organisation. Wahrscheinlich hat der das in seinen "freiwilligen" Überstunden mal kurz reingeklöppelt.

Bisschen großer Aufriss um sich hier deswegen auch noch zu streiten...
 
Kann auch nur ein (externer) Mitarbeiter der externen Firma gewesen sein.

Hardware wird unbrauchbar durch die Firmware, der Hersteller hat damit ein Problem. Um seine Geräte für die er ja Garantie leisten muss, wieder lauffähig zu kriegen, muss er Lösegeld zahlen.


Stimmt und kommt mittlerweile in genau solchen Fällen immer häufiger vor, weil die die solche Geräte "bauen" oft Hardwareentwickler sind, die oft aber halt keine Softwareexperten sind. Aber weil halt heutzutage nichtmehr alles in Hardware gegossen wird, sondern eben über eine Firmware gesteuert wird, brauchen die dann Externe, die so eine Firmware programmieren.

Das an Externe zu vergeben ist aber eine äussert ungünstige Entscheidung. Ich kenne viele Firmen die so angefangen haben, meist weil "man braucht ja nur "jetzt schnell" diese ein Firmware und dafür lohnt es sich nicht Softwareentwickler einzustellen", die rudern mit der Zeit aber alle zurück und machens dann doch immer öfter lieber selber.
Klar, Firmware ist mit die hardwarenahste Software die man sich vorstellen kann. Das heisst auch, das man dem Softwareentwickler exakte und sehr detailierte Hardwarespecs geben muss. Auch ist da dann meist Kommunikation zwischen den Hardware- und den Softwareentwicklern gefragt. Sowas also einfach mal mit "Pflichtenheft" nach Indien schicken und zu erwarten man kriege dann eine funktionierende Firmware zurück, geht sowieso in die Hose.
Desweiteren ist auch Firmware eine Software und wenn die "mal schnell" an Externe vergeben wird, hat man am Ende meist eine Firmwareversion "1.0" und da wirds auch nie ein Update geben, egal ob Bugs oder Sicherheitslücken drin sind.



Selbst wenn man den Source hat, kann man das nicht einfach mal schnell überprüfen. Wenn man jemanden hat, der das sinnvoll überprüfen könnte, dann hat man auch jemanden der die Firmware machen könnte. :d


Das ist dann aber maximal dämlich vom Auftraggeber. Ich hatte noch keinen einzigen Fall wo nicht der Sourcecode ausgeliefert wurde. Ganz im Gegenteil, steht in all unseren Verträgen sogar, das der Auftraggeber nicht nur den Sourcecode kriegt, sondern der Sourcecode auch in sein Eigentum übergeht.

Das Problem ist die Kette bei so etwas. Also selbst wenn es eine Deutsche Firma geben würde die sich auf Firmware spezialisiert, läuft das alles in den typischen Outsourcing Prozess.

Man bietet die Dienstleistung für einen vermeindlich sehr knapp kalkulierten Deutschen Marktpreis mit vermeindlicher Sicherheit ist ja ein Deutsches Unternehmen.

Jetzt geht der Dienstleister her und vergibt den Auftrag an eine Firma in Singapur/Taiwan die machen das für die hälfte und die vergeben den Auftrag weiter an eine Firma in Hongkong(China) oder Indien... und die arbeiten mit einer Firma in Afrika, Südamerika, Russland etc oder ein anderes weniger vertrauensvolles Land zusammen... usw.

Ich würde jetzt auch auf den ersten Blick denken na gut Singapur oder Taiwann sind ja moderne Staaten mit hohen Standards. In diesem Fall würde halt keiner die komplette Kette kontrolieren.
Und die QS, sind in der Deutschen GmbH ggf. 1-2 Entwicklern drin.
Diese sind vielleicht keine "Cracks" in ihrer Branche sind oder winken einfach durch, weil sie beim validieren nicht den Code genau prüfen sondern nur die Funktionen vom Kunden die gewünscht sind.

Die Codekette zurück zu verfolgen kann so schwieriger werden bis zur Unmöglichkeit.
 
Zuletzt bearbeitet:
Jetzt geht der Dienstleister her und vergibt den Auftrag an eine Firma in Singapur/Taiwan die machen das für die hälfte und die vergeben den Auftrag weiter an eine Firma in Hongkong(China) oder Indien... und die arbeiten mit einer Firma in Afrika, Südamerika, Russland etc oder ein anderes weniger vertrauensvolles Land zusammen... usw.
Das funktioniert nicht. Über so eine Kette ist keinerlei brauchbare Kommunikation mehr möglich.

Da kommt überhaupt nur was raus, wenn man meint man bräuchte keine Kommunikation, sondern knallt einmal eine Spec hin und am Ende fällt eine Firmware raus. Und genau das klappt so gut wie nie. Das klappt auch nicht wenn die Firmware komplett in Deutschland von deutschen Entwicklern programmiert werden würde. Da a liegt der Denkfehler eben schon daran, das es einfach so nach Pflichtenheft klappen würde.

