abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 
Gelöst
  • Der Fragesteller hat diesen Beitrag als gelöst markiert.

Fremde Geräte im inhouse Netzwerk

Contributor
1 von 12

der PC von einem Freund wurde gehackt, MBR manipuliert, und anschliessend Malware installiert. Das ist inzwischen durch Neuinstallation von Windows behoben, aber wie die Malware in den PC reinkam muss noch geklärt werden. In der Geräteliste sind zweimal fremde Geräte zu sehen, die sich irgendwie einloggen konnten.  Physisch via LAN ist nicht möglich, bleibt also nur der Weg über WLAN. Inzwischen ist ja auch die  KRACK-Methode bekannt geworden, die zeigt, dass es möglich ist in ein Netz einzudringen. Leider fehlte die Unerstützung durch Swisscom völlig, so wollten sie partout nicht wissen, ob zu genau der Zeit des Log Eintrags ein Gerät mit jener MAC Adresse via die Internetbox einloggte. Ich versteh die Haltung von Swisscom hier nicht. Mit Eigenmitteln kann ich nichts finden, da der fiese Eindringling mehrere Stunden Eventlog gelöscht hat. Also genau die Zeit in der ein Eindringling aktiv war. Ideen wie ich zukünftige Einbrüche verhindern kann? 

HILFREICHSTE ANTWORT

Akzeptierte Lösungen
Contributor
12 von 12

danke für den Hinweis. Die Story ging / geht weiter. Gestern brachte ich den neu aufgesetzten PC wieder an seine Internetbox. Geplant war ein Update des WLAN Passworts. Gleich während / nach dem Boot sahen wir die MAC Adresse des Eindringlings wieder in der Geräteliste der Internetbox. Man sieht natürlich nur die MAC Adresse, eine IP Nr fehlte (noch). Vorerst habe ich vergessen im Eventlog nachzusehen was man mehr herausfinden könnte. Item, wir haben dann noch es bitzeli die Swisscom Hotline involviert, aber da kam nichts neues raus. Wir haben dann das  WLAN Passwort geändert, neu gebootet, und siehe da - Eindringling / MAC Adresse verschwunden. M.a.W. die MAC Adresse hat das WLAN Passwort gekannt! Ich gehe immer noch von einem Angriff via WLAN aus, siehe Indizien, obwohl ich weiss, dass es auch andere Wege gibt. Wenn der Angriff nicht via WLAN kam, könnte die MAC Adresse etwas mit einem Command Server zu tun haben? 

WiFi direkt - da weiss ich zu wenig - ist denn da eine Verbindung ohne IP Adresse möglich? Und wenn warum Kommunikation via Router? Dann müssten doch noch weitere WiFi Geräte in der Geräteliste sein? 

Betreffend Tools mache ich mich gerade schlau, vorerst habe ich Vistumbler (Nachfolger von Netstumbler) installiert.  Wenn man weitere Tools sucht, kommt man um Linux nicht mehr rum. Es gibt da Kismet, Kali und Backtrack die solche Funktionalitäten haben. Und da wird's für mich schon schwieriger. Kismet muss man erst kompilieren. Hab ich noch nie gemacht.  Andere habe ich versucht als virtuelle Systeme zu bauen, bin aber noch nicht erfolgreich. 

Wie auch immer. Ich bin auf dem Kriegspfad und danke allen tapferen Kriegern die mir mit Rat und Tat beistehen. 

11 Kommentare
Super User hed
Super User
2 von 12

Was für einen Router hast du und wie ist dieser bezüglich Port-Forwarding konfiguriert ?

Von welcher Geräteliste sprichst du, jene vom Router ?

Wo waren die fremden Geräte sichtbar, als WLAN- oder LAN-Device ?

Auf welchen Vendor weisen die fremden MAC hin ? (--> das lässt sich auf Grund der vorderen Hälfte der MAC im Web einfach herausfinden)

Super User
3 von 12

Ändere das Passwort des WLAN im Kundencenter.

Swisscom wird dir Daten nicht rausgeben.

Was meinst du, was das für ein Ansturm wäre. (Bei dir könnte es berechtigt sein.)

Auch ist nicht klar, ob das rechtlich zulässig ist.

Lösche die unbekannten Geräte aus der Liste und du wirst sehen, ob etwas nicht mehr geht.

Es kann z.B. auch das TV sein.

cu Marcus
Die Swisscom Community ist ein Kunde-hilft-Kunde-Forum.
Contributor
4 von 12

Router: Internetbox Standard, Portforwarding nix, die Geräteliste vom Router, dort als PC-3 eingetragen mit MAC Nr, und Einlogdatum, Gerät ist laut MAC Adresse von Alpha Networks, zum Zeitpunkt der Kontrolle natürlcu keine IP Nr. mehr. IoT Geräte schliessen wir aus.  Auffallend war, dass mein Freund per Telefon dringend aufgefordert wurde zu booten.  Hat er dann nicht gemacht. Im übrign die Geräteliste unterscheidet nicht ob WLAN oder LAN, oder?

Contributor
5 von 12

WLAN Pwd ändern ist vorgesehen, ich muss aber bei meinem Freund vorbei, es geht ja nicht um meinen Anschluss. TV ist es nicht, die TV Box hat einen ordentlichen Eintrag mit MAC und IP.  Nun, wenn irgendwo in der Umgebung einer mit Wardriving Technik unterwegs ist, dann könnte er den Key ja wieder finden. Und das macht micht nervös. 

Super User hed
Super User
6 von 12

@schumi99 schrieb:

Router: Internetbox Standard, Portforwarding nix, die Geräteliste vom Router, dort als PC-3 eingetragen mit MAC Nr, und Einlogdatum, Gerät ist laut MAC Adresse von Alpha Networks, zum Zeitpunkt der Kontrolle natürlcu keine IP Nr. mehr. IoT Geräte schliessen wir aus.  Auffallend war, dass mein Freund per Telefon dringend aufgefordert wurde zu booten.  Hat er dann nicht gemacht. Im übrign die Geräteliste unterscheidet nicht ob WLAN oder LAN, oder?


Ich kenne die IBS nicht, aber zumindest bei der IB2 sieht man am Symbol in der ersten Spalte der Geräteliste, ob es sich um ein LAN- oder WLAN-Gerät handelt.

Alpha-Networks produziert u.a. Switches, Geräte und Chipsets für intelligente Wohnungen (Webcam, Babyphones, Heizungssteuerung, LED-Lampen mit WLAN, Einbruchssensoren, Soundbars, Alarmanlagen, uvm.). Bist du sicher, dass ihr nichts solches im Haushalt habt ?   

Highlighted
Contributor
7 von 12

1.  bei IBS sieht man nicht ob WLAN oder LAN. 

2. bei meinem Freund, und auch im Nachbarhaus sind keine IoT Geräte bekannt. Sind auch kein "IoT Typen"!

Es gibt mehrere Indizien die auf einen gezielten Angriff deuten: Ich wohne 2 Häuser weiter von meinem Freund. Ich stelle in unserem Quartier (Wohnquartier) immer wieder starke Störungen der WLAN Signale fest. So stark dass meine Tablets immer wieder rausfliegen, sich automatisch wieder anmelden wollen, und dann Authentifizierungsfehler ausweisen. Ob das wirklich nur Überlastung freier Kanäle sind - wer weiss. Aber zusammen mit dem Angriff bei meinem Freund vermute ich, dass irgendwo in der Nachbarschaft irgend wer einen Jammer betreibt, und so die Anmeldungssequenzen provoziert. Sowohl bei der KRACK App, als auch bei Anleitungen zu Wardriving sieht man, dass genau diese Sequenzen aufgezeichnet und ausgewertet werden. Klar, dazu braucht es profunde Hacker Kenntnisse, aber der Fiesling der bei meinem Freund eingebrochen ist, hat dort sehr professionell gewütet. Nur schon der Fakt, dass Eventlogeinträge verschwunden sind  ... Dann der zerstörte MBR und der folgende Anruf mit der Aufforderung zu booten, offensichtlich um einen Rootkit o.ä. zu aktivieren.  Wir wissen von Swisscom, dass gleichentags weitere Fälle solcher Anrufe bekannt wurden. Demnach ist eine Hackertruppe unterwegs, die am üben ist. 

Wenn mir Swisscom keine Auskunft geben will, wer an besagtem Datum eingeloggt hat, ok. Aber dann erwarte ich, dass Swisscom der Sache nachgeht, denn der Einbruch in fremde Netzwerke ist eine Straftat. Und da steht Swisscom meiner Meinung nach in der Pflicht. Ich habe den Fall bei MELANI gemeldet, da kam natürlich kein Feedback. Ich frage mich, ob es eine Meldestelle für Internetkriminalität gibt, wo ich eine Anzeige machen kann. Was ich jetzt bräuchte, ist die Hilfe eines Profi Hackers um mind. Abwehr Massnahmen zu realisieren. Einstweilen mache ich Versuche mit Aktivierung eines Gäste WLANs, und Vesteckens des Haupt WLANS. Könnte man im Interface der IBS aktivieren, funktioniert aber nicht, noch nicht. Soweit ich sehe, erhalten Gäste im GAST WLAN IP Adressen aus einem anderen Segment. Ob das genügt um Angriffe abzuwehren? 

Super User
8 von 12

Es gibt schon eine Meldestelle in der Schweiz, aber solche Angriffe erfolgen immer wieder sogar bei grösseren Geschäfte !

https://www.fedpol.admin.ch/fedpol/de/home/kriminalitaet/cybercrime/meldeformular.html

Contributor
9 von 12

Danke, habe soeben das Meldeformular ausgefüllt. Von Swisscom wissen wir, dass dieselbe Truppe weitere Angriffe versucht hat. Ich hoffe Swisscom arbeitet wenigstens mit denen zusammen!

Super User
10 von 12

@schumi99 schrieb:

Danke, habe soeben das Meldeformular ausgefüllt. Von Swisscom wissen wir, dass dieselbe Truppe weitere Angriffe versucht hat. Ich hoffe Swisscom arbeitet wenigstens mit denen zusammen!


Das war auch eine Diskusion beim Bundesrat das man vermehrt sich auf solche Angriffe konzentriert und somit spezielle Abteilungen erstellt werden und da sind sicher auch die Provider dabei.

N.b. mit diesen Vollautomatischen Haussteuerungen wird es immer mehr Probleme geben mit Angriffe von Aussen !

Expert
11 von 12

@schumi99

Ein WLAN Angriff abzuwehren ist wohl ohne entsprechendes Tool nicht möglich.

Diese können den Zugriffspeeren und den Angreifer detailliert zurückverfolgen bis auf das Endgerät.

Ist aber für den Privaten Einsatz zu kostenaufwendig (Server etc.).

Faktisch kannst du die SSID ausblenden und diese mit der Geräte MAC Adresse binden.

Dies erschwert zwar das Eindringen ist aber schon mit einer Freeware Hacking Tool unsicher.

Die MAC Adresse kann ja kopiert werden. So das der Zugriff wieder möglich ist.

 

Wer das Gefühl hat ein Hack über LAN sei nicht möglich der irrt sich wohl sehr.

Die zurzeit offenen Schwachstellen sind nicht nur im Computer BIOS und deren Treiber vorhanden.

Sondern in jedem Betriebssystem inklusive Handy, TV etc.

Gratis Internet Security oder fehlende Sicherheit Software erhöhen die Angriffs Wahrscheinlichkeit.

Man fährt ja auch kein Auto ohne Bremsen.

In deinem Fall würde ich mal alle System überprüfen, denn der PC3 kann auch ein WiFi direct sein.

Du kannst zusätzlich ein Switch Layer 3 oder Router hinter den bestehenden Router einhängen um die Sicherheit zu erhöhen.

Nicht vergessen Passwörter sollen kein Wort enthalten wie die Katze, Auto etc. sowie kein Geburtsdatum etc.

Gäste Netzwerk ist wohl bei heutiger Flatrate nicht mehr nötig.

zerstörte MBR > kann auch durch ein unsachgemässes Update erfolgen!

Viel Glück beim suchen des Eindringlings.

Contributor
12 von 12

danke für den Hinweis. Die Story ging / geht weiter. Gestern brachte ich den neu aufgesetzten PC wieder an seine Internetbox. Geplant war ein Update des WLAN Passworts. Gleich während / nach dem Boot sahen wir die MAC Adresse des Eindringlings wieder in der Geräteliste der Internetbox. Man sieht natürlich nur die MAC Adresse, eine IP Nr fehlte (noch). Vorerst habe ich vergessen im Eventlog nachzusehen was man mehr herausfinden könnte. Item, wir haben dann noch es bitzeli die Swisscom Hotline involviert, aber da kam nichts neues raus. Wir haben dann das  WLAN Passwort geändert, neu gebootet, und siehe da - Eindringling / MAC Adresse verschwunden. M.a.W. die MAC Adresse hat das WLAN Passwort gekannt! Ich gehe immer noch von einem Angriff via WLAN aus, siehe Indizien, obwohl ich weiss, dass es auch andere Wege gibt. Wenn der Angriff nicht via WLAN kam, könnte die MAC Adresse etwas mit einem Command Server zu tun haben? 

WiFi direkt - da weiss ich zu wenig - ist denn da eine Verbindung ohne IP Adresse möglich? Und wenn warum Kommunikation via Router? Dann müssten doch noch weitere WiFi Geräte in der Geräteliste sein? 

Betreffend Tools mache ich mich gerade schlau, vorerst habe ich Vistumbler (Nachfolger von Netstumbler) installiert.  Wenn man weitere Tools sucht, kommt man um Linux nicht mehr rum. Es gibt da Kismet, Kali und Backtrack die solche Funktionalitäten haben. Und da wird's für mich schon schwieriger. Kismet muss man erst kompilieren. Hab ich noch nie gemacht.  Andere habe ich versucht als virtuelle Systeme zu bauen, bin aber noch nicht erfolgreich. 

Wie auch immer. Ich bin auf dem Kriegspfad und danke allen tapferen Kriegern die mir mit Rat und Tat beistehen.