image

Router-botnet steelt wachtwoorden uit netwerkverkeer

maandag 23 september 2013, 10:15 door Redactie, 7 reacties

Een internationaal botnet van gehackte routers wordt gebruikt om wachtwoorden uit het netwerkverkeer van slachtoffers te stelen. Daarvoor waarschuwt het Duitse computermagazine c't. Het router-botnet zou tal van slachtoffers in Duitsland hebben gemaakt, waaronder een advocatenkantoor.

De malware had daardoor toegang tot alle e-mailaccounts van de advocaten die op het kantoor werken. De aanvallers hebben het voornamelijk voorzien op routers die de DD-WRT router-firmware draaien, waaronder de populaire Linksys WRT54G. DD-WRT is een populaire firmware voor routers, die vaak meer opties en mogelijkheden biedt dan het standaard geïnstalleerde 'besturingssysteem'.

Sommige routers zijn standaard van deze firmware voorzien, maar veel gebruikers kiezen ervoor om die zelf te installeren. Aangezien veel gebruikers de router-firmware na de eerste installatie niet meer updaten als er een update beschikbaar is, zijn er veel ongepatchte routers actief.

Netwerkverkeer

Eén van deze kwetsbaarheden maakt het mogelijk voor een aanvaller om het toestel over te nemen. Het lek werd in 2009 ontdekt en gepatcht, maar veel routers missen de update. Zodra de aanvallers toegang hebben wordt er een netwerksniffer geïnstalleerd die inloggegevens uit het netwerkverkeer haalt en naar de aanvallers doorstuurt.

Op de server waar de aanvallers de gestolen gegevens verzamelden, werden tienduizenden bestanden met gestolen inloggegevens aangetroffen. Naast het advocatenkantoor werd ook nog een bakkersketen ontdekt waar de routers waren gehackt. Via de routers hadden de aanvallers naast inloggegevens ook toegang tot de beelden die met de beveiligingscamera's in de winkels werden gemaakt.

C't ontdekte duizenden IP-adressen van gehackte routers, waaronder tientallen in Duitsland. Die zijn allemaal gewaarschuwd. Het magazine beschrijft in dit artikel hoe eigenaren van een router met DD-WRT kunnen controleren of ze ook gehackt zijn.

Reacties (7)
23-09-2013, 11:45 door Anoniem
Eerst zaten de hakcers in je kompjoeter, nou zitten ze in je roeter! Oh nee!
23-09-2013, 12:14 door Anoniem
Zodra de aanvallers toegang hebben wordt er een netwerksniffer geïnstalleerd die inloggegevens uit het netwerkverkeer haalt en naar de aanvallers doorstuurt.

Ze moeten in ieder geval ook de partijen kielhalen die nog steeds wachtwoorden onversleuteld over het netwerk laten sturen.

Peter
23-09-2013, 13:08 door Anoniem
Kan dit nou SSL kraken of hoe komen ze achter die inlog gevens?
23-09-2013, 13:51 door Briolet
Ze moeten in ieder geval ook de partijen kielhalen die nog steeds wachtwoorden onversleuteld over het netwerk laten sturen.
Mee eens, maar veel e-mail aanbieders gebruikten vroeger onbeveiligde verbindingen en zo staat het nog steeds ingesteld op ieders PC.

Als voorbeeld:
Twee jaar geleden gaf de voorbeeld instelling van Ziggo de procedure voor onbeveiligd zenden en ontvangen. Vorig jaar waren de instellingsvoorbeelden voor verzenden wel via ssl, maar voor ontvangen nog steeds niet. (Hoewel het ook daar ondersteund werd).
Ik heb net weer even op de Ziggo site gekeken en het instel voorbeeld voor Apple Mail gevolgd. Nu geven ze wel de beveiligde instellen voor zowel zenden als ontvangen. Dus men leert, alleen de meeste gebruikers gaan niets meer veranderen in werkende instellingen.
23-09-2013, 15:29 door Anoniem
@Anoniem 13:08 in e-mail protocollen zit geen versleuteling ingebouwd, net zoals er geen versleuteling in HTTP zit. Het is mogelijk dit onversleutelde op de transport layer vervolgens te versleutelen met TLS, maar als mensen dat niet doen...
23-09-2013, 15:55 door Anoniem
Door Anoniem: @Anoniem 13:08 in e-mail protocollen zit geen versleuteling ingebouwd, net zoals er geen versleuteling in HTTP zit. Het is mogelijk dit onversleutelde op de transport layer vervolgens te versleutelen met TLS, maar als mensen dat niet doen...

In de meeste systemen kun je dat server-side afdwingen. Een uitgebreide campagne en dan na een tijdje TLs verplichten.

Peter
23-09-2013, 16:47 door Anoniem
Door Anoniem:Een uitgebreide campagne en dan na een tijdje TLs verplichten.

Peter
Oh ja! Een uitgebreide campagne! Lijkt me uiterst maatschappelijk relevant en tijdsgeestcompatibel! Ik kan dat subsidiegeld nu al proeven! Hmmmmmmm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.