EasyBox-Besitzer? Ändert die Passwörter

16. März 2012 Kategorie: Backup & Security, Hardware, Internet, geschrieben von: caschy

Aloha zusammen. Heute mal wieder ein bisschen etwas aus der Welt der Sicherheit. Ihr habt eine EasyBox oder kennt jemanden, der diese nutzt? Dann schaut doch bitte mal vorbei oder ruft denjenigen an. Das Ding ist unsicher. Ich mach das mal kurz ohne Schnick Schnack. Die Kisten werden mit voreingestellten Passwort ausgeliefert. Eigentlich nicht schlimm. Schlimm: das Passwort (WPA) wird aus der MAC-Adresse generiert.

Was heisst das? Sofern die EasyBox in der Standardkonfiguration rennt, dann kann der geneigte Bösewicht zum Beispiel per Softwaretool (inSSIDer) die MAC-Adresse auslesen und sich per Online-Generator sogar ein Passwort besorgen – und schon ist man drin im WLAN des Nachbarn oder so. Lösung? Nach Firmware-Update suchen und schon einmal den voreingestellten WPA-Schlüssel ändern. Schönes Wochenende! (via)

Neueste Beiträge im Blog

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: caschy

Hallo, ich bin Carsten! Dortmunder im Norden, Freund gepflegter Technik, BVB-Maniac und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin und YouTube.

Carsten hat bereits 16505 Artikel geschrieben.


31 Kommentare

Kampfschmuser 16. März 2012 um 14:18 Uhr

Wer billig kauft, bekommt einen billigen Progger, der so einen Mist zusammen proggt. Der Progger muss blind, taub und völlig von Sinnen gewesen sein.

Seppel 16. März 2012 um 14:20 Uhr

Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer ;)

Florian 16. März 2012 um 14:21 Uhr

@Kampfschmuser: Aber immerhin hatte der Hersteller einen gesunden Geschäftssinn. http://www.wotan.cc/?p=6
Die Lücke wurde hauptsächlich entdeckt, weil auf die Berechnung des Schlüssels aus der MAC-Adresse ein Patent angemeldet wurde.

Arne 16. März 2012 um 14:23 Uhr

Naja was heißt billig kauft, gibt es ja zum Anschluss im Zweifelsfall dazu. Persönlich finde ich die EasyBox nicht verkehrt.

cokkii 16. März 2012 um 14:27 Uhr

Zum glueck bin ich ein fritzboxler. wer hat die dinger damals verkauft, arcor/vodafone, oder nicht?

Leif 16. März 2012 um 14:28 Uhr

Im Grunde ist die Easybox gar nicht so schlecht, aber derartige Fehler sollten natürlich nicht passieren. Erinnert ein wenig an die Baumarkt Tresore wo man anhand der ersten Nummer auch die restlichen generieren kann ^^

Tom 16. März 2012 um 14:28 Uhr

Es sollte eigentlich selbstverständlich sein, dass Loginpasswort, SSID und Wlan-Schlüssel bei der Ersteinrichtung geändert werden!
Ich verstehe auch nicht, warum die Hersteller das nicht erzwingen.
Technisch wäre das kein Problem und selbst für den Laien machbar.
Man bräuchte nämlich nur eine “Vorschaltseite” die – egal welche Adresse man zuerst im Browser aufruft – bei der (Erst)Inbetriebnahme angezeigt wird. Erst wenn diese Daten neu eingegeben wurden, wird man mit dem Internet “verbunden”.

