Mittels Brute‐Force‐Attacken ver­schaf­fen sich Hacker aktu­ell Zugriff auf den Admin‐Bereich von Online‐Shops, wel­che die Software Magento nut­zen. Dabei wird ein Javascript‐Code ein­ge­fügt, der ab sofort in Echtzeit die Eingabedaten der Shop‐Kunden mit­schreibt und an einen Server in Russland über­trägt. Darin sind die Zahlungsinformationen ent­hal­ten, die dann miß­braucht wer­den kön­nen.

Informationen, wie Sie als Magento‐Shopbetreiber den besag­ten Schadcode iden­ti­fi­zie­ren kön­nen, fin­den Sie im Sicherheitsbeitrag des Entdeckers die­ses Problems. Der Autor gibt dar­in gleich wei­te­re Tipps zur Absicherung wie die Vergabe gehär­te­ter Admin‐Passwörter und vie­le mehr.

Da die­ser Angriff eine mel­de­pflich­ti­ge Datenpanne im Sinne der DSGVO dar­stellt und sich durch den Mißbrauch von Zahlungsinformationen schnell hohe Schadensersatzbeträge auf­sum­mie­ren kön­nen, soll­ten Sie als Magento‐Shopbetreiber zeit­nah prü­fen, ob Ihr Server ent­spre­chend mani­pu­liert wur­de. Mehrere tau­send infi­zier­te Shops sind bereits bekannt.

Die bis­he­ri­gen Angebote zur Identifizierung gehack­ter Webaccounts funk­tio­nier­ten auf Basis der benutz­ten Email‐Adresse. Seit kur­zem ist nun ein neu­er Service des Anbieters HaveIbeenpawned online. Eine Datenbank mit mehr als 306 Millionen (306 000 000) Einträgen gibt Auskunft, ob das eige­ne Lieblingspasswort kom­pro­mit­tiert ist.

Gehackte Accounts und deren Passwörter fin­den schnell Einzug in die Datenbanken von Knacksoftware, die zum auto­ma­ti­sier­ten Angriff und Hacking von Nutzeraccounts (z.B. über Wörterbuch‐ und Brute‐Force‐Attacken) genutzt wer­den. Ärgerlich, wenn das eige­ne Passwort dar­in vor­kommt.

Vorsichtige Administratoren las­sen sol­che “bekann­ten” und somit unsi­che­re Passwörter erst gar nicht zur Auswahl durch den Nutzer bei Neuanlage eines Passworts in ihrem Netzwerk zu. Eine ent­spre­chen­de API stellt der Anbieter des Prüfservices, Troy Hunt gleich zur Einbindung bereit.

Wollen Sie nun Ihr eige­nes Lieblingspasswort über­prü­fen, ob die­ses noch sicher ist? Oder Ihren Passwortpool? Dann besu­chen Sie den Service online und füh­ren die Überprüfung Ihres Passworts durch.

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking‐Betriebssystem zum Download Kali‐Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde‐Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator‐Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender‐Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https‐gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde‐ oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web‐Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN‐Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde‐Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde‐Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden‐/Unternehmensleitung, sowie dem Personal‐/Betriebsrat und dem Datenschutz‐ sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Update vom 18.02.2018:

AVM hat sich bei uns auf­grund die­ses Artikels gemel­det und betont, die­se Funktion sei für Support‐ und Diagnose‐Zwecke gedacht. Das wird auch nicht bestrit­ten. Leider hat die Medaille zwei Seiten und so kann die­se Funktion auch miß­bräuch­lich zum Einsatz kom­men.

Tipps:

  • Fritz!Box stets mit siche­rem Passwort schüt­zen.
  • Prüfen, ob alle Anwendungen im inter­nen Netz ver­schlüs­selt kom­mu­ni­zie­ren. Wenn nicht, ent­spre­chend kon­fi­gu­rie­ren. Denn nur unver­schlüs­sel­ter Netzverkehr kann im Klartext mit­ge­le­sen wer­den.
  • Anwender dafür sen­si­bi­li­sie­ren, aus­schließ­lich Programme und Apps zu nut­zen, die Verschlüsselung aktiv anbie­ten und nut­zen. Dabei auch das Thema SSL‐Verschlüsselung zum siche­ren Aufruf von Webseiten (https) nicht ver­ges­sen.

Es war nicht unse­re Absicht, dem Hersteller die Absicht zu unter­stel­len, hier ein Spionage‐Tool in Netzwerke ein­zu­schleu­sen. Die Funktion kann jedoch miß­bräuch­lich ver­wen­det wer­den.