[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

[qwertz.asdfgh]

Aber es ist wohl so, dass meine Daten ziemlich früh geklaut, jedoch erst jetzt zum "Einsatz" kamen.

Interessieren würde mich mal in diesem Zusammenhang ob die Fernwartung eingeschaltet war (und wenn ja auf dem Standardport oder einem anderen) oder nicht. Z.B. wäre es ja interessant zu erfahren ob die Sicherheitslücke, wie ursprünglich von hph/heise veröffentlicht, auch schon von Kriminellen per XSRF ausgenutzt wurde (was bis jetzt verneint wurde) und/oder auch alternative Ports gescannt wurden.

Wie wir ja mittlerweile wissen ist es relativ einfach gewesen an die komplette Konfiguration samt Passwörter per allcfgconv (z.B. mit einer einzigen wget Anfrage, dabei wurde ja nichts an der Konfiguration der FritzBox verändert und im Log dürfte der Angriff auch nicht auftauchen) zu gelangen während es sicherlich nicht so einfach war/ist all die gewonnenen Informationen gleich zum "Geld generieren" zu verwenden. Daher sicherlich auch die tw. enorme zeitliche Verzögerung, was auch dafür spricht das jede Menge "Informationen" gewonnen wurden (von daher ist der Hinweis die Passwörter zu ändern wirklich Ernst zu nehmen)...

Ich hoffe auch, aber:
Sicher ist nur, dass nichts sicher ist :doktor:

So gesehen müsst man eigentlich auch ein Recovery durchführen, theoretisch wäre ja auch eine Manipulation der FritzBox denkbar die ein einfaches Firmwareupdate übersteht... :?

 

[koyaanisqatsi]

Stimme zu und möchte ergänzen: "So gesehen müsst man eigentlich auch ein Recovery durchführen,"
...und keine gesicherten Einstellungen laden (Exportdatei), sondern manuell oder via Startcode einrichten.

 

[RalfFriedl]

während es sicherlich nicht so einfach war/ist all die gewonnenen Informationen gleich zum "Geld generieren" zu verwenden. Daher sicherlich auch die tw. enorme zeitliche Verzögerung, was auch dafür spricht das jede Menge "Informationen" gewonnen wurden

Es ist durchaus einfach, die Informationen zu nutzen. Ich glaube nicht, dass ja jemand mehrere Monate lang überlegt hat, wie man mit den Zugangsdaten zu Geld kommt. Wahrscheinlicher ist es, dass erst einmal unauffällig so viele Daten wie möglich gesammelt wurden, um diese dann möglichst gleichzeitig zu verwenden. Vielleicht gab es auch eine Gruppe von Angreifern, die schon losgeschlagen hat, was zum Entdecken der Lücke geführt hat. Eine andere versucht jetzt, was von dem, was sie gesammelt hat, noch funktioniert.

 

[Micha0815]

Dass die erbeuteten Accounts erst peu a peu eingesetzt werden, habe ich hier schon befürchtet.

Schaue ich mir diese Statistik an, wird mir Angst+Bange (Bei 1&1 wohl >90% AVM-Hardware im Einsatz ... Telekom? ... Congstar? ...).

Da kommen schon einige Millionen potenzielle Ausspähopfer zusammen!

Selbst wenn die Provider via TR069+Co die updates eingespielt haben, müssen die meisten Kunden die PWs (SIP-Accounts/DSL-Accounts selbstständig ändern!

-Einschub: Da das ja alles sooooo schnell und einfach geht? ... Als Congstar-Kunde? ... Ja was schwierig den Knopf "Vertragspasswort" zu finden, der sowohl für DSL alsauch SIP-Accuonts gültig! ... eine Änderung dauert ~5 Std. bis sie greift! ... Kostenlimit=Fehlanzeige ... Aktuelles Gesprächsaufkommen/-Gebühren=Fehlanzeige (Selbst der Support-Chat=keinen Einblick!) ... Auslandssperre=Fehlanzeige
-/Einschub

Wenn die Kriminellen schlau sind, drücken sie eher unbemerkt auf jeden erbeuteten Account nur ein paar € drauf, was in der Varianz einer üblichen Rechnung steht! ... Welcher Familenvadder, wenn die Monatsrechnung im ~Limit, durchforstet die EVNs?

