[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

Status
Für weitere Antworten geschlossen.
Hat Deine Recherche schon was ergeben ?
Nein, denn es ist ziemlich ruhig hier auf Port 443. Hatte nur noch eine einzige Abfrage auf Port 443, von einer chinesischen IP-Adresse ( "org": "AS4134 Chinanet") und ich denke nicht, dass die es auf meine FritzBox-cable (... als border device) abgesehen haben:
Code:
[color=red]22:54:02.572278[/color] IP (tos 0x0, ttl 108, id 65, offset 0, flags [none], proto TCP (6), length 48)
    [color=red]61.###.###.25[/color].20966 > 192.168.178.21.443: Flags [S], cksum 0x4017 (correct), seq 666665767, win 65535, options [mss 1460,nop,nop,sackOK], length 0
Kann ich nicht versuchen, Verbindungen auf Port 443 z.B. an einen RasPi mit z.B. Kali Linux im Netz durchzureichen und den Tip von RalfFriedl auf diese Weise halbwegs "sicher" umsetzen ?
Wenn bei deiner Box, die Anzahl der Zugriffe auf Port 443 nicht zurück geht und Du eine genaue Anleitung hast/bekommst wie Du das machen kannst, dann wäre das m. E. schon interessant.
 
HTTPS soll mit FOS ab 6.03 wieder sicher sein (bei Fritz!Boxen).

Ich würd mal behaupten bei SIP/RTP ist nichts sicher.
Das kannst du mit unverschlüsselten EMails vergleichen.
Das wurde mit Postkarten verschicken verglichen.
Solange die Telefonanbieter sich nicht auf einen Standard für eine verschlüsselte Übertragung einigen können,
bleibt sicheres telefonieren mit SRTP oder ZRTP was für Exoten.
Mir fällt auch gerade die Bezeichnung für sicheres SIP nicht ein, gibt es sowas überhaupt?

Deswegen kann ich auch nicht verstehen, warum die Hacker noch nicht gefunden worden sind.
Es sei denn, Edward hat uns noch nicht alles verraten.
 
Zuletzt bearbeitet:
Wenn ... Du eine genaue Anleitung hast/bekommst wie Du das machen kannst, dann wäre das m. E. schon interessant.

Naja .. ich dachte mir, da Kali Linux wohl OpenSSL schon mitbringt, sollte der Tip von RalfFriedl und eine entsprechende Portweiterleitung auf der Box genügen ... ? Sicherheitshalber könnte ich noch den über das DSL-Device ausgehenden Verkehr des RasPis verbieten.
 
Auf jeden Fall wurden die Boxen der Kabelprovider nicht mitgerechnet -.-
 
Auf jeden Fall wurden die Boxen der Kabelprovider nicht mitgerechnet -.-
 
Ich werde versuchen, mein Idee umzusetzen und wieder berichten.

Das Beste wäre, einen SSL Proxy einzurichten, der die Verbindungen aus dem Internet annimmt und an die Box weiter leitet, und dabei sowohl Request als auch Antwort aufzeichnet.

Das Problem ist natürlich, daß
Code:
while true; do 
openssl s_server -accept 443 -cert cert.pem -key key.pem &> /PfadZumLogfile/$(date +%Y%m%d-%H%M%S).log
, sofern SSL auf dem RasPi läuft, natürlich keine Antwort der Box generieren kann ...
Aber dann hätte man schon mal den Request.
 
Mal ne blöde Frage: Warum macht ihr den Paketmitschnitte nicht direkt über die Box? Ist doch ein Standardfeature.
 
(nach heutigem Stand) :mad:
...aber nur weil ich sie ganz schnell nochmal nach dem Sicherheitslückenupdate (FOS: 6.03 und 6.04) geändert habe.
Trotzdem würd ich meine Hand dafür nicht ins Feuer legen wollen.
 
Mal ne blöde Frage: Warum macht ihr den Paketmitschnitte nicht direkt über die Box?

Z.B. weil der Paketmitschnitt der Box nicht zwischen http, https, ftp, ssh usw. weiter unterscheidet und so in 24 Stunden sher viel "Unrat" an Logs zusammenkommt.
Mit der SSL-Variante ist man in der Lage, nur die https-Requests auf die Box zu isolieren und diese dann gezielt analysieren zu können.
Zweiter Grund ist natürlich der Schutz der Box (falls diese noch nicht auf der aktuellsten FW-Version ist).
 
Zuletzt bearbeitet:
Das Problem ist natürlich, daß (openssl s_server ...) keine Antwort der Box generieren kann ...
Aber dann hätte man schon mal den Request.
Genau, das war der einfachere Vorschlag. Der komplexere Vorschlag ist, eine echte Box mit alter Firmware laufen zu lassen, aber in einer Konstellation, in der der Angreifer keinen Schaden anrichten kann (Box hinter Firewall, keine Festnetz angeschlossen, keine IP-Telefone eingerichtet). Bis der Angreifer das herausgefunden hat, muss er sich bereits Zugriff auf die Box verschafft haben, dies könnte man dann analysieren.
 
Dann muss er sich nur noch ein VoIP Account seiner Wahl einrichten. ;)
 
Sorry wenn es vllt. nicht ganz hier reinpasst, aber hier sind gerade viele am Mitlesen und Antworten:
Ich habe die 7390 auf die 6.03 geupdatet, und jetzt wieder myfritz aktiv.

Seit gestern bekomme ich immer tagsüber Anrufe von folgender Nummer: 08005889210003 an alle drei Telefonnummern, die eigentlich nirgends bekannt sein sollten.
Kommt die Nummer jemanden bekannt vor?
Dann habe ich gestern eine Rufsperre für eingehende Anrufe eingerichtet: Ankommende Rufe 08005889210003 und heute Mittag kamen wieder zwei Anrufe an und im Logfile steht:
12.02.14 12:43:10 Internettelefonie mit [email protected];user=phone über arcor.de;user=phone war nicht erfolgreich. Ursache: Temporarily not available (480)
Ist das eine durch die Rufnummernsperre bedingter Eintrag im Logfile oder was Anderes?
 
Dieser Eintrag entsteht, wenn eine durch eine Rufnummern Sperre geblockte Nr. anruft. Das ist ganz normal.
 
Danke!!! Dann bin ich erstmal beruhigt. :D

Aber wer oder was da anruft lässt sich nicht rausbekommen ... hab schon gegoogled.
 
Das ist bei einer Rufsperre normal. Ich habe statt dessen eine Rufumleitung auf eine dafür eingerichteten AB mit Rufannahme sofort, dann taucht der Anruf nur in der normalen Anrufliste auf...
 
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,183
Beiträge
2,247,562
Mitglieder
373,729
Neuestes Mitglied
ChTh
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.