Sicherheitsrisiko-DSL Router
Sa 17. Mai 2008, 13:16
Ende Januar erlebten Kunden einer mexikanischen Bank einen Phishing-Angriff der besonderen Art: Das Ziel war primär nicht der Rechner des Kunden, sondern dessen DSL-Router. Sicherheitsexperten wunderten sich, dass diese Lücke erst jetzt ausgenutzt wurde - sie ist schon seit über einem Jahr bekannt.Der Angriff kam per E-Mail mit dem Link zu einer Grußkarte. Auf der verlinkten Webseite gab es tatsächlich eine Grußkarte - aber auch ein JavaScript, das ohne Zutun und Wissen des Users ausgeführt wurde. Es veränderte im DSL-Router den DNS-Server, der zur Auflösung von Domain-Namen in IP-Adressen verwendet wird und leitete DNS-Anfragen auf einen präparierten, von Kriminellen betriebenen Server um . Dieser lieferte für bestimmte Webseiten, wie bei der Bank, eine falsche IP-Adresse und leitete die Bankkunden so auf eine gefälschte, der Original-Bankseite täuschend ähnlichen Seite um. Kontonummern, Passworte und PINs fielen in die Hände der Kriminellen, ohne dass die Kunden anfänglich etwas davon merkten. Stutzig wurden diese erst, als ihre Transaktionen nicht ausgeführt wurden.
Das JavaScript auf der Grußkarten-Seite war sehr einfach aufgebaut und richtete sich gegen einen in Mexiko weit verbreiteten DSL-Router. Der Zugang zur Administration dieses Routers ist in der werkseitigen Einstellung nicht mit einem Passwort geschützt - daher hatten die Angreifer leichtes Spiel.
Gefahr auch für Deutschland?
Nun ist Deutschland nicht Mexiko: Bei allen in Deutschland vertriebenen DSL-Routern müssen vor Änderungen an den Werkseinstellungen die Zugangsdaten zur Administration des Routers eingegeben werden. Trotzdem halten Sicherheitsexperten ein derartiges Angriffsszenario auch hier für möglich, ja sogar wahrscheinlich. Der Grund: Die Administrationszugänge zum Router sind zwar passwortgeschützt, aber Benutzer-/Passwort-Kombinationen wie "admin/admin" oder "admin/passwort" sind nicht schwer zu erraten. Darüber hinaus sind im Internet Listen mit den Daten fast aller gängigen DSL-Router abrufbar. Ein Virus, der eine entsprechende Datenbank im Gepäck hat oder nachlädt, hat leichtes Spiel - kaum ein DSL-Nutzer ändert nach dem Verkabeln seiner Hardware die voreingestellten Zugangsdaten zu seinem Router. Warum auch, es funktioniert ja alles.
Passwort ändern - Virus aussperren
Der DSL-Nutzer kann solch einem Angriff sehr einfach einen Riegel vorschieben, indem er das Passwort zu seinem Router ändert. Natürlich sollte es nicht der Name des Dackels sein, sondern schon etwas schwerer zu erraten - denn die nächste Generation dieses Virus' könnte einen Passwort-Cracker im Rucksack haben.
Doch ist es überhaupt möglich, bei den meist kostenlos mit DSL-Paketen ausgelieferten Geräten das Passwort zu ändern? Nachfragen bei den DSL-Anbietern, die bundesweit operieren, ergaben, dass sogar alle Anbieter ihre Kunden dazu ermutigen, das Passwort zu ändern. Entsprechende Hinweise finden sich entweder in den Bedienungsanleitungen, sind als auffällige farbige Zettel beigelegt oder der Kunde wird wie bei Arcor während der Installation der Zugangssoftware dazu aufgefordert. Nur HanseNet tanzt aus der Reihe und macht aus den Zugangsdaten zu seinen Geräten ein Geheimnis.
Sonderfall Hansenet
Die Nachfrage bei HanseNet ergab, dass der Anbieter keine Router ausliefere, sondern nur Modems - allerdings würden im Internet Anleitungen kursieren, wie aus diesem Modem ein Router gemacht werden könne. Solch eine Stellungnahme ist natürlich unsinnig: aus einem Modem lässt sich genauso wenig ein Router machen, wie aus einer Telefonanlage ein PC. (Bei den ausgelieferten Geräten handelt es sich um "kastrierte" Router, bei denen lediglich die Router-Funktion abgeschaltet wurde.) Weiter heißt es bei HanseNet: Solange der Nutzer an den Voreinstellungen der Geräte nichts ändere, liefe ein Angriff, wie er in Mexiko stattfand, ins Leere. Das stimmt - bedingt.
Tests ergaben, dass sich die Router-Funktion wieder aktivieren lässt, über die Einwahlsoftware dann aber kein Zugang zum Internet mehr zu bekommen ist. Erst nach Abschalten oder Deinstallieren dieser Software ist das Internet wieder erreichbar. Wer über die Zugangsdaten zum HanseNet-Router verfügt (die über eine Suche im Internet leicht zu finden sind) kann mit einer einfachen Text-Datei sämtliche Einstellungen am Gerät verändern - inklusive des DNS-Servers und der Firewall. Auch der Hinweis von HanseNet, dass zum Deinstallieren der Zugangssoftware auf dem Rechner Administratorrechte nötig seien, ist wenig beruhigend: Der standardmäßig bei der Installation angelegte Benutzer unter Windows XP besitzt Administratorrechte.
Nun ist zugegebenermaßen ein Virus, der all das erledigt, etwas umfangreicher zu programmieren - auf der anderen Seite kann ein Virenschreiber aber davon ausgehen, dass bei 90 Prozent der HanseNet-"Modems" die werkseitig eingestellten Zugangsdaten nicht verändert wurden. Ein lohnendes Ziel?
von Rainer Mersmann
Das JavaScript auf der Grußkarten-Seite war sehr einfach aufgebaut und richtete sich gegen einen in Mexiko weit verbreiteten DSL-Router. Der Zugang zur Administration dieses Routers ist in der werkseitigen Einstellung nicht mit einem Passwort geschützt - daher hatten die Angreifer leichtes Spiel.
Gefahr auch für Deutschland?
Nun ist Deutschland nicht Mexiko: Bei allen in Deutschland vertriebenen DSL-Routern müssen vor Änderungen an den Werkseinstellungen die Zugangsdaten zur Administration des Routers eingegeben werden. Trotzdem halten Sicherheitsexperten ein derartiges Angriffsszenario auch hier für möglich, ja sogar wahrscheinlich. Der Grund: Die Administrationszugänge zum Router sind zwar passwortgeschützt, aber Benutzer-/Passwort-Kombinationen wie "admin/admin" oder "admin/passwort" sind nicht schwer zu erraten. Darüber hinaus sind im Internet Listen mit den Daten fast aller gängigen DSL-Router abrufbar. Ein Virus, der eine entsprechende Datenbank im Gepäck hat oder nachlädt, hat leichtes Spiel - kaum ein DSL-Nutzer ändert nach dem Verkabeln seiner Hardware die voreingestellten Zugangsdaten zu seinem Router. Warum auch, es funktioniert ja alles.
Passwort ändern - Virus aussperren
Der DSL-Nutzer kann solch einem Angriff sehr einfach einen Riegel vorschieben, indem er das Passwort zu seinem Router ändert. Natürlich sollte es nicht der Name des Dackels sein, sondern schon etwas schwerer zu erraten - denn die nächste Generation dieses Virus' könnte einen Passwort-Cracker im Rucksack haben.
Doch ist es überhaupt möglich, bei den meist kostenlos mit DSL-Paketen ausgelieferten Geräten das Passwort zu ändern? Nachfragen bei den DSL-Anbietern, die bundesweit operieren, ergaben, dass sogar alle Anbieter ihre Kunden dazu ermutigen, das Passwort zu ändern. Entsprechende Hinweise finden sich entweder in den Bedienungsanleitungen, sind als auffällige farbige Zettel beigelegt oder der Kunde wird wie bei Arcor während der Installation der Zugangssoftware dazu aufgefordert. Nur HanseNet tanzt aus der Reihe und macht aus den Zugangsdaten zu seinen Geräten ein Geheimnis.
Sonderfall Hansenet
Die Nachfrage bei HanseNet ergab, dass der Anbieter keine Router ausliefere, sondern nur Modems - allerdings würden im Internet Anleitungen kursieren, wie aus diesem Modem ein Router gemacht werden könne. Solch eine Stellungnahme ist natürlich unsinnig: aus einem Modem lässt sich genauso wenig ein Router machen, wie aus einer Telefonanlage ein PC. (Bei den ausgelieferten Geräten handelt es sich um "kastrierte" Router, bei denen lediglich die Router-Funktion abgeschaltet wurde.) Weiter heißt es bei HanseNet: Solange der Nutzer an den Voreinstellungen der Geräte nichts ändere, liefe ein Angriff, wie er in Mexiko stattfand, ins Leere. Das stimmt - bedingt.
Tests ergaben, dass sich die Router-Funktion wieder aktivieren lässt, über die Einwahlsoftware dann aber kein Zugang zum Internet mehr zu bekommen ist. Erst nach Abschalten oder Deinstallieren dieser Software ist das Internet wieder erreichbar. Wer über die Zugangsdaten zum HanseNet-Router verfügt (die über eine Suche im Internet leicht zu finden sind) kann mit einer einfachen Text-Datei sämtliche Einstellungen am Gerät verändern - inklusive des DNS-Servers und der Firewall. Auch der Hinweis von HanseNet, dass zum Deinstallieren der Zugangssoftware auf dem Rechner Administratorrechte nötig seien, ist wenig beruhigend: Der standardmäßig bei der Installation angelegte Benutzer unter Windows XP besitzt Administratorrechte.
Nun ist zugegebenermaßen ein Virus, der all das erledigt, etwas umfangreicher zu programmieren - auf der anderen Seite kann ein Virenschreiber aber davon ausgehen, dass bei 90 Prozent der HanseNet-"Modems" die werkseitig eingestellten Zugangsdaten nicht verändert wurden. Ein lohnendes Ziel?
von Rainer Mersmann
Sa 17. Mai 2008, 13:16
Bei iphpbb3.com bekommen Sie ein kostenloses Forum mit vielen tollen Extras
Forum kostenlos einrichten - Hot Topics - Tags
Beliebteste Themen: Nachrichten, Youtube, NES, Spiele, Erde
Impressum | Datenschutz