Macadressen aus der Vergangenheit – FritzBox 6340

Über das Thema Routersicherheit habe ich ja schon öfters berichtet und allerlei fiktive Angriffsszenarien durchgespielt.
Als ich gestern mal wieder in der Konfigurationseinstellungen der Fritzbox spielte, fand ich auch recht alte Einträge von Rechnern (Gästen), die vor Monaten bei mir zu Besuch waren … Leasetime ist per default wohl nicht gesetzt *g.
Was nicht ganz unkritisch ist, die Macadresse und der Hostname von fremden Rechnern.

Diese kann ich auf mein eigenes System übertragen, so dass mein System in fremden Netzen wie ein bestimmtes anderes aussieht.
Wo ist hier denn jetzt die Gefahr?

Das fiktive Szenario

Nehmen wir an, evil-man möchte in ein System eindringen und den Angriff einer anderen Person in die Schuhe schieben.
Was macht also evil-man?
Schnappt sich einen Laptop, setzt die Mac und den Hostname der „anderen Person“, macht sich auf den Weg in die Nähe von der „anderen Person“, knackt dort ein schlecht geschütztes WLan und vollzieht seinen Hack.
Dabei achtet er darauf, dass er keine Geräte bei sich trägt die sich tracen lassen und meidet Bereiche, in denen keine Videoaufzeichnungen stattfinden (der wahrscheinliche schwere Part an diesem Szenario).
Würde so ein Hack noch ins Profil der „anderen Person“ passen, hätte er quasi das perfekte Verbrechen.

Macadressen aus der Fritzbox auslesen

Den Hostname bekommt man bereits mit den Boardmitteln der Fritzbox zu Gesicht, leider wird die Macadresse der Geräte nach einer bestimmen Zeit nicht mehr angezeigt (wohl aus Datenschutzgründen).Fritzbox Macadressen auslesen

Was die Fritzbox jedoch anbietet, ist die Funktion wake-on-lan, die in diesem Beispiel auch noch nach 3 Monaten zur Verfügung stand.

Bei Wake on Lan, wird ein sogenanntes „magic packet“ als Broadcast ins Netz geworfen, dabei wird auch die Macadresse des entsprechenden Gerätes mit übermittelt.

Fritzbox Macadressen auslesen

Der erste Versuch den Request am Browser abzufangen, war leider nicht erfolgreich. Weder als hidden field, noch im eigentlichen Request ist es möglich, die Macadresse bei dieser Funktion abzugreifen … das spielt sich wohl direkt in der Fritzbox ab.

Die Lösung:

Die Fritzbox selbst bietet jedoch die Möglichkeit, einen tcp dump zu fahren, also startete ich diesen Dump via http://fritz.box/html/capture.html
und analysierte die Pakete anschließend mit Wireshark.
Tada Macadresse detektiert:
Macadresse aus Fritzbox
Natürlich sind nicht alle Menschen böse Hacker und wenn ich zu Freunden ins Netz gehe, dann vertraue ich diesen Menschen, genauso wie meine Freunde die meine Gastfreundschaft genießen auch mir vertrauen können.
Man sollte sich dieser Gefahr jedoch bewusst sein!

4 Gedanken zu „Macadressen aus der Vergangenheit – FritzBox 6340

  1. wuschel

    Bei der 3370 wird die Mac gleich mitgeloggt da benötigst keinen Dump.
    Einfach auf die Box auf WLAN/Heimnetz und schon habe ich ip und mac

    Antworten
  2. Jenkins

    Ein perfektes Verbrechen wäre es nur, wenn man glaubt, dass die Mac-Adresse nicht fälschbar ist.
    In einem Rechtsstaat müsste als bezweifelt werden, ob die Mac-Adresse wirklich einer Person zuzuordnen ist. Da man sich mit seinen Geräten in jegliche unvertrauenswürdige Netzwerke einklinkt, ist nicht zu kontrollieren, wer deine Mac-Adresse besitzt oder nicht. Die Mac-Adresse ist ziemlich leicht zu ergattern.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*