1. Foren
  2. » Kommentare
  3. » Security
  4. » Alle Kommentare zum Artikel
  5. » Angriff von innen: Router per E-Mail…

Blöder Artikel

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Blöder Artikel

    Autor TechnicalCE 30.11.12 - 09:06

    Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router "einloggen" kann handelt es sich doch nicht um einen Hack da keine Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten immer etwas manipulieren kann.

    Wie kann man so einen Artikel auf die Menschheit loslassen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Blöder Artikel

    Autor theodore 30.11.12 - 09:12

    Den Angriff heisst CSRF und es ist eine Sicherheitslücke. Man nutzt eigentlich Challenges in den Webapplikationen um das zu unterbinden. Mein Lieblings CSRF hat eine Weiterleitung aller Emails für OWA eingerichtet, einfach durch einbinden eines IFRAME. Verstehst Du jetzt das Problem?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Blöder Artikel

    Autor TechnicalCE 30.11.12 - 09:26

    Das ganze funktioniert mit jeder webbasierten Schnittstelle wenn ich die Zugangsdaten habe, das ist keine grosse Kunst und stellt in meinen Augen keine grosse Leistung dar...und erstrecht keinen Hack da ich ja noch nicht mal die Sicherheitsmechansimen umgehen muss.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Blöder Artikel

    Autor MrT 30.11.12 - 09:49

    Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was meines Wissens nach standardmäßig eingestellt ist.

    Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert werden.

    Aus diesem Grund ist es schon eine Sicherheitslücke.

    Wobei die Lösung wohl eher darin bestehen kann, dass man keine Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen, das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl immer in der Überzahl sein werden...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Blöder Artikel

    Autor AntiMac 30.11.12 - 09:55

    MrT schrieb:
    --------------------------------------------------------------------------------
    > Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst
    > wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was
    > meines Wissens nach standardmäßig eingestellt ist.
    Was ein ganz klar eklatantes Sicherheitsrisiko ist.

    >
    > Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy
    > per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert
    > werden.
    Das kann dann nicht nur von der Mail ausgenutzt werden, sondern auch von vielen "Apps" die im Browser laufen.
    >
    > Aus diesem Grund ist es schon eine Sicherheitslücke.
    Na dann viel Spass alle Möglichkeiten zu beseitigen.
    >
    > Wobei die Lösung wohl eher darin bestehen kann, dass man keine
    > Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen,
    > das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl
    > immer in der Überzahl sein werden...
    Stimmt absolut

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Blöder Artikel

    Autor zweckform 30.11.12 - 10:03

    Der Artikel behandelt nicht, dass man sich mit einem Passwort auf einem Router einloggen kann. Es geht darum, dass man als Angreifer nicht an den in der Regel nach außen abgeschotteten Router direkt angreift, sondern per einfacher E-Mail diese Hürde nimmt - also im Zielnetz ist - und gleichzeitig eine Kombination aus schwachen E-Mail-Clients und fehlenden Challenge-Response-Verfahren im Router kombiniert. Hier wird also Technologie zweckentfremdet und schlechte Implementationen genutzt, um - ja, auf gut Glück - in Router einzudringen. Es ist damit ein "Hack" wie aus dem Bilderbuch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Blöder Artikel

    Autor ji (Golem.de) 30.11.12 - 10:04

    TechnicalCE schrieb:
    --------------------------------------------------------------------------------
    > Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router
    > "einloggen" kann handelt es sich doch nicht um einen Hack da keine
    > Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten immer
    > etwas manipulieren kann.

    Ja, das steht auch sehr deutlich im Artikel. Das Problem: Viele halten ihren Router von innen für nicht gefährdet und nutzen da schwache Passwörter. Der Angriff macht deutlich, dass das keine gute Idee ist. Das ist sicher kein großer Hack, aber doch etwas, an das viele nicht denken, wenn sie glauben, dass außer ihnen ja eh niemand an ihren Router herankommt.

    Jens Ihlenfeld
    (Golem.de)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Blöder Artikel

    Autor a user 30.11.12 - 10:25

    es geht doch nicht darum ob das eine große leistung ist oder nicht >.>

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Blöder Artikel

    Autor Hacker Harry 30.11.12 - 10:26

    ji (Golem.de) schrieb:
    --------------------------------------------------------------------------------
    > TechnicalCE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Also wenn ich mich mit einem Benutzernamen und Passwort bei einem Router
    > > "einloggen" kann handelt es sich doch nicht um einen Hack da keine
    > > Sicherheitslücke ausgenutzt wird da ich mit Wisser der Zugangsdaten
    > immer
    > > etwas manipulieren kann.
    >
    > Ja, das steht auch sehr deutlich im Artikel. Das Problem: Viele halten
    > ihren Router von innen für nicht gefährdet und nutzen da schwache
    > Passwörter. Der Angriff macht deutlich, dass das keine gute Idee ist. Das
    > ist sicher kein großer Hack, aber doch etwas, an das viele nicht denken,
    > wenn sie glauben, dass außer ihnen ja eh niemand an ihren Router
    > herankommt.
    >
    > Jens Ihlenfeld
    > (Golem.de)

    tja.
    ein irrglaube, den Sie da beschreiben, der aber, wie Sie richtig
    bemerken, weit verbreitet ist.

    auf der anderen seite sind das ganz schön viele "IFs" die dort
    erfüllt sein müssen.

    Best Bytes®,
    Harry

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Blöder Artikel

    Autor IpToux 30.11.12 - 13:09

    Ich muss da recht geben, es ist kein wirklicher hack... theoretisch könnte jede website einen iFrame einbinden.....

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. "managen nur über lokales Netzwerk erlaubt ist"

    Autor fratze123 30.11.12 - 13:23

    deswegen baut man als bösewicht dann dieses zeug per javascript. läuft auf'm client und ist damit "lokales netzwerk".

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. iframe, javascript... was auch immer.

    Autor fratze123 30.11.12 - 13:26

    die problematik ist schon länger bekannt.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Blöder Artikel

    Autor SoniX 30.11.12 - 13:41

    MrT schrieb:
    --------------------------------------------------------------------------------
    > Es geht bei der ganzen Sache darum, dass du auf den Router kommst, selbst
    > wenn bei diesem das managen nur über lokales Netzwerk erlaubt ist - was
    > meines Wissens nach standardmäßig eingestellt ist.

    Ja, man ist dann ja im lokalen Netz.

    > Öffnet dann der angegriffene die Email im Heimnetz - z.B. weil das Handy
    > per Wlan eingeloggt ist, so kann der Router von innen umkonfiguriert
    > werden.

    Ja. Genauso wie ich ihn per Weboberfläche oder auch per zB Telnet aufrufen kann.

    > Aus diesem Grund ist es schon eine Sicherheitslücke.

    Sehe ich nicht so. Ein Router soll ja konfigurierbar sein.

    > Wobei die Lösung wohl eher darin bestehen kann, dass man keine
    > Standardpasswörter einsetzt, da die Leute, die noch nicht einmal wissen,
    > das "diese Internetkiste da" ein Webinterface mit Passwort hat werden wohl
    > immer in der Überzahl sein werden...

    Naja, dann müssen sies eben lernen.

    Wenn man ein Gerät kauft wird als erstes das Passwort gewechselt. Das kann sich jeder merken und hilft ungemein. Würde ja auch niemand einen Safe kaufen und dann die Standardkombination "0000" drinlassen; da würde auch jeder nachdenken und etwas anderes vergeben.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Cortana im Test: Gebt Windows Phone eine Stimme
Cortana im Test
Gebt Windows Phone eine Stimme

Mit Windows Phone 8.1 bringt Microsoft nicht nur lange vermisste Funktionen wie die zentrale Benachrichtigungsübersicht auf das Smartphone, sondern auch die Sprachassistentin Cortana. Diese kann den Alltag tatsächlich erleichtern - und singen.

  1. Smartphones Nokia und HTC planen Updates auf Windows Phone 8.1
  2. Ativ SE Samsungs neues Smartphone mit Windows Phone
  3. Microsoft Internet Explorer 11 für Windows Phone

Wolfenstein The New Order: "Als Ein-Mann-Armee gegen eine Übermacht"
Wolfenstein The New Order
"Als Ein-Mann-Armee gegen eine Übermacht"

B. J. Blazkowicz muss demnächst wieder die Welt retten - in einem Wolfenstein aus Schweden. Im Interview hat Golem.de mit Andreas Öjerfors, dem Senior Gameplay Designer, über verbotene Inhalte, die KI und Filmvorbilder von The New Order gesprochen.

  1. The New Order Wolfenstein erscheint ohne inhaltliche Schnitte
  2. Wolfenstein angespielt Agent Blazkowicz in historischer Mission
  3. Bethesda Zugang zur Doom-Beta führt über Wolfenstein

Vorratsdatenspeicherung: Totgesagte speichern länger
Vorratsdatenspeicherung
Totgesagte speichern länger

Die Interpretationen des EuGH-Urteils zur Vorratsdatenspeicherung gehen weit auseinander. Für einen endgültigen Abgesang auf die anlasslose Speicherung von Kommunikationsdaten ist es aber noch zu früh.

  1. Bundesregierung Vorerst kein neues Gesetz zur Vorratsdatenspeicherung
  2. Innenministertreffen Keine schnelle Neuregelung zur Vorratsdatenspeicherung
  3. Urteil zu Vorratsdatenspeicherung Regierung uneins über neues Gesetz

  1. Statt Asus: Google will Nexus 8 angeblich mit HTC produzieren
    Statt Asus
    Google will Nexus 8 angeblich mit HTC produzieren

    Google will sein neues Nexus-Tablet, das Nexus 8, laut Medienberichten zusammen mit HTC statt mit Asus fertigen. Das Tablet soll ab dem dritten Quartal 2014 verkauft werden.

  2. 25 Jahre Gameboy: Nintendos kultisch verehrte Daddelkiste
    25 Jahre Gameboy
    Nintendos kultisch verehrte Daddelkiste

    Der Gameboy ist gut gealtert - heute wird mit der Konsole Musik gemacht, und selbst Spieleprogrammierer werden beim Anblick des grauen 8-Bit-Klotzes nostalgisch.

  3. Digitalkamera: Panono macht Panoramen im Flug
    Digitalkamera
    Panono macht Panoramen im Flug

    Wenn Jonas Pfeil ein Panorama aufnimmt, stellt er nicht Kamera, Stativ und Panoramakopf auf, sondern wirft einen Ball in die Höhe. Um das Panorama anschließend zu betrachten, hantiert er mit einem Tablet. Der Berliner hat Golem.de seine Entwicklung erklärt.


  1. 13:11

  2. 11:35

  3. 11:30

  4. 11:24

  5. 16:17

  6. 15:00

  7. 12:36

  8. 12:00