Das FBI sagt ja, aber sollten Sie diesem Rat folgen? Und wenn Sie ihn befolgen, wissen Sie, wie Sie es sicher tun?
Rebooten Sie Ihren Router! Das ist der Ratschlag, der am 25. Mai 2018 von einer der bekanntesten Strafverfolgungsbehörden der Welt ausgegeben wurde: dem US Federal Bureau of Investigation (FBI). Aber sollten Sie diesen Rat befolgen? Und wenn Sie ihn befolgen, wissen Sie dann, wie Sie dies sicher tun können? Dieser Artikel liefert einige Antworten, sowohl lange als auch kurze.
Hier sind acht kurze Antworten, für diejenigen, die bereits wissen, was ein Router ist, was ein Router-Neustart bedeutet und Erfahrung mit der Durchführung eines Router-Resets haben. Wenn Sie Ihr Wissen darüber auffrischen möchten, was Router tun und wie sie in Ihr Netzwerk passen, scrollen Sie nach unten zu: Was ist ein Router?
- Was geht hier vor? Bis zu 500.000 Router in mehr als 50 Ländern wurden von einer Malware namens VPNFilter kompromittiert.
- Was soll ich tun? Ein Neustart des Routers – ausschalten, 30 Sekunden warten, wieder einschalten – hilft, diese spezielle Malware zu bekämpfen.
- Wer ist betroffen? Diese Bedrohung betrifft hauptsächlich Router für kleine Büros und Heimbüros (SOHO). Eine Liste der Modelle, von denen bekannt ist, dass sie betroffen sind, finden Sie am Ende des Artikels.
- Was ist, wenn mein Router nicht auf der Liste steht? Er kann immer noch durch VPNFilter gefährdet sein, daher lautet der aktuelle Ratschlag, dass alle SOHO-Router neu gestartet werden sollten.
- Ist ein Neustart dasselbe wie ein Reset? NEIN! Ein Reset löscht die Konfigurationsdaten und setzt den Router auf die Werkseinstellungen zurück. Setzen Sie Ihren Router nicht zurück, es sei denn, Sie wissen, wie Sie ihn konfigurieren und haben eine Aufzeichnung der Konfigurationsinformationen, z. B. Admin-Passwort, SSID usw. (siehe den Rest des Artikels für weitere Details).
- Was ist, wenn mein Router von meinem ISP geliefert wird? Wenden Sie sich an diesen, wenn Sie nicht bereits gewarnt wurden und Anweisungen erhalten haben.
- Welche anderen Schutzmaßnahmen kann ich ergreifen? Ziehen Sie in Betracht, Ihren Router auf die neueste Firmware zu aktualisieren, das Standardpasswort zu ändern und die Fernverwaltung zu deaktivieren. Am Ende des Artikels finden Sie eine Tabelle mit Links zu Anleitungen für diese Maßnahmen bei bekannten gefährdeten Routern sowie Links zum Zurücksetzen auf die Werkseinstellungen.
- Erkennt ESET diese Malware? Ja, sie wird als Linux/VPNFilter erkannt. ESET empfiehlt jedoch, den Router neu zu starten – lesen Sie weiter, um weitere Details zu erfahren.
Was ist ein Router?
Auch wenn Technikfreaks bei dem Gedanken, dass es immer noch Menschen auf der Welt gibt, die nicht wissen, was ein Router ist, aufschrecken, werde ich trotzdem eine kurze Beschreibung geben. Ich kenne viele kluge und gebildete Menschen, die seit vielen Jahren das Internet in ihrem Haus oder in ihrem kleinen Unternehmen über einen Router nutzen, ohne jemals zu wissen, was ein Router ist oder wie er funktioniert. Einige dieser Leute sind nun schockiert, wenn sie erfahren, dass ihr Router nicht nur ein Computer ist, sondern auch ein Computer, der von Kriminellen auf vielfältige Weise ausgenutzt werden kann.
