Menü
Security

Gefahr für Heim-Router

Von
vorlesen Drucken Kommentare lesen 305 Beiträge

Der Sicherheitspezialist Symantec warnt mit einem Blog-Eintrag vor Angriffen auf Router mit Default-Passwörtern. Durch Umbiegen des DNS-Server-Eintrags sei es einem Angreifer unter Umständen möglich, den Internet-Verkehr seiner Opfer über sich umzuleiten. Durch dieses sogenannte Pharming könnte er vertrauliche Daten der Anwender ausspionieren oder unter falscher Fahne Schadsoftware auf Heim-PCs einschleusen. Dabei bezieht sich der AV-Hersteller auf eine wissenschafliche Arbeit mit dem Titel "Drive-by Pharming" von Sid Stamm und Markus Jakobsson von der Universität von Indiana sowie Zulfikar Ramzan von Symantec, die im Dezember des Vorjahres veröffentlicht wurde.

Die Wissenschaftler beschreiben, dass und wie eine bösartige Web-Seite den internen Router des Heimnetzes durch eine Kombination von Java-Applets und JavaScript aufspüren und auch das Modell identifizieren könnte. Viele liessen sich dann schon mit einfachsten Mitteln, sprich Default-Passwörtern und HTTP-Zugriffen auf das Web-Interface, umkonfigurieren. Bei einem D-Link-Router könnte das so aussehen, dass die Web-Seite folgenden Code einbettet

<script src="http://192.168.0.1/h_wan_dhcp.cgi?dns1=69.6.6.6">

der die IP-Adresse 69.6.6.6 als DNS-Server einträgt, der dann via DHCP an alle Clients im lokalen Netz übertragen wird. Diese würden dann den DNS-Server 69.6.6.6 beispielsweise nach der IP-Adresse für www.heise.de fragen und erhielten als Antwort womöglich etwas wie 217.111.81.80.

Die Wissenschaftler empfehlen neben dem offensichtlichen Ändern des Default-Passwortes im Router auch allgemeine Maßnahmen, um sich gegen browserseitige Angriffe aus dem internen Netz und gegen Pharming zu schützen. Zu einen schlagen sie vor, möglichst auf digital signierte Java-Applets umzusatteln und für nicht signierte, "untrusted" Applets strenge Restriktionen beim Zugriff auf das Netzwerk einzuführen. Außerdem könnten ihren Ausführungen zufolge auch die Internetanbieter gegen Pharming-Angriffe vorgehen, indem sie DNS-Verkehr ausschließlich zu den eigenen Name-Servern erlauben.

Siehe dazu auch:

(cr)