Re: [OT] DSL-Zugangsdaten geklaut was tun?
Frank Dietrich schrieb:
Hi Björn,
Bjoern Schliessmann
<usenet-mail-0306.20.chr0n0ss@spamgourmet.com> wrote:
Matthias Haegele wrote:
Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt.
Darf man fragen wie?
k. A. s. u Vermutungen.
Ich würde mal drauf tippen das es am nicht deaktiverten
Fernwartungsmodus (oder wie immer das die Marketingabteilung bei den
Routern auch benannt hat) lag.
Ist ein Bintec X3200 (ich will Bintec nicht schlechtmachen, halte sehr
viel von den Teilen ...)
Die ursprüngliche Konfiguration wurde mit dem Wizard gemacht, kein
Fernwartungsmodus per ISDN o. ä. aktiviert. Allerdings war das Kennwort
schwach, vmtl. mittels JohntheRipper o. ä. in absehbarer Zeit geknackt.
SIF war ist nicht aktiviert.
Das ist nämlich auch ein Faktor, der beim weiteren Vorgehen
berücksichtigt werden sollte.
Jup. und der holt mich spätestens am Mo. in Form deren Geschäftsführers
ein, der dann wohl ein paar Erklärungen will:
"Wie denn so etwas passieren kann" ...
(Und vor allem was ich dagegen unternehmen kann dass es nicht nochmal
passiert)
btw:
Gibt es eigentlich überhaupt einen DSL-Zugangs-Provider der beim
Verbindungsaufbau Verschlüsselung anbietet?.
Full ACK. Man sollte in so einem Fall immer die Ursache und nicht nur
die Wirkung bekämpfen. ;-)
Das Problem ist das ich genau das nicht weiss, einige Vermutungen:
1. unwahrscheinlich:
Ein (ehemaliger) Mitarbeiter ist an die (gut verwahrten) Kennwörter
rangekommen und surft damit zuhause rum. (Vermutung seitens T-Com/T-Online).
2. mitsniffen beim Verbindungsaufbau da bei PAP ja im Klartext
(username/pass) übertragen wird?
Inwieweit das möglich ist, k. A.
und vor allem *wo* dazu der Angreifer sitzen müsste.
3. a)
Ausnutzen einer Lücke auf dem Router zum Auslesen des Kennwortes z.B.
der Speichertabelle oder eines Dumps mittels TFTP auf einen Rechner des
Angreifers. Wie es mit SSH aussieht muss ich mir in der gesicherten
Konfig anschauen.
/*
btw: mein x2300is @home bietet ssh nur auf Key-Basis an ...
Ob ein Angriff von aussen auf den Daemon möglich ist k. A. aber man kann
ja noch die FireWall einsetzen ...
/*
(Die SW war zu meiner Schande schon etwas angestaubt und da meist
irgendwelche abgewandelten Linuxkernel drinstecken halte ich das
durchaus für möglich).
Allerdings:
Kein Dyndns o. ä. und relativ niedriger Shorthold von 120 Sek. (ja man
kann Verbindungen auch künstlich aufhalten ...).
3 b) jemand fängt sich auf einer Windows-Kiste einen (unbekannten)
speziell gestricken Trojaner o. ä. ein, der Angriff käme von innen,
somit hätte der Angreifer natürlich alle Zeit der Welt um das Passwort
auszuprobieren ...
4. Ursachenforschung, schwierig denke ich da:
Router resettet nachdem kein Zugang mehr möglich war, (hätte doch vorher
Ursache suchen sollen, shit happens) somit vmtl. auch die Logs zum
Zeitpunkt des evtl. Angriffes kaputt, (mir wäre nicht bekannt dass die
Kisten das sonst irgendwie speichern) -> in Zukunft
wird das Teil auf einen Syslog-Server im internen Netz loggen ...
Frank
Grüsse & Danke für jeden Tipp.
MH
Reply to: