Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsVPNFilter: Router-Botnetz knackt HTTPS, Neustart reicht doch nicht aus
Die vorgeschaltete "Kabelbox" von PYUR (ex-Telecolumbus) habe ich nie konfiguriert. Kann ich hier davon ausgehen, dass sich der Netzbetreiber bei Bedarf (ich kenne den Hersteller dieser "Kabelbox" nicht) darum kümmert? Das Gerät hat schließlich Remote-Zugriff (Hinzubuchung WLAN, etc.).
Als Ex-Telecolumbus Kunde weiß ich das sie ihre Kabelbox selbst updaten können und das zumindestens bei mir auch immer getan haben. Du kannst über den Webbrowser auf jeden Fall auch auf die Box drauf. Da kannst du aber nicht viel konfigurieren. Google einfach mal wie du da genau raufkommst.
Ich verwende auch DD-WRT aber solange der Infizierungsweg nicht bekannt ist, kann keine Aussage getroffen werden, dass DD-WRT sicher ist? Ein entsprechend fehlerhaftes Paket kann genauso Teil der DD-WRT Distribution sein?
Please change default admin username and password -> Als Einfallstor also wieder Dummheit der User!
please turn off Remote Management -> Einfallstor Dummheit des Herstellers so etwas als Standard aktiv zu setzen.
Wenn jeder Hans und Franz praktisch Fernzugriff hat kann er natürlich nach lust und Laune da ne modifizierte Firmware oder sonst was flashen.
Digital Signierte Firmware Versionen sind bei den 0815 Routern ja nicht vorhanden, da kann man alles flashen.
Simpl3Moe schrieb:
Weiß jemand ob ASUS-WRT (Merlin) auch davon betroffen ist?
Cisco Talos hat die auf den Routern und NAS-Systemen installierte Malware VPNFilter weiter untersucht und festgestellt, dass diese noch weit mächtiger ist als bislang angenommen. Dabei wurde zum Beispiel ein neues Modul namens „SSLER“ entdeckt, das von der Malware nachgeladen werden und eine „Man-in-the-Middle“-Attacke auf eingehenden Internet-Datenverkehr ausführen kann, womit HTTPS erfolgreich ausgetrickst werden kann. So können verschlüsselte Daten nicht nur ausgespäht, sondern auch verändert werden.
Passwörter werden an externe Server übertragen
Das Modul versuche hierfür HTTPS auf HTTP herunterzustufen, indem vorgegaukelt wird, dass der Client nicht HTTPS-fähig sei."
Die markierten Stellen im Artikel stimmen so nicht oder sind so nicht benannt wurden A) HTTPS wird nicht geknackt! Macht das Modul nicht, kann das Modul wahrscheinlich auch nicht und funktioniert auch nicht so ohne weiteres, da es dafür ein CA-Certifikat benötigen würde um dem Client zu suggerieren, dass es weiterhin HTTPS wäre - zusätzlich müsste der Client diesem CA-Cert noch vertrauen usw. usf. B) Die Daten die da abgefingert werden, sind nicht verschlüsselt! Da der Spaß die Verschlüsslung nicht knackt, können also auch keine verschlüsselten Daten abgefingert werden C) Auch das stimmt so wohl nicht - das Modul ersetzt schlicht und ergreifend jegliche Teile mit HTTPS durch HTTP - ABER! wie soll das gehen wenn explizit HTTPS angefordert wird? Dann ist der Spaß verschlüsselt - und so erstmal nicht änderbar. Hier nutzt man viel eher einerseits die (teilweise) unfähigkeit der Betreiber für saubere Konfigs und möglicherweise auch die Unfähigkeit der User (nicht zu schauen ob das nun HTTPS ist oder nicht)
HTTPS Downgrade Attacken gibt es - aber davon wird im verlinkten Blog nicht gesprochen. Sondern es wird explizit erwähnt, dass HTTP (TCP Port 80) im Router auf TCP 8888 redirected wird, wo auf dem Router ein Service läuft um den Spaß zu untersuchen, manipulieren und Daten abzufingern/weiter zu senden.
