Beiträge

Fritz!Box — der Spion im eigenen Haus

Wer sich mit dem Thema Hacking zum ersten Mal befasst, stößt schnell auf Beiträge zu Tools wie nmap, Wireshark oder gleich das fer­tig kon­fi­gu­rier­ter Hacking-Betriebssystem zum Download Kali-Linux. Doch dabei muss man eigent­lich gar nicht so tief in die Materie ein­drin­gen, steht der Sniffer zum Datenschnüffeln doch bereits in vie­len Haushalten und Organisationen zum Einsatz bereit. Die Rede ist von der AVM Fritz!Box!

Glauben Sie nicht? Sie haben eine Fritz!Box in Ihrem Netzwerk? Dann rufen Sie doch ein­fach mal die fol­gen­de URL auf — http://fritz.box/html/capture.html und stau­nen Sie. Zuerst sieht alles aus wie die nor­ma­le Anmelde-Oberfläche für das Konfigurationsinterface Ihrer Fritz!Box. Sobald Sie sich mit Administrator-Rechten in dem Login ange­mel­det haben, erscheint eine nicht im Anwender-Handbuch der Fritz!Box beschrie­be­ne Funktion samt Oberfläche. Willkommen beim inter­nen Schnüffeltool für Ihr Netzwerk!

Screenshot der Capture-Oberfläche der Fritz!Box

Screenshot Capture Oberfläche der Fritz!Box

Jetzt wäh­len Sie nur noch die Schnittstelle aus (die Auswahlmöglichkeiten enden nicht mit die­sem Screenshot, scrol­len Sie ein­fach mal wei­ter nach unten) und drücken den “Start”-Button. Wenn Sie der Meinung sind, genü­gend Informationen an die­ser Schnittstelle mit­ge­schnit­ten zu haben, klicken Sie auf “Stopp” und laden den Mitschnitt auf Ihr Endgerät her­un­ter. Nun reicht ein nor­ma­ler Textbetrachter — oder kom­for­ta­bler der Import in ein Tool wie Wireshark — und Sie haben die kom­plet­te Netzwerkkommunikation im Klartext vor sich — inklu­si­ve genutz­ter Zugangsdaten und Passwörter. Im Klartext, sofern kei­ne ver­schlüs­sel­ten Netzwerkverbindungen wie https oder ande­re für die Übertragung genutzt wur­den. Zahlreiche Programme und Apps, aber auch nicht sen­si­bi­li­sier­te Anwender über­tra­gen Daten unver­schlüs­selt über das Netzwerk. Nutzern soll­te man stets raten, aus­schließ­lich https-gesicherte Verbindungen im Browser zu nut­zen.

Geht nur mit den gro­ßen Fritz!Boxen von AVM? EIn Trugschluss. Wir haben meh­re­re Modelle begin­nend von der 4020 (ohne DSL Modem) bis hin zur 7490 gete­stet, es geht!

Glauben Sie nicht? Machen Sie doch ein­fach selbst den Test. Aktivieren Sie das Mitschneiden wie oben beschrie­ben an der Schnittstelle, an der Sie mit Ihrem aktu­el­len Gerät ange­schlos­sen sind. Öffnen Sie wei­te­re Browserfenster, sur­fen Sie ein wenig, nut­zen Sie Anmelde- oder Registrierungsformulare. Dann zurück zur Fritz!Box-Oberfläche, Stopp, Download und Textbetrachter anwer­fen.

Normalerweise kann die Funktion nur von inner­halb eines Netzwerks auf­ge­ru­fen wer­den. Sollte jedoch der Web-Zugang zu Ihrer Fritz!Box akti­viert und unsi­cher sein oder ein VPN-Zugang in Ihr inter­nes Netz kom­pro­mit­tiert sein, dann steht die Anmelde-Oberfläche auch ande­ren, eher uner­wünsch­ten Nutzern zur Verfügung. Eigentlich selbst­ver­ständ­lich, die Anmelde-Oberfläche der Fritz!Box mit einem star­ken Passwort zu sichern.

Eigentlich ist die­se Funktion zur Fehleranalyse inte­griert. Wie so oft bei sol­chen Funktionen, kann die­se jedoch auch zu bös­ar­ti­gen Zwecken genutzt wer­den. Sobald Zugang zur Oberfläche der Fritz!Box besteht, ist ein Mitschneiden des Datenverkehrs ALLER ange­schlos­se­nen Geräte mög­lich.

Wer sich nun frisch ans Werk macht, egal ob in sei­ner Behörde, sei­nem Unternehmen oder daheim im Privatnetzwerk, dem sei der Blick auf die Paragraphen 202a, 202b, 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 303a sowie 303b Strafgesetzbuch nahe­ge­legt. Es han­delt sich hier um kein Kavaliersdelikt, son­dern um eine Straftat. Und das gilt auch für den Einsatz im hei­mi­schen pri­va­ten Netzwerk ohne Kenntnis der ande­ren Familienmitglieder / Nutzer. Auch im dienst­li­chen / geschäft­li­chen Umfeld soll­te der Einsatz zuvor mit der Behörden-/Unternehmensleitung, sowie dem Personal-/Betriebsrat und dem Datenschutz- sowie dem Informationssicherheitsbeauftragten abge­klärt wer­den. Der Einsatz durch einen Mitarbeiter außer­halb der IT und ohne Abstimmung ver­bie­tet sich von selbst.

Ausfall des Telekom-Netzes, Hinweise auf Hacker-Angriff

Hunderttausende Anschlüsse (die Rede ist von 900.000) bun­des­weit sind betrof­fen, kein Netz — kein Telefon, kein Internet, kein IP-Fernsehen. Wurden bis­her die Ursachen im Telekom-Netz oder bei den Routern auf Kundenseite ver­mu­tet, bestä­tigt jetzt ein Sprecher der Telekom den Verdacht eines Hacker-Angriffs: “Wir haben erste Hinweise dar­auf, dass wir mög­li­cher­wei­se Opfer eines Hackerangriffs gewor­den sind.”

Im Moment rät die Telekom dazu, den kun­den­sei­ti­gen Router vom Stromnetz zu tren­nen und eini­ge Zeit aus­ge­schal­tet zu las­sen. Möglicherweise ver­bin­det sich der Router nach erneu­tem Einschalten wie­der mit dem Telekom-Netz.

Quelle: http://www.spiegel.de/netzwelt/web/telekom-stoerung-hinweise-deuten-auf-hackerangriff-hin-a-1123380.html

SaaS = “Schadsoftware as a Service”, Hack zum Schnäppchenpreis im Web

Welcome back to the under­ground whe­re it’s a good time to be a bad guy”, mit die­sen Worten lei­tet SecureWorks den “2016 Underground Hacker Marketplace Report” ein.

Wollten Sie schon immer mal frem­de Webseiten (oder die eines Wettbewerbers) mit­tels DoS-Attacke (Denial of Service) lahm­le­gen? Kein Problem mehr, denn für 5 US Dollar in der Stunde kön­nen Sie die dazu­ge­hö­ri­ge Technik samt Bot-Netz dazu anmie­ten. Aktuelle Krypto-Trojaner erhal­ten Sie bereits für 80 US Dollar und das Angler Exploit Kit ist gera­de mal 20 US Dollar teu­rer. Angler unter­sucht die Browser von Webseitenbesuchern auto­ma­tisch auf bekann­te Schwachstellen und lie­fert dazu pas­sen­den Schad-Code aus. Die pas­sen­de Hardware für das Skimming von EC-Geräten wird für unter 400 US Dollar feil­ge­bo­ten. Sollten Sie noch nicht ganz firm im Umgang mit die­sen Techniken sein, so gibt es Online-Tutorials für 20 US Dollar gleich dazu.

Diese Zahlen prä­sen­tiert SecureWorks im “2016 Underground Hacker Marketplace Report”. Besonders betont SecureWorks den Fokus der Anbieter auf Kundenzufriedenheit. Nicht nur, dass sich die Anbieter auf den Untergrund-Software-Märkten mit Profil und genau­en Angaben zur Erfahrung in die­sem Métier dar­stel­len. Das hohe Level über­rascht jedoch weni­ger. Interessanter ist der Aspekt, dass der “Kunde” erst zahlt, wenn der gewünsch­te Erfolg erreicht ist. Das ist doch mal ein Service.

Den Report im PDF Format kön­nen Sie hier her­un­ter­la­den.

Online-Banker aufgepasst, Banking-Trojaner Retefe ist wieder da

Das Internet Storm Center mel­det heu­te einen alten Bekannten zurück auf der Bildfläche “Retefe is back in town”

Erneute Vorkommen die­ses beson­ders per­fi­den Banking-Trojaners wur­den aus Österreich, der Schweiz, Schweden und Japan ver­mel­det. Die Verbreitung fin­det in gewohn­ter Manier via Spam-Email statt. Im Anhang befin­det sich ein Zip-File mit JavaScript-Code. Dieser Code lädt dann den eigent­li­chen Schadcode nach. Betroffen davon sind Windows-Systeme.

Retefe instal­liert ein gefälsch­tes Sicherheitszertifikat auf dem betrof­fe­nen PC, nach­dem er zuvor stö­ren­de Prozesse mit­tels taskkill abge­schos­sen hat. Zusätzlich wird ein DNS Server samt Proxy ein­ge­rich­tet, der zukünf­ti­ge Anfragen auf das Banking-Portal über­nimmt. Aufgrund des instal­lier­ten und signier­ten Zertifikats sieht das im Browser für den Nutzer wie eine nor­ma­le gesi­cher­te Verbindung aus. Ist ein Android-Gerät greif­bar, wird die­sem ein Trojaner unter­ge­ju­belt, der einen von der Bank per SMS ver­sand­ten Zugangstoken auto­ma­tisch abgrei­fen kann.

Da sich Retefe nach Einrichtung die­ser Manipulation selbst löscht, fällt es Virenscannern schwer, eine Infektion zu erken­nen — es ist ja kein Schadcode aktiv oder auf dem System gespei­chert.

Also ein wei­te­rer Grund, den Posteingang kri­tisch zu begut­ach­ten und im Zweifel Dateianhänge unge­öff­net zu löschen. Datenschutz- und Informationssicherheitsbeauftragte soll­te Ihre Anwender über die­se neue Bedrohung im Rahmen der übli­chen Sensibilisierungskanäle zeit­nah infor­mie­ren.

Stadt Dettelbach zahlt Lösegeld wegen Teslacrypt

Was Insider schon län­ger wuß­ten, ist nun offi­zi­ell. Die Stadt Dettelbach wur­de Opfer des Krypto-Trojaners Teslacrypt. Bereits vor eini­gen Tagen wur­de auf der Webseite der Stadtverwaltung ange­deu­tet, was sich ereig­net hat.

dettelbach-krypto-trojaner

Bereits am 08. Februar 2016 soll durch den Klick eines unvor­sich­ti­gen Mitarbeiters das Unheil sei­nen Lauf genom­men haben. Die Daten auf dem Server der Verwaltung wur­den ver­schlüs­selt. Nun hat man sich ent­schie­den, das gefor­der­te Lösegeld zu zah­len. Und obwohl das BSI und ande­re Einrichtungen von der Zahlung an die Erpresser abra­ten, hat­te die Stadtverwaltung Glück im Unglück. Der gekauf­te Schlüssel zur Entschlüsselung funk­tio­nier­te, zumin­dest teil­wei­se. Die rest­li­chen Daten ver­such­te man, aus einem Backup wie­der­her­zu­stel­len. Wie Spiegel Netzwelt berich­tet, gab es dabei wohl Probleme und Fehlentscheidungen, die einen weit­rei­chen­den Systemausfall und Datenverluste zur Folge hat­ten.

So for­dert die Stadt über die Webseite wohl nicht mehr wie­der­her­stell­ba­re Unterlagen und Informationen von den Kunden der Stadtwerke an.

dettelbach-teslacrypt

Die Kriminalpolizei Würzburg hat Ermittlungen wegen Erpressung auf­ge­nom­men.

Vorsicht: BKA Virus Warnung enthält Virus

Perfide wird der­zeit die Angst vor dem Krypto-Trojaner Locky aus­ge­nutzt, mel­det mimikama.at. Eine offi­zi­ell nach BKA als Absender aus­se­hen­de Email  warnt vor Locky und bie­tet zugleich ein ” BKA Locky Removal Tool” an. Startet man die­se EXE, wird das System mit einem Trojaner infi­ziert. Dieser soll­te glück­li­cher­wei­se von Virenscannern mit aktu­el­len Signaturen erkannt und ent­fernt wer­den.

Quelle: mimikama.at

Quelle: mimikama.at

Mimimaka.at hat den Wortlaut der Email eben­falls ver­öf­fent­licht:

Offizielle Warnung vor Computervirus Locky

Aufgrund wie­der­hol­ter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu ver­hal­ten hat, haben Wir uns dazu ent­schie­den in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stel­len in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus ver­mei­den kön­nen und sich im Falle einer Infektion rich­tig zu ver­hal­ten haben. Sofern Sie noch nicht dar­über infor­miert wor­den sind was der Locky Virus anrich­tet haben wir für Sie alles noch ein­mal kurz zusam­men­ge­fasst. Bei dem Locky Virus han­delt es sich um einen soge­nann­ten Kryptolocker der gezielt wich­ti­ge Dateien auf ihrem Computer ver­schlüs­selt und für Sie unbrauch­bar macht. Die Dateien kön­nen Sie nur wie­der gegen eine Zahlung brauch­bar machen. Das Problematische an die­sem Virus besteht dar­in, dass es sich nicht um einen gewöhn­li­chen Virus han­delt und wir des­we­gen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbei­ten um die­sen Virus zu ent­fer­nen Den oben erwähn­te Sicherheitsratgeber sowie ein eigen­hän­dig durch das Bundeskriminalamt ent­wickel­te Analyse Tool kön­nen Sie sich aus dem Anhang her­un­ter­la­den
Mit freund­li­chen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@nullbka.de

Videobeitrag: Deutsches Unternehmen zahlt Lösegeld an Locky-Autoren

Und wer es immer noch nicht glau­ben kann, was zur Zeit bei Unternehmen und Behörden auf­grund der aktu­el­len Krypto-Trojaner-Welle los ist, hier ein inter­es­san­ter Beitrag aus der SWR Landesschau vom 23.02.2016.

Ein unvor­sich­ti­ger Mitarbeiter löst mit­tels Mausklick die Verschlüsselung inner­halb der Firma aus. Nach eini­ger Zeit sieht der Geschäftsführer nur noch einen Weg, um wie­der arbeits­fä­hig zu wer­den. Das Lösegeld in Form von Bitcoins wird bezahlt. Die Systeme wie­der ent­schlüs­selt. Einige wich­ti­ge Daten sind jedoch kor­rum­piert und kön­nen nicht mehr genutzt wer­den. Gut, wer dann noch auf ein funk­ti­ons­fä­hi­ges Backup zurück­grei­fen kann. Hier der Link zum Video-Beitrag des SWR.

http://www.swr.de/landesschau-aktuell/rp/trojaner-locky-eine-firma-unter-druck/-/id=1682/did=17005502/nid=1682/1rev2qn/

Erfolgreiche Krypto-Trojaner: US Krankenhaus zahlt 40 Bitcoins Lösegeld

Heise.de mel­det, Locky ist erfolg­reich. Ein US-Krankenhaus aus Los Angeles hat zur Entschlüsselung sei­ner Computer 40 Bitcoins Lösegeld an die Erpresser bezahlt. Die Krankenhaus-Leitung infor­mier­te dazu mit dem Hinweis “Das war die ein­fach­ste Lösung”. Die 40 Bitcoins ent­spre­chen zum Zeitpunkt der Zahlung unge­fähr 15.000 Euro.

 

Online-Supermarkt für Schadsoftware

Laut einem Bericht von Spiegel.de NETZWELT hat das rus­si­sche IT-Sicherheitsunternehmen Kaspersky einen Online-Shop für Schadsoftware ent­deckt. Auslöser war eine Spear-Phishing-Attacke auf ein Bankhaus in Singapur. Im Rahmen der Untersuchungen fand man bei Kaspersky her­aus, dass der Urheber die hin­ter dem Angriff ste­hen­de Schadsoftware nicht selbst ent­wickelt, son­dern online ein­ge­kauft hat. Es han­del­te sich bei dem Angriff um einen Nigerianer mit Wohnsitz in Malaysia.

Die Mitarbeiter von Kaspersky stie­ßen auf einen Online-Supermarkt, “der Möchtegern-Cyberkriminellen ein Rundumpaket mäch­ti­ger Angriffswerkzeuge anbie­tet”. Die Webseite ist ganz offi­zi­ell über das Internet zu errei­chen. Die Leistungen, näm­lich Schadsoftware samt Anleitung in ver­schie­de­nen Varianten sind zumeist im Rahmen eines Abonnements ver­füg­bar. Das Unternehmen hat nach wei­te­rer Verfolgung der Spuren der Drahtzieher inter­na­tio­na­le Sicherheitsbehörden ein­ge­schal­tet, da eine rei­ne Abschaltung der betrof­fe­nen Domain nach­voll­zieh­bar nicht nach­hal­tig ist.

Quelle