Kriminelle hacken DSL-Router

[momo]

http://www.focus.de/digital/computer/neue-pc-gefahr_aid_234859.html

Zitat:
Im Fall der mexikanischen Attacke hatten die Angreifer besonders leichtes Spiel: der genutzte Router-Typ war ungesichert – für die Änderung der Internetoptionen war nicht einmal ein Passwort nötig.......
Wenn man Universal Plug and Play nicht wirklich braucht, sollte man die Funktion im Router abschalten“, ..........

--------------------

Ich möche mal wissen was für ein mexikanischer Router das war.

Ist so was auch mit der fritzbox möglich ??

Ich denke so an die Schnellinstalation ( Ersteinrichtung ) bei 1und1 mit der fritzbox .

 

[RalfFriedl]

Nur anhand der verwendeten Sicherheitszertifikate, wie sie beispeilsweise in Deutschland anders als in Lateinamerika gebräuchlich sind, kann man eine Manipuation bemerken. Aber auch diese Hürde ist für Kriminelle auf Dauer überwindbar.

Dafür verwndet man ja auch SSL bzw. https, damit das nicht passieren kann. Und "auf Dauer überwindbar" heißt nach dem aktuellen Stand der Technik eher Jahrzehnte bis Jahrhunderte als mal eben.

Die Einrichtung der Box funktioniert übrigens so, daß die Box die Konfiguration abruft und nicht, daß sie sie zugeschickt bekommt. Und offenes WLAN hat die Box in der Standardkonfiguration auch nicht.

Andererseits sollte man UPnP trotzdem abschalten, wenn man es nicht braucht.

 

[sven@mainz]

Nun, mit UPnp und SSL hat das nicht viel zu tun, die schicken einen Link in der Art http://192.168.178.1/skmeiwe/sjds/./. usw. also einen internen Link auf eine Routerfunktion, die bestimmte Dinge freischaltet und den Router manipuliert, also im Prinzip über die Schiene social networking.

 

[RalfFriedl]

Die "Sicherheitszertifikate" im zitierten Text beziehen sich auf SSL. Wenn dort die Banken kein SSL verwenden, ist das schon schwach. SSL an sich ohne konkrete Hinweise als unsicher zu bezeichnen, macht aber auch keinen glaubwürdigen Eindruck.

Und wenn die Router mit dem Aufruf einer URL ohne Paßwort umkonfiguriert werden können, ist das schon sehr unsicher. Es ist auch möglich, den Aufruf einer URL zu automatisieren.

Wenn ich zum Beispiel hier ein Bild einsetzen würde ([NOPARSE]<img src="http://fritz.box/open/firewall/>[/NOPARSE]), dann würde diese URL aufgerufen, ohne daß Du dafür irgend etwas tun müßtest. Das würde ich dannauch nicht mehr "social engineering" nennen.

 

[simfes]

Habe das ganze inzwischen mal versucht nachzustellen, hänge aber in einem Punkt hinterher:

Betreibe ich meine Fritz!Box(en) unter Verwendung eines PWs, ist die ganze Geschichte per se schon mal hinfällig.

Ok, ich weiß jetzt nicht, wie es allgemein so aussieht, aber meine Boxen sind je mit einzelnen und unterschiedlichen Passwörtern geschützt (leider, da somit auch Direktlinks in die Box nicht funktionieren).


Wie sieht es aus, wenn das PW bspw. durch Unachtsamkeit oder auch durchaus bewusst im Browser oder einem entsprechenden Tool hinterlegt wäre? Die Konfigurationsoberfläche der Router wäre aber doch in jedem Falle erstmal auf dem Schirm, oder?


Ist inzwischen eigentlich bekannt, um welchen Router es sich handelt?

 

[sven@mainz]

Bei Heise steht ein bißchen mehr drin:

...Zuvor war bereits ein Schwachstelle im beliebten Linksys-Router WRT54GL bekannt geworden, die das Problem des seit drei Jahren bekannten Session Riding beziehungsweise Cross Site Request Forgery (CSRF) verdeutlichte. Während des Angriffs muss allerdings der Besitzer des Routers gerade in der Bedienoberfläche eingeloggt sein und eine manipulierte Webseite ansurfen. Neben dem Abschalten der Firewall ist denkbar, dass der Angreifer die WLAN-Verschlüsselung abschaltet. Ein Posting auf Bugtraq zufolge soll dies bei dem Modell Alice Gate 2 Plus WiFi mit folgender URL ohne Authentifizierung funktionieren...

 

[RalfFriedl]

Mir ist nicht bekannt, daß man einfach mit http://fritz.box/open/firewall/ oder etwas vergleichbarem die Konfiguration der Box ändern könnte.

Wenn aber das Paßwort bekannt ist und JavaScript aktiv ist, ließe sich vermutlich etwas machen.

 

[simfes]

Hallo,

in der Sache hat AVM übrigens recht schnell reagiert und hier eine Seite als Reaktion auf die Berichte eingestellt.

Es reicht demnach wohl wirklich aus, ein simples PW zu vergeben und zumindest den Automatismus damit wieder zu entschärfen.

 

[sven@mainz]

Ja sicher, diese ganzen Links gehen nur, wenn man:

1.) kein Paßwort im Router vergeben hat oder
2.) man im Router eingeloggt ist und
3.) man nicht auf jeden Link klickt.

Beides ist eigentlich problemlos zu verhindern. Und da die Fritzbox eh nach ca. 5 min die Session beendet ist die Gefahr, wenn man sich nicht korrekt ausloggt auch sehr gering.

 

[Micha0815]

Ich bin gerade über Diesen Artikel gestolpert.

Der letzte Satz im 1. Abschnitt macht mich stutzig.

Reicht ein gutes Passwort und 5 Min. "Pause" wirklich hinreichend?

LG

 

[doc456]

Ooooch, das wird doch hier schon diskutiert, wo denn noch überall?

BtW, wären dann schon Millionen Router gehackt worden und die BOT-Nets wären um Faktor x größer...

 

[Clemens]

Ooooch, das wird doch hier schon diskutiert, wo denn noch überall?

Lassen wir die Diskussion dort weitergehen, egal welcher Thread nun früher angefangen hat.
Hauptsache es ist ist nicht doppelt, darum mache ich hier zu.