Tag - Router

Kann ins Auge gehen, muss aber nicht: Router-Botnetz mit 500.000 Einzelgeräten aufgedeckt

Ein in dieser Dimension seltener Hackerangriff auf private Router und Netzwerkspeichergeräte (NAS) bedroht aktuell die Netzsicherheit der Nutzer der betroffenen Geräte. Auch vereinzelte Anwender von VPNs reagieren verunsichert auf die Gefahr, was allerdings eher am Namen der Malware liegt, die auf die unglücklich gewählte Bezeichnung ‚VPNFilter‘ getauft wurde. CyberGhost verrät dir, wie die Gefährdungslage aktuell aussieht und ob du Gegenmaßnahmen ergreifen musst.

Read More

Logjam & NetUSB: Die 2 wichtigsten Sicherheitslücken der letzten Woche

Kaum ein Woche vergeht noch ohne Datenskandal, Hackerangriff oder frisch aufgedeckte Sicherheitslücke. Betroffen sind dann in aller Regel zig-Tausende oder gar Millionen Nutzer, sei es als Mitglied einer Plattform, wie beim jüngsten Hack der Sex-Dating-Plattform AdultFriendFinder, sei es als Besitzer bestimmter Hardware wie Router oder ‚nur‘ als gewöhnlicher Internetsurfer, der schlecht wissen kann, wann eine sichere Webseite auch tatsächlich sicher ist und wann nicht.

USB-Treiber reißt Sicherheitslücke in Millionen Router

Drucker und Festplatten an einem Router zu betreiben und damit für das lokale Netz verfügbar zu halten, ist praktisch – laut Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab in vielen Fällen leider aber auch gefährlich, zumindest vom Blickwinkel der Datensicherheit aus betrachtet. Schuld daran ist der NetUSB-Treiber der taiwanischen Firma KCodes, der auf Millionen Routern installiert ist und über eine jüngst entdeckte Lücke Angriffe auf das Gerät ermöglicht. Ist der Name eines angeschlossenen Druckers oder eines anderen Geräts länger als 64 Zeichen, führt dies zu einem Speicherüberlauf, in dessen Fahrwasser sich Schadsoftware auf dem jeweiligen Router installieren lässt.

Wie viele Router genau betroffen sind, lässt sich nicht beziffern, mindestens aber sind es 92 Modelle der Firmen TP-Link, D-Link, Trendnet, Zyxel und Netgear. Eine von SEC Consult ins Netz gestellte Liste ermöglicht die Recherche, ob das eigene Gerät ebenfalls für die Lücke empfänglich ist. Falls ja, sollten sich deren Besitzer um ein Update vom Hersteller bemühen oder die NetUSB-Treiber in den Einstellungen zum Router deaktivieren. Besitzer einer der hierzulande weit verbreiteten Fritz!Boxen können übrigens aufatmen. Laut Hersteller AVM wird der NetUSB-Treiber der taiwanischen Firma nicht verwendet.

Logjam-Attacke gefährdet Serververbindungen

Eine Schwäche im Diffie-Hellman-Schlüsselaustausch, der zur Herstellung verschlüsselter Verbindungen zu Web-, Mail-, SSH- und VPN-Server genutzt wird, kann in Verbindung mit Man-in-the-Middle-Attacken zur Kompromittierung der jeweiligen Verbindung führen. Angreifer sind dann in der Lage, die geheimen Schlüssel bei SSL/TLS-Verbindungen abzufangen, den Datenverkehr zu belauschen und Schadsoftware einzuschleusen.

Betroffen sind in erster Linie die geschwächten 512-Bit-Varianten von Diffie-Hellman, die viele Systeme noch heute unterstützen, während das Verfahren ab 1024 Bit als überwiegend sicher gilt. Problematisch hierbei ist, dass durch ehemalige US-Export-Bestimmungen erzwungene Abschwächungen in der Verschlüsselungsstärke es erlauben, dass der Schlüsselaustausch statt mit 1028 oder mehr mit den kompromittierbaren 512 Bit vorgenommen werden kann (Downgrading), vorausgesetzt, Server und Client beherrschen jeweils das Export-Verfahren (DHE_EXPORT).

