Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Ändere-Dein-Passwort-Tag: Über Sinn und Unsinn des regelmäßigen Passwortwechsels

Heute ist also der Ändere-Dein-Passwort-Tag. Anwender sol­len die­sen Tag zum Anlass neh­men, ein bewähr­tes Passwort über Bord zu wer­fen, sich ein mög­lichst lan­ges und kom­pe­xes Passwort neu aus­zu­den­ken — und zu mer­ken. Das Ganze mög­lichst für jede Anmeldung und Software sepa­rat. Und wie­so? Na, das ist doch sicher! Und das haben wir ja schon immer so gemacht! Und im Zweifel ver­langt es auch noch die Passwort-Richtlinie des einen oder ande­ren Unternehmens oder auch der Behörde.

Die Sinnhaftigkeit eines regel­mä­ßi­gen Wechsels darf bezwei­felt wer­den. In unse­rem Beitrag “Über Bord mit ver­al­te­ten star­ren Passwort-Richtlinien” haben wir im August 2016 bereits auf aller­lei Unfug in der Praxis rund um das Thema Passwort hin­ge­wie­sen. Neben den Mythen Passwortlänge und Kompexität war dar­in das Wechselintervall von Passwörtern eben­falls Thema.

Wenn bei der Auswahl von Passwörtern die vor­han­de­ne Technik (z.B. Accountsperre bei 5 Fehlversuchen) sowie die tat­säch­li­che Bedrohungslage berück­sich­tigt und kon­fi­gu­riert wer­den, gibt es eigent­lich nur drei Anlässe, ein Passwort zu ändern. Kurioserweise befin­det sich unter die­sen 3 weder der Ändere-Dein-Passwort-Tag oder ein star­res Intervall wie 90 Tage :-), son­dern

  • das Passwort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  • das Passwort wur­de unnö­ti­ger­wei­se einer Kollegin oder einem Kollegen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  • es han­delt sich um ein Initialisierungspasswort, das nach der Nutzung durch das eigent­li­che Passwort ersetzt wer­den muss.

Und das war es!

Alles ande­re nervt Ihre Anwender, führt im Zweifel zu notier­ten Passwörtern (am Besten gleich per Haftnotiz am Monitorfuss, inklu­si­ve Passwort vom Kollegen) und redu­ziert damit nach­weis­bar das Sicherheitsniveau. Lesen Sie mehr in unse­rem Beitrag vom August 2016.

Wir bean­tra­gen hier­mit die Umbenennung des Ändere-Dein-Passwort-Tages in Überarbeite-Deine-Passwort-Strategie-generell-Tag 🙂 Die Hoffnung stirbt zuletzt.

Petya Logo (Trendmicro.com)

Petya-Trojaner ist geknackt, Passwort-Generator verfügbar

Betroffene des Krypto-Trojaners Petya kön­nen auf­at­men. Der Algorithmus wur­de geknackt und es steht ein Passwort-Generator bereit. Laut ver­schie­de­nen Online-Meldungen u.a. heise.de funk­tio­niert die Entschlüsselung auch.

Etwas tricky

Um die Entschlüsselung durch­zu­füh­ren, muss die betrof­fe­ne Festplatte in einen nicht infi­zier­ten PC als zusätz­li­che Platte ein­ge­baut wer­den. Mittels des “Petya Sector Extractor” des Sicherheitsforschers Fabian Wosar wer­den die nun benö­tig­ten Angaben aus dem Verschlüsselungscode extra­hiert. Diesen Code trägt man nun auf der Webseite von einem unter dem Namen leos­tone auf­tre­ten­den Unbekannten ein und erhält den eigent­li­chen Entschlüsselungscode. Nun muss die Platte wie­der ins ursprüng­li­che System und dort gestar­tet wer­den. Trägt man den Code dort ein, soll nach aktu­el­len Angaben die Entschlüsselung funk­tio­nie­ren.

Auf Petya beschränkt

Tool und Webseite funk­tio­nie­ren ledig­lich für die aktu­el­le Variante von Petya. Betroffene von Locky, Teslacrypt oder ande­rer Krypto-Trojaner soll­ten dies bit­te nicht aus­pro­bie­ren.

Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) hat einen Anforderungskatalog Cloud Computing ver­öf­fent­licht:

Es gibt auf dem Markt ver­schie­de­ne Standards und Zertifizierungen, die von vie­len Cloud-Anbietern mit gro­ßem Aufwand par­al­lel genutzt und auf­recht­erhal­ten wer­den. Die Vielzahl an ver­schie­de­nen Zertifizierungen ist für Kunden jedoch schwer zu über­schau­en. Mit die­sem Anforderungskatalog soll den Kunden eine Hilfestellung für einen bes­se­ren Überblick zu mehr Sicherheit gege­ben und Mehrfachprüfungen ver­mie­den wer­den.

Der Katalog ist als PDF ver­füg­bar. Sie kön­nen die­sen hier her­un­ter­la­den.

Locky lässt nicht locker — 5.000 Infektionen pro Stunde

!!!! WICHTIGE INFORMATIONEN !!!!

Alle Dateien wur­den mit RSA-2048 und AES-128 Ziffern ver­schlüs­selt.
Die Entschlüsselung Ihrer Dateien ist nur mit einem pri­va­ten Schlüssel und einem Entschlüsselungsprogramm, wel­ches sich auf unse­rem Server befin­det, mög­lich.

Wenn die­se Meldung auf Ihrem Bildschirm erscheint, haben die Programmierer von Locky mit ziem­li­cher Wahrscheinlichkeit Ihre vol­le Aufmerksamkeit. Die auf den pas­sen­den Namen Locky getauf­te Form des aktu­ell gras­sie­ren­den Krypto-Trojaners ist sehr erfolg­reich. Gerade in Deutschland sind es zur Zeit über 5.000 Infektionen in der Stunde. Wohlgemerkt, in der Stunde!  In den Niederlanden sind es gera­de mal 2.900 pro Stunde, deut­lich weni­ger.

Locky ist hilfs­be­reit

Der ein­gangs erwähn­te Hinweis erscheint bei aktu­el­len Infektionen mitt­ler­wei­le auf Deutsch. Zum bes­se­ren Verständnis sind Links hin­ter­legt, die dem Opfer anhand von Wikipedia-Einträgen zu RSA und AES die Aussichtslosigkeit der Situation vor Augen hal­ten.

Unter den Infizierten fin­den sich auch bekann­te Namen. So mel­det dpa die erfolg­rei­che Infektion eines Fraunhofer-Instituts in Bayreuth. Dort sind cir­ca 60 Arbeitsplätze von dem erfolg­rei­chen Krypto-Trojaner betrof­fen, die Dateien voll­stän­dig ver­schlüs­selt. Ähnlich zu dem bekannt gewor­de­nen Vorfall im Lukaskrankenhaus in Neuss wird auch hier ein unvor­sich­ti­ger Mitarbeiter ver­mu­tet, der einen mani­pu­lier­ten Datei-Anhang in einer Email geöff­net hat. Damit nahm das Unheil sei­nen Lauf.

Funktionsweise von Locky

Locky ist sehr kon­takt­freu­dig. Einmal aktiv, ver­schlüs­selt der Trojaner nicht nur die Dateien auf der loka­len Festplatte, son­dern macht sich auch über Netzfreigaben und ange­schlos­se­ne exter­ne Speichermedien her. Cloud-Speicher sind eben­falls ein gefun­de­nes Fressen für Locky. Findet die­ser dort Dateien sei­nes Suchrasters, dann wer­den die­se eben­falls ver­schlüs­selt. Zynische Zeitgenossen mei­nen, damit wäre dann zumin­dest der Zugriff durch aus­län­di­sche Geheimdienste auf die­se Daten kein Thema mehr.

Der Krypto-Trojaner Locky ver­brei­tet sich zur Zeit größ­ten­teils über Email-Anhänge. Besonders beliebt sind hier­bei Office-Dokumente, die Makro-Code ent­hal­ten. Hier kann die IT schon mal tech­nisch ein­grei­fen und zumin­dest durch Systemeinstellungen das auto­ma­ti­sche Ausführen sol­ches Codes ver­hin­dern. Löst der Nutzer die Ausführung manu­ell aus, dann ist dage­gen lei­der kein Kraut gewach­sen. Ob Locky in bal­di­ger Zukunft auch über ande­re Kanäle auf die PC der Opfer gelangt, wird sich zei­gen.

Update 13.02.2016: Mittlerweile wird Locky auch über Exploit-Kits durch Sicherheitslücken im Browser oder Zusatzsoftware wie Flash auf die PC über­tra­gen. So kann bereits der Besuch ent­spre­chend prä­pa­rier­ter Webseiten zu Infektionen durch Locky und der dazu­ge­hö­ri­gen Verschlüsselung des PC füh­ren.

Kein Internet der Dinge (IoT) ohne Sicherheit

Das Internet der Dinge (Internet of Things — IoT) ist in aller Munde. Und kein Tag ver­geht, an dem nicht irgend­ein Hersteller die­ses Thema wie die sprich­wört­li­che “Sau durch’s Dorf treibt”. Die Folgen dür­fen wir nicht erst in der jüng­sten Presse lesen:

  • Aus der Ferne zu steu­ern­de Heizkessel mit Sicherheitslücken.
  • Fahrzeuge, deren Steuerung und Bremsverhalten ledig­lich durch ein Handy im Vorbeifahren geän­dert wer­den kön­nen. Interessanterweise hei­ssen die­se auch noch smart cars.
  • Sicherheitskameras, die von jeder­mann aus der Ferne abge­ru­fen wer­den kön­nen. Dank Suchmaschine sogar von jeder­mann auf­zu­spü­ren.

Und das sind nur eini­ge Beispiele unter vie­len. Doch wer glaubt, nun wird das Tempo aus dem Thema genom­men, der irrt. Statt nun Produktentwickler und Sicherheitsexperten zusam­men­zu­brin­gen und von vorn­her­ein Sicherheit in die Produkte ein­zu­bau­en, wird wei­ter alles auf den Markt gewor­fen, was die Technik her­gibt.

Nachträgliche Sicherheit um ein Vielfaches teu­rer

Obwohl aus Studien bekannt ist, dass die nach­träg­li­che Implementierung von Sicherheit bis zu 60 mal teu­rer ist, als die­se Features gleich bei der Entwicklung ein­zu­pla­nen und ein­zu­bau­en, wird mun­ter wei­ter drauf los pro­du­ziert. Kinderpuppen als Abhörvorrichtung im Kinderzimmer, Schnittstellen ins Auto die ledig­lich die Fahrgestellnummer für den Zugang zur Elektronik benö­ti­gen. Geht’s noch? Diese kann jeder­mann klar und ein­fach im Sichtfenster der Windschutzscheibe able­sen, dort ist die­se näm­lich bei den mei­sten Kfz sei­tens des Herstellers ein­ge­stanzt.

IoT nur mit koor­di­nier­tem Sicherheitsmanagement

So ist es auch nicht wei­ter ver­wun­der­lich, dass eine Studie des McKinsey Global Institute zum berech­tig­ten und nach­voll­zieh­ba­ren Schluss kommt, dass IoT nur mit einem unfas­sen­den Security Management mög­lich ist. Fraglich, ob die Hersteller die Studie lesen und dar­aus Konsequenzen zie­hen.