Handwerk Archiv
Foto: handwerk.com

Archiv

25. Januar 2008

Datendiebe manipulieren DSL-Router

Der Dreh ist neu: Angreifer schrauben jetzt an den Einstellungen von Internet-Routern. Sensible Daten werden heimlich umgeleitet.

Der Dreh ist neu: Angreifer schrauben jetzt an den Einstellungen von Internet-Routern. Sensible Daten werden heimlich umgeleitet und missbraucht.

Wieder eine Stelle mehr, die sich als Schlupfloch für Datendiebe erweist. Zumindest wenn sie nicht richtig konfiguriert ist. Wie der IT-Sicherheitsdienst Symantec berichtet, ist es Hackern gelungen, die DNS-Server-Einstellungen von Routern so zu manipulieren, dass sensible Daten zu ihren Rechner gelotst wurden. Dazu reicht offenbar ein Augenblick.

"Allein durch das Ansehen" einer Web-Seite mit HTML- oder Java Script-Schadcode könnten Router präpariert werden, warnen die Experten. Effekt: Wenn der Anwender ein bestimmte URL eintippe, landet er auf einer gefäschte Website, auf der Daten abgefangen werden etwa Zugangsdaten zum Online-Konto.

In den aktuellen Fällen haben die Angreifer E-Mails eingesetzt, um Router falsch "einzunorden". Die Mail enthielt laut Experten einen HTML-TAG, der zu einer so genannten GET-Abfrage führte. Und die änderte die DNS-Einstellungen. Leichte Spiel hatten die Angreifer, weil die Geräte nur mit dem Standardkennwort geschützt waren.

Gefahr könne auch von Adobe Flash-Objekten ausgehen, meldet Symantec. Mit solchen Objekte ließen sich an den Sicherheitseinstellungen der Router herumschrauben. Der Angriff stütze sich auf den "Universal Plug and Play-Standard" (UPnP)", traditionelle Passwort- und WPA-Verschlüsselungen" seien wirkungslos, heißt es.

Die Sicherheitsspezialisten raten Anwendern unter anderem drei Regeln zu beachten:

Nicht das voreingestellte Passwort des Routers verwenden. Stattdessen ein neues Passwort anlegen, das sich nicht leicht erraten lässt.

Bevor das Passwort geändert wird, ein Reset durchführen. Dann kann nichts passieren, wenn der Router bereits manipuliert wurde.

Universal Plug and Play (UPnP) deaktivieren, wenn es nicht benötigt wird.

Heise.de empfiehlt darüber hinaus, vom vordenfinierten Subnetz häufig 192.168.1.0 auf eine anderes zu wechslen. Als Beispiel nennt der Online-Dienst: 192.168.23.0.

(mfi)

Links:

www.heise.de

www.symantec.com

Anzeige

Frustriert von der Mitarbeitersuche?

handwerk.com und die Schlütersche helfen Ihnen Ihre offenen Stellen einfach, zeit- und kostensparend mit den richtigen Kandidaten zu besetzen! Mehr als 500 Betriebe vertrauen uns bei der Mitarbeitersuche!

Jetzt Bewerber finden!

Wir haben noch mehr für Sie!

Praktische Tipps zur Betriebsführung und Erfahrungsberichte von Kollegen gibt es dienstags und donnerstags auch direkt ins Postfach: nützlich, übersichtlich und auf den Punkt.
Melden Sie sich jetzt für unseren Newsletter an - schnell und kostenlos!
Wir geben Ihre Daten nicht an Dritte weiter. Die Übermittlung erfolgt verschlüsselt. Zu statistischen Zwecken führen wir ein anonymisiertes Link-Tracking durch.
Sie akzeptieren nur Bewerbern, die ganz genau Ihrer Vorstellungen entsprechen und suchen Fehler mit der Lupe? Kein Wunder, dass Sie niemanden einstellen.

Stelle frei?

Diese 3 Denkfehler sollten Sie bei der Mitarbeitersuche vermeiden

Aus Ihren Bewerbern werden keine Mitarbeiter? Dann schauen Sie, ob Ihnen im Einstellungsprozess nicht einer dieser drei großen Fehler unterläuft.

    • Personal, Personalbeschaffung
Heimliche Videoaufnahmen auf dem Privatgrundstück: Das stellt einen erheblichen Eingriff in die Privatsphäre dar.

Personal

Zweifel an AU: Betrieb lässt Mitarbeiter heimlich filmen

Ein Betrieb lässt einen arbeitsunfähigen Mitarbeiter von einem Detektiv beschatten. Der filmt den Mann heimlich bei der Gartenarbeit. Grund für eine Kündigung?

    • Personal, Recht, Arbeitsrecht
Nur, wenn 3 Voraussetzungen erfüllt sind: Laut einem EuGH-Urteil löst nicht jeder Datenschutzverstoß Schadensersatzansprüche aus.

Recht

Schadensersatz wegen DSGVO-Verstoß: Das sagt der EuGH

Nach einem Datenschutzverstoß wird ein Unternehmen verklagt: Der EuGH hat jetzt geklärt, unter welchen 3 Voraussetzungen bei einem DSGVO-Verstoß Schadensersatz droht.

    • Recht, IT-Recht
Datenauswertung nach dem Unfall: Wer hat das Recht, auf den Unfalldatenspeicher zuzugreifen?

Fuhrparkrecht

Unfalldatenspeicher: Knifflige Frage der Datennutzung

Ab Juli 2024 wird er Pflicht, der Unfalldatenspeicher (EDR). Aber dürfen Arbeitgeber im Streitfall auch auf die Daten zugreifen, nachdem es gekracht hat?

    • Fuhrpark