Abo
  1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › Fritzbox: Routerhack bleibt dubios

Bin davon betroffen…

  1. Thema

Neues Thema Ansicht wechseln


  1. Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 17:16

    …aber angeblich ist keine meiner Email-Adressen mit Passwörtern in dieser Datenbank des BSI.
    Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21 Minuten (auf die Sekunde genau).

    Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

  2. Re: Bin davon betroffen…

    Autor: Sinnfrei 06.02.14 - 18:13

    Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen? TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    __________________
    ...

  3. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 18:44

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich persönlich halte die Erklärung mit dem BSI für Quatsch.

    Stumpfer Portscan, dann haben die mit einem Tool durchgecheckt was hinter der Adresse ist, dazu gibt es eine Brute Force Liste mit Passwörtern.

    Das ist ein automatisches Skript das da abläuft. Je nachdem was man hinter dem Port findet, gibt es Spamversand, Botnetz, Fernanruf usw. Die Tools kann man für 1000¤ im jeden Darknet-Knoten kaufen, inkl. Updates.

    In dem Fall: Fritzbox(a) in Deutschland(b) mit Fernnummer (c) für die keine Sperre eingerichtet war. Ganz simpel. Für den Netzuntergrund ist das Alltagsgeschäft, auf das jetzt ganz viele Aufspringen werden.

  4. Re: Bin davon betroffen…

    Autor: autidem 06.02.14 - 18:55

    Sinnfrei schrieb:
    --------------------------------------------------------------------------------
    > Welcher Provider? Und ist es eine Box mit angepasster Firmware von denen?
    > TR-069 (Port 8089) vielleicht auch über Web erreichbar (vielleicht
    > benutzten die da ja ein Default-Passwort)? Oder was war sonst noch offen?

    Ja, ich vermute auch TR-069 als Ursache. Mal sehen, was da noch rauskommt, das wäre nämlich der Hammer!

  5. Re: Bin davon betroffen…

    Autor: User_x 06.02.14 - 18:56

    ist ein ip-phone eine voip-verbindung??? (dann haben die doch ausser meiner ip keine daten? kosten, egal da kein vertragsverhältnis?)

    hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da unitymedia keine flat für ein bestimmtes land hat...

  6. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 19:00

    Der Provider ist Unitymedia mit einer Fritz-Box für Kabel. Da ist eine angepasste Firmware von Unitymedia drauf. Eingerichtet war der Fernzugriff über https, vpn und ein paar Portweiterleitungen.

    Unitymedia hat natürlich auch Zugriff auf die Box um Updates einzuspielen. Das ist ja für den User gesperrt.

  7. Re: Bin davon betroffen…

    Autor: Trockenobst 06.02.14 - 19:04

    User_x schrieb:
    --------------------------------------------------------------------------------
    > hab zwar selbst eine fritzbox, telefoniere aber über ein voip-anbieter, da
    > unitymedia keine flat für ein bestimmtes land hat...

    In meinem Fritzbox Internettelefonie-Menü kann ich folgendes einstellen:

    ---snip---
    [ ] Festnetz-Ersatzverbindung verwenden
    Wenn die Anwahl über das Internet nicht möglich ist, wird die Telefonverbindung ersatzweise über den Festnetzanschluss der FRITZ!Box hergestellt.
    Hinweis: Sie telefonieren dann zum Festnetz-Tarif.
    ---snip---

    Somit agiert die Fritzbox dann als VOIP->Festnetz Bridge. Da hilft dann nur eine Landes-Sperre vom ISP/Anbieter, denn das knacken der Fernwartung erlaubt die Änderung des Settings auch ohne zusätzliches Passwort. Da ist man quasi immer "Root".

  8. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 19:52

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Bei mir wurde ein "IP Phone" eingerichtet und mit diesem sehr oft nach
    > Sierra Leone angerufen. Jeder dieser Anrufe dauerte zwischen 2 und 21
    > Minuten (auf die Sekunde genau).


    Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse")?

    Da auch fehlgeschlagene Logins geloggt werden, wäre es interessant, ob genau beim ersten Mal das Login klappte. Das würde bedeuten, dass der Angreifer bei Zugriff auf die Fritzbox ihre Zugangsdaten kannte. Dann wäre die Frage: woher?

    Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr Passwort eingegeben?

    batmak

  9. Re: Bin davon betroffen…

    Autor: Maximilian_XCV 06.02.14 - 20:15

    Also wir haben auch eine Fritzbox von KabelBW und hier ist nichts passiert. Die Fernwartungsfunktion ist schon seit einem Jahr mit den gleichen Zugangsdaten eingeschaltet (gewesen; jetzt vorübergehend aus, bis die Ursache geklärt ist).

    Ich finde das ganze Thema auf jeden Fall sehr komisch und werde es weiter verfolgen.

  10. Re: Bin davon betroffen…

    Autor: Sascha H. 06.02.14 - 20:15

    > batmak schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von außen
    > auf das Webinterface? ("Anmeldung des Benutzers $Username an der FRITZ!Box
    > Benutzeroberfläche von IP-Adresse $ipadresse")?
    Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante" Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.


    > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > Passwort eingegeben?
    Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN. Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch findet.

  11. Re: Bin davon betroffen…

    Autor: nicoledos 06.02.14 - 20:18

    ich weiss warum ich keine zwangsrouter mag

  12. Re: Bin davon betroffen…

    Autor: batmak 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.

    Das FritzBox Ereignis-Log ist nicht reboot fest. Nach einem Softwareupdate (incl. Reboot) fängt dieses folglich immer leer wieder an. Interessant ist die automatisch tägliche eMail-Zusendung dieser Daten (System > Push-Service > FRITZ!Box-Info)

    > > Nutzen Sie z.B. Handy-Apps für den Zugriff auf die Fritzbox von zuhause
    > > oder von unterwegs ? Auch welche von Dritt-Anbietern? Haben Sie dort ihr
    > > Passwort eingegeben?
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.
    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    OK. Immerhin heißt das, dass schon vorher ein "IP-Telefon" als Telefongerät in der Fritzbox angelegt war. An meldet sich die FRITZ!App meines Wissens nach an. Bleibt die Frage, ob die "SIP-Anmeldung aus dem Internet" (welche in diesem Angriffsszenario wohl verwendet wurde) aktiv war (in den Eigenschaften des "IP-Telefon"-Eintragen).

    batmak

  13. Re: Bin davon betroffen…

    Autor: denta 06.02.14 - 20:32

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > Ich benutze sonst nur die offizielle FRITZ!App für iOS über WLAN oder VPN.

    Auch über fremde WLANs?
    Verschlüsselt die App sauer?

    > Das Passwort ist eigentlich auch keins, dass man in jedem Wörterbuch
    > findet.

    Nutzt Du das Passwort auch an anderen Stellen, so dass dort gesnifft werden konnte?

  14. Re: Bin davon betroffen…

    Autor: b_s101 07.02.14 - 08:18

    Sascha H. schrieb:
    --------------------------------------------------------------------------------
    > > batmak schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > Sahen/Sehen Sie im Fritzbox-Log (System > Ereignisse) den Zugriff von
    > außen
    > > auf das Webinterface? ("Anmeldung des Benutzers $Username an der
    > FRITZ!Box
    > > Benutzeroberfläche von IP-Adresse $ipadresse")?
    > Komischerweise gehen die Logeinträge nur bis dahin zurück, wo Unitymedia am
    > 04.02. neue Einstellungen an das Gerät übertragen hat. Der "interessante"
    > Zeitraum (31.01.14 02:18 Uhr) ist dort nicht mehr drin.
    Das mit den "neuen Einstellungen" würde mich stutzig machen. Sicher, dass die von Unitymedia kamen? Hier kommt nämlich TR-069 zum Einsatz.

  15. Re: Bin davon betroffen…

    Autor: RcRaCk2k 03.03.14 - 20:21

    Einen Bekannten von mir hat es auch erwischt... Kein TR-069, alles manuell eingerichtet. FRITZ!OS 05.53 war zu dem Zeitpunkt installiert.

    Ich habe mir von seiner Box immer jeden Tag die Push-Messages schicken lassen. Was ich sehen kann:

    * Am 06.02 war der Fernzugriff noch aktiviert
    * Am 07.02 war dieser deaktiviert

    Es gab keine Einträge "Anmeldung des Benutzers $Username an der FRITZ!Box Benutzeroberfläche von IP-Adresse $ipadresse" ... Das ist eben das sehr komische.

    Ich habe alle Logs bis zurück in mehrere Monate. Es gibt keine Auffälligkeiten.

    Die Box war mittels BENUTZERNAME + KENNWORT verschlüsselt. Der Hacker wäre da niemals mit den Daten rein gekommen, da die Kombination schon echt schwer zu erraten ist und die Daten einmalig sind (werden kein zweites Mal verwendet). Im internen Netz wird ein sehr starkes Fritz!Box Kennwort verwendet, wo man immer auf den Zettel kucken muss, da man sich dies einfach nicht merken kann, so kryptisch ist dies.

    Ich denke, dass die Leute ohne Authentifizierung in das System gefunden haben.

    Es wurden keine IP-Telefone angelegt, sondern die VoIP-Daten ausgelesen und mit diesen direkt eine SIP-Verbindung zur Gegenstelle aufgebaut. Auch in den Call-Logs in der Fritz!Box ist in dem besagten Zeitraum nichts zu finden.

    Angerufen wurden folgende Nummern:
    +68687004 (0068687004)
    +22504163156 (0022504163156)
    +201151582627 (00201151582627)
    +263778796620 (00263778796620)
    +22504754175 (0022504754175)

    Vielleicht hat auch jemand diese Rufnummern bei sich gefunden. Ich denke dass es unterschiedliche Gruppen waren, die sich da den "Spaß" erlaubt haben.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Haufe Group, Freiburg
  2. Dataport, verschiedene Standorte
  3. Wirecard Service Technologies GmbH, Aschheim bei München
  4. AAF Europe, Heppenheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. Rabattcodes PCGH-SOMMER! (Stühle) und PCGH-KEY! (Tastaturen)
  2. 334,00€
  3. 399€ (Wert der Spiele rund 212€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bundestagsanhörung: Beim NetzDG drohen erste Bußgelder
Bundestagsanhörung
Beim NetzDG drohen erste Bußgelder

Aufgrund des Netzwerkdurchsetzungsgesetzes laufen mittlerweile über 70 Verfahren gegen Betreiber sozialer Netzwerke. Das erklärte der zuständige Behördenchef bei einer Anhörung im Bundestag. Die Regeln gegen Hass und Hetze auf Facebook & Co. entzweien nach wie vor die Expertenwelt.
Ein Bericht von Justus Staufburg

  1. NetzDG Grüne halten Löschberichte für "trügerisch unspektakulär"
  2. NetzDG Justizministerium sieht Gesetz gegen Hass im Netz als Erfolg
  3. Virtuelles Hausrecht Facebook muss beim Löschen Meinungsfreiheit beachten

Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

  1. Günther Schuh: Streetscooter-Gründer will Unternehmen zurückkaufen
    Günther Schuh
    Streetscooter-Gründer will Unternehmen zurückkaufen

    Der Elektroautohersteller Streetscooter steht offenbar vor dem Verkauf. Der Aachener Maschinenbauprofessor und Mitbegründer Günther Schuh will das Unternehmen angeblich von der Deutschen Post zurückerwerben.

  2. Elektroauto: Skoda Citigo e iV soll 265 km weit fahren
    Elektroauto
    Skoda Citigo e iV soll 265 km weit fahren

    Skoda hat mit dem Citigo e iV ein neues Elektroauto auf Basis des VW Up vorgestellt. Das Fahrzeug soll eine Reichweite von 265 km nach WLTP erreichen. Das ist durch einen größeren Akku möglich.

  3. Indiegames-Rundschau: Drogen, Schwerter, Roboter-Ritter
    Indiegames-Rundschau
    Drogen, Schwerter, Roboter-Ritter

    Weedcraft Inc. und Imperator Rome fordern Strategie, Katana Zero die Reflexe - und Steamworld Quest bringt Taktik ins Kartenspiel.


  1. 07:30

  2. 07:11

  3. 07:00

  4. 19:15

  5. 19:00

  6. 18:45

  7. 18:26

  8. 18:10