Tom 16. März 2012 um 14:30 Uhr

Danke, hab’s gleich mal weitergemeldet.
Schönes Wochenende!
Tom

janbpunkt 16. März 2012 um 14:31 Uhr

Betrifft leider nicht nur die EasyBox. Es gibt noch viele andere Hersteller, wo sich sogar ohne MAC des Gerätes der Key berechnen lässt. Thomson hat da einige im Angebot. Bei der Fritze war es auch schon mehrfach im Gespräch.
Solange die Kiste verschlüsselt ist, ist man afaik eh “fein raus” in puncto Störhaftung etc…

Kampfschmuser 16. März 2012 um 14:31 Uhr

@Florian
Dann ist also nicht nur der Progger naiv, sondern auch die Rechtsabteilung bzw. das Management vom Unternehmen. ;)

@Arne
Genau da (in der Gier) liegt das Problem. Die Leute lassen sich billig mit “geschenkten” Zugaben fangen und zu Verträgen mit höheren Monatsbeiträgen hinreißen. Die Erkenntnis, dass die “geschenkten” Zugaben ja trotzdem nicht der liebe Gott bezahlt (sondern indirekt man selber) und am Ende die Hardware oft die billigste Schiene sind, kommt meist nie, im besten Fall, wenn es schon zu spät ist. Auf die Idee sich einen fairen Vertrag ohne faule Nüsse zu holen und sich ordentliche Hardware je nach Nutzen zu kaufen, damit am Ende sogar billiger und besser zu fahren, kommt kaum jemanden.

markusko 16. März 2012 um 14:32 Uhr

Oh ja, funktioniert gut. Selbst die SSID konnte er mir sagen ;)

Arne 16. März 2012 um 14:39 Uhr

@Kampfschmuser

Gibt es bei Vodafone überhaupt einen DSL Vertrag wo sie dir keine Easybox mitgeben? Bei Handys – Notebooks und co. verstehe ich die Argumentation aber vollkommen.

Nur ob ne Fritzbox nun um Welten besser ist als eine Easybox? Habe beides im Einsatz. Beide lasse mich ins Internet, beide lassen mich telefonieren, beide lassen mich meine Festplatte anschließen :-)

Frank 16. März 2012 um 15:35 Uhr

Nee gibt’s bei Vodafone nicht ohne. Ist der Router, Splitter, NTBA und s0-Bus in einem. Funktioniert auch Superprächtig. Mit meiner FritzBox geht’s nicht, weil eben der DSL-Anschluss über die EasyBox läuft. Und ändern schadet ja auch nichts ;-)

Kampfschmuser 16. März 2012 um 15:50 Uhr

@Arne
Im Falle von Vodafone ist man mit einer Zwangshardware da natürlich auf der Verliererseite. Ich würde es als Ausschlusskriterium für den Anbieter nehmen.

Zur Hardware: Gefühlt scheint so alles bei dir gleich zu sein. Aber wenn der Progger und das Management solche faulen Eier legen, welche für dich und mich unsichtbaren Scheunentore sind noch serienmäßig eingebaut? ;)
Klar, es gibt keine 100% Lösung und keine 100% Sicherheit. Aber 99,9% und die wiederum findet man, wie man an dem Beispiel hier ja sieht, nicht beim Laden, der solche offensichtlichen Fehler schon einbaut.

mightymike1978 16. März 2012 um 15:50 Uhr

@janbpunkt:

>Bei der Fritze war es auch schon mehrfach im Gespräch.

Ja, aber ist es seit 2004 nicht mehr. Die c’t hatte das m.E. aufgedeckt und AVM sofort reagiert:

http://www.avm.de/de/News/artikel/2010/wlan_urteil.html

Nix desto trotz habe ich mir mittels Passwortgenerator des Keepass Password Safe ein Kennwort erstellt, da müssen (vermutlich) erst mal ein paar Quantencomputer ran… ;-)

LG

Michael

Der_Ventilator 16. März 2012 um 16:00 Uhr

Gibt es eine “Standard”-SSID der Easybox, woran man sie gleich erkennt? Die FritzboxSSID ist ja immer Fritz!Box Fon WLAN 012345 oder so ähnlich.

Der_Ventilator 16. März 2012 um 16:07 Uhr

bzw. was ist der Vendor, den ich in inSSID suchen muss?

SvenS 16. März 2012 um 16:13 Uhr

@Seppel:
“Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer ;)”

Hehe, der war gut, dieses ewige SALT (und PEPPER ) und schon ist’s sicher kann ich auch nicht mehr hoeren.

TDK 16. März 2012 um 16:34 Uhr

Tja die Seite ist wohl down, kann mir jemand die zip schicken?

Seppel 16. März 2012 um 18:16 Uhr

@SvenS:
Bei Md5 funktioniert es ziemlich gut, wenn man es schon so macht, dann lieber so… Wenn man natürlich auf den Alg. ein Patent anmeldet, dann will man ja das es geknackt wird.

reraiseace 16. März 2012 um 18:24 Uhr

Das ist alt bekannt ^^ Nix neues.
Jeder sollte seinen Router beim Neukauf komplett umstellen und alle Daten neu eingeben. Also andere SSID, Passwörter, IP-Adressen, einfach alles ändern.

Basti 16. März 2012 um 18:50 Uhr

Hoffentlich ist nicht wirklich WPA, sondern WPA2 gemeint. Falls nicht waere allein das schon die Eintrittkarte fuer jeden Interessenten.

Eigentlich ne Frechheit, dass Router mit vorkonfiguriertem WPA oder gar WEP als “Verschluesselung” an den ggf. ahnungslosen Kunden ausgeliefert wird.

herrm 16. März 2012 um 19:31 Uhr

Hm, hier aus der Nachbarschaft ist auch eine anfällig. Leider keine Ahnung welchem armen Tropf das Ding gehört. Ich glaub ich häng mal einen Zettel an die Straßenlaterne und prüfs dann in 2 Wochen nochmal ob er/sie/es den Key geändert haben.

Jan / DTDSR 16. März 2012 um 19:37 Uhr

Klappte… Echt mal wieder eine nette Sicherheitslücke.

Am Mac kann man die MAC-Adresse auch wunderbar per »KisMAC« (Google it) herausbekommen.

André 16. März 2012 um 20:07 Uhr

Hat tatsächlich geklappt. Hier ist ein WLAN mit Easybox-* in der Nähe, WPA2 verschlüsselt.
Im inSSIDer sinds wohl die Hersteller “Arcadyan Technology C.” …

Eugen 16. März 2012 um 22:20 Uhr

Das ist hart… klappt wirklich!
Wenigstens muss man dann noch den Router-Login kennen, der wird aber wohl wie schon SSID und WPA2-Key wie bei der Standardauslieferung sein. Dann könnte man ja im Menü unter Sprache die Telefonnummer anrufen und das dem Betroffenen sagen, will ich aber nicht probieren, wer weiß wie derjenige reagiert oO

In ungesicherte Netze einloggen ist eine Sache, in gesicherte ist schon eine STRAFTAT!

@André: Nein, auch Speedport ist von Arcadyan…

wat 16. März 2012 um 23:10 Uhr

Basti, in den Router selbst kommt man mit “root” und “123456″.
Da kannst du dann die Telefonnummer anrufen.

Julian Grimm 17. März 2012 um 00:28 Uhr

Danke!

chris 17. März 2012 um 09:15 Uhr

Jau, funktioniert wirklich bei Arcor und Easyboxen. Die SSID heißt aber bei Arcor entsprechend Arcor-xxx. Die Speedports sind nicht anfällig.

wafwsaf 5. August 2012 um 12:22 Uhr

Dass StandardPWs unsicher sind sollte wohl jedem klar sein. Dumm sind die Menschen, die solche PWs nicht ändern und besonders den Routerzugang auch noch mit root 123456 etc. offen lassen. Am besten noch WPS-PIN an, damit man es garantiert hacken kann.

Der Hersteller ruft dazu auf das StandardPW zu ändern, aber solange so viele Idioten StandardPWs und WPS nutzen wird es genug unfreiwillige WLAN Hotspots geben.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.