Abo
  • Services:

Ein näherer Blick auf die Partitionen

Die erste Partition wird hier Resin-Boot genannt. Sehen Sie etwas, das Ihnen ins Auge fällt? Es gibt eine Config-Datei config.json. Ein schneller Jackpot? Wir können durch diese Datei Folgendes herausfinden:

Stellenmarkt
  1. Marienhaus Dienstleistungen GmbH, Saarlouis, Losheim am See
  2. über duerenhoff GmbH, Raum Augsburg

1. Die Applikation, die auf diesem Resin-Device eingesetzt wird, hat den Namen logger. Das ist schon mal kein gutes Zeichen.
2. Wir haben einen Benutzernamen. Es scheint sich dabei um den Benutzernamen des Resin-Benutzerkontos zu handeln, das mit diesem Gerät verbunden ist.
3. Die Nutzung eines VPNs durch Port 443 ist bestätigt.
4. Ein Datum der ersten Verwendung. Es wurde am 13. Mai 2018 zum ersten Mal verwendet (oder eingebaut bzw. eingeschaltet).

Über den Benutzernamen

Durch das Googeln des Benutzernamens aus der Config-Datei fand ich heraus, dass User und Raspberry Pi in derselben Stadt agieren. Die Firma hatte über den User keine Informationen. Lustigerweise fand ich eine Website aus dem Jahr 2001, auf der Eltern Artikel über ihre "begabten Kinder" veröffentlichen. Dort erkannte ich den Usernamen wieder und fand Adressen und Telefonnummern des Users sowie seiner Familie. Der Username war natürlich nur ein Indiz und hätte auch von jemand anderem verwendet werden können - eine Spur war es trotzdem und ich behielt den Namen im Hinterkopf.

Die Resin-Daten

Das Datenverzeichnis hatte keine Daten in sich gespeichert, sondern eine Node.js-Applikation, welche gut versteckt war. Ich bin mir bis zum heutigen Tag nicht sicher, was diese genau macht. Sie scheint durch eine serielle Verbindung mit dem USB-Stick kommuniziert zu haben, aber ich konnte nicht herausfinden, welche Daten sie eigentlich gesammelt hat. Ich vermute, dass Bewegungsprofile von Bluetooth- und WLAN-Geräten im Umfeld (Büro des Geschäftsführers) oder vielleicht rohe Wi-Fi-Pakete gesammelt wurden.

  • Die Nachricht meines Kollegen mit dem rätselhaften Raspberry Pi (Bild: Christian Haschek)
  • Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)
  • GParted-Ansicht des Images (Bild: Christian Haschek)
  • Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)
  • Der Inhalt einer Partition (Bild: Christian Haschek)
  • Die Datei config.json auf der Resin-Bootpartition (Bild: Christian Haschek)
  • Screenshot einer Seite ähnlich der zur Recherche genutzten (Bild: Christian Haschek)
  • Die LICENSE.md-Datei (Bild: Christian Haschek)
  • Die SSID, die zum Setup genutzt wurde (Bild: Christian Haschek)
  • Wigle.net zeigt die dazugehörige Adresse an - hier ist nicht die echte Adresse zu sehen. (Bild: Christian Haschek)
Die Datei config.json auf der Resin-Bootpartition (Bild: Christian Haschek)

Aber ich habe noch etwas Interessanteres gefunden: Eine LICENSE.md-Datei. Komisch ... Warum sollte eine Nodejs-App eine geheime Software inkludieren? Also suchte ich den Firmennamen und wer hätte es erwartet? Der Typ, dessen Benutzernamen ich in der Config-Datei gefunden habe, ist Miteigentümer der Firma. Ich habe keine Ahnung, warum ein Miteigentümer einer Firma solche Geräte in der Stadt verteilen würde, aber ok ...

Die Heimatadresse des Angreifers

Eine andere sehr interessante Sache, die ich auf der dritten Partition (resin-state) gefunden habe, war eine Datei unter dem Dateipfad /root-overlay/etc/NetworkManager/system-connections/. Die Datei hatte den Namen resin-wifi-01, und dreimal dürfen Sie raten, was sie beinhaltet? Sie beinhaltet die WLAN-Referenzen des WLANs, das benutzt wurde, um das Gerät aufzusetzen (oder zu testen). Eindeutig handelt es sich hier nämlich nicht um das WLAN der Firma.

Und was tun wir jetzt, um den Ort finden, der mit dem WLAN-Namen verknüpft ist? Wir gehen auf wigle.net, geben die SSID ein und der Service sagt uns genau, wo dieses zu finden ist. Und raten Sie mal, was herausgekommen ist? Die Adresse, die ich auf der Website über "begabte Kinder" gefunden habe, war dieselbe Adresse, unter der laut Wigle.net das Raspberry Pi aufgesetzt wurde!

Die Nachwirkungen

Wie und wann ist das Pi überhaupt dorthin gekommen? Ich habe die DNS-Logs durchsucht und konnte herausfinden, wann das Pi dort zum ersten Mal im Netzwerk aufgetaucht ist. Außerdem überprüfte ich die Radius-Logs, um herauszufinden, welcher Mitarbeiter an dem Tag am Firmengelände war und sah überraschenderweise, dass sich ein deaktivierter Account ins WLAN einloggen wollte.

  • Die Nachricht meines Kollegen mit dem rätselhaften Raspberry Pi (Bild: Christian Haschek)
  • Der USB-Dongle mit SD-Karte (Bild: Christian Haschek)
  • GParted-Ansicht des Images (Bild: Christian Haschek)
  • Die Resin-Partitionen auf der SD-Karte (Bild: Christian Haschek)
  • Der Inhalt einer Partition (Bild: Christian Haschek)
  • Die Datei config.json auf der Resin-Bootpartition (Bild: Christian Haschek)
  • Screenshot einer Seite ähnlich der zur Recherche genutzten (Bild: Christian Haschek)
  • Die LICENSE.md-Datei (Bild: Christian Haschek)
  • Die SSID, die zum Setup genutzt wurde (Bild: Christian Haschek)
  • Wigle.net zeigt die dazugehörige Adresse an - hier ist nicht die echte Adresse zu sehen. (Bild: Christian Haschek)
Wigle.net zeigt die dazugehörige Adresse an - hier ist nicht die echte Adresse zu sehen. (Bild: Christian Haschek)

Dieser Account gehörte einem ehemaligen Angestellten, der mit der Geschäftsleitung vereinbart hatte, den Schlüssel noch über mehrere Monate zu behalten, um persönliche Gegenstände aus dem Gebäude zu holen (fragen Sie gar nicht erst ...).

Was hat das Gerät eigentlich gemacht?

Bei der Befragung des ehemaligen Mitarbeiters wurde beteuert, es habe sich um ein Gerät gehandelt, welches die Qualität des WLANs permanent misst, damit Probleme mit dem Empfang einfacher gelöst werden können. Auf die Frage, warum er uns in den über sechs Monaten nichts von dem Gerät erzählt hat, wenn er es für uns eingerichtet hat, bekamen wir keine Antwort.

Weiter meinte er zunächst, dass er uns die gesammelten Daten, die ja jetzt auf Balena.io lagen, selbstverständlich übermitteln werde. In späteren E-Mails hat er das wieder verneint und meinte zuerst, dass das Gerät alle Daten lokal gespeichert hat - was ich widerlegen konnte - und später, dass es gar keine Daten gesammelt hat.

In einer späteren Konversation meinte er dann, dass er diese Geräte auch in einer anderen Firma einsetzt, um Bewegungsdaten von Personen aufzuzeichnen. Sehr widersprüchliche Aussagen insgesamt.

Wie hat es geendet?

Die Rechtsabteilung wird den Fall jetzt weiter bearbeiten, ich tat, was ich konnte. Der Rest liegt über meiner Gehaltsstufe. Für mich stellte sich diese ganze Situation als eine nette Herausforderung dar und ich möchte mich ganz herzlich bei allen Personen und natürlich auch der Reddit-Community für die Hilfe bei der Lösung dieses Rätsels bedanken.

Dieser Artikel ist zuerst in einer englischsprachigen Version auf dieser Webseite erschienen.

 Raspberry Pi: Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 8 für 379€ statt 403,95€ im Vergleich)
  2. 54€
  3. (aktuell u. a. Corsair GLAIVE RGB als neuwertiger Outlet-Artikel für 34,99€ + Versand statt ca...

Bigfoo29 05. Mär 2019 / Themenstart

In Deutschland und vielen Ländern Europas ja. International: Nein. Ich kann nicht sagen...

jones1024 26. Feb 2019 / Themenstart

von Clifford Stoll solltet ihr mal lesen. Ihr werdet nicht mehr aufhören.

nixidee 24. Feb 2019 / Themenstart

Da war wohl jemand zu geizig für eine Datenwiederherstellung.

StefanGrossmann 24. Feb 2019 / Themenstart

Es steht doch im Text. Der ehemalige Mitarbeiter hat damit die Qualität des Netzwerkes...

Sarkastius 22. Feb 2019 / Themenstart

klingt sehr nach Boadcast Storm :-D

Kommentieren


Folgen Sie uns
       


Sechs Bluetooth-Hörstöpsel im Test

Wir haben sechs neue Bluetooth-Hörstöpsel getestet. Mit dabei sind Modelle von Sennheiser, Audio Technica, Master & Dynamic sowie HMD Global. Aber auch zwei Modelle kleinerer Startups sind vertreten. Und eines davon hat uns bezüglich der Akkulaufzeit sehr überrascht. Kein anderer von uns getesteter Bluetooth-Hörstöpsel hat bisher eine vergleichbar lange Akkulaufzeit zu bieten - wir kamen auf Werte von bis zu 11,5 Stunden statt der sonst üblichen drei bis fünf Stunden.

Sechs Bluetooth-Hörstöpsel im Test Video aufrufen
Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. Datenschutz Facebook speicherte Millionen Passwörter im Klartext
  2. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  3. Webauthn Standard für passwortloses Anmelden verabschiedet

Pauschallizenzen: CDU will ihre eigenen Uploadfilter verhindern
Pauschallizenzen
CDU will ihre eigenen Uploadfilter verhindern

Absurder Vorschlag aus der CDU: Anstatt die Urheberrechtsreform auf EU-Ebene zu verändern oder zu stoppen, soll nun der "Mist" von Axel Voss in Deutschland völlig umgekrempelt werden. Nur "pures Wahlkampfgetöse" vor den Europawahlen, wie die Opposition meint?
Eine Analyse von Friedhelm Greis

  1. Europawahlen Facebook will mit dpa Falschnachrichten bekämpfen
  2. Urheberrecht Europas IT-Firmen und Bibliotheken gegen Uploadfilter
  3. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform

    •  /