Ein anderer Aspekt, der u.U. überhaupt nicht auffällt? Zwei vagabundierende SIP-Accounts innerhalb einer Flat-Rate werden paarweise eingesetz? (z.B. 1&1)? Kosten fallen für den Beklauten nicht an ... im EVN schaut man eher auf die Gebührenspalte als auf Uhrzeit und Datum!

Ok z.B. zwei sipgate.de-Basic-Accounts bringen dasselbe Ergebnis! ... Nur wenn Hochkriminelle da via VPN was auskungeln ... könnte es für den SIP-Accountinnhaber zu Erklärungsnöten führen?

Erstaunlich empfinde ich es -ohne dass mir jedwede Schadensfälle bekannt- trotzalledem, dass die schadensverursachenden Zielrufnummern fast ausschliesslich im Afrikanischen Kontinent landen? Die potenziellen Schadensverursacher könnten demnach vorwiegend aus derselben Region stammen -ICH BIN BEILEIBE ZU 0% RASSISTISCH VERANLAGT!!!-
Nur die wenigsten Familien haben Kontakte nach Afrika?

LG

OT-Nachtrag: Aus Vor-Voip-Zeiten und zu Studienzeiten ... unsre gelbe Telefonzelle vor dem Studentenwohnheim hatte mal nen Hänger=Umsonsttelefonieren übers Weekend ... Die ausländischen Kommolitonen standen Schlange :mrgreen:
In der Lokalpresse war im Nachgang was von ~3000 DM zu lesen ... JaJa die bözen 10 Centime-Stücke ... :mrgreen:

P.S.: Ich vergass zu erwähnen, dass ich einige Dellmont-PWs und Sipgate-Basics (mit Guthaben <10€) absichtlich nicht geändert habe! ... gingen deren Guthaben plötzlich gegen Null, wüsste ich Bescheid!

 

[sven@mainz]

Mal weitergesponnen und diese erbeuteten Accounts werden nicht gegen Geld sonder für kriminelle Dinge genutzt und es steht eines Tages die SEK vor der Tür um einen Terroristen festzunehmen. Würde sicherlich einige Erklärungsnot mit sich bringen, insbesondere, wenn die Telefonate über die Box geführt werden, was ja immer noch möglich ist, wenn der angelegte SIP-Account unentdeckt bleibt.

 

[koyaanisqatsi]

Ähnliches ist schon geschehen.
Deutsche Konvertiten planten einen Terroranschlag mit selbstgebauten Wassterstoffperoxidbomben.
Sie fuhren aber nur auf die Dörfer um über ungesicherte WLANs ihre "Botschaften" ins Internet zu laden.
Deutsche Terrorfahnder haben das aber (irgendwie) mitgekriegt.
Observiert, die explosive Flüssigkeit gegen was harmloses ausgetauscht und später festgenommen.
Geht sowas nicht auch gegen die Hacker? Wenn es schon so eine lückenlose Überwachung gibt?

 

[chilango79]

Deswegen argumentiere ich auch generell niemals den Standard zu belassen.
Mein Wlan hat einen von mir vergebenen Namen und Passwort, Mein Fernzugang hat einen anderen Port als vorgegeben. Eigentlich wollte ich auch noch die Mac-Adresse des Wlans ändern damit aus meiner Fritz!Box nach aussen ein Huawei oder Cisco wird.

Schon lange würde ich gern eine FB in einer Sandbox laufen haben und die Angriffe dahin umleiten.

Also es sieht nach aussen so aus als ob der Fernzugang gehackt werden kann. Der Angreifer wird aber auf eine Sandbox umgeleitet wo eine virtuelle FB sichtbar ist und kann da keinen Schaden anrichten.

Wenn ich mal gross bin und hacken kann ....

 

[koyaanisqatsi]

Eben, alleine das Ändern der Standardports (80,443,21 u.s.w.) auf was Anderes würde Platz machen für so einen Honeypot oder wie du meinst, Sandbox.

 

[chilango79]

Hmm. Ich hab hier einen 2. Raspberry sinnlos herumliegen. Aber wie baut man eine Sandbox?
Umleiten würde, denke ich über die Portweiterleitung funktionieren. Aber wie mache ich aus dem Raspberry eine Fritz!Box 7270 oder 7570 mit einem Logfile?

 

[kingbecher]

Würde es nicht gehen über den Raspberry Pi das Netzwerk weiterzuleiten auf eine Fritzbox per Lan A ?

Auf dem Raspberry Pi läuft dann irgendein Log Tool / Sniffer mit.

Ich verstehe den Sinn von deinem Vorhaben aber nicht

 

[chilango79]

Hmm. Bei automatisierten Einbrüchen macht es keinen Sinn.
Ich hab das generell mal so angedacht um mein System schützen zu können.

Vom Prinzip her, mein System wird angegriffen und der Angreifer tobt sich in einem Parallelsystem (Honeypot) aus im Glauben das er grad mein System gehackt hat. Der Angreifer verliert Zeit und ich bekomme hoffentlich schneller seinen Angriff mit als er das er auf einem Honeypot sitzt. Dann kann ich mein reales System schützen oder schlimmstenfalls abschalten.

Ist auch kein reales Vorhaben.

 

[kingbecher]

Ja eig eine gute Idee aber musste halt nur ein Script das einen Anmelde Vorgang bemerkt und Alarm gibt mit Uhrzeit und IP Adresse bauen.
Dann könnte man rückverfolgen von wo der Versuch kam.

Ich würde das gerne mal versuchen mit 500mb Mobilfunk und alten myfritz ob die drauf rein fallen.

Zurzeit kann ich das leider noch nicht ausprobieren.

 

[chilango79]

Da sind wir schon 2. Ich hab einfach keine Zeit zur Zeit.

Aber wir weichen vom Thema ab. Novize runzelt schon die Stirn.

 

[Simon.]

Ich hatte zur Zeit des Hacks noch keinen IP-Anschluss und bisher auch nur die Standard VOIP Nummern der Telekom in der FB, die sich alle mit [email protected] einrichten liessen. Sollte ich das Internet Passowrt jetzt auch ändern (lassen) oder besteht da kein Risiko?

 

[KunterBunter]

Mit deinen Internet-Zugangsdaten kann sich jeder andere an einem anderen Telekom-Anschluss anmelden. Er kann dann natürlich auch alle deine Rufnummern mit [email protected] einrichten.

 

[tim70]

Sofern diese Funktion automatisches Login atkiv ist.

Imho genügt ein DSL Anschluss aus um sich mit den Daten (Anschlusskennung, T-Onlinenummer etc) der Telekom einzuwählen.

 

[KunterBunter]

Tatsächlich ist ein DSL-Anschluss an einer Leitung der Telekom notwendig, um sich mit Anschlusskennung, T-Onlinenummer und Kennwort anzumelden.

Bitte lösche das Vollzitat!

 

[SF1975]

Hallo,
Sollte auch mit allen 1&1-Kennungen möglich sein, die über die Telekom geroutet werden.

 

[derneueFritz]

ich habe erst wieder Vertrauen in den Zugang der Fritzboxen, wenn das gesamte Konzept geändert wurde, z.B. 7.0 und dann laufende Änderungen. Ein Ausruhen gibt es da nicht.
Beim Firefox ist das Konzept so. Ist zwar nicht so schön für die vielen schönen Addons und die Updaterei nervt manchmal aber auch 'andere' Programmierer kommen nicht hinterher.

 

[SF1975]

Hallo,
Wie schon oft erwähnt: Sicher ist nur, dass nichts sicher ist :meinemei: