1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angriff von innen: Router per E-Mail…

Blöder Artikel

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Blöder Artikel

    Autor TechnicalCE 30.11.12 - 09:06

    Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router "einloggen" kann handelt es sich doch nicht um einen Hack da keine Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten immer etwas manipulieren kann.

    Wie kann man so einen Artikel auf die Menschheit loslassen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Blöder Artikel

    Autor theodore 30.11.12 - 09:12

    Den Angriff heisst CSRF und es ist eine Sicherheitslücke. Man nutzt eigentlich Challenges in den Webapplikationen um das zu unterbinden. Mein Lieblings CSRF hat eine Weiterleitung aller Emails für OWA eingerichtet, einfach durch einbinden eines IFRAME. Verstehst Du jetzt das Problem?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Blöder Artikel

    Autor TechnicalCE 30.11.12 - 09:26

    Das ganze funktioniert mit jeder webbasierten Schnittstelle wenn ich die Zugangsdaten habe, das ist keine grosse Kunst und stellt in meinen Augen keine grosse Leistung dar...und erstrecht keinen Hack da ich ja noch nicht mal die Sicherheitsmechansimen umgehen muss.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Blöder Artikel

    Autor MrT 30.11.12 - 09:49

    Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was meines Wissens nach standardmäßig eingestellt ist.

    Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert werden.

    Aus diesem Grund ist es schon eine Sicherheitslücke.

    Wobei die Lösung wohl eher darin bestehen kann, dass man keine Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen, das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl immer in der Überzahl sein werden...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Blöder Artikel

    Autor AntiMac 30.11.12 - 09:55

    MrT schrieb:
    --------------------------------------------------------------------------------
    > Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst
    > wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was
    > meines Wissens nach standardmäßig eingestellt ist.
    Was ein ganz klar eklatantes Sicherheitsrisiko ist.

    >
    > Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy
    > per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert
    > werden.
    Das kann dann nicht nur von der Mail ausgenutzt werden, sondern auch von vielen "Apps" die im Browser laufen.
    >
    > Aus diesem Grund ist es schon eine Sicherheitslücke.
    Na dann viel Spass alle Möglichkeiten zu beseitigen.
    >
    > Wobei die Lösung wohl eher darin bestehen kann, dass man keine
    > Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen,
    > das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl
    > immer in der Überzahl sein werden...
    Stimmt absolut

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Blöder Artikel

    Autor zweckform 30.11.12 - 10:03

    Der Artikel behandelt nicht, dass man sich mit einem Passwort auf einem Router einloggen kann. Es geht darum, dass man als Angreifer nicht an den in der Regel nach außen abgeschotteten Router direkt angreift, sondern per einfacher E-Mail diese Hürde nimmt - also im Zielnetz ist - und gleichzeitig eine Kombination aus schwachen E-Mail-Clients und fehlenden Challenge-Response-Verfahren im Router kombiniert. Hier wird also Technologie zweckentfremdet und schlechte Implementationen genutzt, um - ja, auf gut Glück - in Router einzudringen. Es ist damit ein "Hack" wie aus dem Bilderbuch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Blöder Artikel

    Autor ji (Golem.de) 30.11.12 - 10:04

    TechnicalCE schrieb:
    --------------------------------------------------------------------------------
    > Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router
    > "einloggen" kann handelt es sich doch nicht um einen Hack da keine
    > Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten immer
    > etwas manipulieren kann.

    Ja, das steht auch sehr deutlich im Artikel. Das Problem: Viele halten ihren Router von innen für nicht gefährdet und nutzen da schwache Passwörter. Der Angriff macht deutlich, dass das keine gute Idee ist. Das ist sicher kein großer Hack, aber doch etwas, an das viele nicht denken, wenn sie glauben, dass außer ihnen ja eh niemand an ihren Router herankommt.

    Jens Ihlenfeld
    (Golem.de)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Blöder Artikel

    Autor a user 30.11.12 - 10:25

    es geht doch nicht darum ob das eine große leistung ist oder nicht >.>

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Blöder Artikel

    Autor Hacker Harry 30.11.12 - 10:26

    ji (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > TechnicalCE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router
    > > "einloggen" kann handelt es sich doch nicht um einen Hack da keine
    > > Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten
    > immer
    > > etwas manipulieren kann.
    >
    > Ja, das steht auch sehr deutlich im Artikel. Das Problem: Viele halten
    > ihren Router von innen für nicht gefährdet und nutzen da schwache
    > Passwörter. Der Angriff macht deutlich, dass das keine gute Idee ist. Das
    > ist sicher kein großer Hack, aber doch etwas, an das viele nicht denken,
    > wenn sie glauben, dass außer ihnen ja eh niemand an ihren Router
    > herankommt.
    >
    > Jens Ihlenfeld
    > (Golem.de)

    tja.
    ein irrglaube, den Sie da beschreiben, der aber, wie Sie richtig
    bemerken, weit verbreitet ist.

    auf der anderen seite sind das ganz schön viele "IFs" die dort
    erfüllt sein müssen.

    Best Bytes®,
    Harry

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Blöder Artikel

    Autor IpToux 30.11.12 - 13:09

    Ich muss da recht geben, es ist kein wirklicher hack... theoretisch könnte jede website einen iFrame einbinden.....

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. "managen nur über lokales Netzwerk erlaubt ist"

    Autor fratze123 30.11.12 - 13:23

    deswegen baut man als bösewicht dann dieses zeug per javascript. läuft auf'm client und ist damit "lokales netzwerk".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. iframe, javascript... was auch immer.

    Autor fratze123 30.11.12 - 13:26

    die problematik ist schon länger bekannt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Blöder Artikel

    Autor SoniX 30.11.12 - 13:41

    MrT schrieb:
    --------------------------------------------------------------------------------
    > Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst
    > wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was
    > meines Wissens nach standardmäßig eingestellt ist.

    Ja, man ist dann ja im lokalen Netz.

    > Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy
    > per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert
    > werden.

    Ja. Genauso wie ich ihn per Weboberfläche oder auch per zB Telnet aufrufen kann.

    > Aus diesem Grund ist es schon eine Sicherheitslücke.

    Sehe ich nicht so. Ein Router soll ja konfigurierbar sein.

    > Wobei die Lösung wohl eher darin bestehen kann, dass man keine
    > Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen,
    > das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl
    > immer in der Überzahl sein werden...

    Naja, dann müssen sies eben lernen.

    Wenn man ein Gerät kauft wird als erstes das Passwort gewechselt. Das kann sich jeder merken und hilft ungemein. Würde ja auch niemand einen Safe kaufen und dann die Standardkombination "0000" drinlassen; da würde auch jeder nachdenken und etwas anderes vergeben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


LG 34UM95 im Test: Ultra-Widescreen-Monitor für 3K-Gaming
LG 34UM95 im Test
Ultra-Widescreen-Monitor für 3K-Gaming
  1. Free-Form Display Sharp zeigt LCD mit kurvigem Rahmen
  2. Eizo Foris FS2434 IPS-Display mit schmalem Rahmen für Spieler
  3. Philips 19DP6QJNS Klappmonitor mit zwei IPS-Displays

Privacy: Unsichtbares Tracking mit Bildern statt Cookies
Privacy
Unsichtbares Tracking mit Bildern statt Cookies
  1. Passenger Name Record Journalist findet seine Kreditkartendaten beim US-Zoll
  2. Android Zurücksetzen löscht Daten nur unvollständig
  3. Privatsphäre Bundesminister verlangt Datenschutz beim vernetzten Auto

PC-Spiele mit 4K, 6K, 8K, 15K: "Spielen mit Downsampling schlägt Full-HD immer"
PC-Spiele mit 4K, 6K, 8K, 15K
"Spielen mit Downsampling schlägt Full-HD immer"
  1. Transformers Ära des Untergangs - gefilmt mit Sensoren im Imax-Format
  2. Intel-Partnerschaft mit Samsung 4K-Monitore sollen unter 400 US-Dollar gedrückt werden
  3. Asus ROG Kleine Gaming-PCs im Konsolendesign mit Desktophardware

  1. Wearables: Fitbit unterstützt Windows
    Wearables
    Fitbit unterstützt Windows

    Mit dem jüngsten Software-Update könnte Microsoft sich endlich den wachsenden Markt für Wearables erschließen. Als erster Fitnesstracker unterstützt nun Fitbit die Windows-Plattform.

  2. 3D-Technologie: US-Armee will Sprengköpfe drucken
    3D-Technologie
    US-Armee will Sprengköpfe drucken

    Die US-Armee testet die Möglichkeit, Sprengköpfe am 3D-Drucker herzustellen. Das Ergebnis soll sowohl präziser als auch billiger sein als herkömmliche Waffen.

  3. Hohe Investition: Hilton will Hotelschlüssel durch Smartphones ersetzen
    Hohe Investition
    Hilton will Hotelschlüssel durch Smartphones ersetzen

    Die Hotelkette Hilton will die Chipkarten als Zimmerschlüssel ersetzen. Dafür wird mehr als eine halbe Milliarde US-Dollar investiert. Das soll Personal- und Verwaltungskosten sparen.


  1. 07:47

  2. 07:29

  3. 07:18

  4. 22:24

  5. 20:51

  6. 19:20

  7. 19:03

  8. 18:18