Der Begriff Router kommt daher, dass diese Geräte den Datenverkehr zwischen Netzwerken leiten: Sie leiten buchstäblich Daten von einem digitalen Gerät zum anderen. Wenn Sie beispielsweise Ihren Laptop zu Hause benutzen, um Ihre E-Mails zu lesen, gelangen die Nachrichten in der Regel über Geräte, die mit Ihrem Internetdienst geliefert wurden oder die Sie bei der Einrichtung des Internetdienstes erworben haben, auf Ihren Laptop.
Es gibt zwar viele mögliche Gerätekonfigurationen, aber die meisten umfassen die folgenden Funktionen: Modem, Router, Wi-Fi-(Wireless-)Zugangspunkt. Wie in diesem Diagramm gezeigt, können diese Funktionen von separaten Geräten ausgeführt werden, oder sie können in einer einzigen Box kombiniert werden:
Das Modem nimmt das Signal von Ihrem ISP (Internet Service Provider) und wandelt es in Standard-Netzwerkverkehr (Ethernet) um. Wenn Ihre eingehende E-Mail den Router erreicht, entscheidet er, wohin sie geleitet wird. In den „alten Tagen“ vor Wi-Fi gab es ein Ethernet-Kabel, das von Ihrem Router (oder Modem/Router) zu Ihrem Laptop führte. Heute verwenden viele Haushalte und kleine Büros drahtlose Verbindungen. In diesem Fall wird der Datenverkehr, wie z. B. die E-Mail, die auf Ihrem Laptop, Ihrem Tablet oder Ihrem Smartphone ankommt, über den drahtlosen Zugangspunkt geleitet.
(Die meisten der heutigen Internetverbindungsgeräte zu Hause und in kleinen Büros unterstützen sowohl drahtlose als auch kabelgebundene Verbindungen, daher gibt es möglicherweise ein Kabel von Ihrem Router zu Ihrem Drucker oder einem Network Attached Storage (NAS); viele Smart-TVs verwenden eine kabelgebundene, geroutete Verbindung, um Videos aus dem Internet zu streamen.)
Es ist klar, dass Ihr Router eine Menge Arbeit macht – er wickelt den Datenverkehr ab, der von E-Mail über Websurfen, Drucken, Musik- und Videostreaming bis hin zu Online-Spielen reicht. Über einen Router werden auch die meisten IoT-Geräte (Internet of Things) mit dem Internet verbunden, z. B. intelligente Thermostate, Alarmsysteme und Sicherheitskameras.
Um all diese Arbeit zu erledigen, ist Rechenleistung erforderlich. Aus diesem Grund haben sich Router zu spezialisierten Computersystemen entwickelt, was uns zu dem Rat des FBI bringt, Router neu zu starten.
Was sagt das FBI über Router?
Am 25. Mai veröffentlichte das FBI eine Erklärung mit dieser Überschrift: „Ausländische Cyber-Akteure zielen auf Heim- und Büro-Router und vernetzte Geräte weltweit“. Dies war eine Reaktion auf die Entdeckung, dass „Cyber-Akteure“ bösartigen Code (Malware) verwendet hatten, um eine ganze Reihe von Routern und anderen Geräten, wie NAS-Geräte, zu kompromittieren.
In diesem Zusammenhang bedeutet der Begriff „Kompromittierung“, dass diese „Cyber-Akteure“ ihren Code auf den Geräten von Menschen ohne deren Zustimmung ausgeführt haben. Diese Malware, die in der Lage ist, Informationen zu sammeln, die durch das Gerät fließen, aber auch das Gerät funktionsunfähig machen kann, wurde von den Forschern der Talos Threat Intelligence Group bei Cisco als VPNFilter bezeichnet (ihr erster Bericht über VPNFilter enthält viele technische Details).
Glücklicherweise kann der Teil von VPNFilter, der zum Ausspionieren des Router-Verkehrs verwendet werden könnte, und/oder das Gerät deaktivieren, mit dem klassischen IT-Schritt entfernt werden: aus- und wieder einschalten. Deshalb hat das FBI diese Empfehlung herausgegeben:
„Das FBI empfiehlt allen Besitzern von Routern für kleine Büros und Heimbüros, die Geräte neu zu starten.“
Wie Sie vielleicht wissen, ist Booten der technische Begriff für das Einschalten eines Computergeräts, wodurch grundlegender Code aktiviert wird, der auf Chips im Gerät gespeichert ist. Der allererste Code, der ausgeführt wird, ist derjenige, der in der so genannten „Firmware“ gespeichert ist, was bedeutet, dass er als Teil der Hardware betrachtet wird. Denken Sie daran, dass der Code in der Firmware schwer zu ändern ist (in einigen Fällen ist es praktisch unmöglich).
