HabNeFritzbox schrieb:
Ich gehe auch eher von Portscanner oder ähnliches aus, als ein Angriff, der würde ganz anders aussehen.
Sorry ... ganz klares "Nein".
Ein Portscan sucht nach offenen Ports und gut ist's ... wenn ein Login-Versuch stattfindet (bei VPN ist das noch ein wenig anders, wenn so ein "Fehlversuch" vor der Verwendung von Credentials schon festgestellt wird), dann ist das jenseits eines Portscans und bereits der Versuch, eine Sicherung des Anbieters zu überwinden. Da spielt es keine Rolle, wie massiv so ein Angriff erfolgt oder ob er sich ständig (von derselben IP-Adresse) wiederholt.
Ein Portscan ist ein legitimes Mittel der Netzwerk-Verwaltung - es geht u.a. darum, versteckte/unerwünschte Dienste als Gefahrenquelle zu finden, zu identifizieren und ggf. zu eliminieren. Das ist in einem Netz eine vollkommen normale Aufgabe - nicht einmal ein Scan eines Access-Providers auf "open relays" oder DoS-Verstärker (SMTP, NTP, DNS) ist wirklich zu beanstanden, solange da keine Authentifizierungen versucht werden.
Ein Versuch, in ein fremdes Konto einzudringen (dazu gehört eine Anmeldung), ist ein Angriff - auch der kann legitim und sogar legal sein: JohnTheRipper in den Händen des Netzwerk-Admins ist immer noch ein legales Tool (jedenfalls gibt es in D m.W. bisher kein gegenteiliges Urteil) und auch ein (legitimer, was noch ein wenig anders als "legaler" ist) Pentest wird ohne solche Versuche kaum möglich sein.
Hier handelt es sich aber wohl offensichtlich um einen Angriff ... solange da nicht der Name "anonymous" als Benutzername auftaucht, was per Konvention beim FTP ein Zugriffsversuch auf einen öffentlichen Service auch dann ermöglicht, wenn die Server-Software eine Anmeldung erfordert. Wenn da Namen wie "admin", "root" oder "superuser" durchgespielt werden (wie jeder andere Nutzername auch), ist das eine Attacke auf einen solchen Dienst, selbst wenn die verwendeten Konten gar nicht existieren.
Schon ein "Sicherheits"-Scanner, der mittels einer Anmeldung nach Lücken wie schwachen Kennwörtern im Netzwerk sucht, ist mehr "dunkelgrau" als legal - auch ein Admin, der Mailkonten mit erlaubter privater Nutzung auf die Sicherheit bei der Anmeldung prüft, begibt sich in erhebliche Unsicherheiten (auch wenn er i.d.R. die Inhalte einfacher abgreifen könnte, solange die Speicherung nicht auch verschlüsselt erfolgt).
Also noch einmal deutlich: Das ist vielleicht ein Scan, aber kein "Portscan" - und auch wenn solche Portscans jeden Anschluß stets und ständig treffen, ohne daß die meisten sie registrieren. Dabei werden i.d.R. auch nicht alle Ports gescannt, sondern nur die für "well-known services" - ansonsten dauert das auch für den Angreifer einfach zu lange.
Ob ich 5 oder 10 oder > 65.000 Ports scanne, macht eben einen erheblichen Unterschied und daher sind solche Scans eher selten. Wenn der Host bekanntermaßen als Ziel interessant ist, mag das wieder anders aussehen, aber auf der Suche nach einem offenen Telnet-Zugang oder einem SSH-Server mit Kennwort-Authentifizierung (wo man dann auch wieder Logins versuchen kann) wird fast kein Angreifer die gesamten 2**16 Ports abgrasen - in der Zeit schafft er dieselbe Anzahl an Hosts, wenn er sich auf einen einzelnen Port fixiert.
Deshalb lautet ja auch die Empfehlung, eigene Dienste auf höher gelegenen Ports zu "verstecken" (vor so einem einfachen Scan, vor nichts anderem), solange diese Dienste nicht für eine breitere Öffentlichkeit bereitstehen sollen.
Solche Angriffe, wo per "guessing" auf der Basis von Wörterbüchern dann Benutzernamen und Kennwörter erraten werden sollen, sind jedenfalls kein Kavaliersdelikt und auch solche Angriffe finden tatsächlich stets und ständig und ununterbrochen statt. Wer irgendwo mal einen SSH-Server mit passenden Einstellungen als "honeypot" aktiviert, kriegt in kürzester Zeit (wenn das z.B. im Netz bei einem Hosting-Provider ist) erhebliche Mengen solcher Zugriffversuche zusammen, auch bei Asterisk-Servern auf 5060, usw. - wobei auch nicht jeder dieser Zugriffsversuche gleich ein Angriff sein muß. Manchmal hat sich eben nur ein Anschluß mit einer DynDNS-Adresse verabschiedet, diese Adresse hat man nun selbst und der "Vorbesitzer" hat seinen DynDNS-Eintrag noch nicht aktualisiert - dann landen eben auch "fremde" Login-Versuche für den früheren Anschluß auf der eigenen Box.
Hinzu kommt noch, daß bei der FRITZ!Box bisher tatsächlich auch solche Angriffe auf den FTP-Service möglich waren, ohne daß der Besitzer davon etwas bemerken konnte. Wenn die Firmware mit der Protokollierung als Release-Version dann verfügbar ist, werde ich mal einen PoC zeigen, der beim bisherigen Stand anhand einer Liste von möglichen Kennwörtern für einen Admin-Account mit NAS-Zugriff innerhalb kürzester Zeit das richtige Kennwort für den Account ermittelt und auch das wieder, ohne daß irgendwelche Fehlversuche zu sehen wären in irgendeinem Protokoll der FRITZ!Box.
Wobei man zumindest einen eigenen (auch unprivilegierten) NAS-Account dafür braucht oder alternativ einen Benutzernamen und eine aktive GUI-SID - die kann auch für MyFRITZ oder ähnliches sein - für einen solchen Account mit NAS-Rechten - die kann man auch relativ leicht mitschneiden im LAN. Wenn das dann der Filius ist (wer würde dem den eigenen, eingeschränkten NAS-Account verweigern, wenn er denn "die Mama" bitten läßt), der mit den eingestellten Bedingungen der Kindersicherung nicht so ganz einverstanden ist, braucht das auch keinen "wirklich externen" Angreifer mehr, um zu einer Sicherheitslücke zu werden.
