Re: [OT] DSL-Zugangsdaten geklaut was tun?

[Matthias Haegele <mhaegele@linuxrocks.dyndns.org>]

Frank Dietrich schrieb:
> Hi Björn,
>
> Bjoern Schliessmann
> <usenet-mail-0306.20.chr0n0ss@spamgourmet.com> wrote:
>
> > Matthias Haegele wrote:
> >
> > > Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt.
> >
> > Darf man fragen wie?

k. A. s. u Vermutungen.

> Ich würde mal drauf tippen das es am nicht deaktiverten
> Fernwartungsmodus (oder wie immer das die Marketingabteilung bei den
> Routern auch benannt hat) lag.

Ist ein Bintec X3200 (ich will Bintec nicht schlechtmachen, halte sehr 
viel von den Teilen ...)
Die ursprüngliche Konfiguration wurde mit dem Wizard gemacht, kein 
Fernwartungsmodus per ISDN o. ä. aktiviert. Allerdings war das Kennwort 
schwach, vmtl. mittels JohntheRipper o. ä. in absehbarer Zeit geknackt. 
SIF war ist nicht aktiviert.


> > Das ist nämlich auch ein Faktor, der beim weiteren Vorgehen
> > berücksichtigt werden sollte.

Jup. und der holt mich spätestens am Mo. in Form deren Geschäftsführers 
ein, der dann wohl ein paar Erklärungen will:
"Wie denn so etwas passieren kann" ...
(Und vor allem was ich dagegen unternehmen kann dass es nicht nochmal 
passiert)
btw:
Gibt es eigentlich überhaupt einen DSL-Zugangs-Provider der beim 
Verbindungsaufbau Verschlüsselung anbietet?.

> Full ACK. Man sollte in so einem Fall immer die Ursache und nicht nur
> die Wirkung bekämpfen. ;-)

Das Problem ist das ich genau das nicht weiss, einige Vermutungen:

1. unwahrscheinlich:
Ein (ehemaliger) Mitarbeiter ist an die (gut verwahrten) Kennwörter 
rangekommen und surft damit zuhause rum. (Vermutung seitens T-Com/T-Online).

2. mitsniffen beim Verbindungsaufbau da bei PAP ja im Klartext 
(username/pass) übertragen wird?
Inwieweit das möglich ist, k. A.
und vor allem *wo* dazu der Angreifer sitzen müsste.

3. a)
Ausnutzen einer Lücke auf dem Router zum Auslesen des Kennwortes z.B. 
der Speichertabelle oder eines Dumps mittels TFTP auf einen Rechner des 
Angreifers. Wie es mit SSH aussieht muss ich mir in der gesicherten 
Konfig anschauen.
/*
btw: mein x2300is @home bietet ssh nur auf Key-Basis an ...
Ob ein Angriff von aussen auf den Daemon möglich ist k. A. aber man kann 
ja noch die FireWall einsetzen ...
/*

(Die SW war zu meiner Schande schon etwas angestaubt und da meist 
irgendwelche abgewandelten Linuxkernel drinstecken halte ich das 
durchaus für möglich).
Allerdings:
Kein Dyndns o. ä. und relativ niedriger Shorthold von 120 Sek. (ja man 
kann Verbindungen auch künstlich aufhalten ...).

3 b) jemand fängt sich auf einer Windows-Kiste einen (unbekannten) 
speziell gestricken Trojaner o. ä. ein, der Angriff käme von innen, 
somit hätte der Angreifer natürlich alle Zeit der Welt um das Passwort 
auszuprobieren ...

4. Ursachenforschung, schwierig denke ich da:
Router resettet nachdem kein Zugang mehr möglich war, (hätte doch vorher 
 Ursache suchen sollen, shit happens) somit vmtl. auch die Logs zum 
Zeitpunkt des evtl. Angriffes kaputt, (mir wäre nicht bekannt dass die 
Kisten das sonst irgendwie speichern) -> in Zukunft
wird das Teil auf einen Syslog-Server im internen Netz loggen ...



> Frank

Grüsse & Danke für jeden Tipp.
MH