Der nächste Code, der im Boot-Prozess läuft, ist der, der in einem so genannten nicht-flüchtigen Speicher gespeichert ist, eine Art von Speicher, der die Daten auch dann behält, wenn das Gerät ausgeschaltet ist. Das ist ein Unterschied zum flüchtigen Speicher, dem normalen Speicher, der gelöscht wird, wenn Sie Ihren Computer ausschalten (oder einen Stromausfall erleiden).
Erinnern Sie sich, Ihr Router ist ein Computer, mit Firmware und Speicher, sowohl flüchtig als auch nicht-flüchtig. Wenn ein Router durch VPNFilter-Malware kompromittiert wird, werden Teile des bösartigen Codes in den flüchtigen Speicher geladen. Durch einen Neustart oder ein Ausschalten des Routers wird dieser gelöscht, und genau das möchte das FBI, dass Sie das tun.
Für manche Leute ist es am einfachsten, den Router neu zu starten, indem sie das Netzteil ausstecken, 30 Sekunden warten und es dann wieder einstecken. Alternativ kann sich auf der Rückseite des Routers ein Ein-/Ausschalter befinden, mit dem Sie ihn ausschalten, 30 Sekunden warten und dann wieder einschalten können. Das sollten Sie jedoch nur dann tun, wenn Sie sicher sind, dass der Schalter, den Sie benutzen, auch der Ein/Aus-Schalter ist.
Reboot vs. Reset
Wie können Sie den Ein/Aus-Schalter verwechseln? Manche Router haben mehrere Schalter; der Router auf meinem Schreibtisch hat zum Beispiel einen „Wi-Fi“-Ein/Aus-Schalter sowie einen Netzschalter und einen sogenannten WPS-Schalter. Möglicherweise verfügt Ihr Router auch über einen Reset-Schalter oder eine Schaltfläche „Werkseinstellungen wiederherstellen“. Das Zurücksetzen Ihres Routers und damit das Wiederherstellen der Werkskonfiguration ist etwas ganz anderes als ein Neustart.
Bei einem Reset werden sowohl der flüchtige als auch der nichtflüchtige Speicher gelöscht. In letzterem speichert Ihr Router alle Änderungen, die Sie an seiner Konfiguration vorgenommen haben. Die meisten Router werden beispielsweise mit einem Standard-Administrator-Namen und -Passwort ausgeliefert, die Sie ändern sollten, um zu verhindern, dass Angreifer das Gerät übernehmen. Wie könnten sie das tun? Weil die Standardbenutzernamen und -kennwörter weithin bekannt sind. Sie sind oft auf der Rückseite des Routers aufgedruckt und lassen sich möglicherweise über eine Google-Suche anhand Ihrer Modellnummer ermitteln. Auf meinem Schreibtisch habe ich zum Beispiel einen Netgear WNDR3400:
Dieses Modell hat, wie viele andere auch, ein browserbasiertes Control Panel, das Sie von Ihrem Computer aus nutzen können (typischerweise über eine URL wie http://192.168.1.1). Über die Oberfläche können Sie alle Einstellungen ändern, die dann im nichtflüchtigen Speicher des Routers abgelegt werden. Mein Router-Bedienfeld sieht so aus:
Beachten Sie, dass ich die Einstellungen für Benutzernamen und Passwort und SSID (der Name des drahtlosen Zugangspunkts) verwischt habe. Ich habe diese auch auf einem Stück Papier notiert, damit ich beim Zurücksetzen des Routers die Einstellungen wieder eingeben und die Konfiguration wiederherstellen kann.
