[Info] [Update] Telefonie-Missbrauch (anscheinend doch) Massenhack von AVMs Fritzboxen

[sf3978]

Hat Deine Recherche schon was ergeben ?

Nein, denn es ist ziemlich ruhig hier auf Port 443. Hatte nur noch eine einzige Abfrage auf Port 443, von einer chinesischen IP-Adresse ( "org": "AS4134 Chinanet") und ich denke nicht, dass die es auf meine FritzBox-cable (... als border device) abgesehen haben:

[color=red]22:54:02.572278[/color] IP (tos 0x0, ttl 108, id 65, offset 0, flags [none], proto TCP (6), length 48)
    [color=red]61.###.###.25[/color].20966 > 192.168.178.21.443: Flags [S], cksum 0x4017 (correct), seq 666665767, win 65535, options [mss 1460,nop,nop,sackOK], length 0

Kann ich nicht versuchen, Verbindungen auf Port 443 z.B. an einen RasPi mit z.B. Kali Linux im Netz durchzureichen und den Tip von RalfFriedl auf diese Weise halbwegs "sicher" umsetzen ?

Wenn bei deiner Box, die Anzahl der Zugriffe auf Port 443 nicht zurück geht und Du eine genaue Anleitung hast/bekommst wie Du das machen kannst, dann wäre das m. E. schon interessant.

 

[koyaanisqatsi]

HTTPS soll mit FOS ab 6.03 wieder sicher sein (bei Fritz!Boxen).

Ich würd mal behaupten bei SIP/RTP ist nichts sicher.
Das kannst du mit unverschlüsselten EMails vergleichen.
Das wurde mit Postkarten verschicken verglichen.
Solange die Telefonanbieter sich nicht auf einen Standard für eine verschlüsselte Übertragung einigen können,
bleibt sicheres telefonieren mit SRTP oder ZRTP was für Exoten.
Mir fällt auch gerade die Bezeichnung für sicheres SIP nicht ein, gibt es sowas überhaupt?

Deswegen kann ich auch nicht verstehen, warum die Hacker noch nicht gefunden worden sind.
Es sei denn, Edward hat uns noch nicht alles verraten.

 

[JohnDoe42]

Wenn ... Du eine genaue Anleitung hast/bekommst wie Du das machen kannst, dann wäre das m. E. schon interessant.

Naja .. ich dachte mir, da Kali Linux wohl OpenSSL schon mitbringt, sollte der Tip von RalfFriedl und eine entsprechende Portweiterleitung auf der Box genügen ... ? Sicherheitshalber könnte ich noch den über das DSL-Device ausgehenden Verkehr des RasPis verbieten.

 

[scolopender]

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2014/Fritz-Box-Update_11022014.html

Dort heißt es:

Bisher haben nur rund 20 Prozent der Fritz!Box-Anwender Sicherheitsupdate eingespielt

Da tät' mich mal interessieren, wie diese 20% zustande kommen.

G., -#####o:

 

[johnripper]

Auf jeden Fall wurden die Boxen der Kabelprovider nicht mitgerechnet -.-

 

[sf3978]

..., sollte der Tip von RalfFriedl und eine entsprechende Portweiterleitung auf der Box genügen ... ? ...

Ich weiß es nicht, ob das reicht, aber RalfFriedl hat das in seinem Beitrag #424, weiter präzisiert.

 

[johnripper]

Auf jeden Fall wurden die Boxen der Kabelprovider nicht mitgerechnet -.-

 

[KunterBunter]

Mir fällt auch gerade die Bezeichnung für sicheres SIP nicht ein, gibt es sowas überhaupt?

Secure SIP oder SIPS.

 

[JohnDoe42]

Ich werde versuchen, mein Idee umzusetzen und wieder berichten.

Das Beste wäre, einen SSL Proxy einzurichten, der die Verbindungen aus dem Internet annimmt und an die Box weiter leitet, und dabei sowohl Request als auch Antwort aufzeichnet.

Das Problem ist natürlich, daß

while true; do 
openssl s_server -accept 443 -cert cert.pem -key key.pem &> /PfadZumLogfile/$(date +%Y%m%d-%H%M%S).log

, sofern SSL auf dem RasPi läuft, natürlich keine Antwort der Box generieren kann ...
Aber dann hätte man schon mal den Request.

 

[johnripper]

Mal ne blöde Frage: Warum macht ihr den Paketmitschnitte nicht direkt über die Box? Ist doch ein Standardfeature.

 

[FrankIT]

Ich würd mal behaupten bei SIP/RTP ist nichts sicher.

Immerhin lässt sich das SIP-Passwort (nach heutigem Stand) nicht einfach abgreifen.

 

[koyaanisqatsi]

(nach heutigem Stand)
...aber nur weil ich sie ganz schnell nochmal nach dem Sicherheitslückenupdate (FOS: 6.03 und 6.04) geändert habe.
Trotzdem würd ich meine Hand dafür nicht ins Feuer legen wollen.

 

[JohnDoe42]

Mal ne blöde Frage: Warum macht ihr den Paketmitschnitte nicht direkt über die Box?

Z.B. weil der Paketmitschnitt der Box nicht zwischen http, https, ftp, ssh usw. weiter unterscheidet und so in 24 Stunden sher viel "Unrat" an Logs zusammenkommt.
Mit der SSL-Variante ist man in der Lage, nur die https-Requests auf die Box zu isolieren und diese dann gezielt analysieren zu können.
Zweiter Grund ist natürlich der Schutz der Box (falls diese noch nicht auf der aktuellsten FW-Version ist).

 

[RalfFriedl]

Das Problem ist natürlich, daß (openssl s_server ...) keine Antwort der Box generieren kann ...
Aber dann hätte man schon mal den Request.

Genau, das war der einfachere Vorschlag. Der komplexere Vorschlag ist, eine echte Box mit alter Firmware laufen zu lassen, aber in einer Konstellation, in der der Angreifer keinen Schaden anrichten kann (Box hinter Firewall, keine Festnetz angeschlossen, keine IP-Telefone eingerichtet). Bis der Angreifer das herausgefunden hat, muss er sich bereits Zugriff auf die Box verschafft haben, dies könnte man dann analysieren.

 

[Hans Juergen]

keine IP-Telefone eingerichtet

Genau, das macht ja der Angreifer selbst... :lach::lach:

 

[KunterBunter]

Dann muss er sich nur noch ein VoIP Account seiner Wahl einrichten.

 

[ptah]

Sorry wenn es vllt. nicht ganz hier reinpasst, aber hier sind gerade viele am Mitlesen und Antworten:
Ich habe die 7390 auf die 6.03 geupdatet, und jetzt wieder myfritz aktiv.

Seit gestern bekomme ich immer tagsüber Anrufe von folgender Nummer: 08005889210003 an alle drei Telefonnummern, die eigentlich nirgends bekannt sein sollten.
Kommt die Nummer jemanden bekannt vor?
Dann habe ich gestern eine Rufsperre für eingehende Anrufe eingerichtet: Ankommende Rufe 08005889210003 und heute Mittag kamen wieder zwei Anrufe an und im Logfile steht:
12.02.14 12:43:10 Internettelefonie mit [email protected];user=phone über arcor.de;user=phone war nicht erfolgreich. Ursache: Temporarily not available (480)
Ist das eine durch die Rufnummernsperre bedingter Eintrag im Logfile oder was Anderes?

 

[snifty]

Dieser Eintrag entsteht, wenn eine durch eine Rufnummern Sperre geblockte Nr. anruft. Das ist ganz normal.

 

[ptah]

Danke!!! Dann bin ich erstmal beruhigt.

Aber wer oder was da anruft lässt sich nicht rausbekommen ... hab schon gegoogled.

 

[Hans Juergen]

Das ist bei einer Rufsperre normal. Ich habe statt dessen eine Rufumleitung auf eine dafür eingerichteten AB mit Rufannahme sofort, dann taucht der Anruf nur in der normalen Anrufliste auf...