Kriminelle hacken DSL-Router

momo · 24 Jan 2008

http://www.focus.de/digital/computer/neue-pc-gefahr_aid_234859.html

Zitat:
Im Fall der mexikanischen Attacke hatten die Angreifer besonders leichtes Spiel: der genutzte Router-Typ war ungesichert – für die Änderung der Internetoptionen war nicht einmal ein Passwort nötig.......
Wenn man Universal Plug and Play nicht wirklich braucht, sollte man die Funktion im Router abschalten“, ..........

--------------------

Ich möche mal wissen was für ein mexikanischer Router das war.

Ist so was auch mit der fritzbox möglich ??

Ich denke so an die Schnellinstalation ( Ersteinrichtung ) bei 1und1 mit der fritzbox .

RalfFriedl · 24 Jan 2008

Nur anhand der verwendeten Sicherheitszertifikate, wie sie beispeilsweise in Deutschland anders als in Lateinamerika gebräuchlich sind, kann man eine Manipuation bemerken. Aber auch diese Hürde ist für Kriminelle auf Dauer überwindbar.

Dafür verwndet man ja auch SSL bzw. https, damit das nicht passieren kann. Und "auf Dauer überwindbar" heißt nach dem aktuellen Stand der Technik eher Jahrzehnte bis Jahrhunderte als mal eben.

Die Einrichtung der Box funktioniert übrigens so, daß die Box die Konfiguration abruft und nicht, daß sie sie zugeschickt bekommt. Und offenes WLAN hat die Box in der Standardkonfiguration auch nicht.

Andererseits sollte man UPnP trotzdem abschalten, wenn man es nicht braucht.

sven@mainz · 25 Jan 2008

Nun, mit UPnp und SSL hat das nicht viel zu tun, die schicken einen Link in der Art http://192.168.178.1/skmeiwe/sjds/./. usw. also einen internen Link auf eine Routerfunktion, die bestimmte Dinge freischaltet und den Router manipuliert, also im Prinzip über die Schiene social networking.

RalfFriedl · 25 Jan 2008

Die "Sicherheitszertifikate" im zitierten Text beziehen sich auf SSL. Wenn dort die Banken kein SSL verwenden, ist das schon schwach. SSL an sich ohne konkrete Hinweise als unsicher zu bezeichnen, macht aber auch keinen glaubwürdigen Eindruck.

Und wenn die Router mit dem Aufruf einer URL ohne Paßwort umkonfiguriert werden können, ist das schon sehr unsicher. Es ist auch möglich, den Aufruf einer URL zu automatisieren.

Wenn ich zum Beispiel hier ein Bild einsetzen würde ([NOPARSE]<img src="http://fritz.box/open/firewall/>[/NOPARSE]), dann würde diese URL aufgerufen, ohne daß Du dafür irgend etwas tun müßtest. Das würde ich dannauch nicht mehr "social engineering" nennen.

simfes · 25 Jan 2008

Habe das ganze inzwischen mal versucht nachzustellen, hänge aber in einem Punkt hinterher:

Betreibe ich meine Fritz!Box(en) unter Verwendung eines PWs, ist die ganze Geschichte per se schon mal hinfällig.

Ok, ich weiß jetzt nicht, wie es allgemein so aussieht, aber meine Boxen sind je mit einzelnen und unterschiedlichen Passwörtern geschützt (leider, da somit auch Direktlinks in die Box nicht funktionieren).

Wie sieht es aus, wenn das PW bspw. durch Unachtsamkeit oder auch durchaus bewusst im Browser oder einem entsprechenden Tool hinterlegt wäre? Die Konfigurationsoberfläche der Router wäre aber doch in jedem Falle erstmal auf dem Schirm, oder?

Ist inzwischen eigentlich bekannt, um welchen Router es sich handelt?

sven@mainz · 25 Jan 2008

Bei Heise steht ein bißchen mehr drin:

...Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren...

RalfFriedl · 25 Jan 2008

Mir ist nicht bekannt, daß man einfach mit http://fritz.box/open/firewall/ oder etwas vergleichbarem die Konfiguration der Box ändern könnte.

Wenn aber das Paßwort bekannt ist und JavaScript aktiv ist, ließe sich vermutlich etwas machen.

simfes · 30 Jan 2008

Hallo,

in der Sache hat AVM übrigens recht schnell reagiert und hier eine Seite als Reaktion auf die Berichte eingestellt.

Es reicht demnach wohl wirklich aus, ein simples PW zu vergeben und zumindest den Automatismus damit wieder zu entschärfen.

sven@mainz · 31 Jan 2008

Ja sicher, diese ganzen Links gehen nur, wenn man:

1.) kein Paßwort im Router vergeben hat oder
2.) man im Router eingeloggt ist und
3.) man nicht auf jeden Link klickt.

Beides ist eigentlich problemlos zu verhindern. Und da die Fritzbox eh nach ca. 5 min die Session beendet ist die Gefahr, wenn man sich nicht korrekt ausloggt auch sehr gering.

Micha0815 · 9 Apr 2009

Ich bin gerade über Diesen Artikel gestolpert.

Der letzte Satz im 1. Abschnitt macht mich stutzig.

Reicht ein gutes Passwort und 5 Min. "Pause" wirklich hinreichend?

LG

doc456 · 9 Apr 2009

Ooooch, das wird doch hier schon diskutiert, wo denn noch überall?

BtW, wären dann schon Millionen Router gehackt worden und die BOT-Nets wären um Faktor x größer...

Clemens · 9 Apr 2009

doc456 schrieb:
Ooooch, das wird doch hier schon diskutiert, wo denn noch überall?

Lassen wir die Diskussion dort weitergehen, egal welcher Thread nun früher angefangen hat.
Hauptsache es ist ist nicht doppelt, darum mache ich hier zu.

Languages

Suche

Languages

Suche

Kriminelle hacken DSL-Router

momo

Neuer User

RalfFriedl

IPPF-Urgestein

sven@mainz

Guest

RalfFriedl

IPPF-Urgestein

simfes

Mitglied

sven@mainz

Guest

RalfFriedl

IPPF-Urgestein

simfes

Mitglied

sven@mainz

Guest

Micha0815

IPPF-Promi

doc456

IPPF-Urgestein

Clemens

Aktives Mitglied

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums