Sicherheitstipp: Prüft Eure Router!

Hacker haben Router unter Kontrolle gebracht und von meist privat genutzten Internetanschlüssen Angriffe gestartet.

Das nehmen wir zum Anlass, ausführlicher zum Thema Routersicherheit zu informieren. Die Hackerangriffe auf die von Sony betriebenen Netzwerke für Playstation und Co. sind offensichtlich von einer großen Anzahl gekaperter Heim-Router gestartet worden. Über solcherart “ferngesteuerte” Router haben Betrüger Kontrolle über alle im Netz aufgerufenen Webseiten, jeder Seitenaufruf kann dann beliebig umgeleitet werden.

Ein Beispiel: Wenn Ihr die Adresse www.gls.de in Euren Browser eingebt, “fragt” üblicherweise Euer Router – beispielsweise bei der Telekom – nach der IP-Adresse unseres Servers. Wird der Router umprogrammiert, erhält er vom Hackerserver eine falsche Auskunft und verbindet mit einem betrügerischen Server. Lägen dort Kopien unserer Webseiten,wäre die Manipulation kaum noch zu erkennen. Zertifikat prüfenDazu müsstet Ihr die Serverzertifikate prüfen, indem Ihr auf das Schloss klickt, das die Verschlüsselung anzeigt (siehe Foto).

Möglich wäre auch eine Umleitung der Startadresse Eures Browsers, häufig also Google, auf eine Trojanerverteilseite.

Prüft daher unbedingt, ob ein ausreichendes Router-Passwort zur Konfiguration gesetzt ist. Das vom Anbieter  gesetzte Passwort reicht nicht aus. Prüft auch, ob z.B. der Fernwartungszugang für Außenstehende geöffnet ist. Falls ja, deaktiviert ihn, falls Ihr die Funktion nicht benötigt.

 

Lesenswert dazu auch bei heise

Netzwerkcheck
Router als Botnetz

 

  1. Hallo,

    Wenn ich auf https://www.gls-online-filiale.de gehe, ist dort kein grünes Schloss zu sehen. Nach der Logik des Blogbeitrages könnte diese Seite also eine Kopie auf einem GLS-fremden Server sein? Also sofern mein Router gehackt worden wären.

    Viele Grüße,

    Johannes

    • Avatar-Foto
      Bettina Schmoll

      Hallo Joahnnes,
      du hast recht, das ist (noch) nicht optimal.
      Ab dem 2. Quartal wird ein verbessertes Zertifikat (EV-SSL Zertifikat mit erweiterter Überprüfung) eingesetzt.
      Dann können wir bei “unbekannt” den Betreiber der Website, also die GLS Bank, nennen. Das Schloss ist dann grün so wie auf unserer Homepage.
      Weitere Informationen zum Zertifkat, das in der Online-Filiale verwendet wird, findest du, wenn du auf “Weitere Informationen” => “Zertifikat anzeigen” klickst:
      Zertifiaktinfo auf GLS Online-Filiale

      und auch auf der Startseite zum Onlinebanking https://www.gls-online-filiale.de/ptlweb/WebPortal?bankid=4967:

      Viele Grüße
      Bettina Schmoll/Online Redaktion

    • Hallo,
      leider ist immer noch kein grünes Schloss bei https://www.gls-online-filiale.de/ptlweb/WebPortal?bankid=4967 verfügbar, trotz neuem Zertifikat. Und von diesem Zertifikat kann ich auch keinen SHA-256-Fingerabdruck finden. Stimmt dieser: F0:64:DD:BE:10:E0:7A:17:32:3C:F6:D6:0F:76:05:77:59:BD:F6:72:50:D6:6B:22:6C:67:CD:D5:3E:53:AE:1A ?
      Gerade auf der Seite, wo man seine Bankgeschäfte erledigt, sollte doch das EV-SSL Zertifikat zum Einsatz kommen, bei gls.de wäre es doch relativ unwichtig, im Vergleich?!?
      Und man sollte die ganzen Seiten bzgl. des Themas mal aktualisieren, die ganzen alten Sachen rausnehmen, die nicht mehr aktuell sind, die verwirren doch nur. Beispiel: “Aktuelle Sicherheitshinweise 2012”: https://www.gls.de/gemeinnuetzige-kunden/service-kontakt/onlinebanking/aktuelle-sicherheitshinweise/wichtige-regeln-fuer-sicheres-onlinebanking/ und https://www.gls.de/privatkunden/service-kontakt/suchen-und-finden/haeufig-gestellte-fragen/onlinebanking-sicherheit/allgemeines-zum-onlinebanking/wie-lauten-die-hashwerte-bzw-fingerprints-fuer-die-zertifikate-im-onlinebanking/ . Des weiteren akzeptiert der aktuelle Firefox das aktuelle Zertifikat zwar, meldet aber bei genauerer Betrachtung: Dieses Zertifikat konnte nicht verifiziert werden, da der Aussteller unbekannt ist.

      Ich würde mich über eine Klarstellung sehr freuen. Danke im Voraus!

    • Avatar-Foto
      Bettina Schmoll

      Guten Morgen John,
      der SHA256 Fingerprint ist C7:D3:14:1D:1F:65:20:A9:D0:76:A2:57:3A:CA:4C:F5:D7:D0:3B:D8:0D:4A:F1:00:FE:15:EC:44:6D:18:F5:64, siehe auch http://bit.ly/GLSfingerprint.
      Das Zertifikat in der Online-Filiale soll laut unserem Rechenzentrum demnächst aktualisiert und verbessert werden.
      Die Sicherheitshinweise stehen auf unserer To Do Liste zur Aktualisierung.
      Viele Grüße
      Bettina Schmoll
      Online Team

    • Hallo Bettina,
      danke für die prompte Antwort. Schön zu hören, dass die Zertifikate demnächst aktualisiert werden sollen. Was mich noch wundert: Der SHA1 Fingerprint stimmt immer, aber beim SHA256 Fingerprint habe ich auf verschiedenen Computern (Windows + Linux, jeweils der aktuelle Firefox 40) einen anderen (den oben genannten) Fingerprint. Bei anderen Webseiten stimmt der berechnete Fingerprint mit dem angegebenen überein, nur bei der GLS Seite nicht. Haben sie eine Idee, woran das liegen könnte? Danke im Voraus.

    • Avatar-Foto
      Bettina Schmoll

      Ich frage mal in der Fachabteilung nach.
      Viele Grüße
      Bettina

  2. Bin ich auf der sicheren Seite, wenn die Verbindung über ein https-Protokoll aufgebaut wird?

    Grüße! Peter

  3. Hallo Blog-Leute,

    leider seht ihr den einfachen Benutzer im Vordergrund – benutzt aber selbst nicht mal Verschlüsselung wenn es um die TAN-Zusendung geht, obwohl es technisch möglich wäre.

    Und davon liest man hier auch noch nichts, oder ob die GLS betroffen ist:
    “Carbanak”: Cyber-Bankräuber erbeuten 1 Milliarde US-Dollar
    [..] die Angriffe hielten zur Zeit noch an [..]

    http://www.heise.de/newsticker/meldung/Carbanak-Cyber-Bankraeuber-erbeuten-1-Milliarde-US-Dollar-2549656.html

    • Avatar-Foto
      Bettina Schmoll

      Hallo Martin,
      danke für deine Rückfrage.
      Bei uns werden Mails mit Anhängen durch verschiedene Sicherheitsmaßnahmen akribisch geprüft. Von dem genannten Fall sind wir nicht betroffen.

      Wenn Banken Geld ohne Auftrag und ohne Zutun des Kunden verloren geht, müssen die Bankkunden den Schaden nicht tragen.
      Allerdings haben auch Bankkunden eine Sorgfaltspflicht bei der Ausführung ihrer Verfügungen, denn sie sind verantwortlich dafür, wenn Betrüger Geld von ihrem Konto stehlen und die Kunden bei mobiler oder SmartTAN durch Weitergabe der PIN oder Nichtprüfung auf Betrag und Empfängerkontonummer “mitgeholfen” haben. Dann liegt der Schaden bei den Kunden.

      Zur TAN: Hier prüfen wir gerade das Push-TAN-Verfahren, das wir eiführen möchten.

