IAA 2021 |
|
|
|
IAA Live: Fotos |
|
BMW Neuheiten |
|
BMW Motorrad |
|
MINI Neuheiten |
|
BMW Welt/Museum |
|
IAA Rückblick |
|
- Anzeige -
|
|
|
|
|
|
|
|
03.12.2016, 10:12
|
#1
|
V8 Connaisseur
Premium Mitglied
Registriert seit: 25.03.2003
Ort: Worms
Fahrzeug: E32-730i -V8 M60 05-92
|
Der Hackerangriff auf die Telekom vom 27.11.
Hi Freunde,
Wie ihr bestimmt mitbekommen habt, war die Störung letzten Sonntag, die bei hundertausenden Kunden der Telekom aufgetreten ist ein Hackerangriff!
Betroffen waren nur die eigenen Speedport DSL Router, Kunden mit anderen Routern waren nicht betroffen. Die Hacker haben Presseberichten nach ein Botnetz durch Einschleusen von Schadstoffsoftware in die Router aufbauen wollen. Dass es nicht geklappt habe läge nur an einem Programmierfehler des Codes, der einen Geräteneustart nicht überlebt habe. Desweiteren wäre der Hack nicht aufgefallen, wenn nicht der Fehler passiert wäre (!).
Das wirft 2 Fragen auf:
- wie kann unbemerkt über ein solches riesengroßes Netzwerk an hunderttausende Geräte Daten übertragen werden???? Wahrscheinlich haben die das ja sogar an jeden TK Anschluß geschickt, denn woher soll denn bekannt sein, an welchen Anschlüssen sich Speedportgeräte befinden
- was hätte ein Hacker mit einem befallenen Router später anrichten können, DDos Attacken und Ausspionieren des Datenverkehrs des Anschlußinhabers ist klar, aberbwas noch?
|
|
|
03.12.2016, 12:00
|
#2
|
BastardOperatorFromHell
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
|
Zitat:
Zitat von DVD-Rookie
- wie kann unbemerkt über ein solches riesengroßes Netzwerk an hunderttausende Geräte Daten übertragen werden????
|
Wenn nicht der gesamte Verkehr eines Providers durch ein IntrusionPreventionSystem (IPS) läuft und ausgewertet wird: gar nicht. Zunächst zumindest. Die Pakete müssten durch eine Logik gezielt gesucht werden. Es gibt verschiedene Ebenen, auf denen sich solche Anfragen erkennen lassen. Eines braucht es auf alle Fälle: Zeit.
Viel interessanter ist doch die Frage: warum befinden sich Managementfunktionen nicht schon seit vielen Jahren in separierten, getaggedten VLANs auf den Kisten, sondern am WAN-Port eines Spielzeugrouters und damit von jedem PC aus der Welt erreichbar. Und dann auch noch, zu allem Übel, mit einem ständig offenen Port. Eine dieser Autokonfigurationstechniken, wie TR-069, ist an sich ist zwar irgendwo nötig, aber just hier schlecht implementiert. Ursächlich war hier aber auch tatsächlich etwas anderes und der Angriff selbst galt nicht den Telekom-Nutzern!
Zitat:
Zitat von DVD-Rookie
Wahrscheinlich haben die das ja sogar an jeden TK Anschluß geschickt, denn woher soll denn bekannt sein, an welchen Anschlüssen sich Speedportgeräte befinden
|
Natürlich gingen die an alle. Ist auch sehr einfach zu machen. Firewalllogs meiner Systeme sprechen Bände. Die im Telekomnetz sehen sich sekündlich mit Anfragen auf den gängigsten Ports wie 22,25,80,8080, 1433,3306 und 5060 konfrontiert. Hier sind Verwundbarkeiten oft gegeben. In Netzen anderer Provider ist es wesentlich ruhiger. Dürfte letztlich aber auch daran liegen, dass die Subnetze der Telekom hohen Bekanntheitsgrad und viele Nutzer haben. Die Trefferquote könnte also sehr hoch sein. Daher auch viele Versuche, eine Schwachstelle zu finden.
Zitat:
Zitat von DVD-Rookie
- was hätte ein Hacker mit einem befallenen Router später anrichten können, DDos Attacken und Ausspionieren des Datenverkehrs des Anschlußinhabers ist klar, aberbwas noch?
|
Da kann man nur spekulieren, daher allgemeine Antwort: schafft es ein Angreifer root-Rechte bzw. System-Rechte auf einem solchen Gerät zu erlangen, kann er alles damit tun, was der Hersteller selbst kann. Eine Echtzeitprüfung der Verkehrsinhalte halte ich aber für eher unwahrscheinlich. Wenig Speicherplatz und wenig CPU. Das wird so nichts. Umleiten könnte man ihn allerdings schon und dann auswerten. Das wäre eher wahrscheinlich.
Und letztlich: Befindet ich ein Angreifer auf dem Gerät, kommt er von dort auch aufs LAN-Interface. Das wären dann Deine Rechner im Heimnetz. Ob das aber jemand bei einem solchen Angriff zum Ziel hat, sei mal dahingestellt.
Selbiges Problem übrigens 1:1 übertragbar auf das IoT. Kühlschränke, Waschmaschinen, TV-Geräte.
Scheiß Technikimplementierung, sag ich da nur.
[WerbungFuerSicherheit]
Hat mich aber gefreut, dass keiner meiner Kunden betroffen war. Die haben alle Firewall-/Routersysteme von mir
[/WerbungFuerSicherheit]
Grüße,
Thorsten
__________________
Schorsch - sorgt für Bluthochdruck
Geändert von Schorsch (03.12.2016 um 12:25 Uhr).
|
|
|
03.12.2016, 13:24
|
#3
|
V8 Connaisseur
Premium Mitglied
Registriert seit: 25.03.2003
Ort: Worms
Fahrzeug: E32-730i -V8 M60 05-92
|
Danke Schorsch, klasse Antwort!:
|
|
|
03.12.2016, 13:44
|
#4
|
Erfahrenes Mitglied
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
|
Es sollte die Schadsoftware MIRAI installiert werden. Damit werden IoT-Geräte übernommen. Der Angriff ging auf den Fernwartungs-Port TR-069 mit PortNr 7547 und war eine Sicherheitslücke vom November 2016.
Die Schadsoftware würde sich aber nur im Hauptspeicher/RAM fest. Bei Neustart wäre sie wieder weg.
Witzig war, dass die Speedportrouter von der Telekom gar nicht für den Angriff anfällig waren, aber auf Grund der vielfachen Infektionsversuche (BufferOverflow bzw. dann DOS) zum Absturz kamen.
Ziel sind dann hauptsächlich DDOS und Ausspähen von SIP-Accountdaten, evtl WLAN-Zugangsdaten.
|
|
|
03.12.2016, 14:00
|
#5
|
BastardOperatorFromHell
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
|
Zitat:
Zitat von bimmer750
Ziel sind dann hauptsächlich DDOS und Ausspähen von SIP-Accountdaten
|
Jupp. Mit den SIP-Accountdaten lassen sich dann wieder Telefonanschlüsse schalten und tausende Euro Telefonkosten erzeugen. Ist ein beliebter Angriff auf VOIP-Anlagen. Daher versuchen Angreifer von außen auch den Port 5060. Mit ein wenig Glück hat ein unbrauchbarer IT-Dienstleister 5060 nach außen hin offen eingerichtet. Das sind schon 95% der Miete.
Ein Abzug der Konfiguration und schon hat man die Daten. Jedenfalls die Telekom hat ihre SIP-Server aber auf Telekom-Netze beschränkt. Andere habe ich noch nicht versucht.
|
|
|
03.12.2016, 18:11
|
#6
|
Erfahrenes Mitglied
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
|
Das mit den SIP-Accountdaten war übrigens auch beim Fritzbox-Hack 2014 der Fall.
|
|
|
03.12.2016, 18:13
|
#7
|
BastardOperatorFromHell
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
|
Ja, und das geht heute noch auf alten Firmwares bis glaub 06.XX. Habs irgendwann einmal ausprobiert. Provider behelfen sich z.B. durch Abschalten der Telnet-Funktion. Zumindest versuchen sie es
|
|
|
04.12.2016, 13:13
|
#8
|
Erfahrenes Mitglied
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
|
Zitat:
Abschalten der Telnet-Funktion
|
Wobei mich der Schmarrn, meine FHEM-Installation gekostet hat.
|
|
|
04.12.2016, 14:35
|
#9
|
BastardOperatorFromHell
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
|
Aus Sicht eines Providers natürlich kein Schmarrn. Nehmen wir z.B. KabelBW: Die SIP-Konten sind den Kunden unbekannt und stehen verschlüsselt in der Konfig, sofern man diese herunter lädt. Kommst Du per Telnet dran, bekommst Du diese unverschlüsselt und so womöglich dahinter, wie man auch SIP-Konten von anderen Kunden nutzen kann.
KabelBW gehört zu jenen Providern mit einem eigenen Managementnetz. Ich hab mal irgendwo ein TFTP-Log gesichert gehabt und da standen private Netzadressen drin. Hast Du root in der Box, kannst Du Dich vermutlich nahezu frei in diesem Netz bewegen. Das will man sicherlich nicht haben.
Ansonsten steht es jedem frei ein Modem zu nutzen und eine offene FritzBox anzuklemmen.
|
|
|
04.12.2016, 20:38
|
#10
|
Erfahrenes Mitglied
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
|
Das sicherheitstechnisch TELNET abgeschafft gehört ist klar, aber wie geschrieben war es halt für meine FHEM das Todesurteil und damit wieder Mehrarbeit.
|
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|