Unsichere WLAN-Router von T-Online & Vodafone

Die beiden Studenten Stefan Viehböck und Manuel Müller sind nach einer vorausgegangenen Untersuchung zu dem Ergebnis gekommen, dass mehrere von T-Online und Vodafone verkaufte WLAN-Router ab Werk schon unsicher sind. mehr... Wlan, WiFi, Hotspot Bildquelle: Nicolas Nova / Flickr Wlan, WiFi, Hotspot Wlan, WiFi, Hotspot Nicolas Nova / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Naja also mal ganz ehrlich die FRITZ!Boxen haben ja auch diese vorgenerierten Codes. Deswegen is das erste was ich immer mache, den Key zu ändern....dass allerdings die SSID trotz versteckens dann trotzdem mit diversen Programmen noch sichtbar is, also das Problem hat doch wohl jeder Router, oder nicht!?
 
@fredthefreezer: es gibt in der Fritz.Box ja eine schöne Einstellung, die keine weiteren Computer mehr aufnimmt.
 
@ProSieben: Das ist nur eine MAC-Adressen Filterung. Aber die MAC-Adresse eines zugelassenen Computers kann man ausspähen und sich dann selbst geben. Und schon ist man (wenn man den Netzwerkschlüssel dann auch geknackt hat) im Netz des betroffenen.
 
@DPX: Frage mich ja wie die die MAC Adresse rausfindest ohne in dem passenden Netzwerk zu sein ;) Wo willst du denn mal was im weiten WWW von ihm sniffen wenn nicht im local Lan... äußerst unwahrscheinlich, Möglichkeit gibs aber immer, tjoar.
 
@DUNnet: Die MAC-Adresse wird unverschüsselt übertragen. Sonst wüsste der WLan AP ja nicht, dass das gesendete verschlüsselte Paket für ihn ist. Mehr dazu z. B. hier: http://goo.gl/FA52i (lies dir dort mal den Absatz "Kismet: Das Schweizer Taschenmesser für WLAN-Hacker" genau durch.
 
@ProSieben: Wie schon erwähnt, die Mac-Adressen Filterung bringt Dir keinen Mehrwert an Sicherheit. Ebenso verfährt es sich auch mit dem verstecken der SSID, das bringt nicht wirklich was. Das erste was man machen sollte, ist das vergeben eines starken Router Passworts, sowie das Einstellen von WPA2 und vergeben eines starken Schlüsselsl, Passwortlänge von 64 Zeichen am besten voll ausschöpfen. Auch der Zugriff auf den Router mittels WLAN sollte man abstellen und nur physischen Zugriff auf diesen zulassen, somit unterbindet man effektiv einen Zugriff von außen.
 
@fredthefreezer: wird in dem handbuch nicht auch empfohlen das passwort zu ändern oder? o.O?
 
@ALL: Das erste was DU machst... Zitat frei nach Marcell Davis (Wo steckt der Typ überhaupt? lange nicht mehr gesehen) "Einstecken, Startcode eingeben und loslegen" (und vergessen), auch das nicht gelesene Handtuch hilft da nichts. Das wird doch höchstens dazu verwendet um die Nummer der 1und1 Hotline zu erfahren, wenn es nicht funktioniert. Nein, der Anwender ist nach meiner Meinung da nicht Schuld, sondern 1und1, bzw. wie hier die T-Com. Dieses einstecken, Startcode eingeben und es läuft ist das Problem. Das einzige was der Endanwender höchstens noch machen muss, ist die Klingellautstärke der angeschlossenen Analog-Telefone einzustellen, sonst muss der nie irgendwelche Einstellungen sehen.
 
@Lastwebpage: Eben und das is meiner Meinung nach eher zu kritisieren! Ich wunderte mich halt nur, wieso hier nur von Vodafone, bzw T-Com gesprochen wird.....die Hardwarehersteller und die Provider sollten da mal in die Pflicht genommen werden!
Startcode alles schön und gut, der einzige der dadurch nen Vorteil hat, is der Provider der keinen Profi mehr zum anschließen schicken muss......doch dann sollte man diese Mechanismen etwas verfeinern, zum Beispiel eben, dass man die SSID und den WPA Key selbst einstellen muss, sonst geht halt das WLAN nicht an.....
 
@Lastwebpage: Und genau hier liegt auch die Lösung des Problems: Bei der Installation des Routers könnte noch ein zusätzlicher Punkt eingeführt werden, und zwar dass der User sich einen persönlichen Wlan- Schlüssel ausdenken muss, der den Richtlinien (Groß/Kleinschreibung Zahlen und Sonderzeichen) entsprechen muss. Ignoriert der User diese Eingabe gilt der von Werk eingestellte Schlüssel- jedoch mit einer fett geschriebenen Warnung, mit Angabe des Risikos- somit ist der User selbst verantwortlich und er Hersteller fein raus. Wer sich ein wenig mit der Materie auskennt ändert den Schlüssel eh von selbst- aber das sind leider die wenigsten.
 
@fredthefreezer: ähm aber der Code der Fritz!Boxen befinden die Beiden Stundenten aber als sicher. (die AVM OEM Geräte W501V, W701V,W722V Typ A und W920V fehlen). Davon abgesehen ist es natürlich trotzdem wichtig den Start WPA Key zu ändern denn rechtlich muss man es machen.
 
@fredthefreezer: Wenns nicht grad so ein Problem wie hier gibt seh keinen Grund den Schlüssel zu ändern. Den würde doch dann nur einer mitkriegen, der sich die Rückseite meiner FritzBox anschaut.
 
@JasonLA: Naja, dein Passwort sind dann 16 zahlen. Was alles andere als sicher ist. Um das zu knacken muss man nicht unter deine fritzbox guckn.
 
@balini: Das sind 10^16 Möglichkeiten... Ich glaube nicht, dass sich jemand diese Arbeit machen würde
 
@JasonLA: Ja die Sache der Arbeit ist natürlich immer ein Argument. Gilt ja auch schon bei macadressen Sperre. Klar kann man umgehehen, steigert aber auch etwas den Aufwand. Wer sich Mühe machen will lässt die Cloud halt a bissi rechnen ;-). Zwei funknetze weiter ist auch schon das nächste wep Netz. Insofern würde nen Angreifer eh dorthin gehen. Ausser er mag explizit in dein WLAN.
 
@JasonLA: Ja nur der Knackpunkt ist, diese Zahlen hat sich nicht irgendjemand einfach nur ausgedacht, sondern die werden von einem festgelegten Algorythmus berechnet und wenn man den rausgefunden hat kann man alle Boxen die mit diesem gearbeitet haben knacken.....;-)
 
@fredthefreezer: Hat aber noch keiner, zumindest bei den FritzBoxen... bis dahin blebut der code :-)
 
Gute Arbeit, Jungs!
 
@Schweini1: naja, eigentlich ist das keine große leistung zu merken, dass die voreinstellungen schlecht sind.
das knacken der wpa-verschlüsselung jedoch ist eher anerkennenswert.
dafür haben die beiden aber bestimmt aircrack verwendet. das kann jedes kiddie bedienen...
 
@maehze: wpa haben sie nicht geknackt! die haben lediglich den algorithmus für die werkskeys endeckt da sie einen zusammenhang zwischen key und ssid gefunden haben. das hat nichts mit wpa knacken zu tun
 
Es sit doch aber so schön einfach für die meisten. Einstecken und los.
Andererseits sollten Werkseinstellungen ja immer geändert werden,oder?
Aber wie man es auch dreht und wendet, es wird niemals richtig sicher sein.
 
