Vor Kurzem wurden rund um das Haus Überwachungskameras mit Livestreaming installiert. Die Kameras sind mit dem Router verbunden und laden auf die Server des Unternehmens hoch. Anschließend kann ich die Streams live auf meinem Telefon ansehen.
Die Person, die die Kameras installiert hat, hat viele Routereinstellungen geändert (ich glaube, er hat eine Art Reset durchgeführt, denn meine weitergeleiteten Ports und die gespeicherte Vorlage waren weg) und hat außerdem Änderungen vorgenommen, sodass Benutzername und Passwort nicht mehr erforderlich waren – jede Person, die über WLAN verbunden ist, kann durch einen einfachen Besuch auf die Administratorseite zugreifen 192.168.1.1(klingt nach einer riesigen Sicherheitslücke und daher unglaublich verdächtig).
Jetzt, mitten in meiner Gaming-Sitzung, bemerkte ich, dass sich die Router-Einstellungen plötzlich geändert hatten, weil ich UPnP aktiviert hatte, nachdem sie meine weitergeleiteten Ports entfernt hatten, aber jetzt ist es wieder deaktiviert, während ich versuche zu spielen. Ich ging auf die Router-Seite, um zu sehen, was sie getan hatten, und sah, dass Benutzername und Passwort wieder erforderlich waren, aber sie haben es geändert, sodass ich jetzt nicht einmal selbst auf die Seite zugreifen kann. Sie haben im Wesentlichen den Router gekapert.
Ich möchte herausfinden, was sie vorhaben. Mein Computer ist mit dem Router verbunden und ich habe physischen Zugriff darauf. Ich möchte den Router jedoch nicht einfach physisch zurücksetzen und ihnen den Zugriff sperren, es sei denn, ich kann dadurch sehen, was sie getan haben. Mit anderen Worten: Ich möchte sie auf frischer Tat ertappen.
Und wenn sie vollen Zugriff auf den Router haben, können sie dann HTTP abhören? HTTPS? Gibt es vielleicht noch andere Sicherheitsprobleme, an die ich nicht gedacht habe?
Der Router ist ein Thomson Technicolor TG799vn v2.
Ich habe ein Programm namens Capsa installiert und vielleicht ist es das perfekte Werkzeug für diese Aufgabe. Allerdings fehlen mir zu viele Kenntnisse, um eine richtige Analyse durchzuführen.
Antwort1
Der Router ist ein Linux-Computer, sodass jeder Linux-Programmierer mit Zugriff ihn so programmieren kann, dass er alles macht, was seine Hardware zu bieten hat. Wenn er außerdem Netzwerkzugriff hat, kann er Programme hochladen, Videos herunterladen, jedes Kameravideo auf seinem Internetserver spiegeln – im Grunde alles, worauf der Router Zugriff hat. Diese Videos kann er dann überall im Internet hochladen.
Sie können auch Ihre Internetsitzungen abfangen, Passwörter aufzeichnen und empfangene und gesendete E-Mails kopieren. Alles, was durch den Router geht, ist Freiwild.
Sie können nicht in Ihren Computer hineinsehen. Wenn Sie sich also über den Desktop bei einem VPN anmelden, können sie Ihre Anmeldung nicht abfangen, es sei denn, das VPN-Desktopprogramm sendet dummerweise Ihre ID und Ihr Passwort im Klartext. Leider gibt es HTTPS-Man-in-the-Middle-Exploits, und Ihr Router befindet sich genau in der Mitte.
Um herauszufinden, auf welche Weise genau Ihr Router gehackt wurde, muss ein Forensiker die Systemfestplatte Ihres Routers sichern und den Inhalt mit dem Original-Image vergleichen.
Sie könnten ein spezielles Ortungsgerät zwischen dem Router und Ihrem Internetanbieter (ISP) platzieren, um zu verfolgen, ob der Router regelmäßig unaufgeforderte Verbindungen zu Internetadressen herstellt, die Sie nicht angefordert haben. Das würde sie auf frischer Tat ertappen und als rechtlicher Beweis dienen. Leider kann ich kein solches Gerät empfehlen, aber wenn Sie bei Amazon suchen, werden Sie sicherlich eines finden.
In der Zwischenzeit besteht jedoch bei jedem Zugriff auf eine Website, die die Eingabe eines Benutzernamens und Passworts erfordert, das Risiko, dass diese Informationen an einen Betrüger weitergegeben werden, der sie gegen Sie verwenden kann. Wenn Sie dasselbe Passwort bereits für andere Websites oder Dienste verwendet haben, besteht das Risiko, dass dieser auch auf diese zugreifen kann.
Ich glaube nicht, dass die Leute, die Ihren Router installiert haben, schuld sind oder dass sie vielleicht einfach unwissentlich eine Hintertür offen gelassen haben. Ich würde eher glauben, dass ein organisierter Verbrecherring einen Zero-Day-Exploit für Ihr Routermodell verwendet hat, um einzudringen. Sie werden also höchstens feststellen, dass die unerwünschten Nachrichten irgendwo in Russland oder sonst wo landen, wo sie vor Ihren örtlichen Strafverfolgungsbehörden sicher sind.
Ich empfehle, die neueste Router-Firmware von Thomson (oder Ihrem ISP) herunterzuladen und zu installieren. Dadurch wird die Hintertür im Router geschlossen, der Router wird gesichert, indem alle Internet-Kontrolloptionen deaktiviert und alle Standardkennwörter geändert werden. Außerdem sollten Sie anschließend alle Ihre Kennwörter überall ändern.
Überall bedeutet Passwörter auf dem Router und auf allen Websites oder Diensten, bei denen Sie sich möglicherweise über den Router angemeldet haben, oder alle Passwörter, die Sie auch woanders verwenden. Die Wahrscheinlichkeit, dass Sie jemanden auf frischer Tat ertappen und etwas dagegen unternehmen können, ist viel geringer als die Wahrscheinlichkeit, dass Ihnen jemand Schaden zufügt.
Wie der Benutzer cybernard weiter unten bemerkt hat, besteht auch das Risiko, dass Ihr Computer nun Teil eines Botnetzes wird, wenn es gelungen ist, Malware darauf zu installieren. Führen Sie Malware-Tests auf Ihrem Computer mit mehreren Antivirenprodukten durch und tun Sie dies auch in Zukunft, denn die Gauner sind den Guten immer einen Schritt voraus. Die wirklich sichere Vorgehensweise besteht darin, sowohl den Computer als auch den Router gleichzeitig neu zu formatieren und zu installieren, aber das geht vielleicht etwas zu weit.
Antwort2
Es gibt eigentlich nur zwei Möglichkeiten:
- Der Angreifer hatte Zugriff auf die Weboberfläche des Routers. Er hätte sie für Folgendes nutzen können:
- Erstellen Sie Portweiterleitungen, um interne Ressourcen/Geräte freizugeben
- (Vielleicht) Ihre Internet-Zugangsdaten stehlen
- Ändern Sie den DNS-Server (jedermanns Favorit), um Sie auf betrügerische Kopien von Websites umzuleiten
- (Unwahrscheinlich) Nutzung eines Exploits, um auf nicht ganz so offizielle Funktionen zuzugreifen
- Tauschen Sie die Firmware aus, was zu
- Der Angreifer hat die Firmware des Routers geändert und kann nun:
- Uneingeschränkter Zugriff auf Ihr internes Netzwerk
- Um jegliche Netzwerk- und Internetkommunikation abzufangen
- Um Ihren Router dauerhaft (auch nach Zurücksetzen auf Werkseinstellungen) in eine Spionagebox zu verwandeln.
Wenn Letzteres der Fall ist, ist der Router nicht mehr einsatzfähig. Werfen Sie ihn aber nicht weg, er dient als Beweismittel.
Allerdings ist die zweite Möglichkeit höchst unwahrscheinlich, da sie einen großen Aufwand erfordert. Es handelt sich eher um eine Sache der „ausländischen Aufklärung“.
Da Consumer-Router normalerweise keine Möglichkeit bieten, Datenverkehr abzufangen, besteht die einzige Möglichkeit, Ihre Daten abzufangen (ohne die Firmware auszutauschen), darin, den DNS-Server zu ändern. Dies betrifft natürlich nur Geräte, die ihre DNS-Einstellungen über DHCP beziehen.
Wie ist es überhaupt passiert?Da der Router keine Authentifizierung mehr erforderte, ist ein Cross-Site-Request-Forgery-Angriff sehr wahrscheinlich. Das bedeutet, dass Sie eine betrügerische/kompromittierte Website besucht haben, die automatisch Ihren Router angegriffen hat.
tl;dr: Sie werden keinen Angreifer erwischen, weil es keinen gibt. Es läuft alles automatisiert.