Sie sind nicht angemeldet! Jetzt interner Link kostenlos im Forum registrieren, weniger Werbung sehen, aktiv teilnehmen und weitere Vorteile nutzen! Diese Website nutzt Cookies. Bitte beachten Sie unsere interner Link Datenschutzerklärung.
  Start » Forum Impressum/Datenschutz | Site-Map
7-forum.com   ModelleForummein.7erService


Forumsfunktionen

BMW Neuheiten
So sieht die Neue Klasse als SAV aus: der BMW Vision Neue Klasse X.
BMW Vision Neue Klasse X (2024)

 
Der neue MINI Cooper E im Classic Trim: Elektrisch, effizient, emotional.
MINI Cooper E (J01)

 
Der neue BMW 5er Touring. Modell G61, ab Mai 2024.
BMW 5er Touring (G61, ab 2024)

 
Der neue MINI Cooper mit Ottomotor: Der neue MINI Cooper C und der neue MINI Cooper S.
MINI Cooper C und der neue MINI Cooper S

 
Jetzt mit Handschalter: der BMW Z4 in der Edition Pure Impulse.
BMW Z4 Edition Pure Impulse mit Handschaltung

 
- Anzeige -

Zurück   BMW 7er-Forum > 7er-Community > Computer, Elektronik und Co



Antwort
 
Thema teilen Themen-Optionen Ansicht
Alt 03.12.2016, 10:12   #1
DVD-Rookie
V8 Connaisseur
Premium Mitglied
 
Benutzerbild von DVD-Rookie
 
Registriert seit: 25.03.2003
Ort: Worms
Fahrzeug: E32-730i -V8 M60 05-92
Standard Der Hackerangriff auf die Telekom vom 27.11.

Hi Freunde,

Wie ihr bestimmt mitbekommen habt, war die Störung letzten Sonntag, die bei hundertausenden Kunden der Telekom aufgetreten ist ein Hackerangriff!

Betroffen waren nur die eigenen Speedport DSL Router, Kunden mit anderen Routern waren nicht betroffen. Die Hacker haben Presseberichten nach ein Botnetz durch Einschleusen von Schadstoffsoftware in die Router aufbauen wollen. Dass es nicht geklappt habe läge nur an einem Programmierfehler des Codes, der einen Geräteneustart nicht überlebt habe. Desweiteren wäre der Hack nicht aufgefallen, wenn nicht der Fehler passiert wäre (!).


Das wirft 2 Fragen auf:

- wie kann unbemerkt über ein solches riesengroßes Netzwerk an hunderttausende Geräte Daten übertragen werden???? Wahrscheinlich haben die das ja sogar an jeden TK Anschluß geschickt, denn woher soll denn bekannt sein, an welchen Anschlüssen sich Speedportgeräte befinden

- was hätte ein Hacker mit einem befallenen Router später anrichten können, DDos Attacken und Ausspionieren des Datenverkehrs des Anschlußinhabers ist klar, aberbwas noch?
DVD-Rookie ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 12:00   #2
Schorsch
BastardOperatorFromHell
 
Benutzerbild von Schorsch
 
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
Standard

Zitat:
Zitat von DVD-Rookie Beitrag anzeigen
- wie kann unbemerkt über ein solches riesengroßes Netzwerk an hunderttausende Geräte Daten übertragen werden????
Wenn nicht der gesamte Verkehr eines Providers durch ein IntrusionPreventionSystem (IPS) läuft und ausgewertet wird: gar nicht. Zunächst zumindest. Die Pakete müssten durch eine Logik gezielt gesucht werden. Es gibt verschiedene Ebenen, auf denen sich solche Anfragen erkennen lassen. Eines braucht es auf alle Fälle: Zeit.

Viel interessanter ist doch die Frage: warum befinden sich Managementfunktionen nicht schon seit vielen Jahren in separierten, getaggedten VLANs auf den Kisten, sondern am WAN-Port eines Spielzeugrouters und damit von jedem PC aus der Welt erreichbar. Und dann auch noch, zu allem Übel, mit einem ständig offenen Port. Eine dieser Autokonfigurationstechniken, wie TR-069, ist an sich ist zwar irgendwo nötig, aber just hier schlecht implementiert. Ursächlich war hier aber auch tatsächlich etwas anderes und der Angriff selbst galt nicht den Telekom-Nutzern!


Zitat:
Zitat von DVD-Rookie Beitrag anzeigen
Wahrscheinlich haben die das ja sogar an jeden TK Anschluß geschickt, denn woher soll denn bekannt sein, an welchen Anschlüssen sich Speedportgeräte befinden
Natürlich gingen die an alle. Ist auch sehr einfach zu machen. Firewalllogs meiner Systeme sprechen Bände. Die im Telekomnetz sehen sich sekündlich mit Anfragen auf den gängigsten Ports wie 22,25,80,8080, 1433,3306 und 5060 konfrontiert. Hier sind Verwundbarkeiten oft gegeben. In Netzen anderer Provider ist es wesentlich ruhiger. Dürfte letztlich aber auch daran liegen, dass die Subnetze der Telekom hohen Bekanntheitsgrad und viele Nutzer haben. Die Trefferquote könnte also sehr hoch sein. Daher auch viele Versuche, eine Schwachstelle zu finden.



Zitat:
Zitat von DVD-Rookie Beitrag anzeigen
- was hätte ein Hacker mit einem befallenen Router später anrichten können, DDos Attacken und Ausspionieren des Datenverkehrs des Anschlußinhabers ist klar, aberbwas noch?
Da kann man nur spekulieren, daher allgemeine Antwort: schafft es ein Angreifer root-Rechte bzw. System-Rechte auf einem solchen Gerät zu erlangen, kann er alles damit tun, was der Hersteller selbst kann. Eine Echtzeitprüfung der Verkehrsinhalte halte ich aber für eher unwahrscheinlich. Wenig Speicherplatz und wenig CPU. Das wird so nichts. Umleiten könnte man ihn allerdings schon und dann auswerten. Das wäre eher wahrscheinlich.

Und letztlich: Befindet ich ein Angreifer auf dem Gerät, kommt er von dort auch aufs LAN-Interface. Das wären dann Deine Rechner im Heimnetz. Ob das aber jemand bei einem solchen Angriff zum Ziel hat, sei mal dahingestellt.

Selbiges Problem übrigens 1:1 übertragbar auf das IoT. Kühlschränke, Waschmaschinen, TV-Geräte.

Scheiß Technikimplementierung, sag ich da nur.


[WerbungFuerSicherheit]
Hat mich aber gefreut, dass keiner meiner Kunden betroffen war. Die haben alle Firewall-/Routersysteme von mir
[/WerbungFuerSicherheit]

Grüße,
Thorsten
__________________
Schorsch - sorgt für Bluthochdruck


Geändert von Schorsch (03.12.2016 um 12:25 Uhr).
Schorsch ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 13:24   #3
DVD-Rookie
V8 Connaisseur
Premium Mitglied
 
Benutzerbild von DVD-Rookie
 
Registriert seit: 25.03.2003
Ort: Worms
Fahrzeug: E32-730i -V8 M60 05-92
Standard

Danke Schorsch, klasse Antwort!:
DVD-Rookie ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 13:44   #4
bimmer750
Erfahrenes Mitglied
 
Benutzerbild von bimmer750
 
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
Standard

Es sollte die Schadsoftware MIRAI installiert werden. Damit werden IoT-Geräte übernommen. Der Angriff ging auf den Fernwartungs-Port TR-069 mit PortNr 7547 und war eine Sicherheitslücke vom November 2016.
Die Schadsoftware würde sich aber nur im Hauptspeicher/RAM fest. Bei Neustart wäre sie wieder weg.
Witzig war, dass die Speedportrouter von der Telekom gar nicht für den Angriff anfällig waren, aber auf Grund der vielfachen Infektionsversuche (BufferOverflow bzw. dann DOS) zum Absturz kamen.

Ziel sind dann hauptsächlich DDOS und Ausspähen von SIP-Accountdaten, evtl WLAN-Zugangsdaten.
bimmer750 ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 14:00   #5
Schorsch
BastardOperatorFromHell
 
Benutzerbild von Schorsch
 
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
Standard

Zitat:
Zitat von bimmer750 Beitrag anzeigen
Ziel sind dann hauptsächlich DDOS und Ausspähen von SIP-Accountdaten
Jupp. Mit den SIP-Accountdaten lassen sich dann wieder Telefonanschlüsse schalten und tausende Euro Telefonkosten erzeugen. Ist ein beliebter Angriff auf VOIP-Anlagen. Daher versuchen Angreifer von außen auch den Port 5060. Mit ein wenig Glück hat ein unbrauchbarer IT-Dienstleister 5060 nach außen hin offen eingerichtet. Das sind schon 95% der Miete.

Ein Abzug der Konfiguration und schon hat man die Daten. Jedenfalls die Telekom hat ihre SIP-Server aber auf Telekom-Netze beschränkt. Andere habe ich noch nicht versucht.
Schorsch ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 18:11   #6
bimmer750
Erfahrenes Mitglied
 
Benutzerbild von bimmer750
 
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
Standard

Das mit den SIP-Accountdaten war übrigens auch beim Fritzbox-Hack 2014 der Fall.
bimmer750 ist offline   Antwort Mit Zitat antworten
Alt 03.12.2016, 18:13   #7
Schorsch
BastardOperatorFromHell
 
Benutzerbild von Schorsch
 
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
Standard

Ja, und das geht heute noch auf alten Firmwares bis glaub 06.XX. Habs irgendwann einmal ausprobiert. Provider behelfen sich z.B. durch Abschalten der Telnet-Funktion. Zumindest versuchen sie es
Schorsch ist offline   Antwort Mit Zitat antworten
Alt 04.12.2016, 13:13   #8
bimmer750
Erfahrenes Mitglied
 
Benutzerbild von bimmer750
 
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
Standard

Zitat:
Abschalten der Telnet-Funktion
Wobei mich der Schmarrn, meine FHEM-Installation gekostet hat.
bimmer750 ist offline   Antwort Mit Zitat antworten
Alt 04.12.2016, 14:35   #9
Schorsch
BastardOperatorFromHell
 
Benutzerbild von Schorsch
 
Registriert seit: 21.08.2006
Ort: Nähe KA (Großherzogtum Baden)
Fahrzeug: E32 730iA K V8(M60B40) Prod. Tag 16-10-1992 und MB S212 350CDI 4-Matic
Standard

Aus Sicht eines Providers natürlich kein Schmarrn. Nehmen wir z.B. KabelBW: Die SIP-Konten sind den Kunden unbekannt und stehen verschlüsselt in der Konfig, sofern man diese herunter lädt. Kommst Du per Telnet dran, bekommst Du diese unverschlüsselt und so womöglich dahinter, wie man auch SIP-Konten von anderen Kunden nutzen kann.

KabelBW gehört zu jenen Providern mit einem eigenen Managementnetz. Ich hab mal irgendwo ein TFTP-Log gesichert gehabt und da standen private Netzadressen drin. Hast Du root in der Box, kannst Du Dich vermutlich nahezu frei in diesem Netz bewegen. Das will man sicherlich nicht haben.

Ansonsten steht es jedem frei ein Modem zu nutzen und eine offene FritzBox anzuklemmen.
Schorsch ist offline   Antwort Mit Zitat antworten
Alt 04.12.2016, 20:38   #10
bimmer750
Erfahrenes Mitglied
 
Benutzerbild von bimmer750
 
Registriert seit: 04.10.2015
Ort: Passau
Fahrzeug: E65-750i (02.2006)
Standard

Das sicherheitstechnisch TELNET abgeschafft gehört ist klar, aber wie geschrieben war es halt für meine FHEM das Todesurteil und damit wieder Mehrarbeit.
bimmer750 ist offline   Antwort Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Netzwerk/DSL: Rettet die Flatrate oder das I-net gehört nicht der Telekom - Petition SALZPUCKEL Computer, Elektronik und Co 6 28.05.2013 15:06
Passt der Tacho vom 728i in 740i??? Bzw. ist dieser vom 728er auf meinen 740er kodierbar? madmax.krau BMW 7er, Modell E38 1 25.07.2011 00:19
Brauche die Pinbelegung vom Stecker der DME V5.2 vom M62 B35 Wo finde ich das /WDS? Marek75 BMW 7er, Modell E38 12 22.06.2010 18:40


SiebenPunktSieben - das siebte 7er-Jahrestreffen - jetzt den Foto-Bericht anschauen!
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr.

7-forum.com Forum Version 6 powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Mit der Nutzung des Forums erklären Sie sich mit den Nutzungsbedingungen einverstanden.
 

 
www.7-forum.com · Alle Rechte vorbehalten · Dies ist kein Forum der BMW Group