Tja - sicher ist nur eine Direktverbindung im Netzwerk - also mit Kabel und auch nur solange man alle kennt. Netzwerke über Steckdose und Funk (WLan) haben nun mal das Problem, dass auch eine hohe Sicherheitsstufe geknackt werden kann.
Grundeinstellungen vom Werk her, diese sind nur für den ersten Start, sollte man zwingend ändern, SSID zwingend unsichtbar und mindestens 9 Zeichen (mehr ist besser), Verschlüsselung WPA2 mit PSK (PSK mindestens 12 Zeichen, mehr ist wieder besser) und trotz allem MAC-Filterung an (natürlich vorher die Geräte angeben).
Wenn man jetzt bei den Zeichen alle Möglichkeiten hat (Sonderzeichen, Umlaute, ...), dann ist das Netzwerk optimal geschützt - noch lange nicht sicher vor Hacker-angriffen von Profis in diesem Bereich.
Einen 100%igen Schutz gibt es nicht, der ist und bleibt Illussion.
Meine Idee: Router sollten Werksmäßig WLan deaktiviert haben und mit dem Einrichten (WLan aktivieren) eine Einrichtungshilfe für den Benutzer mitbringen (Anzeige ab wann Passwort sicher wird, SSID unsichtbar, ...).
 
@Lutz61: Deine Tipps sind Schwachsinn. SSID unsichtbar -> 0 Sicherheitsgewinn. MAC Filter -> 0 Sicherheitsgewinn, kann man problemlos mit sniffen. Und Sonderzeichen / Umlaute im WLAN Key mhhh keine gute Idee da sperrt man sich dann einfach mal selber aus. Denn Umlaute und Sonderzeichen werden je nach Codierung von Browser anders an den Router übermittelt. Stimmt dies nicht mit der Codierung die der Client nutzt überein kannste das PW hundert mal eineben du wirst nicht reinkommen. Und bitte daran denken: WPA (2) nutzt diesen Start Key nur zur einmaligen Auslieferung des aktuellen WPA (2) Schlüssels. Der Key wird nicht zum ver- und entschlüsseln der Daten genutzt. Einfachste Sache: Garkein PSK (PreShared Key) sondern zum Ausliefern nur die WPS/Pushbutton Methode. Wo kein PSK ist kann er auch nicht geknackt werden. Und wenn der "Hacker" an deinen Router drankommt um einen knopf zu drücken dann ist WLAN Sicherheit nichtmehr relevant.
 
@Nero FX: Ja, man kann sniffen und eine zugelassene MAC-Adresse finden, dann könnte man seine MAC-Adresse ändern um sich dann anzumelden und das Kennwort zu knacken.. du bist jetzt aber nicht ernsthaft der Meinung, dass eine MAC-Filterung 0 Sicherheit bringt? :D Dann bringt eine Verschlüsselung aber mindestens genauso wenig.
 
@2-HOT-4-TV: ganz genau. Mac-Adresse mitsniffen wenn du angemeldet bis am WLAN -> 10 sek, MAC ändern 5sek. es bringt maximal Sicherheit wenn du als Start Key "sommersonne" nimmst denn das wird durch Wörterbuchangriffe noch schneller ausgehebelt ok. Aber 15sek sind zu einem Brutforce Angriff der bei gutem PW Jahre dauert irrelevant.
 
Um ehrlich zu sein, eine identische News gab es schon einmal vor einem Jahr: http://heise.de/-1062911 - Da hat sich ja viel getan in der Zwischenzeit... nicht!
 
und die netzbetreiber gehen halt immer davon aus, dass ein normaler user gleich in der lage ist den wpa schlüssel zu ändern. vielen, den ich das zu herzen gelegt hatte, wussten überhaupt nichts von der existenz dieser verschlüsselung!
 
Wer die Standardeinstellungen des Routers nicht abändert, das voreingestellte Routerpasswort nicht ändert, sowie die möglichen Sicherheitsvorkehrungen wie z.B. MAC Filter nicht nutzt, der darf sich nicht wundern, wenn sein Router "unsicher" ist.
 
@BillyRayV: Was habt ihr alle mit euren MAC filter. Er bringt 0 nana nix. Eure WLAN Adapter schreien die MAC Adresse in die weite Welt hinaus das kann jeder mitsniffen.
 
@Nero FX: ...und dennoch schalte ich den MAC-Filter ein.
 
@Der_da: will dir ja keiner verbieten. Aber verbreite den irrglauben das es Sicherheit bringen würde bitte nicht an andere Nutzer ;)
 
@Nero FX: Der MAC-Filter bietet mir aber Schutz dagegen, dass ich einem Kumpel mal erlaube, mein WLAN zu benutzen und er das Passwort all seinen anderen Kumpels verrät und die alle in meinem Netz surfen.
 
@Der_da: und? Da muss der "Freund des Freundes" nur deine MAC mitsniffen und bei sich eingeben. 15sekunden arbeit. Da gibt es x tausend andere Varianten wie GastWLAN, WPS/Pushbutton Methode.
 
@Nero FX: Hast recht MAC Filter ist heutzutage kein Sicherheitsplus mehr. Pushbutton ist aber insofern gefährlich, da man ja den Key des Profils anzeigen lassen kann bei Win 7. Das mit dem WLAN Gastmodus ist eine feine Sache.
 
@Nero FX: ich bin sicher, dass der Freund des Freundes das nicht kann. Ist ja nicht jeder so ein ausgebildeter Informatiker wie wir.
 
@BillyRayV: Der Sicherheitsgewinn von einem MAC-Filter ist gleich Null. Jedes Android oder Meego Smartphone kann deinen MAC-Filter mit einer Applikation umgehen (allen voran aircrack-ng).
 
@RobCole: Hättest Du mein Statement mal richtig gelesen, dann wäre Dir aufgefallen, daß ich von allen möglichen Sicherheitsvorkehrungen geredet habe und nicht nur vom MAC Filter. Der nutzt Dir nämlich gar nichts, wenn das Netzwerk mit WPA2 gut verschlüsselt ist.
 
@BillyRayV: Sorry aber du benennst nicht konkret deine/die Sicherheitsvorkehrungen außer den MAC-Filter. Und nun machst du mir den Vorwurf ich würde nur darauf eingehen, sehr skurril.
 
@BillyRayV: Ja, blos warum liefern AVM, Speedport und Co die Teile überhaupt mit einer Grundeinstellung aus? Verglichen mit z.B. einem EMail Programm, würde das bedeuten, dass ich irgendwelche EMail irgendwoher empfange, BEVOR ich überhaupt ein EMailkonto eingerichtet habe. o_O Passwortfelder etc. könnten ja auch ganz einfach leer bleiben, und der Router funktionslos, bis der User irgendetwas eingibt.
 
@Lastwebpage: Früher waren die Geräte oft nicht vorkonfiguriert, was die WLAN Einstellungen angeht. Hat zur Folge, dass ganz viele gar keine Verschlüsselung hatten und offen wie ein Scheunentor waren. So gibt es wenigstens eine gewisse Grundabsicherung.
 
@Lastwebpage: die User sind zu blöd überhaupt irgendwas einzustellen.
würde man nichts vorgeben würde mehr als die hälfte der Nutzer gar keine Verschlüsselung einschalten.
Ausserdem überleg mal was Kunden machen die nur ein ipad oder sowas haben, da kann man nichts über Kabel konfigurieren.
 
was man machen koennte, wenn der Router das 1.mal eingeschaltet wird
das man aufgefordert wird das Kennwort zu aendern usw ;)
ansonsten ist der User immer zum Teil selber Schuld
 
es gibt keine t-online router, t-online ist eine portalseite im internet, nicht mehr.
 
@fgs1982: Bis 2006 war es mehr. Es war damals die Firma die sich um die Internet-Sparte gekümmert hat.
 
Bei den Speedport Routern der Telekom ist es mit der SSID anders als bei den Fritzboxen.
Die Router der T-Com haben eine SSID: WLAN-24C58... dazu dann den passenden WPA Key der sich aus der SSID generieren lässt.
Bei der Fritzbox ist das anders, sie haben ab werk aus immer den Modellnamen als SSID. AVM generiert bei den Fritzboxen den WPA Key nicht im zusammenhang mit der SSID.
 
@risc: Ich meine das die neueren Speedports (z.B. 503, 504 722, 723), die hier genannt wurden zwar die SSID aus der MAC haben, aber der WPA bzw. WPA2 PSK ist eine 16 stellige zufällige Ziffer (wie bei AVM) und nicht mehr aus der MAC des Herstellers generiert. Ich sehe allerdings auch ein, dass man Werksangaben nach Möglichkeit ändern sollte ;). Ich würde gerne die Untersuchung der Studenten lesen, wie das alles zusammen hängt. Für mich liest sich das hier, als wenn es auf dem Golem.de Artikel beruht. Und die mussten sich zumindest schon bei den aktuellen Routern von Vodafone korrigieren. Denke die Telekom wird sich dazu auch noch äußern.
 
@Sala: Beides, SSID und WLAN Key werden bei dem Speedport mit einer recht einfach Formel ermittelt. Die SSID sehr oft sogar einfach mit dem letzten Zeichen der MAC. Die AVM OEM Speedport sind aber ebenfalls nicht betroffen obwohl Sie sehrwohl eine individuell SSID haben. Die Formel scheint nur etwas komplexer bzw Zufallsbehaftet zu sein. Sie muss sich aber irgendwie aus der Hardware ermitteln lassen bei AVM. Denn ein generisches Recover löscht ja den komplette Flash und trotzdem behält die FB immer ihren Start WLAN Key.
 
@Nero FX: Ich glaube nicht das sich der Bericht auf die ganz aktuellen Geräte bezieht. Zumindest Vodafone hat das für ihr aktuellstes Geräte schon dementiert. Ich hab zumindest eins der aufgezählten Geräte hier und da kommt die MAC der WLAN Schnittstelle beim PSK nicht vor.
 
@Nero FX: Der Schlüssel ist nur beim W700V direkt aus der mac ableitbar. Dieser Router wird seit mehr als zwei Jahren nicht mehr vertrieben...
 
Wer sein WLAN nicht absichert oder auf Herstellerersteinrichtung belässt, der hat von der Materie doch eh keinen Schimmer und sollte sich an den Kundendienst wenden oder zumindest die Handbücher mal durchblättern, meist ist ja ein Quick-Installation-Guide dabei. Warum das jetzt eine News wert ist, ist mir jedoch unklar.
 
@der_Dummschwätzer: tz.. also wirklich. Wie kannst du von nem DAU verlangen etwas zu lesen und zu verstehen.. also wirklich ^^
 
ist das nicht ein wenig arrogant von jedem zu verlangen alles zu können oder wissen? wenn dem der fall sein sollte bin auch ich ein dau denn ich weiss persönlich nicht wie man schwachstellen in systemen ausnutzt, genausowenig weiss ich etwas über wlan da ichs nicht nutze, aber genauso wenig ahnung habe ich von kernphysik, kuchen backen oder medizinische eingriffe, dafür weiss ich eben andere dinge die hier sicher auch nicht jeder weiss und sich deswegen auch gut und gern mal beim reparieren seines autos übers ohr hauen lassen, ist das dann für mich ein grund diejenigen als idioten zu bezeichnen weil ihr euch teile andrehen lasst die weder ausgetauscht oder gar repareirt werden mussten? Aber anscheinend gibt es zumindest hier genug leute die jeden kleinen aspekt des lebens in und auswendig können und auch verstehen.
 
@der_Dummschwätzer: lol fail. der user soll sich mit sowas nicht beschaeftigen. ausserdem kann man nicht alles. ich habe von mauern und schweissen kein plan.
 
Also wenn es nur die Router von T-Online betrifft.... Die Redaktion weiß aber schon, dass die Marke bzw. die Firma T-Online seit 2006 nicht mehr existiert?
 
@Rhanon: http://www.t-online.de/ also die Seite gibt es noch von daher existiert dieser Name noch. Im impressum steht folgendes: 'Die o.g. Verantwortlichkeiten gelten für das Portal www.t-online.de. Für weitere Portale/Portalangebote der Deutsche Telekom AG bestehen gesonderte Regelungen. Den Verantwortlichen für den Inhalt dieser Angebote können Sie dem jeweiligen Impressum entnehmen'
 
@Menschenhasser: Das ist eine URL und keine Marke oder Firma.
 
@Rhanon: Da steht aber Portal der Telekom und somit existiert die Marke.
 
@Menschenhasser: Also dann mal etwas ausführlicher: Vor 2006 war die Firma T-Online GmbH eine Tochtergesellschaft der Deutschen Telekom AG welche die Internet-Anschlüsse an die Kunden verkauft hat. 2006 wurden die T-Online GmbH und die T-Com GmbH, welche die Festnetzanschlüsse vertrieben hat, zusammen gelegt unter dem Namen T-Com GmbH. 2007 wurde das ganze dann zu T-Home. Und seit 2010 sind die Firmen T-Home und T-Mobile unter dem Namen Telekom Deutschland GmbH vertreten. Das Webportal T-Online.de wird nur weiter unter dem namen T-Online.de geführt, da eine umstellung einer bereits etablierten Web-Präsenz Seitenbesucher gekostet hätten. Seit 2006 oder 2007 kann man unter der URL T-Online.de direkt kein Internet oder Festnetzanschlüsse mehr bestellen. T-Online.de ist ein reines Newsportal welches im Falle einer bestellung eines Internet-, Handy- oder Festnetzanschluss auf die jeweilige Seite weiterleitet.
 
@Rhanon: Mir geht es eher darum das du geschrieben hast das die Marke nicht mehr existiert: 'die Marke bzw. die Firma T-Online seit 2006 nicht mehr existiert' sie existiert aber.
 
@Menschenhasser: Es gibt noch bilder von amy winehouse im internet --- exisitiert sie auch noch?
 
@slashi: Häh? Das eine hat mit dem anderen nichts zu tuhen.
 
@Menschenhasser: die marke t-online existiert auch nichtmehr...genau wie t-com oder post....nur weil es noch iwo draufsteht, heisst es nicht, dass es die marke noch gibt...
 
@slashi: lol!
 
Für alle zur Information, jeder ISP hat AGBs. Diese gelten für beide Vetragsparteien. Also ist es völlig Banane, wie ein Wlanrouter eingestellt ist, solange er alle technischen Möglichkeiten beinhaltet ein Wlannetz ausreichend zu sichern, wie es der Gesetzgeber fordert. Diese Einstellungen muss der User selber vornehmen.
 
Für mich kommt nur die FRITZ!Box in Frage. Immer schnell und zuverlässig.
 
na ja so neu ist des ganze ja nun auch nicht mehr: http://www.wardriving-forum.de/wiki/Standardpassw%C3%B6rter
 
ja leute... das ist doch schon ewig lang bekannt...
 
also das erst was man macht ist die SSID und den Schlüssel zu ändern. Das ist doch ganz logisch und außerdem steht das im Handbuch auf der ersten Seite bzw. in der Passage wo es um den WLAN Zugang geht.
 
Die Android-Apps die den WPA-Default Key für die genannten Router berechen heissen übrigens RouterKeygen und Penetrate --> funktionieren wunderbar ;) Leider wurden die schon vor einem Jahr aus dem Market entfernt - ABER bei Google schnell zu finden!

Das ist ja mal wieder eine Topaktuelle News von WF :D
Kommentar abgeben Netiquette beachten!

Weiterführende Links

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles