Frage zu https:

[Kristatos]

Es ist wichtiger, dass der Browser relativ aktuell ist. Bei älteren Browsern sind die Zertifikate mittlerweile abgelaufen.

 

[Giggity]

Auch der Router sollte eine aktuelle Firmware haben, wenn dieser angegriffen wird kann man die SSL Verschlüsselung aufbrechen und mitlesen bzw. sensible Kommunikationsdaten abgreifen.

Es gab bei den Speedports mal einen Angriff auf ein Protokoll das zur Fernwartung genutzt wurde. Dadurch sind viele Speedports ausgefallen, was aber im Endeffekt das geringere Übel war.

Ergänzung (3. August 2023)

Spoiler

Mit veralteter Router-Firmware sind Router anfälliger für verschiedene Arten von Angriffen. Hier sind einige Beispiele für mögliche Angriffe:

1. Exploits von bekannten Sicherheitslücken: Angreifer können bekannte Schwachstellen in veralteter Firmware ausnutzen, um unautorisierten Zugriff auf den Router zu erlangen oder die Kontrolle darüber zu übernehmen.

2. Denial-of-Service (DoS) Angriffe: Durch das Ausnutzen von Schwachstellen in der veralteten Firmware kann ein Angreifer den Router überlasten und seine normale Funktionsweise beeinträchtigen, indem er beispielsweise viele Anfragen gleichzeitig sendet.

3. Passwort- und Zugriffsangriffe: Veraltete Firmware kann unsichere Standardeinstellungen haben oder bekannte Passwort-Schwachstellen aufweisen, die es einem Angreifer erleichtern, das Router-Passwort zu knacken oder unautorisierten Zugriff auf das Gerät zu erhalten.

4. DNS-Hijacking: Durch Ausnutzen von Sicherheitslücken in der Router-Firmware können Angreifer den DNS-Verkehr umleiten und Benutzer auf bösartige Websites umleiten oder ihre Internetaktivitäten ausspionieren.

5. Firmware-Modifikationen: Ein Angreifer kann die veraltete Firmware modifizieren und bösartige Funktionen oder Hintertüren hinzufügen, um langfristig Zugang zum Router zu behalten und das Netzwerk zu überwachen.

6. Botnet-Infektion: Veraltete Router-Firmware kann von Angreifern als Teil eines Botnets verwendet werden, um DDoS-Angriffe oder andere schädliche Aktivitäten auszuführen.

7. Informationsextraktion: Angreifer könnten Schwachstellen in der Firmware nutzen, um sensible Informationen von Ihrem Router abzurufen, wie Passwörter, WLAN-Schlüssel oder Konfigurationsdetails.

Um diese Angriffe zu verhindern, ist es entscheidend, die Router-Firmware regelmäßig zu aktualisieren. Firmware-Updates enthalten oft Sicherheitsverbesserungen, die bekannte Schwachstellen beheben und die Gesamtsicherheit des Routers verbessern. Stellen Sie sicher, dass Sie die neueste Firmware von einem vertrauenswürdigen Quelle beziehen und den Aktualisierungsprozess sorgfältig durchführen, um potenzielle Probleme zu vermeiden.

Hier mal ein paar Beispiele was passieren kann bei veralteter Firmware.

 

[schrht]

Verbinde mich dann über https/SSL mit einer Website, z.B. E-Commerce-Website, ist meine Kommunikation zwischen meinem Browser und der Ziel-Website einigermaßen sicher, trotz anfälligem Router?

Du formulierst es schon ganz gut - unter der Annahme, dass das Livesystem, von dem du bootest, nicht kompromittiert wurde, bist du trotz eines gegebenenfalls für Angriffe anfälligen (Modem)Routers einigermaßen davor geschützt, dass jemand den Inhalt deiner vertraulichen Kommunikation mitliest.

Ja, in dem von dir beschriebenen Szenario fallen mir ad-hoc einige mögliche Angriffsszenarien ein, deren Wahrscheinlichkeit (sofern du uns nicht wichtige Details verschweigst) gering ist. Ich hab inzwischen doch einige professionelle Jahre auf dem Buckel, aber dass Angreifer:innen SOHO-Hardware kompromittieren um mittels eines gefälschten Zertifikates verschlüsselte HTTP-Kommunikation aufzubrechen .. davon hätte ich noch nicht gehört. Das macht aus Kosten-/Nutzen-Sicht für Kriminelle im Regelfall eher wenig Sinn.

 

[Giggity]

Das Live System muss ja nicht infiziert werden es reicht ein DNS Hijacking (Router) um auf eine falsche Webseite zu kommen die potenziell sicher erscheint

 

[GrumpyCat]

Das mit dem DNS Hijacking ist Unsinn. Dafür muss man schon eine richtig fette Warnung im Browser wegklicken (die das extra-schwer macht). Außerdem - wer das für ein Angriffsszenario hält scheint irgendwie magisch dem weiteren DNS-System "hinter" dem eigenen Router zu trauen? Viel Spaß dabei - bevor HTTPS überall war, haben schon die Provider gerne allerhand Unsinn mit DNS und auch sonst so gemacht (transparente reverse Proxies und so). Das passiert heutzutage nicht mehr, da es sofort auffallen würde dank HTTPS.

Kurz, kommt mal davon runter, DNS Hijacking war 2010 Thema, ist's aber jetzt nicht mehr.

 

[Helge01]

Das mit dem DNS Hijacking ist Unsinn. Dafür muss man schon eine richtig fette Warnung im Browser wegklicken (die das extra-schwer macht).

Normalerweise schon, nur kann ein Angreifer über den Router dann auf das Netzwerk zugreifen und kompromittieren. Bei den gefundenen PCs wird dann Remote-Software oder eigene Root Zertifikate untergejubelt. Das wäre bei einem Live-Linux aber nicht so einfach möglich und da eher unwarscheinlich.

 

[schrht]

Das Live System muss ja nicht infiziert werden es reicht ein DNS Hijacking (Router) um auf eine falsche Webseite zu kommen die potenziell sicher erscheint

Gehen wir das Szenario einmal durch. Die Angreifer:innen müssten ..

• das Modem / den Router / kompromittieren
  • Es könnte sein, dass ihnen das im Rahmen automatisierter Angriffe gelungen ist, aber nachdem sich der Angriff in dem beschriebenen Szenario wohl speziell gegen eine einzelne Person, bzw. ein einzelnes Netzwerk richtet kann es durchaus sein, dass man da eine brauchbare Sicherheitslücke (welcher Art auch immer) finden / hernehmen muss, man dann manuell ausnützt
• auf dem Gerät die Netzwerkeinstellungen ändern
  • Die Angreifer:innen haben wahrscheinlich gar kein gesichertes Wissen, dass das tatsächlich ausreicht. Was ist, wenn auf dem kompromittierten Gerät gar kein DNS-Resolver läuft, oder gar kein DHCP-Server, der die DNS-Konfiguration an die Clients verteilt - sondern das durch einen Access Point gemacht wird
  • Was ist, wenn der Client gar nicht auf eine automatische Netzwerkkonfiguration angewiesen ist, sondern die Netzwerkeinstellungen (oder zumindest der DNS-Resolver) vorkonfiguriert sind? Was ist, wenn der Client auf Dinge wie dnscrypt, DoH oder DoT setzt?
• eigene Infrastruktur betreiben, sowohl einen eigenen DNS-Server als auch einen entsprechenden Server, wo die Dienste laufen, die sie angreifen wollen - Webserver, Mailserver, ..
• darauf hoffen, dass das Opfer die dicke, fette Zertifikatswarnung zu ignorieren oder ihm eine Certificate Authority auf seinem Rechner unterjubeln, damit nicht gleich auffällt, dass hier was nicht stimmt
  • Was machen die Angreifer:innen, wenn das Endgerät kein ungewartetes Windows XP ist, sondern ein gepatchtes Windows 10? Ein Debian? Oder gar ein Mobilgerät, ein iPad oder ein Google Pixel?

In dem Szenario, dass du halbherzig herbeiträumst sind so viele Unbekannte drin (und ich hab in der Schnelle wahrscheinlich ein halbes Dutzend Dinge vergessen), das macht hinten und vorne keinen Sinn für jemanden, der die Kreditkartendaten abgreifen will, mit der du im Onlineshop irgendwas kaufst.

Wenn du mit einer Situation konfrontiert bist, in der ein:e Angreifer:in so motiviert ist, eine so vergleichsweise komplexen Angriff zu fahren, und die entsprechenden technischen Fähigkeiten besitzt, dann hast du andere Probleme.

Normalerweise schon, nur kann ein Angreifer über den Router dann auf das Netzwerk zugreifen und kompromittieren. Bei den gefundenen PCs wird dann Remote-Software oder eigene Root Zertifikate untergejubelt. Das wäre bei einem Live-Linux aber nicht so einfach möglich und da eher unwarscheinlich.

"Niemand" (mit den üblichen Einschränkungen) tut sich das an. So funktionieren breitflächige, finanziell motivierte Cyberangriffe einfach nicht. Macht dem Threadersteller bitte nicht unnötig Angst.

Kurz, kommt mal davon runter, DNS Hijacking war 2010 Thema, ist's aber jetzt nicht mehr.

Jenes. Also, zumindest nicht hier.

 

[Zonk91]

Ich weiß nicht ob das schon genannt wurde, aber es sollte auch geprüft werden, dass nur noch TLS 1.2/1.3 aktiviert ist auf OS Ebene.

Zusätzlich sollte man schauen ob für die aktivierten TLS Versionen ggf. schwache/unsichere Cipher Suites unterstützt werden. Die sollten raus.
Das wäre eine zusätzliche Härtung.

 

[GrumpyCat]

kann ein Angreifer über den Router dann auf das Netzwerk zugreifen und kompromittieren

Sagt wer? Computer Bild?

Wenn irgendein Endgerät in Deinem Netzwerk sich vom Router aus potenziell kompromittieren lässt, braucht man jegliche Sicherheitsdiskussion gar nicht mehr weiter führen, weil das Endgerät offensichtlich falsch konfiguriert ist oder Sicherheitsupdates vermissen lässt.

Ein normaler PC-Desktop sollte gar keine eingehenden Netzwerkverbindungen akzeptieren, und Smartphones etc. erst recht nicht (wie sollte man sonst mit denen auch in potenziell unsichere öffentliche WLANs etc.).
Und das ist auch heutzutage alles so voreingestellt. Die Zeiten von Windows 95 mit seinen dutzenden für die Welt offenen Netzwerkdiensten, die man notdürftig mit ZoneAlarm und Co abdichten musste, sind vorbei.

 

[Helge01]

Sagt wer? Computer Bild?

Deine Arroganz steht dir nicht.

Es gibt Router-Trojaner wie z.B. ZueRAT die das können.

 

[schrht]

Es gibt Router-Trojaner wie z.B. ZueRAT die das können.

Einfach ohne Kontext Fachartikel zu verlinken ist halt auch .. 🤷‍♂️Ich bin mir sicher, dass der Threadersteller gefragt hat, weil er in's Visier einer professionellen Kampagne geraten ist, die mit relativ hoher Wahrscheinlichkeit staatlich kontrolliert ist, und weltweit weniger als 100 Ziele betroffen hat.

Nochmal: Hier geht's nicht primär um das, was technisch möglich ist. Sondern darum, was im alltäglichen Sinne realistisch ist.

 

[Giggity]

Trotzdem ist die Empfehlung ganz klar einen Router mit aktueller Firmware zu verwenden und nicht zu sagen „das Internet funktioniert doch, also brauche ich nichts tun“

 

[GrumpyCat]

Es gibt Router-Trojaner wie z.B. ZueRAT die das können.

Nee, können sie nicht. Im Artikel steht nur nebulös "DNS+HTTP hijacking" drin, und ja, wer noch HTTP für Updates oder Download von ausführbaren Dateien benutzt, hat's halt nicht anders verdient.

Der Router muss übrigens gar kein DNS hijacken, weil ja eh alle Daten durch ihn durchfließen. Bei HTTP kann der auch einfach direkt seinen Rotz in die Daten reindrücken (=> Reverse Transparent Proxy, hatte ich bereits erwähnt, Provider (!) haben das früher gerne gemacht und so sogar eigenes Javascript etc. in fremde Webseiten eingebaut).

Ist aber alles Schnee von gestern da HTTP tot und HTTPS sicher.

Aber klar kann man Malware und Trojaner für Lücken von 2015 bauen und klar werden Klitschen wie die von Dir zitierten "Black Lotus Labs" weiter Alarmismus betreiben, für die geht's ja dabei um Geld.

 

[James70]

Ich bedanke mich bei allen für die Informationen.

Meine Fragen sind geklärt.

Sehr nettes Forum hier


Gruß
James

 

[James70]

Hallo,

mir ist noch eine Sache eingefallen:

habe bei der oben genannten Live-Session ein Live-System von einer Original-Kauf-Heft-DVD benutzt.

Das System war Linux Mint 21, der Browser war Firefox (Version 103), das bis Ende August 2022
aktuell war.

Ist es sehr nachteilig bei einer Linux-Live-Session einen 9-Monate alten Browser zu benutzen?
Vor allem, wenn nur kurz seriöse E-Commerce-Web-Seiten über HTTPS: besucht wurden?

Danke & Gruß

James

 

[Giggity]

Auch hier gilt aktuell ist immer besser.

 

[James70]

@Giggity :

Ok, danke Dir.



Das Thema hat sich erledigt, habe keine Fragen mehr.

Ein super Forum hier, danke Euch allen für die Informationen.


Gruß
James