Neues in der Kategorie Hacking

Einige Router von Linksys, Netgear, Cisco und eventuell anderen Anbietern haben an Port 32764 eine Schnittstelle, die genutzt werden kann um sogar zum Teil die Passwörter im Klartext auszulesen. Eine Liste mit bereits getesten Modellen findet sich hier: https://github.com/elvanderb/TCP-32764/blob/master/README.md

Ausführliche Artikel von Heise.de zum Thema, auch wie man testen kann ob man selbst betroffen ist und ein funktionierender Exploit, gibt es hier:
http://www.heise.de/newsticker/meldung/Router-auf-Backdoor-testen-2074844.html
http://www.heise.de/newsticker/meldung/Mysterioese-Backdoor-in-diversen-Router-Modellen-2074394.html

Natürlich kann man auch selbst einen kurzen Test machen und versuchen eine Telnet-Verbindung zu diesem Port am eigenen Router aufzubauen.

Eine DDoS Attacke auf Port 80 hat in den letzten drei Tagen das Angebot des Undertec Blog lahm gelegt. Aus Sicherheitsgründen wurde deshalb der Webserver für einige Zeit abgeschaltet.

Entdeckt wurde die Attacke am 28. Dezember als von der IP-Adresse 46.105.143.85 mehrere verdächtige Syn-Pakete an Port 80 identifiziert werden konnten. Nach einer ersten erfolgreichen Abwehr kam dann in einer stärkeren Welle ein Angriff am selben Tag von der IP-Adresse 198.245.50.112, welcher bis Montag morgen dauerte.

Beide IP-Adressen sind zugehörig zu einem Hoster namens OVH, welcher auch eine GmbH Niederlassung in Deutschland hat. Die IP-Adressen selbst sind dabei in Frankreich (46.105.143.85) und Kanada (198.245.50.112) angesiedelt.
Eine Beschwerde/Abuse-Mail am selben Tag an die registrierten Kontaktadressen brachte zunächst keinen Erfolg, weswegen die Attacke sich auch bis zum Montag morgen austoben konnte.

Interessanterweise waren auch etliche andere Webhoster betroffen, wie die Listen auf http://www.abusipdb.com zeigen. Dort wird ebenfalls über den schlechten OVH Support geschimpft, der wohl über die Feiertage in keinster Weise reagiert hat, bzw. der wohl nicht in der Lage war einen Techniker zu Beendigung der Attacke bereitzustellen:

http://www.abuseipdb.com/report-history/46.105.143.85
http://www.abuseipdb.com/report-history/198.245.50.112

Das spricht natürlich nicht für OVH, wenn sie nicht mal in der Lage sind, technische Probleme an Feiertagen zu lösen. Mein persönliches Fazit daraus ist, dass ich nie bei OVH Kunde werde, wenn der Service so schlecht ist. Im Übrigen kam auch keine Antwort auf die gesendeten Abuse-Mails.

Vor einiger Zeit gab es die Meldung (http://www.undertec.de/blog/2012/07/hack-bei-gmx---die-gmx-katastrophe.html) das GMX mit einer Hackerattacke zu kämpfen hatte, bei der GMX aber davon ausging, dass es sich nicht um einen Brute-Force-Angriff im großen Stil gehandelt habe (also nicht 300.000 Accounts sondern nur 3000 kompromittierte, siehe auch http://www.heise.de/newsticker/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html). Angeblich wurden auch Logins anderer Provider ausprobiert, was darauf schließen lässt, dass die verwendete E-Mail/Passwort-Liste bei einem anderen Angriff erbeutet wurde.

Vor ein paar Tagen ergab sich aber hier der Gegenbeweis dazu. An eine E-Mail-Adresse die nur für eine einzige Mailingliste genutzt wird und bei der mit hundertprozentiger Sicherheit noch nie die im Postfach eingestellte Vornamen/Nachnamen Kombination als "Display name" verwendet wurde, kam eine Spam-Abmahnmail die genau diese Anrede benutzte. Interessanterweise ist diese Anrede nirgends im lokal verwendeten Mail-Client gespeichert und auch nicht in irgendwelchen Einstellungen die extern zu der Mailingliste gehören. Bleibt also die große Frage, wie der Spammer an diese Vornamen/Nachnamen-Kombination gekommen ist? Ein reiner Brute-Force-Angriff ist bei der Schwierigkeit des Passworts des Accounts eher auszuschließen. Viel eher erscheint es, als wenn entweder ein Admin-Konto mit Zugang zur Kundendatenbank oder aber ein Leak für die Offenlegung dieser Adressen bei GMX zuständig scheint.

Auf jeden Fall ist dies ein eindeutiges Zeichen dafür, dass man sein Passwort bei GMX regelmäßig ändern sollte oder sich aber einen neuen Account bei einem anderen Provider zulegen sollte, wobei man heutzutage hier aber ebenfalls mit solchen Problemen rechnen kann.

 

Vor kurzem konnte man auf Heise lesen, dass viele Geräte über unnötig aktivierte UPnP-Ports angreifbar sind. Dies betrifft nicht nur Drucker und NAS-Systeme sondern leider auch Router. Mittlerweile ist auf Heise eine Testwebseite verfügbar, mit der man seinen Anschluss scannen kann.

Hier der Link zu Netzwerkcheck-Seite von Heise:
http://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=4

Und hier der Links zu den beiden Artikeln, die sich detailliert mit der Angriffsmethode und der Vorbeugung beschäftigen:
http://www.heise.de/newsticker/meldung/Heisec-Netzwerkcheck-spuert-offene-UPnP-Dienste-auf-1794733.html
http://www.heise.de/newsticker/meldung/Millionen-Geraete-ueber-UPnP-angreifbar-1793625.html

Wer ein unliebsames Antwortschreiben (z.B die GEZ (Gebühreneinzugszentrale)) in einem beigefügten Antwortumschlag zurückschicken muss, der muss nicht zwangsläufig eine Briefmarke drauf kleben. Die Deutsche Post bietet nämlich einen Service namens "Werbeantwort" an. Dort heißt es im Wortlaut:

Durch die Kennzeichnung mit dem Schriftzug „Deutsche Post "WERBEANTWORT" oder „Deutsche Post "ANTWORT" (inkl. Posthorn), den Frankiervermerk und einegedruckte Anschrift wird Ihr Response-Element zur WERBEANTWORT.

Und weiter heißt es:

Variante B:

Sie möchten Ihre Kunden an den Kosten beteiligen. - Textvorgabe: "Bitte ausreichend frankieren" oder "Bitte frankieren, falls Marke zur Hand" (oder ähnliche Formulierung). In diesem Fall kann es zu verschiedenen Kostenvarianten kommen:

a. Frankiert der Kunde ausreichend (0,45 EUR), wird dies als normale Sendung behandelt, so dass Sie kein Porto zahlen.

b. Frankiert der Kunde z. B. mit 0,10 EUR statt 0,45 EUR, zahlen Sie die Differenz zum Basisporto (0,35 EUR) je Sendung.

c. Frankiert der Kunde gar nicht, müssen Sie das Basisporto (0,45 EUR) pro Sendung übernehmen.

Das heißt im Klartext also, dass man eine Briefmarke auf ein Schreiben mit "Deutsche Post Antwort (mit Posthörnchen)" und "Bitte frankieren" nur drauf kleben sollte, wenn man dem Absender wirklich etwas gutes tun sollte.

Hier der Link zu den Informationen der Post:
http://www.deutschepost.de/werbeantwort
http://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1015554_1023246
http://www.deutschepost.de//mlm.nf/dpag/images/w/werbeantwort/broschuere_werbeantwort_und_responseplus_201101.pdf

Damit ist die Frage die in vielen Onlineforen auftaucht, ob man die GEZ mit einer Briefmarke unterstützen soll geklärt:
http://www.gutefrage.net/frage/antwortschreiben-an-gez-mit-briefmarke-versehen
http://forum.ksgemeinde.de/archive/index.php/t-84304.html
http://www.cosmiq.de/qa/show/1463511/Brief-ohne-Briefmarke/
http://de.answers.yahoo.com/question/index?qid=20081102040449AANbUgM

Die letzte Meldung zum GMX-Hack auf Heise (http://www.heise.de/newsticker/meldung/GMX-Hack-Angeblich-wesentlich-weniger-Betroffene-1637898.html) zieht einem doch glatt die Schuhe aus. Steht da doch, dass die Angreifer nur 3000 Accounts kompromittiert hätten und auch "Logins ausprobiert haben, die zu anderen Providern gehören". Klingt erste Zahl doch fast harmlos und das zweite stimmt bedenklich.

Viel besser ist aber eine Meldung zuvor, dass es sich nicht um einen Brute-Force-Angriff gehandelt habe (http://www.heise.de/newsticker/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html). Dies ist wohl eine glatte Lüge, da nachweislich E-Mail-Accounts zu knacken versucht  wurden, die niemals in einer Datenbank eines anderer Provider oder Dienstleisters waren. Dies bedeutet aber, dass eine Liste mit korrekten Mail-Zugängen direkt aus dem Hause GMX stammen muss.

Dies belegt nicht nur unser eigener Test, sondern auch andere User berichten darüber: http://www.heise.de/security/news/foren/S-Also-bei-mir-haben-saemtliche-GMX-Postfaecher-fehlgeschlagene-Logins/forum-233092/msg-22110546/read/.

Somit würde es sich um ein Leck im Hause GMX und sehr wohl um einen Brute-Force-Angriff handeln, anders als in der ersten Meldung vom 12.07.2012 geschrieben, wo das Ganze dementiert wurde. GMX hat wohl demnach nicht nur ein Hacking-Problem, sondern auch ein PR-Problem (siehe dazu auch die Meinung anderer Blogger unten).

Auf Grund dieser Tatsache scheint es doch eher wahrscheinlich, dass die Meldung das 300.000 User betroffen sind, richtig ist. Jeder der GMX nutzt sollte deswegen zwingend sein Passwort ändern, falls er dies noch nicht getan hat.

Hier die Links zu Heise.de:
10.07.2012: http://www.heise.de/newsticker/meldung/Spam-Versand-ueber-gehackte-GMX-Konten-1635150.html
12.07.2012: http://www.heise.de/newsticker/meldung/Ueber-300-000-GMX-Accounts-kompromittiert-1637510.html
12.07.2012: http://www.heise.de/newsticker/meldung/GMX-Hack-Angeblich-wesentlich-weniger-Betroffene-1637898.html

Weitere Blogger-Links zum Thema:
http://www.computius.de/blog/sicherheit/aendern-sie-ihr-gmx-kennwort-noch-heute/
http://www.freelancerwissen.de/nachrichten/gmx-spam-aus-gehackten-konten-12633.html
http://www.delp-online.de/wp/2012/07/12/gmx-konten-kompromittiert
http://www.ecombase.de/gmx-angriffe-auf-freemail-konten-allgemein-9550/
http://v2.samweber.net/2012/07/12/internet-nach-hackerangriff-e-mails-von-gmx-adressen-vorsichtig-offnen-focus-online/
http://www.datensicherheit.de/aktuelles/abnehmen-2-0-gekaperte-gmx-konten-fuer-fatburner-spam-genutzt-20355

Im Blog von NoNameMT findet man eine interessante Liste mit Anbietern von anonymem Webspace beziehungsweise bei denen man anonymes Hosting bekommt. Wer in seinem Land Probleme mit der Zensur hat, kann hier seine Webseiten anonym auslagern, wobei es sich anbietet immer ein Backup seiner Daten vorrätig zu halten, da man dort zwar anonym als Kunde bleibt, aber der Anbieter dennoch aufgrund von Landesgesetzen gezwungen sein kann, Inhalte zu löschen.

Natürlich werden die Server auch leider oft als Spam-Quellen genutzt weswegen diese Liste ebenfalls für Anti-Spam-Jäger sehr interessant sein dürfte.

Hier die Liste im Blog von NoNameMT:
http://nonamemt.us/2011/01/ubersicht-anonyme-webhoster/

Auf 3sat lief gerade die Dokumentation "Hacker" die 5 bekannte Hacker und Hacktivisten aus Deutschland porträtiert. Der Film zeigt selbstverständlich keine Hackaktivitäten, bietet aber dafür ein Einblick in die Subkultur.

Hier der Link zu 3sat-Mediathek:
http://www.3sat.de/webtv/?111211_hacker_film.rm
http://www.3sat.de/mediathek/frameless.php?url=/film/woche/155953/index.html

Auf Heise kann man einen tollen Artikel im Rahmen der Reihe "Tatort Internet" zum Thema DDoS lesen. Dabei wird aus Sicht eines Admins ein Angriff beschrieben und erläutert, welche Gegenmaßnahmen er ergreift bis hin zur Verurteilung des Täters.

Hier der Link zum Artikel:
http://www.heise.de/security/artikel/Tatort-Internet-Nach-uns-die-SYN-Flut-1285780.html

Wie auf Heise und in diversen anderen Internet-Plattformen berichtet, so kann man mit mehr oder weniger Aufwand direkt die Eingabe des EC-Pins am elektrischen Stromnetz abgreifen. Dies funktioniert, weil die Datenleitung des PS/2-Tastaturkabels nicht gut genug gegenüber dem Massekabel abgeschirmt ist. Und dieses Massekabel wird letztendlich bis ins elektrische Stromnetz durchgeleitet. So kann man die Informationen, die durch das Datenkabel fließen indirekt über die Masseleitung "mithören".

Zum Glück nimmt die Signalstärke zunehmend von der Eingabequelle ab, so dass man keine Chance hat, von zu Hause aus fremde Geldautomaten zu belauschen. Außerdem kann man den Signalen die man belauscht nur Wahrscheinlichkeiten zuordnen, so dass klar sein dürfte, dass das Belauschen komplexerer Tastatureingaben außer PINs kaum möglich ist.

Hier der Heise-Artikel dazu:
http://www.heise.de/newsticker/Black-Hat-PIN-an-der-Steckdose-abgreifen--/meldung/142781

Hier lässt sich das komplette Whitepaper mit allen technischen und theoretischen Inhalten als Text-Datei oder PDF herunterladen:
http://dev.inversepath.com/download/tempest/

Über dieses Archiv

Diese Seite enthält aktuelle Einträge der Kategorie Hacking.

GSM / UMTS ist die vorherige Kategorie.

Handy ist die nächste Kategorie.

Aktuelle Einträge finden Sie auf der Startseite, alle Einträge in den Archiven.

Januar 2014

So Mo Di Mi Do Fr Sa
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  
Etter EDV- und IT-Dienstleistungen
Powered by Movable Type 5.04

Google Werbung:

Google Werbung: