Zweiundvierzig

Jeder kennt sie, viele hassen sie – „Sicherheitsfragen“. Eine solche sollte ich heute beim Besuch des Kundencenters der Telekom einrichten.

Die Frage selbst kann man in aller Regel nicht frei wählen, die Antworten dieser Fragen lassen sich oft durch Social Engineering erarbeiten.

Aber die Telekom hat auch eine Frage im Katalog, deren Antwort eigentlich schon vor-ausgefüllt sein könnte:

Sicherheitsfrage „Wie lautet die Antwort auf die Frage aller Fragen?“

Ich frage mich tatsächlich und ehrlich, wie oft hier „Zweiundvierzig“ eingegeben wird (und ob die Eingabe zulässig ist). Liest hier jemand von der Telekom mit, der zugriff hat und mal eine Statistik rauslassen könnte?

Allgemein ist Passwortsicherheit ein Thema für sich. Viele IT-Abteilungen erfordern fordern z. B. einen sehr engen Wechselzyklus und Anforderungen wie Groß- & Kleinschreibung, Zahlen, Sonderzeichen, ein kyrillisches Zeichen, zwei Hiragana-Zeichen, eine persische Zahl und ein Emoji. Grund: weil es sicherer ist.

Ich bin eher der Meinung, dass es ziemlich großer Unsinn ist. Passwortüberprüfungen erfolgen nicht nach dem Prinzip des Spiels Mastermind. Es gibt entweder ein true oder ein false und nicht, ob und wie viele Zeichen richtig sind. Zudem lässt ein häufiger Passwortwechsel die Leute unkreativ werden. Dann gibt es Stammpasswörter mit einer Variablen wie das Datum des Passwortwechsels oder es steigt ganz einfach die Gefahr, dass das Passwort irgendwo notiert wird. An der Stelle möchte ich nicht wissen, von wie vielen das Passwort nicht nur unter der Tastatur klebt, sondern gleich Cherry oder Logitech verwendet wurde.

Auch habe ich schon viel zu oft gehört und gelesen, dass man als Passwort die ersten Buchstaben eines Satzes verwenden und noch eine Leetspeak-Zahl und ein Sonderzeichen reinnehmen soll. Beispiel: Das ist das Haus vom Nikolaus: DidHvN, mit Zahl dann D1dHvN. Mit dem erstbesten gefundenen Passwort-Crack-Estimater liegt das erste Passwort bei 6 Sekunden, das zweite bei 20 Sekunden. Würde man den kompletten Satz als Passwort nehmen, läge man bei 7,2*10^38 Jahren. Wie gesagt, unter der Annahme, dass die Passwortprüfung nur ein true/false zurückgibt. Ein kompletter Satz ist beim „Shouldersurfing“ vermutlich nicht ganz so gut, da man es in diesem Fall etwas einfacher als scheinbar zufällige Tastendrücke rekonstruieren kann – aber: das ist zusätzliche Information. Da der Aufwand bei Bruteforce-Attacken mit der Länge des Passworts exponentiell steigt, ist es von Nachteil, kurze, komplexe Passwörter zu verwenden.

Aber solche Angriffe sind mittlerweile eh langweilig – spätestens nach dem 10. Fehlversuch dürfte/sollte jedes Formular für eine Weile dicht machen. Kritischer ist heute nicht mehr das Passwort selbst, sondern die Person, die es eingibt.

Ein Passwort für alle Dienste, ungesichert gespeicherte Passwörter im Browser und ganz vorneweg: Zeug anklicken. Das Konto muss verifiziert werden? Klick. Unaufgeforderte Passwortwiederherstellung? Klick. Irgendwas gewonnen und man muss sich mit den Credentials der Seite einloggen, auf der die Werbung stand? Die Liste der Möglichkeiten ist lang.

Meine Strategie: Lallo-Passwörter liegen im (gesicherten) Passwortmanager, die wichtigeren (bei denen etwas bei einem Leak kaputt gehen könnte) existieren nur im Kopf. Dazu noch 2FA wo es möglich und sinnvoll ist. Zudem genau schauen, wo man denn nun sein Passwort eingibt.

