Andere Router/Provider

Gibt es eigentlich Hinweise, ob auch andere Router oder Provider versucht wurden anzugreifen?

Die gibt es täglich. Nur merkt der normale User nichts davon. Und ob diese "Angriffe" erfolgreich sind ist nochmal eine andere Frage.



2 mal bearbeitet, zuletzt am 29.11.16 09:52 durch Tomar.

Das ist ja das wirklich gefährliche an der Sache, wenn sie erfolgreich sind, merkt normal User nichts, oder wer protokolliert oder wertet das Log vom traffic aus.

Meiner Meinung einfach ein Schulungsproblem. Normaluser wissen von diesen ganzen Sachen nichts, ein Internetführerschein bzw. ein paar Stunden "Sicherheit im Internet" im Informatikunterricht könnte doch mal helfen. In der Schule wird aber weiterhin mit Office rumgespielt ... tssss.

Aber was juckt das alles mich ? Null. Ich verbaue nur Fremdrouter, die von aussen NULL Traffic reinlassen und die ich von aussen auch per Portscan checke, ob die tun, was die sollen und die entsprechende Firewallreports generieren. Admininterface sind entsprechend dicht und Updates werden von intern über Kabel angestossen und regelmässig eingespielt. Und intern dann noch eine DMZ mit einer FreeBSD-Firewall dazu. WLAN komplett dicht, AntiVirus überall.
Sehe da geringe Chancen, dass da je einer reinkommt ...

Aber wer halt unbedingt keine Ahnung haben will, einfach irgendwas vom Anbieter in die Dosen steckt und dann jedes noch so unwichtige Gerät (Autos mit Internet, brrr, mch schüttelts) mit dem WLAN verbindet, Fernsehen und Telefonie nicht vom INternet trennt und sich um die Updates dieser Geräte null kümmert, bitte, soll er sich doch alle Einfallstore ins Haus holen ...

phade schrieb:
--------------------------------------------------------------------------------
> Meiner Meinung einfach ein Schulungsproblem. Normaluser wissen von diesen
> ganzen Sachen nichts, ein Internetführerschein bzw. ein paar Stunden
> "Sicherheit im Internet" im Informatikunterricht könnte doch mal hel

Du kannst nich von Oma Gretel verlangen, dass die sich fürs surfen mit dem analysieren von Logs und Fernwartungsports beschäftigt. Genausowenig wie sich iPhone User mit Sicherheitszeugs beschäftigen, weil die nur wollen das es einfach "funktioniert".

Die Hersteller sind diejenigen die hier schlampen in dem Fall die Telekom mit ihren Speedports... Die können von Glück reden, dass die da ganz knapp daran vorbeigekommen sind.... Meines Erachtens müsste das BSI denen ne dicke Strafe auf den Tisch klatschen für die unsachgemäße Security bei ihren Produkten.

@SanderK Doch bekommt man mit. Es gibt Router, die protokollieren solche "Angriffe", wobei sogar das Pingen auf bestimmte gesperrte Ports bereits als Angriff aufgeführt wird. Kann ich durchaus nachvollziehen, wenn Provider und Hardwarehersteller dem Kunden ohne Fachwissen diese Informationen verschweigen, dass sollche Angriffe alltäglich und allgegenwärtig sind.



3 mal bearbeitet, zuletzt am 29.11.16 12:22 durch Tomar.

Ein Österreichischer Provider ist auch betroffen. Hab den Angriff selber jetzt bei einem Modem von einem Freund getestet.
> Connection from [xxxx] port 12345 [tcp/*] accepted (family 2, sport 56386)
> this box is vulnerable to a code injection attack
Hab bei mir netcat am lauschen gehabt, und den angriffscode so geändert dass per netcat verbunden wird und die Message (siehe quote) geschickt wird.
Einzige Glück was der Provider hat ist, dass der Port nur innerhalb vom Providernetz offen ist. Sprich, man kann von einer Kundenip des Providers ein Modem eines anderen Kunden auf die weise Knacken, aber ich bin von meinem Netz nicht reingekommen.
Naja, werd das vermutlich trotzdem denen melden.

Seelbreaker schrieb:
--------------------------------------------------------------------------------
> phade schrieb:
> ---------------------------------------------------------------------------
> -----
> > Meiner Meinung einfach ein Schulungsproblem. Normaluser wissen von
> diesen
> > ganzen Sachen nichts, ein Internetführerschein bzw. ein paar Stunden
> > "Sicherheit im Internet" im Informatikunterricht könnte doch mal hel
>
> Du kannst nich von Oma Gretel verlangen, dass die sich fürs surfen mit dem
> analysieren von Logs und Fernwartungsports beschäftigt. Genausowenig wie
> sich iPhone User mit Sicherheitszeugs beschäftigen, weil die nur wollen das
> es einfach "funktioniert".
>

Klar. Kann man bestimmt nicht.

Aber man kann verlangen, dass nicht so schnelllebig alles ans Netz gehangen wird, nur weil irgendein Hersteller meint, dass "das geht". Netzwerkkameras mit Bugs ?

Ich denke schon, dass man verlangen könnte, dass die Regierung hier entsprechend prüfende Instanzen einführt, um Provider in die Pflicht zu nehmen und Geräte zu testen, bevor die auf den Markt kommen. Die bekommen dann ein Prüfsiegel.

Vorgaben, dass z.B. ein Gerät nur in Betrieb genommen werden kann, wenn bei der Installation ein vom Gerät generiertes admin-Passwort gewählt wird oder das ein Gerät automatisch nach Updates sucht und erst wieder funktioniert, wenn das Upadte manuell eingespielt wurde oder dass zuerst sichere Minimaleinstellungen aktiv sind, könnten auch verpflichtend sein.

Den Schritt, dass die Telekomrouter in der Vorabeinstellung nur mit einer handvoll SMTP-Server kommunizieren dürfen, fand ich sehr gut. Wer mehr von seinen Geräten will, muss halt expizit etwas freischalten und vorab passend informiert werden, was er damit tut. Und z.B. bei eMail nur verschlüsselte Ports default freigegeben sind ...

Schlussendlich würde ich mir auch wünschen, dass Provider endlich per Gesetz gezwungen werden, Kunden mit gehakten Geräten endlich zu sperren.

Und die Regierung endlich etwas im Schulunterricht unternimmt ...



1 mal bearbeitet, zuletzt am 29.11.16 12:42 durch phade.

Ich konnte gestern an meiner PfSense Firewall zahlreiche Angriffe auf diesen Port registrieren. Die kamen von verschiedensten IP-Adressen (San Francisco, Taiwan etc.).

Und das selbst bei einem nur regionalen Provider (Wilhelm-Tel)

RAYs3T schrieb:
--------------------------------------------------------------------------------
> Ich konnte gestern an meiner PfSense Firewall zahlreiche Angriffe auf
> diesen Port registrieren. Die kamen von verschiedensten IP-Adressen (San
> Francisco, Taiwan etc.).

Angriffe klingt immer etwas übertrieben. Es sind Anfragen, die wenn sie erfolgreich geblockt werden, schlicht ins Leere laufen.

> Und das selbst bei einem nur regionalen Provider (Wilhelm-Tel)

Egal, wie groß oder klein. Es werden einfach alle IP-Kreise gescannt und irgendwann ist quasi jeder mal dran.

wow...welche Ignoranz. Nicht jeder ist mit deiner Gotteskraft geboren. Es gibt auch Personen, die sich nicht 24/7 mit diesem Kram beschäftigen.
Der Kunde vertraut seinem Anbieter meistens leider zu viel. Es ist die Aufgabe des Anbieters sicherzustellen, dass das Produkt einwandfrei funktioniert. Ist hier leider nicht passiert, weil man dachte dass keine Authentifizierung schlau ist und vielleicht sowieso keiner bemerkt. Anstatt deiner tollen Äußerungen was du alles so kannst und verbaust, solltest du mal die Füße still halten und andere auf sowas hinweisen bzw. hilfsbereit sein.

Genie schrieb:
--------------------------------------------------------------------------------
> RAYs3T schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich konnte gestern an meiner PfSense Firewall zahlreiche Angriffe auf
> > diesen Port registrieren. Die kamen von verschiedensten IP-Adressen (San
> > Francisco, Taiwan etc.).
>
> Angriffe klingt immer etwas übertrieben. Es sind Anfragen, die wenn sie
> erfolgreich geblockt werden, schlicht ins Leere laufen.

dann sind es versuchte angriffe.

frostbitten king schrieb:
--------------------------------------------------------------------------------
> Ein Österreichischer Provider ist auch betroffen.

Verraten Sie uns auch, welcher? Als Österreicher ist das für mich interessant, weil ich wissen will, ob ich auch betroffen sein könnte.

Hat sich als Irrtum heraus gestellt, sorry. Freund den ich das an seiner Kiste testen hab lassen, hat zuerst vergessen den Attack Code korrekt zu escapen. Dadurch hats, den Code innerhalb der Backticks (``) bei ihm lokal ausgeführt und dann das ergebnis davon erst an den Router geschickt, weswegen es so gewirkt hat als hätte der Router sich zu meinem Port verbunden. In Wahrheit wars halt nur die Kiste, von dem aus er das gestartet hat. Nachdem ihm das aufgefallen ist, hat ers nochmal probiert ..tja die A1 Geräte scheinen doch sicher zu sein.

phade schrieb:
--------------------------------------------------------------------------------
> Ich verbaue nur Fremdrouter, die von aussen NULL Traffic reinlassen

Du verbaust Router, die gar nicht erst funktionieren? :P

SCNR

Richtig. Aber wenn wir schon wieder in der Schule sind: Da haben die Hersteller ihre Hausaufgaben nicht gemacht. Wer PnP-Router verkauft/vermietet, hat sich darum zu kümmern, dass 1. die Dinger grundlegend sicher sind und 2. nur autorisierte Stellen Updates machen können (nein, nicht die Geheimdienste...).

Mach mal bei der pfSense SSH von extern erreichbar mit Passwort Authentifizierung - Was für ein Spaß.

Dauert in der Regel keine zwei Minuten bis dein Gerät "getestet" wird :-)

Tja aber man kann erwarten das wenn man selbst nicht dazu in der Lage ist man einen Fachmann hinzuzieht! Am Auto basteln auch die wenigsten selbst weil sie gar keine Ahnung haben, aber dann bringen sie es in die Werkstatt ...

Naja es sollte eben vielmehr passieren, wo es für den Betroffen auch gleich richtig weh tut, sprich die sollten dabei gleich mal ordentlich bluten, Geld verlieren ... du glaubst gar nicht wie schnell sich dann was tut und die Leute sich dann informieren oder den Fachmann holen!

Wer es halt auf die harte Tour lernen möchte soll das eben.


Und für Provider: einfach betroffene Geräte vom Netz nehmen, Anschluß sperren und erst nach Nachweis das das Gerät wieder safe ist freigeben ... wenn die Leute dann nicht mehr "reinkommen" reagieren die auch sehr schnell.

Und die Hersteller der Geräte: für Ihre Fehler voll haftbar machen.

Ich erwarte nicht das sich jetzt jeder zum IT Nerd schulen lässt, aber wenn ich von etwas keine Ahnung habe und es auch nicht lernen will holt man sich eben kompetente Hilfe! Funktioniert doch überall im analogen Leben auch so, warum soll das im Internet bitteschön anders sein?

diese Punkte umgesetzt und das Netz ist auf einmal sehr viel sicherer.

_________________________________________________________________
Gott vergibt, ich nicht!



5 mal bearbeitet, zuletzt am 01.12.16 08:44 durch serra.avatar.

phade schrieb:
--------------------------------------------------------------------------------
Ich verbaue nur Fremdrouter, die von
> aussen NULL Traffic reinlassen

Das heißt Du bist gar nicht da und liest hier auch nicht.

serra.avatar schrieb:
--------------------------------------------------------------------------------
> Tja aber man kann erwarten das wenn man selbst nicht dazu in der Lage ist
> man einen Fachmann hinzuzieht! Am Auto basteln auch die wenigsten selbst
> weil sie gar keine Ahnung haben, aber dann bringen sie es in die Werkstatt
> ...
>
Vereinfachtes Beispiel
Du kaufst ein neues Auto (Router) und fährst Los (steckst an) und freust Dich das Du ohne viel Drum rum von A nach B kommst ( Internet, Online Shop usw.) aber nein ... natürlich lässt Du das nagelneue Auto erst mal von einen Experten Durchschauen ( Router einrichten) ... danach von einem Testfahrer auf der Rennstrecke testen ( suche nach Lücken, offenen Ports usw.) könnten ja Fehler im außergewöhnlichen Situationen auftauchen.

Das Internet lebt auch davon das jeder der will daran teilhaben kann.
Das ist auch ein Stück Freiheit Sachen zu machen in denen man kein geprüfter Experte ist.