HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

 

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 
 
 

   

 

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

 

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

 

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

   

Es gab eine Router Warnung für TP Link Router. Russische Hacker nutzen eine alte Sicherheitslücke aus, um DNS Abfragen auf eigene Server umzuleiten, um dann auf manipulierte Webseiten zu leiten, die Passwörter, Kreditkartendaten usw. ausspähen sollen. 

 

Betroffen sind vor allem alte Router, weil diese noch keine automatischen Update-Mechanismen integriert haben oder gar keine Updates mehr erhalten. Neuere Router sollten ein entsprechendes Update erhalten haben. Habt ihr bereits seit längerer Zeit kein Update mehr durchgeführt, dann solltet ihr auf jeden Fall das Gerät auf Werkseinstellungen zurücksetzen und dann erst das Update einspielen. Werkseinstellungen sind aber generell eine gute Idee, um eventuelle manipulierte Einträge in den Geräten zu entfernen. 

 

Erhält euer Gerät kein Update mehr, dann solltet ihr wirklich schnellstmöglich Geld investieren für ein neues Gerät. 

 

Woran merkt man, dass der Router gekapert wurde?

 

DNS ist ein Service im Internet und Heim/Unternehmensnetzwerk, der IP Adressen nach verständliche Namen übersetzt, und umgekehrt. Ruft ihr zum Beispiel www.xcomweb.de auf, dann wird dieser Dienst dazu verwendet, die IP Adresse des Webserver zu erfragen, der diese Webseite bereitstellt. 

 

Eine IP Adresse muss jedes Gerät zugewiesen bekommen, das über das Internet oder ein Computernetzwerk Daten austauschen will. Dieser Vorgang ist oft automatisiert und erfolgt über sogenannte DHCP Server. Verbindet sich euer Smartphone per Mobilfunk mit dem Internet, dann bekommt ihr automatisch eine temporäre IP zugewiesen, die beim Abbau der Verbindung verfällt. Euer Router bekommt eine IP zugewiesen, die eine Woche, einen Monat oder sogar noch länger verwendet wird. Über diese Adresse ist der Router sogar über das Internet direkt adressierbar. 

 

Jetzt wurde euer Router manipuliert. Was passiert in einem solchen Fall? Ihr stellt eine DNS Abfrage an den Server der Angreifer, weil für den Router alles okay ist. Der Rogue DNS antwortet mit einer manipulierten IP Adresse für einen erfragten Webdienst, zum Beispiel könnte es Amazon Shopping sein. Statt auf dem originalen Amazon Webshop zu landen, werdet ihr auf einen Server der Angreifer umgeleitet, der fast identisch aussieht, aber nur den Zweck hat, irgendwelche Daten abzufassen. Jetzt kommt der Haken!

 

Der Amazon Webshop verwendet Zertifikate, die diesen als legitimen Webshop ausweisen. Ruft ihr die manipulierte Webseite auf, dann wird es oft zu Warnungen im Webbrowser kommen, weil diese manipulierten Webseiten keine Zertifikate verwenden (das sicherste Anzeichen), die Seite vielleicht bereits sogar in einer Blacklist gemeldet wurde oder weil vielleicht ein Cross Site Scripting erkannt wurde. Zudem wird in der Adresszeile des Browsers eine sehr seltsame Adresse stehen, statt amazon.de eher amason.de oder ähnliche Sachen. Das wäre ein Hinweis. Sollte ein Zertifikat verwendet werden, dann wird dieses nicht im Zusammenhang stehen mit Amazon, s.h., schaut man sich dieses an (in der Adresszeile der meisten Browser gibt es so ein kleines Symbol zum Anklicken), dann wird im Zertifikat ein ganz anderer Besitzer als Amazon stehen. Amazon ist wirklich nur ein Beispiel (nicht, dass ihr irgendwelche Verbindungen reininterpretiert). Die Browser Varianten für Smartphone verfügen nicht immer über die Möglichkeit alle Infos, z.B. für Zertifikate, anzuzeigen, aber diese Browser verfügen bei größeren Projekten über die selben Schutzmaßnahmen.  

 

Ein weiterer Hinweis wäre ein sehr langsamer Aufbau von Webseiten oder eine Webseite wird nur zum Teil angezeigt. Die Angreifer müssen schließlich alle Anfragen über ihre Rogue Server leiten, und das kostet Zeit und Ressourcen. 

 

Jetzt kommt noch die Prüfung der Einstellungen im Router, und das wird etwas komplizierter. Im Router gibt es wahrscheinlich gleich auf der Hauptseite vom Webinterface die Angabe zu den Verbindungseigenschaften. Dort steht bestimmt etwas von DNS Anbieter. Wenn ihr diese Adresse mit der Google Suche mal prüft (oder mit den Angaben eures Internetanbieters), dann sollte man in den meisten Fällen Infos als Antwort erhalten, die auf euren Internetanbieter verweisen (der Google DNS wäre 8.8.8.8 und den könnt ihr manuell eintragen, falls ihr euch nicht sicher seid). Passt etwas bei den angezeigten Einträgen nicht, dann habt ihr vielleicht ein Problem. Allerdings kann die Anzeige im Webinterface, abhängig von der Sicherheitslücke, abweichend von den tatsächlich verwendeten Einstellungen sein. 

 

Die Fritzboxen sind zur Zeit nicht gefährdet. Aber ihr solltet die automatischen Updates aktivieren bzw. euch zumindest von der Box benachrichtigen lassen per "Push" EMail, wenn ein Update verfügbar ist. Der Login im Webinterface über das Internet gehört auch nicht mehr zu den sichersten Ansätzen. Ansonsten verfügen die aktuellen Boxen über ein modernes System. Die Boxen verfügen sogar über einen Vorschlaghammer als Schutz- das "DNS oder TLS". Aber dafür müsst ihr euch einen Anbieter im Internet suchen.

 

Alte TP Link Router, oder sogar neuere Geräte, waren wohl auch für Cross Site Scripting anfällig. Man manipulierte eine Webseite, um über das Webinterface der Router an die Einstellungen zu gelangen. Gab es auch mal bei den Fritzboxen, aber lange her. 

 

Und ein ähnlicher Angriff wäre übrigens ARP Spoofing, aber dieser Angriff würde direkt bei den IP Adressen ansetzen. Man würde den ARP Cache manipulieren. 

 

Und der moderne Webbrowser kann euch sogar bei einem gekaperten Router wieder den Arsch retten. Aber nur, wenn ihr die Warnungen des Browsers prüft.