Theoretisch geht das. Praktisch wohl auch. Aber dazu muss irgendwo im internen Netz eine Malware Software (dauerhaft) laufen. Und dass das auf dem Gateway passiert halte ich für fast unmöglich. Da hätte sich Gira schon nen heftigen Schnitzer geleistet.

Würde mal die Rechner im lokalen Netz checken --> Virenscanner, Firewall, ...

mein Gedanke war jetzt auf Basis der Theorie, dass die Malware im Gateway sitzt.
Wie wahrscheinlich das ist, kann ich nicht beurteilen. Wenn da irgend ein Linux-Derivat drauf läuft, würde ich es zumindest nicht ausschließen.

Kann man denn die FW auf den alten Stand zurücksetzen? Dann würde man ja sehen, ob es einen Unterschied gibt?

Eine (embedded) Linux Maschine hinter einem NAT-Router - der kein UPnP und Portforwarding aktiv hat - zu infizieren ist schon eine gehobene Kunst.

Bis jetzt kenne ich nur Linux-Einbrecher, die eine Lücke in Systemen ausgenutzt haben die mehr oder weniger direkt vom Internet aus erreichbar waren.

Wenn, dann würde ich darauf tippen dass das Gateway zumindest temporär über's Internet zu erreichen war. Kann mir noch nicht vorstellen dass der Eindringling erstmal eine ungeschützte Windows-Kiste im lokalen Netz (wie auch immer) infiziert hat und dann weiter auf die nächstbeste, lückenhafte Linux-Kiste umzieht.

naja, auf der anderen seite wäre es nicht das erste mal das eine firmware bei auslieferung durch den hersteller bereits kompromitiert war.

Hi,

[QUOTE=tuxedo;354434Na dann bin ich mal gespannt wie ein Angreifer in das Netzwerk hinter dem Router kommt ohne dass Portforwarding und Co. eingerichtet ist...[/QUOTE]

Wäre es denkbar über das GIRA Portal das TKIP-Gateway direkt anzusprechen ?

Ich habe keines, kann das also nicht beantworten.

Es wäre aber denkbar, das sich das TKIP-Gateway beim GIRA-Portal selbst meldet, und diese Verbindung offen hält, dann wäre keine offene Fritzbox nötig.

Wenn dann jemand über das Portal sich dann auf das TKIP-Gateway anmeldet, könnte das ggf. gehen.

Den Angriffs Vektor sollte man jedenfalls auch mal prüfen.

Gruß Tbi

Hab auch keins. Ist mir zu teuer (siehe Signatur). Und Dinge die auch noch ein Portal dahinter haben kommen mir nicht ins Haus.

Portal ist da nicht.

Offensichtlich fällt das mit dem Einbau der Skype-Funktionalität zusammen!?

Täglicher Report-Call zur NSA

Aber spaß beiseite, hast du mal einen netzwerkmonitor laufen lassen ?

Netzwerkmonitor wäre mein nächster Schritt. Ist nur gar nicht so einfach, da es ja "irgendwann" passiert - da kommt eine Menge Log zusammen, dass dann durchsucht werden muss.

Evtl. wären noch die Gemeinsamkeiten interessant, welche die Betroffenen haben - ich eröffne mal:

Fritzbox 6360:
Fritz!OS 05.50
Kabel Deutschland
VOIP über Kabel Deutschland
Diverse Portfreigabe für HomeServer, NAS, Dreambox, ... KEINE Portfreigabe auf TKS-IP-Gateway - KEIN UPnP aktiv

TKS-IP-Gateway:
Software-Version: 03.00.15.00
Hardware-Version: 01.02-00.01-00.01
Umfang der Anlage: Ruftasten, IP-Kamera, TKS-Communicator, IP-Telefon, HomeServer. KEIN Skype
Statische IP, kennwortgeschützt, IP-Telefon mit Benutzername 100 und Kennwort

Ich kann sicher sagen, dass es mit der vorhergehenden Firmwareversion in der gleichen Umgebung das Problem nicht gab - neue Firmware aufgespielt und ein paar Tage später war sipvicious unser Freund. Ich "befürchte" auch fast, dass das TKS-IP-Gateway selbst die freundlichen Anrufe auslöst... Sipvicious ist ja eine "tool suite" - evtl. ist ja zu Debug Zwecken etwas in die Firmware gewandert... oder das TKS-IP-Gateway es ist doch ein gut getarnter NSA Client ;-)

Hatte vorhin Einblick auf eine weitere Anlage mit TKS IP Gateway und tatsächlich, dort kommt es zu gleicher Problematik... Das Gateway ist in fast gleicher Konstellation verbaut... Angefangen hat es beim zweiten Gateway laut Anrufliste Anfang September, dann immer wieder sporadisch alle paar Tage ein "sipvicious" Anruf

Um die Gemeinsamkeiten abzugleichen:

Fritzbox 7390:
Fritz!OS 05.50
Diverse Portfreigabe für HomeServer, NAS, ... von Anfang an KEINE Portfreigabe auf TKS-IP-Gateway - KEIN UPnP aktiv

TKS-IP-Gateway:
Software-Version: 03.00.15.00
Hardware-Version: 01.02-00.00-00.00
Umfang der Anlage: Video-Türstation, TKS-Communicator nur Macs, IP-Telefon, HomeServer. KEIN Skype
Feste IP, kennwortgeschützt, Benutzername 100 (auch schon geändert)

Hallo Leute,

wenn ich das so sehe, dann sind dort doch schon genug Einfallstore: Homeserver, NAS, ...

Am sicheresten ist eigentlich nur KEINE einzige Freigabe.

Früher hatte ich auch direkte Freigaben auf Systeme. Heute nur noch VPN. Aber selbst das könnte ggf. schon zu viel sein.

Geht mir ähnlich. Nur noch Zertifikat basiertes VPN über OpenVPN. Das ist ziemlich schwer bis unmöglich zu knacken (bei einem entsprechend starkem Zertifikat)... Sofern man das Zertifikat nicht verlegt/veröffentlicht.

Bei mir treten auch ca. alle 10 Tage Phantomanrufe von Sipvicous auf seit Version 03.00.15.00.
Nachts oder mittags meistens.

Fritz!Box 7390 (84.06.00 und 84.05.22)
Gira TKS IP Gateway (03.00.15.00)

Da scheint sich bisher noch nichts bei Gira zu tun?
Momentan sind die Gateways so fast unbrauchbar... Das ist so echt nicht zumutbar, irgendwann durch Zufall in der Nacht geweckt zu werden...
Auch das Password abändern, oder der Versuch den Internetzugriff des Gateways in der FritzBox zu verbieten, hilft nichts.

Hallo,

einfach in der Fritzbox nicht anlegen als SIP Telefon! Fertig ist der Lack.. Rufweiterleitung per Skype geht trotzdem..