Veröffentlichungen der Sicherheitsforscher zufolge, die die Lücke entdeckt haben, steht die Kompromittierung von 768-Bit-Diffie-Hellman kurz bevor. Außerdem warnt man, dass staatlich unterstützte Dienste wie die NSA möglicherweise auch 1028-Bit-Diffie-Hellman angreifen können, beispielsweise um VPN-Verbindungen aufzubrechen.

Betroffene Webseiten und Browser

Laut Entdecker der Sicherheitslücke sollen derzeit rund 8 % aller Webseiten und POP3/IMAP-Mailserver betroffen sein. Voraussetzung ist, dass sowohl Server als auch Client das Downgrading auf 512 Bit erlauben. Von den allgemein verwendeten Browsern sind praktisch alle verwundbar – mit Ausnahme der aktuellen Version des Internet Explorers von Microsoft. Ein (empfohlener) Browsertest lässt sich auf der Seite der Forscher ausführen.

CyberGhost nicht, bzw. nicht mehr betroffen

Die Login-Server von CyberGhost waren von Anfang an nicht betroffen, zum einen, weil mit 2048 Bit codiert wird, zum anderen, weil die Export-Verschlüsselung standardmäßig deaktiviert und ein Downgrade somit nicht möglich ist. Alle anderen VPN-Server sind, soweit überhaupt notwendig, bereits kurz nach Bekanntwerden der Lücke letzte Woche gepatcht worden.

Links:

Ist dein Router gehackt? Finde es heraus!

Was nützen der optimal geschützte PC, das verriegelte Smartphone und das gerootete sowie Google-befreite Tablet, wenn dein Router mit einem Drei-Zahlen-Passwort längst zum Opfer von Cyberkriminellen geworden ist? Richtig, nicht allzu viel, denn dein Router ist das Gerät in deinem Haushalt, das alle deine Daten transportiert, auch die sensibelsten und intimsten. Und woher weißt du, ob dein Router gehackt wurde? Du weißt es in der Regel überhaupt nicht – aber du kannst es leicht herausfinden … 

Router sind ein lohnendes Angriffsziel für Kriminelle und Geheimdienste (ist euch schon einmal aufgefallen, dass Kriminelle und Geheimdienste zusehends öfter in einem Atemzug ausgesprochen werden?), da diese Geräte gleich mehrere Vorteile auf einmal in sich bergen: 1) Sie sind das Nadelöhr, durch das alle Daten aller Geräte fließen, die ins Internet senden. 2) Sie sind für sehr viele Anwender nicht mehr als ominöse Plastikboxen, die man nur wahrnimmt, weil sie über ein paar leuchtende Dioden verfügen. Und 3): Sie werden flächendeckend unterschätzt hinsichtlich ihrer Bedeutung für die Sicherheit eines Netzwerks …

Dein DNS bestimmt, wo’s hingeht

… und die ist hoch. Ist ein Router einmal kompromittiert, ist es für Cyberkriminelle ein Leichtes, beispielsweise durch DNS-Hijacking an Daten aller Art zu kommen. Hierbei wird der regulär genutzte DNS-Server durch einen eigenen ersetzt. DNS-Server sind für die Navigation im Internet verantwortlich und sorgen dafür, dass du, wenn du ‚www.postbank.de‘ eingibst, auch tatsächlich dort landest – es sei denn, der Server ist ersetzt worden. Dann landest du dort, wo der Betreiber will, dass du landest, zum Beispiel auf einer identisch aussehenden Phishingseite, die dir in aller Ruhe deine Bankdaten, E-Mailadressen und Passwörter aus der Tasche zieht.

Router-Check mit F-Secure

Genug Unruhe gesät? Dann ab zu den Sicherheitsexperten bei F-Secure, denn diese haben einen Router Checker konzipiert, mit dem du deinen Router auf DNS-Unregelmäßigkeiten testen kannst, und online gestellt. Rufe hierzu die Seite https://campaigns.f-secure.com/router-checker/ mit deinem PC, Tablet oder Smartphone auf und klicke auf die lila Schaltfläche ‚Start now‘.

routercheck01

Das Tool legt sofort los und überprüft, ob deine Router-DNS gekapert wurde. Ein Download ist nicht notwendig; unterstützt werden alle wichtigen Browser wie Internet Explorer, Firefox, Chrome, Safari und Opera.

NO ISSUES WERE FOUND‘ bedeutet, dass alles im grünen Bereich und dein Router nicht kompromittiert ist. In den Details zum Resultat findest du jetzt die IP-Adresse des DNS-Servers und den Namen deines Providers (dies muss nicht zwingend die IP-Adresse sein, die in deinem Router eingegeben ist, sondern kann auch jene sein, die der Server nutzt, um verschiedene DNS-Anfragen rekursiv aufzulösen).

routercheck02

Gibt das Tool die Benachrichtigung‚ ‘EVERYTHING APPEARS TO BE FINE, BUT THE CHECK WAS INCOMPLETE’ bedeutet dies aller Wahrscheinlichkeit nach, dass du während des Tests bei CyberGhost eingeloggt warst, was du ganz leicht in den Details erkennen kannst, weil dort der Name ‚CyberGhost‘ auftaucht. Dann ist in der Regel ebenso alles gut, weil CyberGhost zur Sicherheit seiner Anwender beim Start des Clients automatisch auf die zensurfreien eigene DNS-Server zugreift. Um aber trotzdem zu überprüfen, wie es um deinen Router bestellt ist, logge dich kurz aus, schließe den Browser und wiederhole den Test.

routercheck03

Roter Alarm bedeutet … na ja, du kannst es dir denken: Dein Router ist kompromittiert. In den Details wird dann sehr wahrscheinlich auch ein anderes Land oder ein anderer Staat auftauchen.

Was tun im Ernstfall?

Was kannst du tun? Als Erstes solltest du die Einstellungen deines Routers öffnen und dort die DNS-Einträge ändern. Wie genau du dieses tun kannst, steht in der Beschreibung zu deinem Gerät. In aller Regel reicht aber auch eine einfache Websuche mit Gerätenamen und den Begriff ‚DNS ändern‘. Auch dein Provider wird dir sicherlich gerne unter die Arme greifen, wenn du nicht weißt, wie du die Einstellungsoberfläche deines Routers aufrufst und die notwendigen Änderungen vornimmst.

In der Fritz!Box bspw. findest du die Einstellungen bspw. unter ‚Internet > Zugangsdaten > DNS-Server‘. Ist dort bereits ein DNS-Server eingetragen, ist es aller Wahrscheinlichkeit nach der Hijacker-DNS-Server. Aktiviere deshalb ‚Vom Internetanbieter zugewiesene DNSv4-Server verwenden‘ oder trage eigene Serveradressen ein, bspw. die von CyberGhost: 95.169.183.219 für den ersten und 89.41.60.38 für den zweiten Server (als Fallback zum ersten). Danach solltest du deinen Router vom Netz trennen, 30 Sekunden warten und neu starten.

UPDATE! In der Zeit zwischen Artikelerstellung und heute (17.07.2016) wurden die Adressdaten der CyberGhost-DN-Server geändert zu ‚85.10.247.210‘ und ‚89.40.219.202‘. Beachtet bitte ferner, dass sich die Daten auch zukünftig erneut ändern können!

Wiederhole nun den Router-Check auf der F-Secure-Website (vergiss nicht, den Browser-Cache vorher mit ‚F5‘ zu leeren). Erhältst du immer noch eine Warnung, kann es sein, dass auch die DNS deines Rechners gekapert wurde. Unter Windows gehst du folgendermaßen vor, um dies rückgängig zu machen:

  • Öffne die Systemsteuerung
  • Öffne das Netzwerk- und Freigabecenter
  • Klicke auf ‚Adaptereinstellungen ändern‘
  • Klicke mit der rechten Maustaste auf den Adapter deines Ethernets oder WiFis und wähle ‚Eigenschaften‘ aus dem Kontextmenü
  • Markiere ‚IPv4‘ und klicke erneut auf ‚Eigenschaften‘.
  • Aktiviere die automatische Zuweisung der DNS-Adressen oder trage, wie beim Router, eigene (wie jene von CyberGhost) ein

Ändert auch das nichts am Ergebnis des Router-Tests (hast du den Browser-Cache geleert und idealerweise das System neu gestartet?), befindet sich möglicherweise Malware auf dem Rechner. Mache einen Malware- und Virenscan. Erhältst du immer noch die rote Karte, probiere den Test zunächst auf einem anderen Gerät aus. Gleiches Ergebnis? Dann ist dein Router möglicherweise direkt infiziert worden und muss entweder mit einem Backup (kann bereits schon befallen sein) oder einer frischen Firmware neu geflasht werden.

© 2017 CyberGhost