05.10.2012, 00:00 Uhr
Sicherheit: 4,5 Millionen DSL-Router gehackt
Fabio Assolini von Kaspersky Lab berichtete auf einer Konferenz in Dallas von einem spektakulären Hackangriff. Demnach haben Hacker aus Brasilien seit März 2011 etwa 4,5 Millionen DSL-Router angegriffen, ohne dafür eine Schadsoftware zu benutzen. Bereits im Mai 2012 schlug Trend Micro wegen eines dieser breitangelegten Angriffe Alarm. Doch konnten die Sicherheitsexperten den Angriff lange nicht nachvollziehen. Laut Assolini verschafften sich die Angreifer mithilfe von Bash-Scripten Zugriff auf die Administrator-Passwörter der DSL-Router. Über CSRF (Cross Site Request Forgery) konnten sie den Passwortschutz umgehen. Dabei spielte es keine Rolle, ob die Router-Besitzer ein sicheres Admin-Passwort vergeben hatte oder nicht. Danach konnten die Angreifer die DNS-Server-Einstellungen manipulieren und schliesslich neue Passwörter wie "dn5ch4ng3" und "ch4ng3dn5" setzen. Für die dafür nötige Umleitung richteten die Angreifer 40 DNS-Server ein. Die Nutzer bemerkten dann teilweise kleinere Auffälligkeiten, konnten aber deren Ursprung nicht ermitteln.
Über die manipulierten DNS-Server wurden dann bestimmte URLs auf die Server der Täter umgeleitet. Hier sorgten nachgebaute Google-, Facebook oder Orkut-Seiten dafür, dass PCs mit Schadsoftware infiziert wurden. Voraussetzung für die Anfälligkeit waren aber bekannte Sicherheitslücken etwa im Java-Plug-in. Es wurde auch versucht, die Nutzer zur Installation von Plug-ins mit Schadfunktion zu verleiten. Bei anderen Angriffen nutzten die Kriminellen gefälschte Online-Banking-Seiten, um an die Konto-Daten der Opfer zu gelangen. Ähnliche Methoden verwendete auch der Trojaner DNSChanger, der Ende letzten Jahres Millionen PCs infiziert hatte.
Betroffen sind sechs Router verschiedener Hersteller, die vor allem in Brasilien verbreitet sind. Offenbar haben sie einen bestimmten Broadcom-Chipsatz gemeinsam. Die meisten Hersteller stellten bereits im Frühjahr dieses Jahres Firmware-Updates bereit. Dadurch schrumpfte die Zahl der von den Angreifern übernommenen Router bereits auf 300.000.
Viele Hersteller liefern jedoch für ältere Router keine Updates mehr, sodass diese Modelle angreifbar bleiben. Laut Assolini haben Nutzer nicht aktualisierter Router keine Möglichkeit sich angemessen zu schützen. Wenn der Provider keinen sicheren Router zur Verfügung stellt, sollten Nutzer zumindest die Sicherheitseinstellungen auf den höchsten Level setzen und ansonsten dafür sorgen, dass die Software auf den PCs stets aktuell ist. Angesichts dessen, dass diese Angriffe sehr lange unbemerkt blieben, können die Experten nicht auszuschliessen, dass auch in anderen Ländern derartige Angriffe stattfinden.
So prüfen Sie den verwendeten DNS-Server
Die IP-Adresse des DNS-Servers wird an den PC in der Regel vom Router automatisch per DHCP übermittelt. Die Adresse lässt sich unter Windows auf der Kommandozeile mit dem Befehl
ipconfig /all
ermitteln. Eine Alternative ist der Befehl
nslookup com-magazin.de
Hier sehen Sie den verwendeten DNS-Server in der zweiten Zeile. Ob es sich dabei tatsächlich um den von Ihrem Provider zugewiesenen DNS-Server handelt, ist nicht ganz einfach herauszubekommen. Eine Liste mit einigen bekannten Adressen finden Sie beispielsweise auf der Seite Übersicht DNS Server. Im Zweifelsfall hilft nur eine Nachfrage beim jeweiligen Provider.
Sie können die Adresse des DNS-Server auch über die Oberfläche des DSL-Routers prüfen. Sie finden die Adresse meist schon auf der Übersichtsseite oder bei den Netzwerk-Einstellungen. Bei einer Fritz!Box 7390 beispielsweise müssen Sie zuerst über "System, Ansicht" die "Erweiterte Ansicht" aktivieren. Danach gehen Sie auf "Internet, Zugangsdaten, DNS-Server". Standardmässig ist hier die Option "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)" aktiv. Bei der Gelegenheit können Sie auch gleich über "System, Firmware-Update" nach einer neuen Firmware suchen lassen. (ph/com!)
Siehe auch: Sicherheitslü>Schwachstelle in UPnP-fähigen Routern
Über die manipulierten DNS-Server wurden dann bestimmte URLs auf die Server der Täter umgeleitet. Hier sorgten nachgebaute Google-, Facebook oder Orkut-Seiten dafür, dass PCs mit Schadsoftware infiziert wurden. Voraussetzung für die Anfälligkeit waren aber bekannte Sicherheitslücken etwa im Java-Plug-in. Es wurde auch versucht, die Nutzer zur Installation von Plug-ins mit Schadfunktion zu verleiten. Bei anderen Angriffen nutzten die Kriminellen gefälschte Online-Banking-Seiten, um an die Konto-Daten der Opfer zu gelangen. Ähnliche Methoden verwendete auch der Trojaner DNSChanger, der Ende letzten Jahres Millionen PCs infiziert hatte.
Betroffen sind sechs Router verschiedener Hersteller, die vor allem in Brasilien verbreitet sind. Offenbar haben sie einen bestimmten Broadcom-Chipsatz gemeinsam. Die meisten Hersteller stellten bereits im Frühjahr dieses Jahres Firmware-Updates bereit. Dadurch schrumpfte die Zahl der von den Angreifern übernommenen Router bereits auf 300.000.
Viele Hersteller liefern jedoch für ältere Router keine Updates mehr, sodass diese Modelle angreifbar bleiben. Laut Assolini haben Nutzer nicht aktualisierter Router keine Möglichkeit sich angemessen zu schützen. Wenn der Provider keinen sicheren Router zur Verfügung stellt, sollten Nutzer zumindest die Sicherheitseinstellungen auf den höchsten Level setzen und ansonsten dafür sorgen, dass die Software auf den PCs stets aktuell ist. Angesichts dessen, dass diese Angriffe sehr lange unbemerkt blieben, können die Experten nicht auszuschliessen, dass auch in anderen Ländern derartige Angriffe stattfinden.
So prüfen Sie den verwendeten DNS-Server
Die IP-Adresse des DNS-Servers wird an den PC in der Regel vom Router automatisch per DHCP übermittelt. Die Adresse lässt sich unter Windows auf der Kommandozeile mit dem Befehl
ipconfig /all
ermitteln. Eine Alternative ist der Befehl
nslookup com-magazin.de
Hier sehen Sie den verwendeten DNS-Server in der zweiten Zeile. Ob es sich dabei tatsächlich um den von Ihrem Provider zugewiesenen DNS-Server handelt, ist nicht ganz einfach herauszubekommen. Eine Liste mit einigen bekannten Adressen finden Sie beispielsweise auf der Seite Übersicht DNS Server. Im Zweifelsfall hilft nur eine Nachfrage beim jeweiligen Provider.
Sie können die Adresse des DNS-Server auch über die Oberfläche des DSL-Routers prüfen. Sie finden die Adresse meist schon auf der Übersichtsseite oder bei den Netzwerk-Einstellungen. Bei einer Fritz!Box 7390 beispielsweise müssen Sie zuerst über "System, Ansicht" die "Erweiterte Ansicht" aktivieren. Danach gehen Sie auf "Internet, Zugangsdaten, DNS-Server". Standardmässig ist hier die Option "Vom Internetanbieter zugewiesene DNSv4-Server verwenden (empfohlen)" aktiv. Bei der Gelegenheit können Sie auch gleich über "System, Firmware-Update" nach einer neuen Firmware suchen lassen. (ph/com!)
Siehe auch: Sicherheitslü>Schwachstelle in UPnP-fähigen Routern