Hier schlägt auch der Vorteil eines Passwortmanagers, der im Browser integriert ist, zu: Der schlägt den einzugebenden Login erst einmal nur auf den legitimen Domains vor, was schon sehr hilfreich sein kann.

Bei der Sicherheitsfrage von der Telekom habe ich übrigens einen zufällig generierten Text eingetragen, auch wenn DIE ANTWORT aller Fragen verlockend gewesen wäre. Wobei der Kenner weiß: Es ist nicht die Antwort, es ist die Frage.

Fritz!Box Zugangsdaten vergessen?

Hier werkelt seit knapp 5 Jahren eine Fritz!Box 7390. Mit Loch im Deckel und sehr langsam drehendem Lüfter erlitt sie bis jetzt noch nicht den Hitzetod und braucht daher sehr wenig Aufmerksamkeit.

Leider ist das DSL hier nicht ganz so schnell, wie es mir lieb wäre. Ich klage zwar noch immer auf hohem Niveau, von den knapp 17,7 Mbit/s nutzt die Box 15,1 Mbit/s und es bleiben 12,56 Mbit/s für den tatsächlichen Download übrig. Im Upload sind es 2,8/2,3/1,95 Mbit/s:

Weil sie dann doch etwas in die Jahre gekommen ist, und die 7390 nicht unbedingt durch ihre DSL-Performance bekannt wurde, wollte ich mir mal eine zweite Meinung einholen. Ok, eine ähnlich alte 7360 – aber mal einen Versuch wert.

Nach etwas Suchen wurde allerdings klar – und nun zum eigentlichen Thema: ich habe die für die Einrichtung benötigten Logindaten verlegt. Mist.

Also mal suchen, wie man die Daten da herausbekommt. Das auf vielen Seiten beworbene Tool RouterPassView von Nir Sofer (der schnörkellose und sehr gute Tools anbietet) funktioniert nicht (mehr?) mit Fritz!Boxen.

Eine andere Lösung: Die fb_tools von Michael Engelke. Der in der Beschreibung gezeigte Befehl führte bei mir nur zu folgender Ausgabe:

Keine Konfig erhalten - Möglichlichweise ist noch die Sicherheits-Bestätigungsfunktion aktiviert? [sic!]

Also in der Anleitung der Box nachgeschaut – unter System -> FRITZ“Box-Benutzer -> Anmeldung im Heimnetz lässt sich die Option Ausführung bestimmter Einstellungen und Funktionen zusätzlich bestätigen zwar deaktivieren, nach dem Übernehmen ist die Option allerdings wieder gesetzt. Hmpf.

Wenn das Script die Daten aber entschlüsseln kann und die man in der Box die Einstellungen speichern kann – AVM wird wohl kaum mehrere Verfahren für die Crypto der Konfiguration verwendet haben. Schaut man etwas genauer in die Hilfe der fb_tools – ja, es kann verschlüsselt gesicherte Exportdateien entschlüsseln. Mit

fb_tools.bat nix@nix konfig File-DeCrypt sicherung.export dateipasswort

bekommt man die Daten direkt in der Konsole (Anm: das Tool braucht für den Aufruf immer Passwort@IP, nix@nix funktioniert auch, da kein Zugriff auf die Box erfolgt):

Ja, der Screenshot ist halbwegs witzlos, aber Beweis ist Beweis.

Jetzt muss man nur noch wissen, wie der „internet-String“ aufgebaut ist. Aus DFÜ-Zeiten weiß man noch:

Anschlusskennung#Zugangsnummer#Mitbenutzernummer@t-online.de

Das Password steht direkt hinter passwd= und war zumindest bis vor ein paar Jahren eine 8-stellige Nummer.

Auf die Test-7360-Box eingetippelt und eingestöpselt, purzeln auch hier die Bytes durchs verdrillte Kupfer. Die Ergebnisse sind etwas besser aber trotzdem ernüchternd:

Die Frage, wie sich die Performance bei einem moderneren oder etwas besseren Hardware verhält, bleibt natürlich offen. Unterm Strich: für die meisten Anwendungen reicht das. Auch wenn der Outdoor-DSLAM von m-net nur 70 m weiter steht, mit einer IPv4 wäre es dort um die 5 Euro im Monat mehr. Mehr Upload wäre gerade für VPN toll, aber die Schmerzen sind dafür nicht groß genug 😉

Alle Passwörter geändert?

tl;dr: Bekommt man eine Mail vom T-Online-Sicherheitsteam, dass der Account für Spam missbraucht wird, darf nicht nur das Passwort für den Webmailer sondern muss auch das zweite für die Nutzung von POP3/IMAP/SMTP geändert werden.

Einer meiner Kunden war eine Spamschleuder.

Freundlicherweise hat die T-Online bzw. die Telekom das gemerkt und eine Mail geschrieben. Darin wird empfohlen, den Rechner nach Malware zu durchsuchen und alle Passwörter zu ändern. So weit so gut. Allerdings war es nicht das erste Mal, dass diese Warnmail gekommen ist.

Also den Rechner gecheckt. Avira, Malwarebytes und Avast fand nix. Auch Spybot Search & Destroy fand nichts. In Currports und Process Explorer war auch nichts zu sehen. Gut, muss nichts bedeuten – wenn ein Rootkit im Spiel ist, fliegt der Krempel unterm Radar.

Laut Kunde kamen vor ein paar Tagen auch einige nicht zuordenbare Zustellungsfehler-Mails. Wie üblich ist auch die Originalmail dabei – einmal eine Fedex-Paketzustellungsmail und das andere mal für einen amerikanischen Internetfax-Provider.

Die Links führen auf eine gehackte WordPress-Installation, dann auf eine kryptische Domain – weiter habe ich den Weg nicht verfolgt.

Interessanter waren da die Mailheader, die Details über den Versand zeigen. Absendezeitpunkt, Hostname und IP des Absenders und das verwendete Mailprogramm.

Nichts passte:

  • Zu dem Zeitpunkt war nach Windows Event Log der PC aus
  • Hostname stimmte nicht zum PC und die IP (Logs vom Router) wurde zum Versendezeitpunkt nicht dem Anschluss zugeordnet – und war auch in einem völlig anderem Range. Geotrace spuckte – wenn man dem nach einer guten Woche nach Versand noch trauen darf – die Westküste der USA aus
  • Als Mailclient war „iPhone Mail“ gesetzt

Gut, der letzte Punkt ist schwach, die anderen deuten sehr stark darauf hin, dass der PC nicht am Spamversand beteiligt war.

Was dann sonst? Schließlich hat mein Kunde lt. eigenen Angaben das Passwort seines Mailaccounts geändert. Das Passwort? Hier liegt der Hund begragen: Bei T-Online-Mailaccounts gibt es zwei Passwörter. Eines für den Webmailer, das man in den dortigen Einstellungen ändern kann (was auch gemacht wurde) und ein zweites für die Nutzung eines lokalen Mailclients. Um dieses Passwort zu ändern, muss in das Kundencenter gewechselt werden.

Dort kann man das Passwort nicht nur ändern, sondern auch einsehen. Einsehen? Einsehen. Es wird also an mindestens einer Stelle im Klartext gespeichert. Nach diversen Datenlecks sollte man eigentlich wissen, dass man das nicht macht…

Das Problem sollte mit dem zweiten geänderten Passwort wohl behoben sein. Wie die Mailadressen-Passwort-Kombination in die Hände von Spammern gelang, konnte ich leider nicht verfolgen, allerdings hat mein Kunde für viele Dienste das gleiche Passwort verwendet. Vermutlich war das das Einfallstor – Identitätsdiebstahl.

Da das sicher nicht der einzige Fall für einen T-Online-Mail-Benutzer war, habe ich das Sicherheitsteam (abuse@) angeschrieben. Zunächst wurde mein Hinweis anscheinend nicht richtig verstanden, da nach den Mailheadern einer der zurückgekommenen Mails gefragt wurde. Auf meine Antwort, dass „alle“ Passwörter geändert werden sollen (in Bezug auf alle Passwörter eines Dienstes), was von den meisten als „alle Passwörter“ der verschiedenen genutzten Dienste missverstanden wird.

Leider habe ich bis jetzt keine Antwort mehr bekommen.

Im Spamfilter ist zumindest nichts hängen geblieben.