Wir hatten das jetzt schon mehrfach, das wir Projekte nicht gekriegt haben, weil der Auftraggeber andere Dienstleister gefunden hat, die das in der halben Zeit und zum halben Preis machen. Zu 99% waren das dann irgendwelche Inder. Da "funktioniert" das genau so: Man schickt ein Pflichtenheft hin und nach x Wochen kriegt man eine "fertige" Software zurück. Und die Inder sind da tatsächlich sehr akkurat, du wirst jeden einzelnen Rechtschreibfehler vom Pflichtenheft auch exakt genauso in der Software finden. :d
Oder mal anders ausgedrückt: Wenn im Pflichtenheft steht, das ein Button 2x2px groß sein soll, dann setzen die das auch genauso um. Es ist denen vollkommen egal, das man so einen Button kaum sieht und auch kaum anklicken kann. Es steht so im Pflichtenheft, also wirds genau so gemacht.

3 Monate später kriegen wir wieder eine Anfrage, ob wir das Projekt nicht doch machen würden und wenn man dann nachfragt, wie es jetzt auf einmal dazu kommt heißts: Ja, sie haben festgestellt, das das so mit Indien nicht funktioniert. Sie haben zwar eine Software gekriegt, aber dann festgestellt, das die doch nix taugt unter anderem schon, weil man in der Software dann bemerkt hat, das diverse Konzepte aus dem Pflichtenheft doch nicht so ganz zu Ende gedacht waren.
Aus genau dem Grund nehmen wir auch grundsätzlich "Pflichtenheft"- oder Fixpreisprojekte gar nicht an, sondern bestehen auf laufende Kommunikation. Es klappt anders einfach nicht.

Am Ende hat der Auftraggeber dann Indien UND uns bezahlt und es hat alles doppelt so lange gedauert. :d

Das soll keine Werbung für speziell meinen Arbeitgeber sein, sondern ganz ähnliche Geschichten höre ich auch aus allen Ecken von Freunden und Bekannten, die auch in der Softwareentwicklung tätig sind.
 
Zuletzt bearbeitet:
Das funktioniert nicht. Über so eine Kette ist keinerlei brauchbare Kommunikation mehr möglich.

Da kommt überhaupt nur was raus, wenn man meint man bräuchte keine Kommunikation, sondern knallt einmal eine Spec hin und am Ende fällt eine Firmware raus. Und genau das klappt so gut wie nie. Das klappt auch nicht wenn die Firmware komplett in Deutschland von deutschen Entwicklern programmiert werden würde. Da a liegt der Denkfehler eben schon daran, das es einfach so nach Pflichtenheft klappen würde.

Wir hatten das jetzt schon mehrfach, das wir Projekte nicht gekriegt haben, weil der Auftraggeber andere Dienstleister gefunden hat, die das in der halben Zeit und zum halben Preis machen. Zu 99% waren das dann irgendwelche Inder. Da "funktioniert" das genau so: Man schickt ein Pflichtenheft hin und nach x Wochen kriegt man eine "fertige" Software zurück. Und die Inder sind da tatsächlich sehr akkurat, du wirst jeden einzelnen Rechtschreibfehler vom Pflichtenheft auch exakt genauso in der Software finden. :d
Oder mal anders ausgedrückt: Wenn im Pflichtenheft steht, das ein Button 2x2px groß sein soll, dann setzen die das auch genauso um. Es ist denen vollkommen egal, das man so einen Button kaum sieht und auch kaum anklicken kann. Es steht so im Pflichtenheft, also wirds genau so gemacht.

3 Monate später kriegen wir wieder eine Anfrage, ob wir das Projekt nicht doch machen würden und wenn man dann nachfragt, wie es jetzt auf einmal dazu kommt heißts: Ja, sie haben festgestellt, das das so mit Indien nicht funktioniert. Sie haben zwar eine Software gekriegt, aber dann festgestellt, das die doch nix taugt unter anderem schon, weil man in der Software dann bemerkt hat, das diverse Konzepte aus dem Pflichtenheft doch nicht so ganz zu Ende gedacht waren.
Aus genau dem Grund nehmen wir auch grundsätzlich "Pflichtenheft"- oder Fixpreisprojekte gar nicht an, sondern bestehen auf laufende Kommunikation. Es klappt anders einfach nicht.

Am Ende hat der Auftraggeber dann Indien UND uns bezahlt und es hat alles doppelt so lange gedauert. :d

Das soll keine Werbung für speziell meinen Arbeitgeber sein, sondern ganz ähnliche Geschichten höre ich auch aus allen Ecken von Freunden und Bekannten, die auch in der Softwareentwicklung tätig sind.
Das Problem hast du nicht nur in Indien, wir arbeiten mit Indonesien als Industrieller zusammen.
1:1 das gleiche, da wird nicht nach gesundem Menschenverstand analysiert und nachbessert wenn etwas augenscheinlich nicht stimmt sondern konstant "quasi Müll" produziert.
Ein einfaches Beispiel: ein Programm was in DE für einen Roboter geschrieben wurde, funktioniert in Asien nicht out of the box weil Parameter auf andere Bedingungen treffen (Ausgangsposition, der Stand ist nicht 100% eben etc.)
Meinst du die schauen sich das an oder passen das logisch an?

Nach dem Motto:
"Du hast gesagt ich soll das Auto auf dem Hügel parken, aber du hast nicht gesagt ich soll die Handbremse ziehen" ... wo hast du den Führerschein gemacht? ....
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh