Re: [OT] DSL-Zugangsdaten geklaut was tun?
On Fri, 30 Jun 2006 10:59:35 +0200, Matthias Haegele [EMAIL PROTECTED] wrote: Ich weiss es ist OT, aber vielleicht hat jemand Rat: Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt. Nun die Frage: Lohnt es sich rechtlich dagegen vorzugehen, bzw. wie sind die Chancen auf Erfolg, Was erhoffst Du Dir davon? Viel mehr als den Arbeitsaufwand für die Rückverfolgung und die Kosten für die DSL-Verbindung wirst Du als Schadensersatz nicht kriegen. Es kann nicht mehr über den Router eingewählt werden obwohl username/pass stimmen, nach Rücksprache mit Telekom-Hotline und Test bei uns in der Fa. mit DSL-Modem (Fehlermeldung session limit exceeded) sieht es so aus als ob jemand dauerhaft mit dieser Verbindung online ist und somit eine Anwahl verhindert. Passwort im T-Online-Kundencenter ändern. Grüße Ma wo ist hier der Debian-Bezug? rc -- -- !! No courtesy copies, please !! - Marc Haber |Questions are the | Mailadresse im Header Mannheim, Germany | Beginning of Wisdom | http://www.zugschlus.de/ Nordisch by Nature | Lt. Worf, TNG Rightful Heir | Fon: *49 621 72739834
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Matthias Haegele wrote: Jup. und der holt mich spätestens am Mo. in Form deren Geschäftsführers ein, der dann wohl ein paar Erklärungen will: Wie denn so etwas passieren kann ... Gegenfrage: Wie kann es denn passieren, dass ein Geschäftsführer von einem klaffenden Sicherheitsloch in seinem System überrascht wird? Gibt es eigentlich überhaupt einen DSL-Zugangs-Provider der beim Verbindungsaufbau Verschlüsselung anbietet?. Wozu? CHAP existiert. Das Problem ist das ich genau das nicht weiss, einige Vermutungen: 0. Die Zugangsdaten werden im Fernwartungsmodus übermittelt, was bei diesen Geräten durchaus üblich ist. -- BOFH excuse #411: Traffic jam on the Information Superhighway. -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Frank Dietrich schrieb: Hi Björn, Bjoern Schliessmann [EMAIL PROTECTED] wrote: Matthias Haegele wrote: Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt. Darf man fragen wie? k. A. s. u Vermutungen. Ich würde mal drauf tippen das es am nicht deaktiverten Fernwartungsmodus (oder wie immer das die Marketingabteilung bei den Routern auch benannt hat) lag. Ist ein Bintec X3200 (ich will Bintec nicht schlechtmachen, halte sehr viel von den Teilen ...) Die ursprüngliche Konfiguration wurde mit dem Wizard gemacht, kein Fernwartungsmodus per ISDN o. ä. aktiviert. Allerdings war das Kennwort schwach, vmtl. mittels JohntheRipper o. ä. in absehbarer Zeit geknackt. SIF war ist nicht aktiviert. Das ist nämlich auch ein Faktor, der beim weiteren Vorgehen berücksichtigt werden sollte. Jup. und der holt mich spätestens am Mo. in Form deren Geschäftsführers ein, der dann wohl ein paar Erklärungen will: Wie denn so etwas passieren kann ... (Und vor allem was ich dagegen unternehmen kann dass es nicht nochmal passiert) btw: Gibt es eigentlich überhaupt einen DSL-Zugangs-Provider der beim Verbindungsaufbau Verschlüsselung anbietet?. Full ACK. Man sollte in so einem Fall immer die Ursache und nicht nur die Wirkung bekämpfen. ;-) Das Problem ist das ich genau das nicht weiss, einige Vermutungen: 1. unwahrscheinlich: Ein (ehemaliger) Mitarbeiter ist an die (gut verwahrten) Kennwörter rangekommen und surft damit zuhause rum. (Vermutung seitens T-Com/T-Online). 2. mitsniffen beim Verbindungsaufbau da bei PAP ja im Klartext (username/pass) übertragen wird? Inwieweit das möglich ist, k. A. und vor allem *wo* dazu der Angreifer sitzen müsste. 3. a) Ausnutzen einer Lücke auf dem Router zum Auslesen des Kennwortes z.B. der Speichertabelle oder eines Dumps mittels TFTP auf einen Rechner des Angreifers. Wie es mit SSH aussieht muss ich mir in der gesicherten Konfig anschauen. /* btw: mein x2300is @home bietet ssh nur auf Key-Basis an ... Ob ein Angriff von aussen auf den Daemon möglich ist k. A. aber man kann ja noch die FireWall einsetzen ... /* (Die SW war zu meiner Schande schon etwas angestaubt und da meist irgendwelche abgewandelten Linuxkernel drinstecken halte ich das durchaus für möglich). Allerdings: Kein Dyndns o. ä. und relativ niedriger Shorthold von 120 Sek. (ja man kann Verbindungen auch künstlich aufhalten ...). 3 b) jemand fängt sich auf einer Windows-Kiste einen (unbekannten) speziell gestricken Trojaner o. ä. ein, der Angriff käme von innen, somit hätte der Angreifer natürlich alle Zeit der Welt um das Passwort auszuprobieren ... 4. Ursachenforschung, schwierig denke ich da: Router resettet nachdem kein Zugang mehr möglich war, (hätte doch vorher Ursache suchen sollen, shit happens) somit vmtl. auch die Logs zum Zeitpunkt des evtl. Angriffes kaputt, (mir wäre nicht bekannt dass die Kisten das sonst irgendwie speichern) - in Zukunft wird das Teil auf einen Syslog-Server im internen Netz loggen ... Frank Grüsse Danke für jeden Tipp. MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Florian Schnabel schrieb: Details: Es kann nicht mehr über den Router eingewählt werden obwohl username/pass stimmen, nach Rücksprache mit Telekom-Hotline und Test bei uns in der Fa. mit DSL-Modem (Fehlermeldung session limit exceeded), sieht es so aus als ob jemand dauerhaft mit dieser Verbindung online ist und somit eine Anwahl verhindert. t-online informieren, wenn der betreffende damit online ist wissen die in 5 minuten welcher anschluß das ist und können ihm auf die finger hauen Ob die das so schnell wissen, k. A. auf jeden Fall haben die Jungs in der Hotline keinen Zugriff darauf und wenn dürften sie es aus datenschutzrechtlichen Gründen nicht (und auf keinen Fall weitergeben). Schätze das wird erst relevant wenn das von der Staatsanwaltschaft angefordert wird ... Florian Grüsse MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun? [Nachtrag weiteres Vorgehen]
Matthias Haegele schrieb: Hallo Ihr!. [...] Details: Es kann nicht mehr über den Router eingewählt werden obwohl username/pass stimmen, nach Rücksprache mit Telekom-Hotline und Test bei uns in der Fa. mit DSL-Modem (Fehlermeldung session limit exceeded), sieht es so aus als ob jemand dauerhaft mit dieser Verbindung online ist und somit eine Anwahl verhindert. Bisherige Massnahmen: Einloggen über Webschnittstelle T-Online Passwort für Zugang geändert. (Natürlich FW auf aktuellen Stand und PW des Routers strong). /* weitere Gedanken: (Das macht mich stutzig, wenn ich der Angreifer wäre und username/pass hätte, könnte ich mich doch gleich auf der T-Online-Seite einloggen und dieses abändern sodass der Eigentümer nicht mehr rankommt) Es sei denn: Es ist ein prof. IchKlaumirZugangsdatenvonAnderenSurfer der das ein Weilchen macht und sich dann den nächsten Kunden nimmt in der Hoffnung das es manche vielleicht gar nicht merken oder nicht dagegen vorgehen ... (um ein wiedereinloggen nach Abbruch der Verbindung/Zwangstrennung zu verhindern), das müsste dann auch (lt. Rücksprache mit T-Com/Hotline in deren Logs sichtbar sein, wenn ein Wiederanwahlversuch mit falschem Pass daherkommt. /* Kritik an T-Offline: maximal 8 Zeichen beim PASS (sie haben das @ in der Liste der nichterlaubten vergessen zu erwähnen ...). (Es dient als Angabe beim Username ...). /* btw: Sollte glaube mal ausprobieren ob man anhand der Laufzeit der Rückmeldungen/PAP oder sniffen feststellen kann ob User/Pass falsch/richtig ist. Dann stellt sich aber immer noch die Frage, wie kommt derjenige an die Anschlusskennung ... /* Grüsse Nochmals danke für Eure Ausführungen MH -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Hi Matthias, Matthias Haegele [EMAIL PROTECTED] wrote: Frank Dietrich schrieb: Ich würde mal drauf tippen das es am nicht deaktiverten Fernwartungsmodus (oder wie immer das die Marketingabteilung bei den Routern auch benannt hat) lag. Die ursprüngliche Konfiguration wurde mit dem Wizard gemacht, kein Fernwartungsmodus per ISDN o. ä. aktiviert. Hast Du nach der Konfiguration mal von außen (sprich übers Internet) geschaut welche Ports offen sind? Allerdings war das Kennwort schwach, vmtl. mittels JohntheRipper o. ä. in absehbarer Zeit geknackt. SIF war ist nicht aktiviert. In dem Fall eigentlich erstmal egal. Der erste Schritt wäre immer, an das Passwort herankommen. Full ACK. Man sollte in so einem Fall immer die Ursache und nicht nur die Wirkung bekämpfen. ;-) Das Problem ist das ich genau das nicht weiss, einige Vermutungen: 1. unwahrscheinlich: Ein (ehemaliger) Mitarbeiter ist an die (gut verwahrten) Kennwörter rangekommen und surft damit zuhause rum. (Vermutung seitens T-Com/T-Online). Zumindest theoretisch möglich. 2. mitsniffen beim Verbindungsaufbau da bei PAP ja im Klartext (username/pass) übertragen wird? Inwieweit das möglich ist, k. A. und vor allem *wo* dazu der Angreifer sitzen müsste. Eher unwahrscheinlich. Der Angreifer müsste dazu irgendwo den Verbindungsaufbau zwischen Router und ISP abfangen können. Möglich wäre das z.B. zwischen Router und Telefonbuchse oder zwischen Telefonbuchse und ISP. 3. a) Ausnutzen einer Lücke auf dem Router zum Auslesen des Kennwortes z.B. der Speichertabelle oder eines Dumps mittels TFTP auf einen Rechner des Angreifers. Wie es mit SSH aussieht muss ich mir in der gesicherten Konfig anschauen. Fehler in der Firmware, prinzipiell möglich. Einfach bei Bintec mal anfragen. TFTP aus Richtung Internet? Ich denk es war kein Zugang aus dieser Richtung möglich? 3 b) jemand fängt sich auf einer Windows-Kiste einen (unbekannten) speziell gestricken Trojaner o. ä. ein, der Angriff käme von innen, somit hätte der Angreifer natürlich alle Zeit der Welt um das Passwort auszuprobieren ... Eher unwahrscheinlich. Denn es bedingt das der Autor des Trojaners wissen muss wer solch einen Router einsetzt um dann noch gezielt den Trojaner dort hin zu bekommen. 4. Ursachenforschung, schwierig denke ich da: Router resettet nachdem kein Zugang mehr möglich war, War er vielleicht nur einfach abgestürzt und niemand hat die Zugangsdaten erspäht? Zukunft wird das Teil auf einen Syslog-Server im internen Netz loggen ... Dann richte es gleich so ein, das ein Zugriff auf den Router nur aus dem internen Netz möglich ist. Zuerst per ssh (mit Keys) auf einem Rechner im internen Netz anmelden und dann von dem aus auf den Router zugreifen. Frank -- Generated by Signify v1.14. For this and more, visit http://www.debian.org/
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Salve Matthias! Interessant wäre es, wenn Du über die Auflösung berichten würdest auf der ML berichten würdest (ich mag solche OTs ;) On Fri, 30 Jun 2006, Matthias Haegele wrote: Lohnt es sich rechtlich dagegen vorzugehen, bzw. wie sind die Chancen auf Erfolg, schliesslich ist es bei DSL ja schwieriger die Quelle rauszufinden als z.B. bei ISDN ... AFAIK ist es nicht schwieriger Bzw. an wen könnte ich mich da wenden? CCC Mailingliste fragen Ach ja: ist ein T-Online Zugang ... 1. Das ein Kunde das Passwort vergessen hat dürfte doch ein Standardfall sein und das einfachste sein, wenn man diesen Fall behauptet 2. Andereseits wäre ich sauer und wenns eine Firma betrifft ist auch nachweißlich ein Arbeitsausfall entstanden und Du kannst ebenfalls eine schöne Rechnung stellen - Anzeige gegen unbekannt Es ist zudem ein Eingriff in die Kommunikationsmöglichkeit Deines Kunden...- Sabotage. Eventuell kann man 1.+2. gleichzeitig durchführen, Vielleicht Verbraucherzentrale oder örtliche Staatsanwaltschaft/Gericht fragen (neben T-Online hotline) ob sie spezielle Ansprechpartner bei T-Online bei Betrugsfällen haben. Gruss rob
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Details: Es kann nicht mehr über den Router eingewählt werden obwohl username/pass stimmen, nach Rücksprache mit Telekom-Hotline und Test bei uns in der Fa. mit DSL-Modem (Fehlermeldung session limit exceeded), sieht es so aus als ob jemand dauerhaft mit dieser Verbindung online ist und somit eine Anwahl verhindert. t-online informieren, wenn der betreffende damit online ist wissen die in 5 minuten welcher anschluß das ist und können ihm auf die finger hauen Florian -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Hi, On Fri, 30 Jun 2006 10:59:35 +0200 Matthias Haegele [EMAIL PROTECTED] wrote: nach Rücksprache mit Telekom-Hotline und Test bei uns in der Fa. mit DSL-Modem (Fehlermeldung session limit exceeded), sieht es so aus als ob jemand dauerhaft mit dieser Verbindung online ist und somit eine Anwahl verhindert. sofern es sich um einen TOI-Resale Anschluß handelt, also Anschluß und Tarif von T-Online , bei der 01805 443030 132 anrufen, BKTO parat halten und neue Zugangsdaten anfordern. Sobald der Mitarbeiter auf ausführen drückt sind die alten Daten gesperrt und die neuen gehen per Post auf den weg. Wie das bei nicht Resale-Anschlüssen aussieht ka, dann evtl. mal bei der 0800 330 1000 nachfragen! -- .''`. Oliver Sorge [EMAIL PROTECTED] : :' :proud Debian admin and user since 2001 `. `'` `- Debian - when you have better things to do than fix a system -- .''`. Oliver Sorge [EMAIL PROTECTED] : :' :proud Debian admin and user since 2001 `. `'` `- Debian - when you have better things to do than fix a system
Re: [OT] DSL-Zugangsdaten geklaut was tun?
[EMAIL PROTECTED] wrote: Bzw. an wen könnte ich mich da wenden? CCC Mailingliste fragen Die werden sich sicherlich bedanken. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://www.svenhartge.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Salve Sven! Sven Hartge schrieb am Freitag, den 30. Juni 2006 um 13:28h: Bzw. an wen könnte ich mich da wenden? CCC Mailingliste fragen Die werden sich sicherlich bedanken. Sie beschäftigen sich mit rechtlichen Dingen, dies ist zwar dort auch OT, aber hast Du einen besseren Tipp? rob
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Matthias Haegele wrote: Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt. Darf man fragen wie? Das ist nämlich auch ein Faktor, der beim weiteren Vorgehen berücksichtigt werden sollte. Grüße, Björn -- BOFH excuse #90: Budget cuts -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: [OT] DSL-Zugangsdaten geklaut was tun?
Hi Björn, Bjoern Schliessmann [EMAIL PROTECTED] wrote: Matthias Haegele wrote: Bei einem Kunden wurden die DSL-Zugangsdaten erschnüffelt. Darf man fragen wie? Ich würde mal drauf tippen das es am nicht deaktiverten Fernwartungsmodus (oder wie immer das die Marketingabteilung bei den Routern auch benannt hat) lag. Das ist nämlich auch ein Faktor, der beim weiteren Vorgehen berücksichtigt werden sollte. Full ACK. Man sollte in so einem Fall immer die Ursache und nicht nur die Wirkung bekämpfen. ;-) Frank -- # to resolve all your problems, try this HOWTO='$i=pack(c5,(41*2),sqrt(7056),(unpack(c,H)-2),oct(115),10);' perl -e 'print '$HOWTO