Forum: PC Hard- und Software Paket mirroring


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Hallo.

Gibt es Hardware die sich noch vor dem Kabelmodem anschließen lässt und 
eine Art Port-Mirroring vornimmt? Also zum einen das Signal einfach 
durchlässt und zum anderen eine Kopie des Signals wie ein Modem in 
Datenpakete umwandelt und über einen Ethernetanschluss abrufbar macht 
(ähnlich einem Switch mit portmirroring).

Könnte so ein pseudo Modem ohne komplexe Software auskommen, was 
Sicherheitsupdates überflüssig macht?

: Bearbeitet durch User
von AntiMaker (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Das Kabelmodem braucht bidirektionale Kommunikation mit seiner 
Gegenstelle. Einfach ein zweites Modem Parallelschalten um Mitzulauschen 
wird nicht gehen.

Verrate doch einfach mal, was du schlussendlich machen willst, und nicht 
wie du dir einen Lösungsweg vorstellst.

Glaskugel, gefüttert mit Infos aus dem anderen Thread: Du willst im 
Kabelnetz Internet klauen, und verhindern dass du per 
Firmware-Killswitch rausgeschmissen wirst.

von Jan H. (j_hansen)


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Gibt es Hardware die sich noch vor dem Kabelmodem anschließen lässt und
> eine Art Port-Mirroring vornimmt?

Ja, schau dich mal in Hackerkreisen um.

Mudde B. schrieb:
> Also zum einen das Signal einfach durchlässt und zum anderen eine Kopie
> des Signals wie ein Modem in Datenpakete umwandelt und über einen
> Ethernetanschluss abrufbar macht (ähnlich einem Switch mit
> portmirroring).

DOCSIS ist meines Wissens nach verschlüsselt. So einfach Datenpakete 
klonen funktioniert daher nicht.

Mudde B. schrieb:
> Könnte so ein pseudo Modem ohne komplexe Software auskommen, was
> Sicherheitsupdates überflüssig macht?

Sicher. Aber das wäre ja kein "Modem", sondern nur noch ein "Dem". Außer 
um in der Firmware des Modems versteckte Schädlinge zu finden fällt mir 
keine Anwendung dafür ein.

: Bearbeitet durch User
von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Das pseudo Modem soll nur das Signal spigeln damit ich auch im Falle 
eines gehackten Routers und Rechner noch sehe was tatsächlich an Daten 
ausgetauscht wird. Dazu sollte das pseudo Modem unsichtbar oder 
unangreifbar für die anderen Geräte sein.

von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Jan H. schrieb im Beitrag #
>Außer
> um in der Firmware des Modems versteckte Schädlinge zu finden fällt mir
> keine Anwendung dafür ein.

Ja genau dafür will ich es.

von Felix U. (ubfx)


Bewertung
1 lesenswert
nicht lesenswert
Das kannst du dir abschminken. DOCSIS handelt beim Verbindungsaufbau 
einen Schlüssel aus, ohne den du nichts mit den Daten anfangen kannst. 
Das ist allein schon deshalb wichtig, weil ja die Signale aller Leute in 
deinem Haus bei dir am Modem ankommen. Da könnte also jeder deinen 
Traffic mitlesen, wenn das nicht ordentlich verschlüsselt wäre. Den 
Kabeltraffic kann man nur sinnvoll über eine gehackte Modem-firmware 
sniffen.

von Bla (Gast)


Bewertung
-5 lesenswert
nicht lesenswert
Mudde B. schrieb:
> damit ich auch im Falle eines gehackten Routers und Rechner noch sehe
> was tatsächlich an Daten ausgetauscht wird.

Tja deswegen sind die alles-in-eins Plastikrouter Murks! Ich hab mein 
Netz Modular gebaut, wenn sich irgendein Teil merkwürdig verhält fliegt 
es raus oder wird untersucht. Außerdem ist viel schwerer einen zentralen 
Punkt für einen Hack zu finden.

von Nick S. (c0re)


Bewertung
-1 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Jan H. schrieb im Beitrag #
>>Außer
>> um in der Firmware des Modems versteckte Schädlinge zu finden fällt mir
>> keine Anwendung dafür ein.
>
> Ja genau dafür will ich es.