Warum sollte ich einen Router-Reset durchführen? Wenn Ihr Router durch VPNFilter-Malware kompromittiert wird, wird ein Teil des Codes in den nichtflüchtigen Speicher geschrieben, sodass er nicht verschwindet, wenn Sie einfach einen Neustart durchführen. Dieser verbleibende Code ermöglicht es dem Gerät, nach einem Neustart eine Webdomäne zu erreichen und frische Malware in den Speicher herunterzuladen … nur dass das FBI diese Domäne jetzt kontrolliert. Selbst wenn Sie also den VPNFilter-Code nicht aus dem nichtflüchtigen Speicher entfernt haben, wird er derzeit daran gehindert, neue Malware herunterzuladen.
Wie führen Sie einen Router-Reset durch?
Die Übernahme der Kontrolle über eine Malware-Domäne wird „Sinkholing“ genannt und war eine clevere Arbeit des FBI. Es kann jedoch sein, dass Sie Ihren Router trotzdem zurücksetzen möchten. Dies sollte die letzten Reste des VPNFilter-Codes aus dem Gerät entfernen.
Wie Sie den Reset durchführen, variiert je nach Marke und Modell. Ich empfehle Ihnen dringend, die Website des Routerherstellers aufzusuchen und sich dort die für Ihr Modell spezifische Anleitung zu holen. Seien Sie vorsichtig, wenn Sie sich entscheiden, die Anleitung für Ihr Gerät zu googeln, da es Versuche geben kann, Suchergebnisse zu diesem Thema zu vergiften. Sie können die Ergebnisse auf Seiten einschränken, die auf der Website des Herstellers zu finden sind, indem Sie den Parameter „site“ wie folgt verwenden: Netgear WNDR3400 factory reset site:netgear.com.
Was folgt, ist eine allgemeine Anleitung, die Sie auf eigene Gefahr verwenden.
Bei vielen Routern ist der Reset-Vorgang mehr als das Umlegen eines Schalters, er beinhaltet den klassischen „Büroklammer-Poker“ und ein kleines Loch am Gerät. In der Dokumentation des Herstellers wird dies oft als „Restore Factory Settings“ oder ähnlich bezeichnet. Es ist oft auf der Rückseite des Geräts zusammen mit den Standardwerten aufgedruckt, etwa so:
Um mit dem Zurücksetzen fortzufahren, stellen Sie zunächst sicher:
- Sie kennen den Standard-Benutzernamen und das Passwort für das Gerät, da Sie diese für den Zugriff auf das Gerät nach dem Zurücksetzen benötigen.
- Sie haben alle Anpassungen, die Sie an den Werkseinstellungen vorgenommen haben, wie z. B. das Ändern des Router-Passworts, sowie den WLAN-SSID-Namen und das Passwort notiert.
- Der Router ist eingeschaltet.
- Sie haben alle Personen, die das Netzwerk verwenden, gewarnt, ihre Arbeit zu speichern.
- Der Router ist vom Internet getrennt (wenn der Reset das Router-Passwort auf einen bekannten Standard zurücksetzt und der Router im Internet ist, wird er sofort zu einem weichen Ziel).
Nun schnappen Sie sich Ihr Stechwerkzeug – eine aufgebogene Büroklammer oder etwas Ähnliches, wie der Stift, den Sie mit Ihrem Smartphone oder Tablet bekommen haben, um die microSD-Karte oder den SIM-Einschub aufzustecken – und befolgen Sie diese drei Schritte, um den Reset durchzuführen:
- Stecken Sie den Schürhaken vorsichtig in das Reset-Loch, wo Sie spüren können, dass er einen Knopf drückt.
- Halten Sie den Knopf für 10 Sekunden gedrückt
- Lassen Sie ihn los.
Dadurch werden die Lichter am Router stark blinken, aber nach etwa einer Minute beruhigen sie sich wieder. Bevor Sie den Router jedoch wieder mit dem Internet verbinden, sollten Sie sich in den Router einloggen, um das Router-Administrator-Passwort vom Standard zu ändern und andere Änderungen vorzunehmen, wie z. B. den Namen und das Passwort für die WLAN-SSID.
Zusammenfassung
Zusammenfassend lässt sich sagen, dass die VPNFilter-Malware eine ernsthafte Bedrohung für die Sicherheit und Verfügbarkeit von kleinen Büro- und Home-Office-Netzwerken darstellt. Auch wenn Sie keinen der Router aus der folgenden Liste verwenden, müssen Sie Maßnahmen ergreifen. Die folgenden Maßnahmen sind das Minimum:
- Wenn Ihr Router von Ihrem ISP zur Verfügung gestellt wird, schalten Sie ihn aus und wieder ein und fragen Sie Ihren ISP nach weiteren Ratschlägen.
- Wenn Sie einen Router besitzen/verwalten, starten Sie ihn neu, ändern Sie das Standardpasswort und prüfen Sie, ob Firmware-Updates vom Router-Hersteller verfügbar sind; wenn ja, installieren Sie diese.
Wenn Sie jemand sind, der sich mit Netzwerkhardware auskennt, können Sie auch Folgendes tun:
- Trennen Sie Ihren Router vom Internet und führen Sie einen Router-Reset durch.
- Installieren Sie die aktuellste Firmware neu.
Für einen dauerhaften Schutz – und das ist heutzutage hoffentlich selbstverständlich – sollten Sie eine seriöse Sicherheitssoftware auf all Ihren vernetzten Geräten wie Laptops, PCs, Macs, Android-Tablets, Smartphones und ja, sogar auf Ihrem Smart-TV installieren.
Zudem sollte jeder auf weitere Neuigkeiten über VPNFilter und anderen bösartigen Code warten, der auf vernetzte Geräte abzielt. Ich hoffe, Sie folgen bereits WeLiveSecurity. Ich kann auch empfehlen: Krebs On Security, Security Week, Bleeping Computer und Morning Cybersecurity.
Zu guter Letzt: Wenn Sie möchten, dass Ihre Regierung mehr tut, um Angriffe wie diesen in Zukunft zu verhindern – und ich bin der festen Überzeugung, dass Regierungen viel mehr tun könnten -, sollten Sie in Erwägung ziehen, eine Nachricht an Ihre gewählten Vertreter zu senden und Maßnahmen zu fordern.
Ressourcen
Links zu Anleitungen und Updates von betroffenen Router-Herstellern.
| Auf Werkseinstellungen zurücksetzen | Aktuelles Firmware-Upgrade | Standard-Passwort ändern | Fernwartung deaktivieren | Hinweis | |
|---|---|---|---|---|---|
| Linksys | Rücksetzen | Upgrade | Ändern | Deaktivieren | VPNFilter Malware Update |
| MikroTik | Rücksetzen | Upgrade | Ändern | Deaktivieren | VPNFilter offizielle Stellungnahme |
| NetGear | Rücksetzen | Upgrade | Ändern | Deaktivieren | Sicherheitshinweis für VPNFilter-Malware auf einigen Routern |
| QNAP | Reset | Upgrade | Ändern | Deaktivieren | Sicherheitshinweis für VPNFilter-Malware | TP-Link | Rücksetzen | Upgrade | Ändern | Deaktivieren | Sicherheitshinweis für VPNFilter Malware |
Liste der Router-Modelle, von denen bekannt ist, dass sie gefährdet sind (es könnten aber noch mehr sein)
Linksys: E1200, E2500, WRVS4400N
Mikrotik Routeros Versionen für Cloud Core Router: 1016, 1036, 1072
Netgear: DGN2200, R6400, R7000, R8000, WNR1000, WNR2000
QNAP: TS251, TS439 Pro, andere QNAP NAS-Geräte mit QTS-Software
TP-LINK: R600VPN
Weitere Artikel über Router auf WeLiveSecurity:
Fünf Wege, um zu überprüfen, ob Ihr Router sicher konfiguriert ist
Wie Sie Ihren Router sichern, um IoT-Bedrohungen zu verhindern?
Sichern Sie Ihren Router: So verhindern Sie den nächsten Internet-Takedown
Passwortdiebstahl-Sicherheitslücke in vielen Netgear-Routern entdeckt
FTC IoT-Datenschutz- und Sicherheitsvorstoß weist auf Router- und Webcam-Schwachstellen von D-Link hin
CERT warnt, dass Netgear-Router leicht ausgenutzt werden können
900.000 Deutsche sind offline, da kritische Router-Schwachstelle ausgenutzt wird