Push Service und Mail-Passwort

[pixelpusher2008]

Hi,

man kann ja mit der Fritz!Box nun das Ereignisprotokoll per Push Service verschicken lassen. Ich habe mal einen Packetmitschnitt der Box mitlaufen lassen als eine Mail über Push Service verschickt wurde. Da habe ich dann mittels Packetyzer gesehen, dass die Box das Mail-Passwort verschickt. Der String sah irgendwie nach simpler Base64-Codierung aus. Das wäre nicht sehr sicher, oder?
Wenn man bedenkt, dass manche DSL-Provider Mail-Passwort und DSL-Zugangspasswort zu einem Passwort vereinheitlichen, so wäre mal wieder Tor und Tür für alle geöffnet!?

Grüße
pP

 

[Kudde]

Moin, wohin verschickt die FBF denn das Passwort? Bestimmt zum Mail-Provider, genau wie du es machst, wenn du Mail abrufst. Wo ist also dein Problem für deine Panikmache?



Kudde

 

[pixelpusher2008]

Wenn man von einer MITM-Attacke absieht, wird das Mail-Passwort bei SMTP ohne Authentifizierung "plain" an den Mail-Server geschickt, sprich öffentlich und nicht verschlüsselt wie bei SSL.
Bei der SMTP-Auth ist es so wie ich beschrieben habe. Die Base64-Codierung ist entschlüsselbar, oder?
http://de.wikipedia.org/wiki/SMTP-Auth#Beispiel

So komme ich zum Schluß, lieber keinen Push Service benutzen, oder?

Panik will doch hier keiner machen, sondern nur Fragen stellen!
Ich denke die Sicherheitsdiskussion sollte weiter gehen, wenn man die heutigen Möglichkeiten von Kriminellen mitbekommt. Meine gesamte Kommunikation läuft inzwischen über die Netze und da habe ich keine Lust, dass jedes chinesische, russische oder amerikanisches Schlitzohr mich mal eben aushebelt.

 

[harley_no1]

Die Base64-Codierung ist entschlüsselbar, oder?
...
So komme ich zum Schluß, lieber keinen Push Service benutzen, oder?

Natürlich ist Base64 "entschlüsselbar". Es ist keine Verschlüsselung, sondern eine Kodierung (wie ASCII) und handelt sich damit lediglich um eine andere Darstellung von Zeichen (6Bit statt 7 oder 8 ). Der Algorithmus ist bekannt und auch recht einfach zu verstehen. Guckst Du z.B. hier: http://www.pruefziffernberechnung.de/B/Base64.shtml oder bei Wikipedia.

Allerdings kann man trotzdem beruhigt die Push-Funktion nutzen, wenn man einfach den Mailaccount des Providers nutzt, dann wird das Passwort nicht "nach außen" getragen, sondern bleibt im Netz des Providers.

Bei mir ist es sogar noch einfacher (T-Online). Ich muss für die Pushmail nicht mal ein Passwort eintragen, da es auch ohne funktioniert.

vg,
harley

 

[chked]

Du kannst dir ein spezielles "Push"-Konto einrichten, dann bleibt der Schaden im Falle des Falles begrenzt, oder such dir einen Provider, der noch ohne SMTP-Auth arbeitet, dank unseren fleissigen Viagra- und Rolex-Verkäufern dürfte das aber schwierig werden.

 

[buehmann]

Die nächste Möglichkeit wäre noch, einen SSL-Tunnel per Modifikation nachzurüsten und die Mail darüber zu verschicken; ich mache das mit Freetz und matrixtunnel (oder xrelayd oder stunnel).

Andreas

 

[DDD]

Mal ne Frage, weis jemand wie das Email Passwort auf der Fritz gespeichert ist? Im Klartext oder verschlüsselt?

Von meinem Email Account wurden nämlich gestern SMAP Mails verschicht an mein GMX Server Adressbuch. Das kann ja keine Sicherheitslücke/Virus/Trojaner auf meinem PC sein normal, oder? Ich benutze auch kein Outlook und co und Virenscanner sind immer an und aktuell. Abgesehen davon weis ich nicht wie ein lokaller Virus an das GMX Adressbuch kommen soll.

Habe halt 3 vermutungen:
- entweder mein GMX Kennwort wurde irgendwie gehackt
- der GMX Server wurde gehackt und mein Passwort entwendet
- Ich betreibe 7-8 FritzBoxen mit Pushmail mit diesem Account, und einer
hat sich dadrauf über wlan/remotessh eingehackt?!

 

[IhaveNoNick]

- Ich betreibe 7-8 FritzBoxen mit Pushmail mit diesem Account, und einer
hat sich dadrauf über wlan/remotessh eingehackt?!

hast nur Du die Kennwörter der Boxen.. (bzw. hast nur Du Zugriff auf die Boxen) ?

Wenn nein, ist kein großes Problem, die verschiedenen Kennwörter auszulesen..
(siehe auch hier: http://www.ip-phone-forum.de/showthread.php?t=120969)

Grüße, Klaus

 

[DDD]

Na ja was heisst kennwörter, erstmal sind die ja alle im Internet, also über WAN irgendwie erreichbar.
WLAN ist meistens an, oft mit WPA, manchmal mit WEP, wenn WEP, dann ist das Weboberflächenkennwort gesetzt, bzw wep wird nur aktiviert bei nutzung (selten)
Auf allen läuft ssh drauf über pseudoimage bis auf 2, da ist die Fernwartung von AVM aktiv.

WLAN Zugriffe habe ich gestern auf allen Boxen kontrolliert und nix verdächtiges gefunden. Fernzugriffe werden ja auch im Ereignisslog der Box gespeichert, da war eigentlich auch nix.

Edit:
http://faq.gmx.de/fachchinesisch/16.html
Hab hier grad mal was gefunden, ich logge mich oft bei GMX über http ein. Dann könnte ja jemand einfach
mein Login mitgesnifft haben?!

 

[Telefonmännchen]

...logge mich oft bei GMX über http ein. Dann könnte ja jemand einfach mein Login mitgesnifft haben?!

Wenn Du dieses über fremde, offene oder ähnlich unsichere Verbindungen (Hotspot, Internetcafe, Uni oder drahtlosen DSL-Ersatz) machst, dann schon. Das ist auch wirklich kein Problem den Traffic mitzuschneiden und entsprechend auszuwerten. Anleitung findet man ja genug im Net. Der Login ist auch bei GMX-Freeaccounts über https möglich. Nur bei den kostenpflichtigen Accounts bleibt die Verbindung danach auch https gesichert. Beim Freeaccount wird nach dem Login wieder zurück auf http geschaltet. Aber zumindest geht der Login gesichert raus. Eine andere Möglichkeit wäre auch noch ein Keylogger auf einem benutzten fremden Rechner.

Gruß Telefonmännchen

 

[DDD]

Ja das mit https habe ich auch schon rausgefunden. Ich gebe halt aus bequemlichkeit nur gmx.de ein und der Rest macht ja Firefox. So muss ich mir halt angewöhnen jedesmal über die Favoriten auf die GMX Webseite zu gehen.

Wie ist denn das bei PushMail der Fritzbox, die muss sich ja auch einloggen bei GMX wenn die dort was hinsendet, macht die das über SSL/TLS oder ungesichert?
Dann kann ich ja https nutzen wie ich will, wenn die Fritzboxen alle ungesichert mein Passwort rausschicken bringt mit auch https nix?!

 

[Telefonmännchen]

Die FritzBox versendet es unverschlüsselt. Daß jemand das Passwort auf diesem Wege abfängt ist natürlich nicht unmöglich, jedoch eher unwahrscheinlich. Das müßte er schon direkt bei Deinem DSL-Provider tun. Wenn man den kompletten Internetverkehr eines Kunden mitschneiden kann, ergeben sich ganz andere Möglichkeiten als das Passwort eines Mailaccounts. Ich denke mal, daß Dir das Passwort an anderer Stelle abhanden gekommen ist.

Das mit dem https ist auch eigentlich dann nur über fremde Netze notwendig. Und wenn Du keinen kostenpflichtigen Account hast, dann geht der Mailinhalt sowieso unverschlüsselt über die Leitung. Da ergeben sich ganz andere Möglichkeiten. Die Provider müssen sowieso die Technik eines gewissen Wolfgang S. einsetzen und die Schlapphüte werden kaum Dein Mailpasswort knacken müssen. Da haben sie sowieso Zugriff drauf. Das kriminelle Strukturen beim DSL-Provider vorhanden sind und Kundenverkehr mitschneiden halte ich zwar nicht für unmöglich, aber doch eher unwahrscheinlich. Darum dürfte das Passwort im Klartext beim Pushmail auch nicht unbedingt problematisch sein. Am besten man benutzt dafür den Mailaccount seines Providers, dann muß die Mail bis zum Server nicht über Fremdnetze geroutet werden und man hat eine Angriffstelle weniger.

Gruß Telefonmännchen

 

[DDD]

Also das einzige fremde Netz das ich kenne ist das von unserer Firma das lan.

Mittlerweile hat auch GMX geantwortet, die sagen:

In diesem Fall war die Adresse allerdings gefälscht. Es handelt sich bei
der Absenderadresse, um eine fremde Adresse oder sogar um Ihre eigene
E-Mail-Adresse. Diese E-Mail wurde auch nicht über die GMX Systeme
verschickt.

Was ich aber nicht glaube, denn der Header der Mail sieht so aus:

Return-Path: <meine [email protected]>
Received: (qmail 9161 invoked by uid 0); 3 Dec 2008 17:27:17 -0000
Received: from 117.32.69.232 by www099.gmx.net with HTTP;
 Wed, 03 Dec 2008 18:27:16 +0100 (CET)
Content-Type: text/plain; charset="utf-8"
Date: Wed, 03 Dec 2008 18:27:16 +0100
From: meine [email protected]
Message-ID: <[email protected]>
MIME-Version: 1.0
Subject: A Christmas greeting to cheer you, my dear friend ! 
To: "Dirk"...
X-Authenticated: Meine GMX Kundennumemr
X-Flags: 0001
X-Mailer: WWW-Mail 6100 (Global Message Exchange)
X-Priority: 3
X-Provags-ID: XXX
Content-Transfer-Encoding: 8bit
X-GMX-UID: R/YEeOlZIydmbPdBS2drTZJSa2FkZhUE
X-GMX-Antivirus: 0 (no virus found)
X-FuHaFi: 0.75

Erraten kann er das Passwort nicht haben, denn das ist kein einfaches und bei GMX gibts ja Sperren
dafür. Also muss er das irgendwie irgendwo rausbekommen haben.

Die IP von der es versendet wurde gehört zur Telecom China, laut http://ipnr.rehbein.net/

 

[superpapa]

Naja, eigentlich kann ich mir nicht vorstellen, dass GMX in China sitzt.
Die IP 117.32.69.232 liegt laut http://ip2location.com/free.asp in China. Diese IP ist bei der Lokalisierung von Spammern interessant. Ich bekomme Post aus China, Indien, Brasilien - wo man mich überall so kennt? Auf meiner Homepage (mit catch-all-account) ohne irgendeine Angabe einer E-Mail-Adresse im Klartext erhalte ich an die sinnlosesten Namen diese Post: root, info, contact, kontakt, ontakt und so weiter. Hilfe erscheint mir nicht in Sicht, catch-all abschalten erscheint mir auch kontraproduktiv, da sonst die Bounces durchs Netz fliegen.
Gruß
Michael

 

[DDD]

Das hab ich GMX auch geantwortet, mal sehen was zurückkommt

 

[astrolux]

Ich würde mich erstmal nicht auf "den Chinese" (117.32.69.232) "einschießen". Der gesamte Header (ist es wirklich der komplette Header?) sieht danach aus, dass gefälscht wurde, was man nur fälschen kann. Kein chinesischer Server nimmt nach mitteleuropäischer Zeit an

Received: from 117.32.69.232 by www099.gmx.net with HTTP;
Wed, 03 Dec 2008 18:27:16 +0100 (CET)

und die Mail wurde auch nicht mit einem Mail-Client, sondern per GMX-Web Frontend geschickt.

X-Mailer: WWW-Mail 6100 (Global Message Exchange)

 

[DDD]

Der Header ist komplett, ich habe natürlich ein paar persönliche Sachen rausgelöscht.

Ich hab ja auch nicht behauptet dass irgendein Chinesischer Server was damit zu tun hat, mir ist auch klar dass die Mail über das GMX Frontend verschickt wurde, denn sonst würde es mich wundern woher die mein GMX Mail Adressbuch haben.
Aber die Mail wurde wohl von dieser IP durch den Browser aus verschickt, wenn ich das richtig deute, und die IP stammt wohl aus dem Chinesischen Bereich.

Das whois auf die Webseite die in der Email beworben wurde deutet auch auf China:

Domain name: 21st-trader.com

Registrant Contact:
Zhao Shenqiang
Shenqiang Zhao [email protected]
+86.1087613113 fax: +86.1087613113
Beijingshi chaoyangqu wangjingkejiyuanqu22hao
beijing Beijing 100000
cn

Administrative Contact:
Shenqiang Zhao [email protected]
+86.1087613113 fax: +86.1087613113
Beijingshi chaoyangqu wangjingkejiyuanqu22hao
beijing Beijing 100000
cn

Technical Contact:
Shenqiang Zhao [email protected]
+86.1087613113 fax: +86.1087613113
Beijingshi chaoyangqu wangjingkejiyuanqu22hao
beijing Beijing 100000
cn

Billing Contact:
Shenqiang Zhao [email protected]
+86.1087613113 fax: +86.1087613113
Beijingshi chaoyangqu wangjingkejiyuanqu22hao
beijing Beijing 100000
cn

DNS:
ns1.4everdns.com
ns2.4everdns.com

Created: 2008-07-12
Expires: 2009-07-12

Registry Status: clientDeleteProhibited
Registry Status: clientTransferProhibited

Quellen:
http://domains.whois.com/domain.php
http://www.nic.com/nic/whois/

 

[Telefonmännchen]

Received: from 117.32.69.232 by www099.gmx.net with HTTP;
Wed, 03 Dec 2008 18:27:16 +0100 (CET)

Das ist schon richtig so, denn die Meldung lautet ja eindeutig:
Empfangen: von 117.32.69.232 (chinesicher Server) durch www099.gmx.net mit HTTP; (am) Wed, 03 Dec 2008 (um) 18:27:16 +0100 (CET). Also die Meldung des GMX-Servers von wem er wann die Mail empfangen hat. Und der sollte schon die deutsche Zeit haben.

Die Vermutung mit dem Zugriff aus China kann wohl als bestätigt gelten. Das hilft Dir aber noch lange nicht, zu wissen, woher die Dein Passwort hatten - nur daß sie es hatten. Das ist jetzt alles Kaffeesatzleserei. Ich helfe gerade telefonisch einem Kollegen, sein Notebook zu recovern. Er hat vermutlich einen Trojaner oder ähnliches drauf und will kein Risiko mehr eingehen. Ihm sind nämlich seine Kontodaten auf irgend einem Wege abhanden gekommen und wurden auf einem fremden Rechner durch die Pozilei sichergestellt. Die Bank hatte vorsorglich den Onlinezugriff auf sein Konto gesperrt. Zum Glück trägt er wenigstens keinen finanziellen Schaden davon. Es hätte aber auch anders kommen können.

Das ist natürlich auch ein Weg, auf dem Dir irgendwelche Daten abhanden kommen können, wobei es nicht so sein muß. Der Möglichkeiten sind da viele. Einige hatte ich ja schon aufgezählt.

Gruß Telefonmännchen

 

[DDD]

Also an Trojaner glaube ich ehrlich gesagt nicht, denn wenn sie schon so einen auf meinem PC haben, dann liesen sich da sicher schönere Dinge auslesen wie mein GMX Kennwort.
Woher die das Passwort hatten ist natürlich interessant, aber wir werdens wohl nie erfahren, leider