2 Minuten online und schon gehackt

Mir ist Heute der Gedanke gekommen, bevor ich in die Uni gehe noch schnell zu checken, ob mein Chello Modem von der Firma Arris eigentlich auch so viele Details über sich preis gibt wie das Surfboard 4100E Modem von meinen Eltern.
Speziell hat mich interessiert, ob das Modem auch im lokalen Netz Anfragen für das Bootfile stellt. Im Normalfall ladet ein Modem sein Bootfile jedes mal von einem TFTP Server und wertet es dann aus, bevor man „online“ geht.
In dem Bootfile steht unter anderem die Geschwindigkeit drinnen, mit dem man rauf und runter laden kann. Ich hab zwar keinen Bedarf daran meine Geschwindigkeit zu erhöhen, aber interessiert hat es mich… 😀

Gut, also Kabel vom Router raus gezogen, Modem den Saft abgedreht und Ethereal gestartet um die Pakete zu sehen, die ich empfange und sende. Da war erst einmal Funkstille. Also hab ich das Kabel ins Modem gesteckt und den Saft wieder fließen lassen – und siehe da, ich bekomme Pakete.
DHCP Server, ARP Anfragen, Registrierung meiner Arbeitsgruppe und Computernamen, blablabla, ein paar interessante und uninteressante Pakete und schon hab ich Internet. Der Pfad und die Adresse für das Bootfile war nicht dabei.

Nun, die Überschrift für diesen Post würde nicht so lauten wie sie lautet, wenn sie keinen Bezug zum Post haben würde.
Ich schau mir also die Logs an und stolpere über die Anfrage an eine versteckte Windowsfreigabe an meinem PC – nach zwei Minuten ohne gefilterten Verbindung! Sofort war ich in Gedanken bei der Situation wie ich das Internet bekommen habe und noch keinen Router hatte:
Damals war ich an die Sicherheit eines Routers gewöhnt, Firewalls waren unnötig. Alles was mich bedroht hat waren die unvorsichtigen Downloads meiner Mitbewohner, denen ich aber nachhaltig erklären konnte, welche Art von Software gut ist, und welche Art von „Ich bin ein Fun-Game, downloade mich!“-Programmen schlecht sind.
Also bekomme ich freudestrahlend mein Internet in meiner eigenen Wohnung, ein Router steht noch auf der To-Buy Liste und ich teste die Connection. Ich hatte noch immer meine gewohnten Windowsfreigaben offen, alle bis auf eine ohne Schreibzugriff. Man kann ja niemanden trauen, es könnte ja jemand einen Anfall haben und meine Daten löschen wollen ;).
Die Suche nach einer geeigneten Firewall dauerte an und ich beschloss, mir einmal die Pakete anzusehen, die da auf mich einprasseln, vielleicht lasst sich ja beim Nachbarn mitlauschen. Fehlanzeige, die Internetknoten leiten den Traffic nicht dumm auf alle Verbindungen weiter. Sie fragen nur jede Sekunde ob ich weiß wer 80.110.239.242 oder wer 62.178.247.30 ist.
Allerdings hab ich gesehen, dass irgendwer auf meine Freigabe „Share“ zugreift. Die einzige Freigabe mit Schreibberechtigung. Mir war damals nicht klar, dass Windows XP Connections zu Freigaben außerhalb der LAN-IP-Bereiche akzeptiert. Also hab ich mir mal angeschaut was da in meinem Verzeichnis ist. Ich hatte es leer in Erinnerung, alle brauchbaren Sachen speichere ich in einer schreibgeschützen Freigabe ab. Aber diesmal war es nicht so: Eine halb transparente Datei mit einem kryptischen Namen befand sich im Verzeichnis. Hätte ich versteckte Dateien nicht anzeigen lassen, wäre mir die Datei vermutlich nie aufgefallen.
Natürlich hab ich sie gescannt und danach gelöscht. Ich weiß bis heute nicht was sie war, aber vermutlich irgend ein selbst gebastelter, oder seltener Trojaner. Danach hab ich mal alle Freigaben gelöscht und mir weiter die Pakete angeschaut. Der Eintrag zum Starten der Datei ist zum Glück nicht gelungen.

Bei meinem kleinen Bootfile Experiment hatte ich zuerst ein ungutes Gefühl, aber nach der Analyse der folgenden Pakete wurde schnell klar, dass Windows XP den Eindringling abblitzen hat lassen. Um es kurz zu machen: Da ich meine Information hatte, hab ich alles wieder richtig verkabelt und werde nun wieder von meinem WRT54GS geschützt.
So ein kleiner Erinnerungsanstoß ist immer wieder gut, da überlegt man sich dann doch nochmal ob man eh nix vergessen hat 😀

Irgendwer muss eine Menge von Rechnern automatisch in bestimmten IP-Ranges ununterbrochen scannen lassen, anders kann ich mir nicht erklären wie man mich so schnell findet und attackiert. Die Leute sollten ihre Energie lieber in die Umsetzung von Ideen stecken, die ihnen auf legalem Weg Geld bringen. Bot-Netzwerke oder Warez-Server sind auf die dauer zu Riskant. 😉

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.