IT-True-Crime: Blinkenlights aus der Hölle
Inhalt
True Crime ist gerade in allen Medien der Renner. Manche von euch brauchen aber keine Serie und keinen Podcast, denn sie haben ihre Jobs. IT-Spezialisten müssen oft knifflige Fälle lösen und Tätern auf die Spur kommen. Wir haben euch nach euren True Crimes gefragt – hier sind eure Geschichten!
Hier kommen eure persönlichen Krimis:
➤ Ich habe eine Telefonanlage für einen Kunden eingerichtet. Je nach Situation nutze ich die lokale Appliance des Anbieters, manchmal aber auch ein Proxmox-System mit einer VM dieser Appliance. Diesmal war es ein Proxmox-System. Der Kunde beschwerte sich dreimal, dass das System morgens nicht mehr funktioniert habe. Der Proxmox-Host war verfügbar, aber die VM stürzte jedes Mal zwischen 01:00 und 01:15 ab, obwohl in dieser Zeit nichts Ungewöhnliches passiert. Im Log stand nichts: kein Speichermangel, keine dmesg-Log-Einträge. Die VM war nicht mehr pingbar, zeigte kein Konsolenfenster mehr an, lief aber angeblich noch. Sehr untypisch war das alles – und für mich offensichtlich kein Hardwareproblem, weil Proxmox ja noch lief.
Um dem Kunden zu helfen, programmierte ich ein Bashskript, das ich alle sechs Minuten ausführte. Es pingt die VM und wenn nichts zurückkommt, wird drei Minuten später erneut ein Ping versucht. Kommt auch da keine Antwort, wird die VM hart neugestartet und ein Log-Eintrag erstellt. Den Log-Eintrag und den Neustart testete ich, indem ich die zu pingende Adresse auf eine nicht existente Adresse im Netz änderte. Alles lief, wie es sollte. Also schaltete ich scharf.
Es passierte: nichts! Kein Kunde mehr, der mich diesbezüglich anrief, kein Log-Eintrag. Ein halbes Jahr später entdeckte ich das Konstrukt zufällig bei Wartungsarbeiten und nahm den Cronjob heraus. Lief ja jetzt alles. Zwei Tage später rief der Kunde jedoch wieder an: Die Anlage lief nicht.
Das Konstrukt läuft bis heute so. Ich habe es nicht mehr angefasst. Ein Ping alle sechs Minuten auf das Interface hält die Maschine am Leben – und ich weiß nicht warum.
➤ Weil wir über Scans im Internet ein IoT-Gerät mit horrenden Schwachstellen entdeckt hatten, sollte ich als Security Analyst bei einem Telekommunikationsunternehmen herausfinden, wem das Gerät gehört, weil es in unserem Zuständigkeitsbereich online war. Das Gerät, über LTE angebunden, war wegen Carrier Grade Nat und schwieriger Datenlage nicht eindeutig einem Kunden zuzuordnen, allerdings war auf dem Gerät public eine MQTT-Web-UI verfügbar. Die UI deutete aufgrund der verfügbaren Daten an, dass es sich um eine Wetterstation handeln musste.
Mit dem dort ersichtlichen Modelltyp und Hostnamen konnte ich über die Unternehmens-Social-Media-Plattform einen Beitrag finden, der ein baugleiches Gerät auf einem Foto darstellte und damit auch einen Hinweis auf den Geo-Standort gab. Diese Info, in Kombination mit Google-Street-View-Aufnahmen, führten zur erfolgreichen Kundenzuordnung und Behebung der Schwachstellen.