      Viele Grüße
      Bettina Schmoll
      Online Redaktion

  4. […] “Man in the middle”  bei WLAN-Nutzung Angreifer können sich in die Internetverbindung einklinken und Daten mitlesen oder manipulieren. Dieser sogenannte “man in the middle” ist ein besonders beliebtes Szenario bei offenen WLANs. Lest dazu unseren Blogartikel. […]

  5. Hoelscher Mari - Anne

    Ich bin für 1/2 Jahr im Ausland, Spanien, Portugal, Frankreich, und auf die öffentlichen WLAN-Anschlüsse angewiesen in Café´s etc. Habe keinen eigenen Router und WLAN-Anschluss. Kann auch die Sicherheit der Router nicht überprüfen, die oft ein einfaches freigeschaltetes Kennwort haben. Bin auch im Umgang mit online-banking und sowieso online eher sehr zurückhaltend und kenne mich nur wenig aus. Sollte ich deshalb besser auf online-banking verzichten und auf was muss ich besonders achten?

    • Saskia Geisler

      Hallo Mari-Anne,
      hier kommen einige Tipps von unseren Technik-Experten:
      Am besten prüfst du das Zertifikat der Verschlüsselung oder benutzt unsere App, die das Zertifikat automatisch selbst prüft.
      D.h. auf der Onlinebanking-Seite auf das Schloss in der Browserzeile gehen. Dort findest du gls-onlinefiliale.de / verifiziert von GAD.
      Dann auf Zertifikat gehen und die Hashes anzeigen lassen unter “Weitere Informationen” und “Zertifikat anzeigen”.
      Die Hashes auf unserer Homepage sind jedoch sehr schwer zu finden. Wir versuchen, sie leichter zugänglich zu machen. Zum Vergleich diese Seiten aufmachen:

      https://www.gls.de/privatkunden/service-kontakt/onlinebanking/aktuelle-sicherheitshinweise/wichtige-regeln-fuer-sicheres-online-banking/

      oder in den Sicherheitshinweisen der Online Filiale:

      https://www.gls-online-filiale.de/service/sicherheitshinweise.html

      Der unkomplizierteste Weg ist also definitiv die App ;)
      Außerdem empfehlen wir dir auf jeden Fall die Nutzung eines SmartTAN Gerätes mit der BankCard zur TAN-Erstellung.
      Viele Grüße!
      Saskia
      von der GLS Online-Redaktion

  6. Die Routerlücken werden für Betrüger immer interessanter. Bitte prüft unbedingt eure Geräte:
    http://www.heise.de/security/meldung/Exploit-Kit-greift-ueber-50-Router-Modelle-an-2665387.html
    Liebe Grüße
    Raimund

  7. Hallo Bettina,
    und was sagt die Fachabteilung? Ich vermute, dass der mit C7 beginnende SHA256-Fingerpringt zu einem alten Zertifikat gehört, welches heute nicht mehr gültig ist. 2012 wurde noch ein anderes Zertifikat genutzt, wovon der SHA1 Fingerprint mit FA:AA beginnt, dazu passt anscheinend der Fingerprint, siehe einer der Links von oben. Auch Chromium berechnet mir den oben von mir angegebenen Fingerprint. Der angegebene SHA1 Fingerprint wurde dann immer mit den wechelnden Zertifikaten aktualisiert und bei SHA256 wurde der alte übernommen, vermute ich.
    Was ja alles nicht schlimm ist, aber wenn man schon die Fingerprints angibt, sollten sie schon stimmen und nicht verwirren (siehe die vielen Seiten mit unterschiedlichen Angaben).
    Beste Grüße,
    John

    • Avatar-Foto
      Bettina Schmoll

      Hallo John,
      die Fachabteilung sagt “veraltet”, wie du schon vermutet hast, da war ich bei meiner Antwort leider nicht auf dem neuesten Stand.
      Hier der aktuelle Fingerprint SHA256: F0:64:DD:BE:10:E0:7A:17:32:3C:F6:D6:0F:76:05:77:59:BD:F6:72:50:D6:6B:22:6C:67:CD:D5:3E:53:AE:1A
      Viele Grüße
      Bettina

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

0:00
0:00