Ein HTTPS Downgrade müsste aber vorher passieren - entweder auf der Client Seite oder auch via Proxy (mit SSL Inspection und der notwendigen CA-Certs).
Schade - mal wieder ein brisantes Thema in Sachen Security mit Halbwissen/Unwahrheiten.
... da die Malware darauf vorbereitet war, dass die primären Server nicht mehr erreichbar sein könnten. Hierfür sind Ausweichmöglichkeiten implementiert und die Malware sucht sich andere Server, um den Code und die Module nachzuladen. Selbst das Ausschalten weiterer Server reiche nicht, da die Angreifer über bestimmte Pakete, die sie an die Router schicken, mit spezifischen Triggern immer wieder das Nachladen der Module auslösen könnten.
Muahahaha! Die gewaltgeilen Simpletons in den Behörden haben wieder mal gedacht, es reicht, bei ein paar Firmen einzumarschieren, die die Server hosten, von denen die Malware primär angesteuert worden ist. Dass dabei diese Firmen komplett unschuldig ihr Geschäft einstellen bzw zmd pausieren haben müssen, ist ihnen wahrscheinlich egal.
Gut so, dass sie eine auf den Deckel bekommen, und die Programmierer der Malware auf all dies vorbereitet gewesen sind. Ich geniesse es jedes mal wenn die Behörden ins Leere schaun müssen - es passiert so oft, und sie verdienen es jedes mal!
Frage, bei den NAS kann man doch davon ausgehen, dass dort die man in the middle Attacke nur möglich ist, wenn ich über das NAS selbst surfe, oder reicht es aus, wenn es einfach im Netzwerk steht? In eine gesicherte HTTPS Verbindung zwischen Client Server über einen nicht betroffenen Router dürfte es ja eigentlich nicht zugreifen können, oder? Aufgebrochene HTTPS Verbindungen würden doch ansonsten schlicht eine weiße Seite im Browser erzeugen.
Wie sieht es eigentlich mit Netzwerkgeräten hinter dem Router aus?
Habe einen Asus-Repeater (hängt per Lan an der Fritzbox 6490) der einen 2. 5GHz-AP bereitstellt, sind solche Geräte an sich nicht gefährdet?
Ich verwende auch DD-WRT aber solange der Infizierungsweg nicht bekannt ist, kann keine Aussage getroffen werden, dass DD-WRT sicher ist? Ein entsprechend fehlerhaftes Paket kann genauso Teil der DD-WRT Distribution sein?
Ich gehe aber aktuell sehr stark davon aus, dass DD-WRT sicher ist weil es noch keine Meldungen dazu gab, welche sehr schnell kommen würden wenn man bedenkt wie viele Millionen Geräte mit DD-WRT laufen.
Zumindest ein Huawei Router ist in der Liste dabei, könnte also auch für Telekom Geräte gefährlich werden. Arcadyan und Sercomm sind zumindest bisher noch nicht in der Liste vertreten.
Dann hoffe ich mal, das bei UBNT nicht noch mehr Geräte betroffen sind, bzw. es es zeitnah Updates etc. gibt.
Und ob ein Kabelmodem im Bridged Mode auch noch so anfällig ist, bzw. Schaden anrichten kann ?
Wenn ich gewisse Fragen mancher User hier lese, dann frage ich mich schon, wo erstens die Medienkompetenz geblieben ist und zweitens, ob ein Computerführerschein vielleicht doch noch gut wäre
Aber Hauptsache Geräte kaufen, anstöpseln und es läuft. Was es macht, wies es macht, wie es mit updates aussieht scheint ja kein Thema zu sein.
Der oder die Entwickler dieses Botnetzes haben mein größten Respekt !
Auch wenn es vermutlich für nichts gutes eingesetzt wird, so ein ausgeklügeltes System zu entwickeln ist mehr als wahnsinn.
Da bin ich froh aktuell doch noch eine Fritzbox zu haben.