Was passiert wenn man Viren 1:1 klont? Man hat 2 Viren...

von Jan H. (j_hansen)


Bewertung
2 lesenswert
nicht lesenswert
Bla schrieb:
> Ich hab mein Netz Modular gebaut, wenn sich irgendein Teil merkwürdig
> verhält fliegt es raus oder wird untersucht.

Toller Hecht! Und wie erkennst du in deinem modularen Netz, dass sich 
dein Kabelmodem verselbständigt hat?

von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Felix U. schrieb:
> Das kannst du dir abschminken. DOCSIS handelt beim Verbindungsaufbau
> einen Schlüssel aus, ohne den du nichts mit den Daten anfangen kannst.

Das ist natürlich eine Hürde. Und eine gesicherte Übertragung des 
Schlüssels auf ein zweites Gerät ist vermutlich schwerer zu realisieren 
als ein schreibgeschütztes Modem.

> Das ist allein schon deshalb wichtig, weil ja die Signale aller Leute in
> deinem Haus bei dir am Modem ankommen.

Ok. Ich hätte jetzt vermutet das funktioniert nach dem Switch prinzip 
und nicht wie bei einem Hub

> Da könnte also jeder deinen
> Traffic mitlesen, wenn das nicht ordentlich verschlüsselt wäre. Den
> Kabeltraffic kann man nur sinnvoll über eine gehackte Modem-firmware
> sniffen.

Wie meinst du das? 2 Modems die miteinander verknüpft sind und den 
gleichen  Schlüssel verwenden?

: Bearbeitet durch User
von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
>DOCSIS ist meines Wissens nach verschlüsselt. So einfach Datenpakete klonen 
funktioniert daher nicht.

Ausgehend vom Aufbau der wesentlichen Funktionsblöcke des Kabelmodems 
(wie auf Wikipedia zu sehen), lässt sich da so ein Signalspiegel zw. CPU 
und MAC Baustein setzen, der softwaretechnisch nicht manipulierbar ist?

: Bearbeitet durch User
von Paul (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> was Sicherheitsupdates überflüssig macht?

Sorry, aber warum beschäftigst Du Dich nicht erstmal mit der Technik, 
die in dem Modem steckt bevor Du versuchst grundlegende 
Sicherheitsfunktionen weg zu lassen?
Solange Du keine Ahnung hast, wie ein Docsis-Modem funktioniert, was 
willst Du erreichen, indem Du daran rumpfuscht? Allen Leuten in Deiner 
Straße daa Internet stören?
Und selbst wenn Deine Bastelei klappen sollte, was willst Du dann mit 
den Daten anfangen? Solange Du die Routerfirmware nicht kennst, kannst 
Du damit genau garnichts anfangen.

Such Dir doch ein Ferienprojekt, das auch irgend einen Sinn hat.

von Felix U. (ubfx)


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Ok. Ich hätte jetzt vermutet das funktioniert nach dem Switch prinzip
> und nicht wie bei einem Hub

Die Fernsehkabel waren ja nur für unidirektionalen Verkehr gedacht, da 
hätte es keinen Sinn gemacht, jedem Teilnehmer ein eigenes Kabel zu 
verlegen. Das Koax geht vom TV-Verteiler im Keller nach oben und wird 
für jede Wohnung ein mal angezapft. Teilweise hängen auch mehrere Häuser 
an einem Strang. Allein das macht die Modems auf der Koax-Seite extrem 
komplex.


> Wie meinst du das? 2 Modems die miteinander verknüpft sind und den
> gleichen  Schlüssel verwenden?

Da bräuchtest du halt auch eine Firmware, die dir den Schlüssel gibt und 
dann eine andere die sich mit einem gegebenen Schlüssel in die 
Verbindung einklinkt.
Am "einfachsten" ist ein Modem mit einer Firmware, die so gehackt ist, 
dass sie dir bestimmte, für dich interessante, Segmente über USB oder 
einen LAN Port ausspuckt. Das ganze Vorhaben wird dein Netzwerk aber 
ziemlich sicher nicht sicherer machen.

: Bearbeitet durch User
von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Felix U. schrieb:
> Am "einfachsten" ist ein Modem mit einer Firmware, die so gehackt ist,
> dass sie dir bestimmte, für dich interessante, Segmente über USB oder
> einen LAN Port ausspuckt. Das ganze Vorhaben wird dein Netzwerk aber
> ziemlich sicher nicht sicherer machen.

Das scheint mir nicht einfach und wenig sicher wie du selbst angemerkt 
hast. Dann doch lieber ein Modem mit hardwareseitigen Schreibschutz.

Wie komplex wäre die Realisierung von:

"Ausgehend vom Aufbau der wesentlichen Funktionsblöcke des Kabelmodems 
(wie auf Wikipedia zu sehen), lässt sich da so ein Signalspiegel zw. CPU 
und MAC Baustein setzen, der softwaretechnisch nicht manipulierbar ist?"

von AntiMaker (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Mach dein Modem/den Router auf, schau nach ob JTAG herausgeführt ist, 
und du damit (zumindest Lese-)Zugriff auf alle verbauten Flash-Speicher 
hast.

Wenn ja: Regelmäßig auslesen und vergleichen.
So findest du zwar keine NSA-Backdoor die bereits in der Fabrik 
aufgespielt wurde, aber kannst zumindest feststellen, ob/wann du ein 
Firmware-Update bekommen hast.

Mudde B. schrieb:
> zw. CPU und MAC Baustein setzen,

Mach dein Modem mal auf, und schau ob das nicht sowieso beides auf einem 
Chip sitzt. Macht es etwas kompliziert, da dazwischenzugehen.


Soviele verschiedene Chips sind da meistens nicht verbaut, und bei fast 
allen ist die Funktion leicht erkennbar. (Ethernet-Switch, Flash, RAM, 
USB-Hub, WLAN, Spannungswandler... + Ein dicker Unbekannter. ASIC, FPGA, 
dicker DSP, ...)

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Dann doch lieber ein Modem mit hardwareseitigen Schreibschutz.

Welches Problem glaubst Du damit lösen zu können? Hältst Du es für 
tatsächlich realistisch und wahrscheinlich, daß irgendwas oder irgendwer 
versucht, diese Firmware zu "hacken"?

von Mudde B. (mudde)


Bewertung
-1 lesenswert
nicht lesenswert
Ich will mein Modem unverändert lassen. Mir geht es darum ob man Geräte 
mit den gewünschten Funktionen mit vertretbarem Aufwand iwie 
besorgen/bauen kann.

von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Mudde B. schrieb:
>> Dann doch lieber ein Modem mit hardwareseitigen Schreibschutz.
>
> Welches Problem glaubst Du damit lösen zu können? Hältst Du es für
> tatsächlich realistisch und wahrscheinlich, daß irgendwas oder irgendwer
> versucht, diese Firmware zu "hacken"?

Ja.

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
2 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Mir geht es darum ob man Geräte mit den gewünschten Funktionen mit
> vertretbarem Aufwand iwie besorgen/bauen kann.

Die Frage wurde Dir bereits beantwortet: Nein, das ist nicht drin.

Du musst also Dein Schutzbegehren anders aufziehen - sorge dafür, daß 
aus Deinem lokalen Netz nicht jeder Hinz und Kunz auf das Modem 
zugreifen kann. Wenn das Modem tatsächlich ein Modem ist, und kein 
Router, sollte das mit entsprechender Konfiguration Deines 
dazwischengeschalteten Routers kein Thema sein.

Daß von außen über das Kabelnetz direkte Angriffe auf Dein Modem 
gefahren werden, kannst Du natürlich so nicht ausschließen, aber auf 
welche Art und Weise sollten die erfolgen?

von AntiMaker (Gast)


Bewertung
2 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Ich will mein Modem unverändert lassen.

Mudde B. schrieb:
> Dann doch lieber ein Modem mit hardwareseitigen Schreibschutz.

So, was jetzt? Schreibschutz oder unverändert?

Auch um festzustellen ob "gehackt" wurde, musst du das Gerät selber 
hacken.
Oder du kauft eins das von Fabrik aus eine große rote "Ich wurde 
gehackt" Warnleuchte hat, der du dann vertrauen musst.

Alternativ: Ich verkauf dir gerne einen "Häcking-Detector", der auf 
unveränderten&ungeöffneten Modems funktioniert. Ganz ohne Batterie. 
Einfach per Saugnapf am Modem befestigen, und wenn die pösen Häcker 
kommen, geht (meistens, 99.9% Zuverlässigkeit Garantiert) der Alarm los. 
Kompatibel mit allen Geräten von allen Herstellern in allen Kabel- und 
DSL-Netzen.

Für kurze Zeit nur 999,99€ bei AluHutShop.ru.

von Mudde B. (mudde)


Bewertung
-2 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Mudde B. schrieb:
>> Mir geht es darum ob man Geräte mit den gewünschten Funktionen mit
>> vertretbarem Aufwand iwie besorgen/bauen kann.
>
> Die Frage wurde Dir bereits beantwortet: Nein, das ist nicht drin.
>

Die Frage hat man mir nicht zur genüge beantwortet. Allerdings wurde die 
Diskussion um die Frage überwiegend unnötig ausgeweitet.


> Du musst also Dein Schutzbegehren anders aufziehen - sorge dafür, daß
> aus Deinem lokalen Netz nicht jeder Hinz und Kunz auf das Modem
> zugreifen kann. Wenn das Modem tatsächlich ein Modem ist, und kein
> Router, sollte das mit entsprechender Konfiguration Deines
> dazwischengeschalteten Routers kein Thema sein.
>
Ich will aber sehen welche Pakete bei einem komprometierten Modem rein 
und rausgehen. Und dieses Mitlesen soll entsprechend unsichtbar für die 
gehackten Geräte sein.


> Daß von außen über das Kabelnetz direkte Angriffe auf Dein Modem
> gefahren werden, kannst Du natürlich so nicht ausschließen, aber auf
> welche Art und Weise sollten die erfolgen?
Keine Ahnung- ist auch nicht meine Frage.

: Bearbeitet durch User
von Martin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Verwendet Docsis statische oder dynamische schlüssel?

Bei statisch müsste sich mit einem zweitmeisten ja der Download mitlesen 
lassen.
Schwierig wird es beim uplink. Da können die Modems sicherlich nur 
senden und nicht empfangen.

von Skyper (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Ich will aber sehen welche Pakete bei einem komprometierten Modem rein
> und rausgehen. Und dieses Mitlesen soll entsprechend unsichtbar für die
> gehackten Geräte sein.

Sehe das ganze doch mal aus einer anderen Richtung:

1. Ob das Modem gehackt ist und nicht, sollte erst einmal egal sein - 
hinter dem Modem liegt das ganze Inet - von wo jetzt der Angriff kommt, 
spielt ersteinmal keine Rolle. Denn die Daten die darüber gehen, sollte 
verschlüsselt sein - Ende zu Ende, vom PC bis zum Server.... ob ein 
Angreifer dich vom Netz oder Modem angreift sollte bei starker 
Verschlüsselung keine Rolle spielen...

2. Wenn Du umbedingt wissen willst, was das Modem so aus dem Netz in die 
weite welt überträgt, dann lausche Einfach an der Ethernetschnittstelle 
des Modems und härte deinen Router...

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
DOCSIS 3.0 verwendet Verschlüsselung. Die Schlüssel sind nicht permanent 
gespeichert, sondern werden auf Basis der MAC Adresse und Zertifikaten 
ausgehandelt. Die MAC-Adresse steht drauf, aber das Zertifikat nicht.

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Mudde B. schrieb:
> Ich will aber sehen welche Pakete bei einem komprometierten Modem rein
> und rausgehen.

Und das kannst Du nicht, weil der Kram verschlüsselt ist und Dir die 
Schlüssel nicht bekannt sind.

Aufstampfen und "ich will aber" hilft hier nicht.

von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Skyper schrieb:
> Mudde B. schrieb:
>> Ich will aber sehen welche Pakete bei einem komprometierten Modem rein
>> und rausgehen. Und dieses Mitlesen soll entsprechend unsichtbar für die
>> gehackten Geräte sein.
>
> Sehe das ganze doch mal aus einer anderen Richtung:
>
> 1. Ob das Modem gehackt ist und nicht, sollte erst einmal egal sein -
> hinter dem Modem liegt das ganze Inet - von wo jetzt der Angriff kommt,
> spielt ersteinmal keine Rolle. Denn die Daten die darüber gehen, sollte
> verschlüsselt sein - Ende zu Ende, vom PC bis zum Server.... ob ein
> Angreifer dich vom Netz oder Modem angreift sollte bei starker
> Verschlüsselung keine Rolle spielen...
>

Das glaube ich nicht, denn falls eine Maschine hardwarenah infiziert ist 
wie bspw. mit LightEater können Schlüssel ausgelesen werden und Daten 
noch vorm Verschlüsseln abgefangen werden. 
[[Hier=https://www.kuketz-blog.de/sicheres-desktop-system-linux-haerten-teil1/]] 
wird bspw. auch angerissen, dass Härten einer Ebene keinen Sinn macht 
wenn die Ebene darunter komprometiert ist. Klingt auch völlig logisch.


> 2. Wenn Du umbedingt wissen willst, was das Modem so aus dem Netz in die
> weite welt überträgt, dann lausche Einfach an der Ethernetschnittstelle
> des Modems und härte deinen Router...

Am komprometierten Host lauschen ob dieser infiziert ist, ist doch nur 
möglich wenn ich sicher sein kann das die Malware sich nicht verstecken 
kann. Sonst könnte man doch bspw. RootKits am Hostsystem einfach mittels 
Netzwerk-Analyser am Host ausfindig machen oder nicht.

von AntiMaker (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. F. schrieb:
> Und das kannst Du nicht, weil der Kram verschlüsselt ist und Dir die
> Schlüssel nicht bekannt sind.

Aber: DOCSIS nutzt m.W. noch DES56, wenn kein AES geht.

Mit einem kleinen Schrank voller FPGAs (Bitcoin-Miner werden nur darüber 
lachen) kriegst du das entschlüsselt.

http://www.copacobana.org/

Brauchst halt ein wenig Geduld, Echtzeit ist das nicht.

Aber, Bonus: Du kannst dann auch sehen, was die Nachbarn so im Internet 
treiben.

von Felix U. (ubfx)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Die MAC-Adresse steht drauf, aber das Zertifikat nicht.

Ein Zertifikat ist per Definition öffentlich. Die Sicherheit eines 
Schlüsselaustausches hat damit gar nichts zu tun.

AntiMaker schrieb:
> Aber: DOCSIS nutzt m.W. noch DES56, wenn kein AES geht.

Das stimmt, allerdings wechselt der Schlüssel auch alle paar Sekunden, 
sodass man doch einige COPACOBANAs bräuchte :D

Mudde B. schrieb:
> Am komprometierten Host lauschen ob dieser infiziert ist, ist doch nur
> möglich wenn ich sicher sein kann das die Malware sich nicht verstecken
> kann.

Jemand der remote dein Kabelmodem infizieren kann wird sich auch nicht 
durch irgendwelche Hobbyisten-Sicherheitsvorkehrungen stoppen lassen.

von Mudde B. (mudde)


Bewertung
0 lesenswert
nicht lesenswert
Felix U. schrieb:
> Jemand der remote dein Kabelmodem infizieren kann wird sich auch nicht
> durch irgendwelche Hobbyisten-Sicherheitsvorkehrungen stoppen lassen.

Ob Remote oder direkt durch bspw. austauschen der Geräte ist 
unerheblich. Ich will die Datenpakete beobachten, welche ein 
komprimitiertes System verschickt- sollte doch möglich sein, sofern ich 
den Datenaustausch nicht am infizierten Host sondern an einem für das 
komprimitierten System unsichtbaren Stelle mache? Und das System könnte 
in meinem Fall eben der Router und Rechner sein. Im Prinzip will ich 
wissen welche Geräte ich brauche um den Datenverkehr einer solchen 
Heimaufstellung, wie kompromitierter Router+Rechner beobachten zukönnen.

: Bearbeitet durch User
von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Dir wurde schon mehrfach erklärt, warum Du die von Deinem Kabelmodem 
versendeten Daten nicht analsysieren kannst.

Wenn es Dir gelingt, Dich von der Hypothese des angegriffenen 
Kabelmodems zu trennen, und das Kabelmodem wirklich nur ein Modem ist 
(ein Ende: Kabel/Docsis, das andere Ende: Ethernet/PPOE), dann kannst Du 
selbstverständlich den Datenverkehr Deines Routers mit dem Modem 
analsysieren. Das da verwendete Protokoll (PPOE) ist dokumentiert, es 
wird normales Ethernet verwendet, das ganze kann durch Ethernet-Switches 
oder -Hubs geleitet werden, und mit einem "manageable Switch" ist auch 
ein Ausleiten einer Kopie der Daten an einen mithörenden Rechner 
möglich; als Analsysewerkzeug genügt Wireshark.

Und es ist auch erheblich wahrscheinlicher, daß Dein Router 
kompromittiert wird, denn der hat eine Administrationsoberfläche, für 
den gibt es (hoffentlich) gelegentliche Firmwareupdates, und der bietet 
je nach Hersteller auch die eine oder andere Komfortfunktion - je mehr 
von all dem vorhanden ist, desto größer ist die potentielle Zahl der 
Angriffsvektoren, und desto eher könnte da tatsächlich eine 
Kompromittierung stattfinden; weiß ja nicht, was für merkwürdige 
Webseiten Du Dir so ansiehst, die so etwas als "Nutzlast" neben ihren 
eigentlichen Inhalten transportieren.

Wenn Du aber ein Gerät "Modem" nennst, das eine Kombination aus Router 
und Modem ist, dann kannst Du eben nicht mithören, was das Ding zu 
erzählen hat, es sei denn, Du manipulierst es mit Software- oder 
Hardwareeingriffen. Beides hattest Du selbst aber ausgeschlossen.

von Andreas S. (Firma: Schweigstill IT) (schweigstill) Benutzerseite


Bewertung
3 lesenswert
nicht lesenswert
Abgesehen von der vielen deutlichen Hinweisen, dass es es etwas hakelig 
sein dürfte, die auf der BK-Kabelverbindung verschlüsselt übertragenen 
Pakete zu entschlüsseln und damit deren Inhalte zu verstehen, werden bei 
DOCSIS unterschiedliche Frequenzbereiche und sogar unterschiedliche 
Modulationsarten für den Upstream und Downstream verwendet, d.h. ein 
Endgerät kann gar nicht die Pakete "sehen", die ein anderen Endgerät 
verschickt, sondern nur die Pakete, die von der Kabelkopfstelle kommen.

Zum Mitschneiden der Daten (in beiden Richtungen) auf der 
Bitübertragungsebene einschließlich der CRC-Prüfung empfehle ich daher 
den äußerst preisgünstigen Rohde&Schwarz FSW mit der passenden 
Analysatorsoftware. Beides gibt es für kleines Geld direkt von 
Rohde&Schwarz.

https://www.rohde-schwarz.com/de/applikationen/docsis-3.1-tests-auf-bituebertragungsebene-fuer-kabelmodems-und-kabelkopfstellen-vereinfachen-application-card_56279-220864.html

Die Geräte bzw. die zugehörige Software lassen sicherlich auch ein 
Mitschneiden der Bitfolgen und vermutlich dekodierten Datenpakete zu, so 
dass Du die Entschlüsselung mit einem kleinen Dreizeiler direkt 
programmieren kannst. Ob die Rechenleistung des im FSW integrierten PCs 
ausreicht, um die Pakete in erträglicher Zeit zu entschlüsseln, müsste 
man noch prüfen. Ansonsten tut es ein kleiner FPGA-basierter 
Rechencluster im Hintergrund; Bei Amazon EC2 kann man sich in Windeseile 
so etwas zusammenkonfigurieren, ohne gleich selbst ein teures 
FPGA-Entwicklungsboard kaufen zu müssen. Insbesondere kann man bei 
Amazon so etwas auch minuten- oder stundenweise mieten:

https://aws.amazon.com/de/ec2/instance-types/f1/

Falls die Erstellung der Entschlüsselungsalgorithmen in VHDL oder 
Verilog zu lästig sein sollte, kannst Du das sicherlich unbürokratisch 
und kostengünstig bei Anbietern wie NSA oder BND einkaufen. Leider haben 
diese Anbieter keinen so schönen Onlineshop wie Amazon, aber dafür einen 
sehr aufmerksamen Kundensupport und Außendienstmitarbeiter, die gerne 
bei Dir vorbeischauen, um Dich ausführlich zu beraten.

Also lass den Kopf nicht hängen, sondern lass Dich nicht entmutigen und 
lege einfach mit den o.a. Hilfsmitteln los! Das kostet zwar ein bisschen 
Einarbeitung und Taschengeld, lohnt sich aber auf jeden Fall angesichts 
des Schadens, den Du durch ein gehacktes Kabelmodem erleiden könntest!

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
AntiMaker schrieb:
> Aber: DOCSIS nutzt m.W. noch DES56, wenn kein AES geht.

Das nützt aber nichts, wenn das bestehende Modem AES kann und der 
Schnüffler nur mithorcht.

von (prx) A. K. (prx)


Bewertung
-1 lesenswert
nicht lesenswert
Felix U. schrieb:
>> Die MAC-Adresse steht drauf, aber das Zertifikat nicht.
>
> Ein Zertifikat ist per Definition öffentlich.

Das P in PKI steht zwar für "public", das heisst aber nicht, dass es 
jeder kennt.

: Bearbeitet durch User
von Felix U. (ubfx)


Bewertung
-1 lesenswert
nicht lesenswert
A. K. schrieb:
A. K. schrieb:
A. K. schrieb:

Jetzt weiß ich definitiv, wie du auf 43k Beiträge kommst. Das Thema 
seicht streifende Dreizeiler und Doppelposts :)

von Dr. Google (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Bei mir wurde ein BIOS Rootkit im Kabelmodem installiert. Man kriegt es 
nur via JTAG weg, oder Flash direkt mit einer handelsüblichen Klammer 
beschreiben. Das Rootkit infiziert dann die angeschlossenen Rechner 
(versucht es mindestens), z.B. über ARP den Verkehr umleiten und 
derartiges.

Die Antwortzeiten und Datenrate gibt Aufschluss.

Bei mir ist nix zu holen. Hacker sind Deppen.

Beitrag #5085603 wurde vom Autor gelöscht.
von Marc H. (marchorby)


Bewertung
0 lesenswert
nicht lesenswert
Also Leute jetzt mal ernsthaft!

Da hat ein User eine "Angst" das sein DSL-Modem manipuliert sein könnte 
und ihr verarscht ihn einfach als würde so etwas nicht möglich sein! 
Offenbar kennt keiner die Nachricht über den fehlgeschlagenen 
Infektionsversuch bei dem zigtausende Internetanschlüsse lahm gelegt 
wurden!

Mudde B. schrieb:
> Kabelmodem anschließen lässt und
> eine Art Port-Mirroring vornimmt

Dazu wurde oben schon genügend geschrieben. Siehe Schlüsselaustausch.

AntiMaker schrieb:
> Verrate doch einfach mal, was du schlussendlich machen willst, und nicht
> wie du dir einen Lösungsweg vorstellst.

Ich vermute er traut seinem Anbieter nicht! Zurecht wie ich finde!
Hintergrund: ich bin 1u1-Kunde und bei einer Störung hat sich der 
Kundendienst auf das Modem aufgeschaltet. Dabei sagte er mir das er nur 
eine lahme Geschwindigkeit misst, aber ansonsten habe ich 
DSL-Verbindung! Er kann meine Geräte im Netzwerk sehen, wie den Drucker 
und den Laptop...

Wenn das der Anbieter kann, können das auch Hacker welche Lücken des 
Anbieters ausnutzt. GGf. infiziert der Angreifer das System des 
Anbieters und kommt so über die Leitung ins Haus.

Was helfen kann wäre eine reine Hardwarefirewall nach dem Router 
(FritzBox) anzubringen und erst ab dort WLAN und LAN mit den Geräten zu 
verbinden!

Dr. Google schrieb:
> Bei mir ist nix zu holen.

Doch! Deine Privatsphäre! Und somit auch Zugangsdaten siehe 
"Social-Engeneering".

Dr. Google schrieb:
> Hacker sind Deppen.

Wenn sie bei dir im Netz sind ist es eher umgekehrt!

Falls ihr ne FritzBox habt, schaut doch mal unter Diagnose -> Sicherheit 
welche Ports nach außen immer offen sind obwohl keine Portfreigaben 
eingerichtet wurden! Vor allem den "Anbieter-Dienste (TR069)".

von Εrnst B. (ernst)


Bewertung
0 lesenswert
nicht lesenswert
Marc H. schrieb:
> Da hat ein User eine "Angst" das sein DSL-Modem manipuliert sein könnte
> und ihr verarscht ihn einfach als würde so etwas nicht möglich sein!

Auch dafür wurde ihm eine billige, einfache und sichere Lösung 
angeboten.
(Modem nur als Modem, eigener Router).


Dann kann sein Internetanbieter das Modem hacken wie er lustig ist, 
weiter kommt er nicht.
Ja, er könnte dann im gecrackten Modem Daten mitlesen. Aber warum? Um 
das Modem zu hacken muss er schon tief in der Infrastruktur des 
Providers hängen. Und da kommt er viel viel leichter an den 
User-Traffic.

Beitrag #5086041 wurde vom Autor gelöscht.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.