router-Weboberfläche im Internet

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Benutzeravatar
smutbert
Beiträge: 8363
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

router-Weboberfläche im Internet

Beitrag von smutbert » 03.10.2015 18:42:31

Hallo liebe Leute,

gestern, als ich im Gnome-Browser epiphany ein paar Tabs offen hatte, hat mir ein Tab plötzlich eine Seite angezeigt, die der Anmeldeseite meines Routers, einem wohl nicht weit verbreiteten Modell von D-Link, glich wie ein Ei dem anderen und das unter eine fremden IP-Adresse, für die aber kein Domainname angezeigt wurde.

Ich habe gut genug aufgepasst nicht auf die Idee zu kommen dort Benutzername und Paßwort einzugeben, aber überrascht hat es mich doch. Leider war ich auch nicht geistesgegenwärtig genug die Seite näher zu untersuchen - stattdessen habe ich den Tab schnell geschlossen. Glaube ihr hat da jemand gezielt die Weboberfläche meines Routers (oder gar die möglichst vieler Router Modelle) geklont und geht damit auf Paßwortfang oder ist das derselbe alte alberne Trick, wie der im Internetexplorer in einem Frame den Inhalt von file://localhost/c:/ anzeigen zu lassen und so den Anwender zu schrecken.
Merkwürdig ist auch noch, dass ich diese Seite in der Chronik des Browsers nicht finde...

Auch frage ich mich wie gefährlich das ganze für mich war/ist, denn selbst wenn jemand Benutzername und Paßwort für die Routerverwaltung herausfinden sollte, so müsste der doch in meinem privaten Netzwerk sein, um damit etwas am Router manipulieren zu können - zumindest habe ich keinen Weg für eine "Fernadministration" gefunden.

lg smutbert

r4pt0r
Beiträge: 1237
Registriert: 30.04.2007 13:32:44
Lizenz eigener Beiträge: MIT Lizenz

Re: router-Weboberfläche im Internet

Beitrag von r4pt0r » 03.10.2015 22:26:30

smutbert hat geschrieben:zumindest habe ich keinen Weg für eine "Fernadministration" gefunden.
Beschäftige dich mal mit SOAP und speziell auch TR 069.... Perfektes Beispiel für "security by obscurity". Viel findet man nämlich nicht dazu und wenn man das was man findet genauer liest stellt man auch schnell fest weshalb: Das Konzept ist extrem mächtig und fragwürdig und noch viel schlechter umgesetzt... (youtube "defcon 22 i hunt tr 069 admins" - sehr sehenswert!)

Interessant wäre wie du auf diese vermeintliche Loginseite gekommen bist. Ich kannte bisher nur aus den "bannertausch-zeiten" die Meldungen die per javascript auf privaten Seiten die nen entsprechenden bannerframe hatten eingeschleust wurden - das ist aber sicher schon fast 10 jahre her dass ich das zuletzt gesehen habe... Der Vektor dürfte sich mittlerweile geändert haben, die Absicht wohl eher nicht...
Meist war das damals eine Fehlermeldungs-box im Windows-Look (damals XP) mit sinngemäß der Warnung (auf deutsch oder englisch) "Die Seite konnte nicht korrekt dargestellt werden, prüfen sie dazu die Fehlermeldung auf ihrem Router" - bei klick auf OK wurde auf eine Login-Seite angezeigt im Stil der damaligen fritzboxen, Telekomrouter oder was gerade eben massenhaft an die vielen DSL-Neukunden ausgeliefert wurde...
War IIRC die erste "größere" phishingwelle, ca zeitgleich mit den ICQ-phishingnachrichten. Damals gabs das Wort phishing noch nichtmal :lol:

Ein whois auf die IP wäre sicher auch aufschlussreich gewesen, ebenso ein blick in den Quellcode der "Loginseite" - die sind oft so schlecht gebaut dass Daten wie IP-Adressen oder domains der Angreifer hartcodiert im JS-code zu finden sind...

Benutzeravatar
smutbert
Beiträge: 8363
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: router-Weboberfläche im Internet

Beitrag von smutbert » 04.10.2015 11:11:51

Danke, das ist sehr aufschlussreich, auch wenn ich gewußt habe, dass vieles im Argen ist; Mein voriger Router war zB mit einem vorgegebenen Passwort über telnet erreichbar ohne dass man etwas daran ändern konnte.


Ich habe jetzt noch einmal meine Internetchronik durchforstet. Das war nicht so schlimm wie gedacht, weil gsd nicht besonders viele IP-Adressen ohne Domainname in der Chronik auftauchen. Jedenfalls, auch auf die Gefahr hin, dass ich mich bis auf die Knochen blamiere:
Zu der Seite bin ich über eine Adresse der Form http://anonym.to/?http://[IP-Adresse] gekommen, habe aber keine Ahnung wie mein Browser zu der Adresse gekommen ist und schlimmer noch (oder weniger schlimm) die IP-Adresse gehört meinem ISP. Es geht hier um Mobilfunk und den IP-Adressen habe ich bis jetzt keine Beachtung geschenkt, daher ist es mir nicht auf Anhieb aufgefallen - es könnte also sogar die öffentlich IP-Adresse meines eigenen Routers gewesen sein :facepalm:
Das würde jedenfalls erklären wieso die Seite so echt ausgesehen hat...

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: router-Weboberfläche im Internet

Beitrag von tomi89 » 10.10.2015 14:08:46

smutbert hat geschrieben:Merkwürdig ist auch noch, dass ich diese Seite in der Chronik des Browsers nicht finde...

Auch frage ich mich wie gefährlich das ganze für mich war/ist, denn selbst wenn jemand Benutzername und Paßwort für die Routerverwaltung herausfinden sollte, so müsste der doch in meinem privaten Netzwerk sein, um damit etwas am Router manipulieren zu können - zumindest habe ich keinen Weg für eine "Fernadministration" gefunden.

lg smutbert
Die Chronik kann (zumindest beim Iceweasel) durch HTML5 Javascript History API manipuliert werden. Beim Iceweasel gibt es da einige Schalter:

user_pref("browser.history.allowReplaceState", false);
user_pref("browser.history.allowPopState", false);
user_pref("browser.history.allowPushState", false);

Um den Router anzuschauen oder anzugreifen braucht nicht im LAN zu sein, per JavaScript / DNS-Rebinding geht das auch. NoScript ABE-Filter schützt davor.

Auf der anderen Seite hätte der Angreifer auch einen Javascript Keylogger abladen können, den du wahrscheinlich nicht bemerkt hättest.

Wieder ein Beispiel, wieso Google's Quic bald standardmäßig HTTPS bringt.

Wer schlau ist benutzt einen Browser um sich auf paar vertrauensvollen Seiten einzuloggen (möglichst per NoScript HTTPS erzwungen) und für alles andere einen zweiten Browser. Oder wenigstens verschiedene Browserprofile
Zuletzt geändert von tomi89 am 10.10.2015 15:21:10, insgesamt 1-mal geändert.

Benutzeravatar
smutbert
Beiträge: 8363
Registriert: 24.07.2011 13:27:39
Wohnort: Graz

Re: router-Weboberfläche im Internet

Beitrag von smutbert » 10.10.2015 14:33:14

Ich habe die Seite, wie im vorigen Post beschrieben doch noch in der Chronik gefunden.
tomi89 hat geschrieben:Wer schlau ist benutzt einen Browser um sich auf paar vertrauensvollen Seiten einzuloggen (möglichst per NoScript HTTPS erzwungen) und für alles andere einen zweiten Browser. Oder wenigstens verschiedene Browserprofile
Ist das ein notwendiges oder hinreichendes Kriterium für Schlauheit? Denn genau das mache ich 8) auch wenn meine Browserwahl vielleicht etwas eigenwillig ist:
Für einigermaßen vertrauenswürdige Seiten verwende ich den erwähnten epiphany-browser und für zweifelhafte Seiten Midori mit standardmäßig deaktiviertem Java-Skript.

tomi89
Beiträge: 269
Registriert: 21.08.2014 00:21:52

Re: router-Weboberfläche im Internet

Beitrag von tomi89 » 10.10.2015 15:28:26

smutbert hat geschrieben:Ich habe die Seite, wie im vorigen Post beschrieben doch noch in der Chronik gefunden.
Ja, wollte nur aufzeigen dass es auch anders ginge.
smutbert hat geschrieben:Ist das ein notwendiges oder hinreichendes Kriterium für Schlauheit?
Ne nicht unbedingt.
smutbert hat geschrieben:Denn genau das mache ich 8) auch wenn meine Browserwahl vielleicht etwas eigenwillig ist:
Für einigermaßen vertrauenswürdige Seiten verwende ich den erwähnten epiphany-browser und für zweifelhafte Seiten Midori mit standardmäßig deaktiviertem Java-Skript.
Sehr gut.

Antworten