<div dir="ltr"><div class="gmail_quote"><div dir="ltr"><div class="gmail_extra"><div class="gmail_extra">Liebe Community,</div><div class="gmail_extra"><br></div><div class="gmail_extra">Hier ein Update vom Vorstand und Forensik Team zum dzt. Status der Marvin Hack Situation.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Wir haben die letzten Wochen zusammen mit CERT.at die Forensik ein gutes Stück weiter gebracht. Durch verschiedene Backups und Snapshots die noch aus 2015 existierten konnten wir einige Access Logs sichern, welche sich mit der Grizzly Steppe Attacke decken. Auch konnte ein eingeschleustes PHP Script gefunden werden welches in weiterer Folge als der Angriffsvektor identifiziert wurde.</div><span class=""><div class="gmail_extra"><br></div><div class="gmail_extra">Desweiteren haben wir den Fall mit dem BMI (Cyber Security Center) bearbeitet und auch denen wurden die relevanten Log Daten zur Verfügung gestellt.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Die guten Nachrichten sind das wir uns mit hoher Wahrscheinlichkeit sicher sein können das keine Daten entwendet wurden. Da es sich um ein Script mit spezifischem Command und Control Zweck gehandelt hat lag es den Betreibern wohl daran so wenig als möglich aufzufallen. Daher dürften diese auch davon abgesehen haben am System selbst, abgesehen von Weiterleitung von Command and Control Payloads, was gemacht zu haben. Wir können das zwar nicht zu 100% garantieren aber es ist relativ unwahrscheinlich und die Kollegen von CERT.at und BMI sehen das gleich.</div><div class="gmail_extra"><br></div></span><div class="gmail_extra">Nun - was haben wir daraus gelernt? Im Vorstand sind wir uns einig das wir beim Betrieb strikter agieren werden müssen. Was viele von uns ohnehin schon länger gewusst haben wurde durch diesen Fall noch klarer. Das Internet ist nunmal leider nicht mehr wie es vor 10 Jahren mal war. Daher müssen wir schauen das wir die Services die wir betreiben entsprechend anpassen. Ich werde in den nächsten Wochen hierzu noch konkreter vorschlagen was wir uns vorstellen. Klar ist - einfach so weitermachen wie bisher können wir nicht, aber wir sollten auch nicht über die Stränge schlagen.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Unser besonderer Dank gilt allen die sich bei dieser Untersuchung beteiligt haben. Es hat sich hier wieder einmal der Kern des FunkFeuer Gedankens gezeigt. Die Community hat super Leute und kann tolles leisten wenn die Möglichkeiten dafür geschaffen werden.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Anbei findet ihr den abschliessenden Public Report vom Forensik Team mit einem FAQ das viele eurer Fragen beantworten sollte. Natürlich könnt ihr gerne weiterführende Fragen hier schicken.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Abschliessend sei noch gesagt - wir werden um die Services auf Vordermann zu bringen Leute brauchen die sich hier commiten wollen. Bitte überlegt euch das und meldet euch ggf. Eine Liste mit Services die Aufmerksamkeit brauchen kommt dann noch.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Liebe Grüsse,</div><div class="gmail_extra">Wolfgang (für den FunkFeuer Wien Vorstand)</div></div></div>
</div><br></div>