Komischer Vorfall - Hacker?

[efstajas]

Hi,
bei uns zu Hause ist was ziemlich komisches passiert. Vor ungefähr einer Stunde ist mir aufgefallen, dass neben unserem Drucker auch eine Windows- Freigabe namens "lukasInberger" im Finder angezeigt wurde. Ich war zu der Zeit alleine zu Hause, alles, was im Netzwerk war, war der Mac, unser Drucker und mein iPod (by the way, was ist eigentlich "257_bib_1b"?).

Als ich das gesehen habe, war ich natürlich ziemlich verwundert und habe direkt das, was ich für richtig hielt, gemacht: Das AirPort- Express WiFi- Kennwort geändert. Wir haben nämlich einen Telekom- Router, dessen WLAN- Funktion allerdings defekt ist und der deswegen per LAN mit einem AirPort Express verbunden ist, welcher dann das WLAN macht. Nachdem ich das gemacht hatte, war die komische Freigabe immer noch zu sehen.
Danach habe ich versucht, im Internet Lösungen zu finden und googelte nach "Komischer Name unter Freigaben OS X". Der erste Link war ein Link auf Apfeltalk, ich habe draufgeklickt und landete aber nicht auf Apfeltalk, sondern auf dieser Seite: http://myfilestore.com/download.php?id=64FA53EA
Als ich zurück auf Google navigiert bin und noch mal den Link angeklickt habe, landete ich auch da, wo ich hinwollte. Trotzdem war ich mir jetzt sicher, dass da irgendwas überhaupt nicht stimmt und habe das Netzwerk komplett runtergefahren (Router aus) und den Mac neugestartet. Während der Computer hochgefahren ist, ist mir draussen ein Auto aufgefallen, dass an der Strasse stand. In dem Auto saß - so weit ich das beurteilen konnte - ein Mann und stieg nicht aus. Das klingt jetzt, wie in einem schlechten Film, es war aber wirklich so...
Ganz vorsichtshalber habe ich mir das Nummernschild aufgeschrieben und gerade, als ich es aufgeschrieben hatte, fuhr der Mann auf einmal los, wie gesagt, er war die ganze Zeit im Auto und ist vorher nicht ausgestiegen. Als der Mac wieder an war, war die seltsame Freigabe verschwunden und jetzt ist alles wie vorher.
Nach dem Vorfall habe ich sofort von WPA auf WPA2 umgestellt und die Filterfunktion im Router aktiviert.
Was war das jetzt? Hat sich der Mann wirklich mit seinem Laptop in unser Netzwerk "eingehackt" und war so doof, die Freigabe zu aktivieren? Und hat dann als Computernamen auch noch seinen eigenen Namen?! Und warum war er immer noch drin, als ich das Kennwort verändert habe?

Edit.: Der Name ist schon wieder da. Das kann doch eigentlich nicht sein, schliesslich werden ja die MAC- Adressen gefiltert und das Kennwort habe ich inzwischen 10 mal geändert und es ist 50 Zeichen lang! Trotzdem bleibt der Name da, egal was ich mache, und zwar nicht nur unter meinem Konto, sondern auch unter einem frisch erstellten. Will mir da jetzt irgendein Programm einen Streich spielen oder was? :O

 

[Loooki]

Diese Freigaben von anderen Kisten bleiben eine ganze Weile auch nach Inaktivität zu sehen - warum? Frag Apple.
Warum nicht gleich WPA2?
Schau in deiner Router Config/AirportExpress ob sich ejmadn angemeldet hat dann kannst du dir sicher sein.
- Manche nicht alzu "schlaue Netzwerke" lassen solche Freigaben aus irgendwelchen Gründen doch zu obwohl man noch garnicht richtig verbunden ist, soetwas gibt es in unserer Schule - Einfach nur blöd konfiguriert...
Ob der Mann das war oder nicht kann man nur raten

 

[efstajas]

Danke für die Antwort erstmal. WPA2 hatte ich nicht, weil ich mal ein Gerät hatte, was nur WPA unterstützt hat.
Du meinst also, da war jemand drin, er ist aber wieder weg und die Freigabe steht einfach so noch da, obwohl sie nicht da ist? Das wäre ja gut. Habe mich auch schon gewundert, warum kein IP Scanner diesen mysteriösen Rechner findet. Ich werde mich melden, wenn die Freigabe verschwindet.
Edit.: Huch, du hattest anscheinend recht. Die Freigabe ist weg! Aber da muss doch hundertprozentig jemand drin gewesen sein, oder? Irgendwelche Freigaben bildet sich der Mac ja nicht ein.

 

[Loooki]

Auch in meinem Netzwerk kommt es zu solchen Freigabe anzeigen aber nichts dahinter" Problemen z.B. wenn ich mein Wlan ausschalte sind die Freigaben immernoch da oder Wenn Geräte einfach ausschalte (quasi Stecker ziehen) ohne ihnen zu sagen: Du machst jetzt kein Wlan mehr mein Freund.

Ich würde an deiner Stelle trotzdem mal in Router und Airport Express einstellungen reingucken wer sich so alles in letzter Zeit verbunden hat, sollte dort einer auftauchen dann war er drinn ansonsten hat er nur "angeklopft"

 

[Bananenbieger]

Was sagt denn das Airport-Dienstprogramm unter dem Punkt "Drahtlose Clients"? (In der Übersicht auf "Drahtlose Clients" klicken)

Ist die WLAN-Funktion des Telekom-Routers auch ordnungsgemäß deaktiviert?

PS: MAC-Filter bringen rein gar nichts.

 

[CharlieBrown]

PS: MAC-Filter bringen rein gar nichts.

Hallo,
konntest du das erklären?

Wir reden von der Funktion, das Netz nur für bestimmte Geräte mit definierter Mac-Adresse freizugeben, oder?

Ist das nicht zuverlässig? In Verbindung mit WPA2?

Ich habe das so konfiguriert, und konnte mit dem neuen IPad auch nicht rein, trotz richtigem Passwort, bis ich das iPad zur Liste der erlaubten Geräte hinzugefügt habe.

Gruss

 

[Loooki]

Hallo,
konntest du das erklären?

Wir reden von der Funktion, das Netz nur für bestimmte Geräte mit definierter Mac-Adresse freizugeben, oder?

Ist das nicht zuverlässig? In Verbindung mit WPA2?

Ich habe das so konfiguriert, und konnte mit dem neuen IPad auch nicht rein, trotz richtigem Passwort, bis ich das iPad zur Liste der erlaubten Geräte hinzugefügt habe.

Gruss

https://secure.wikimedia.org/wikipedia/de/wiki/MAC-Filter

 

[efstajas]

Gerade natürlich nur 1, ist ja nur der Mac drin. Im Protokoll steht so weit ich das beurteilen kann auch nichts, ist wohl gelöscht worden, als ich das Ding neugestartet habe... Hätte ich das mal früher gewusst...

Dec 13 01:55:31	Gewichtung: 5	Initialized (firmware 7.5.2).
Dec 13 01:55:36	Gewichtung: 5	Deauthenticating with station ff:ff:ff:ff:ff:ff (reserved 3).
Dec 13 01:55:36	Gewichtung: 5	Deauthenticating with station ff:ff:ff:ff:ff:ff (reserved 2).
Dec 13 01:55:36	Gewichtung: 5	Rotated CCMP group key.
Dec 13 01:55:38	Gewichtung: 5	Internet configuration leased [IPv4] -- host <192.168.2.102/255.255.255.0> gateway <192.168.2.1> dns <192.168.2.1> wins <> lease <4294967295> domain <Speedport_W_722V_Typ_B>
Dec 13 01:55:39	Gewichtung: 5	Internet configuration leased [IPv4] -- host <192.168.2.102/255.255.255.0> gateway <192.168.2.1> dns <192.168.2.1> wins <> lease <4294967295> domain <Speedport_W_722V_Typ_B>
Dec 13 01:55:53	Gewichtung: 5	Associated with station 00:26:bb:14:50:28
Dec 13 01:55:53	Gewichtung: 5	Installed unicast CCMP key for supplicant 00:26:bb:14:50:28
Dec 13 01:57:36	Gewichtung: 3	No Address for NTP server time.apple.com.
May 01 19:16:06	Gewichtung: 5	Clock synchronized to network time server time.apple.com (adjusted +12068291 seconds).
May 01 19:16:09	Gewichtung: 5	Rotated CCMP group key.
May 01 19:53:30	Gewichtung: 5	Connection accepted from [fe80::226:bbff:fe14:5028%bridge0]:51300.
May 01 19:53:31	Gewichtung: 5	Connection accepted from [fe80::226:bbff:fe14:5028%bridge0]:51304.
May 01 19:53:31	Gewichtung: 5	Connection accepted from [fe80::226:bbff:fe14:5028%bridge0]:51305.

Das MAC- Filter nichts bringen, hab ich auch gemerkt. Was man da alles für Anleitungen im Netzt findet, um die zu umgehen...

Ich bin erstmal froh, dass der Typ jetzt weg ist.

 

[Metamorphoser]

Es bringt in der Hinsicht etwas, dass die Geräte nicht zugelassen werden, eine Verbindung besteht aber.
Zumal kann man eine MAC Adresse recht einfach abändern. Somit ist das mit der Sicherheit recht fragwürdig.

 

[wurst]

Und WPA ist doch schon seit Jahren nicht mehr sicher (oder war es das überhaupt mal?).

 

[efstajas]

Wie schon gesagt, musste es für ein Gerät (genauer, eine Wii) auf WPA lassen. Habe es jetzt auf WPA2.

 

[Denny15]

Wenn du das so siehst ist garncihts sicher! Alles kannst du umgehen, die Frage ist wie lange es dauert. Ist ja das gleiche mit den Exploits auf den IOS Devices. Apple schließt lücken. Kurze Zeit später sind neue lücken aufgetaucht.

WPA war sicher mal sicher. Damals hatte man aber auch wohl noch nicht die Erfahrung wie heute, weshalb WPA2 jetzt doch schon recht lange recht sicher ist.

Aber das mit den Mac Adressen ist mir neu, wusste ich nicht, ich dachte die Verschlüsselung wäre unsicherer als die MacFilter habe darauf immer gesetzt...... naja... wieder was gelernt.

Von diesen Leuten die rumfahren und nach freien/unsicheren Netzwerken suchen hört man immer wieder. Ich würde sofort zur Polizei gehen bzw mir rechtlichen Beirat holen, schon alleine weil du sein Kennzeichen hast. (Bzw, ich habe das im Urlaub auch schon gemacht, mit dem Ipod rumgefahren und geschaut wo man mal schnell ins Inet kann (damals war gerade die Vorstellung des Iphone4, das durfte ich auch 1500km von Zuhause nicht verpassen!!!)


Gruß Denny

 

[Bananenbieger]

Ist das nicht zuverlässig? In Verbindung mit WPA2?

Die MAC-Adresse wird im Klartext übertragen, auch bei WPA2-Verschlüsselung.

Ich frage bis heute, welcher Vollhorst sich den MAC-Filter ausgedacht hat. Dafür braucht man nun wirklich nur rudimentäre Kenntnisse um zu erkennen, dass das prinzipbedingt nicht sicher sein kann.

 

[Rastafari]

Ich frage bis heute, welcher Vollhorst sich den MAC-Filter ausgedacht hat. Dafür braucht man nun wirklich nur rudimentäre Kenntnisse um zu erkennen, dass das prinzipbedingt nicht sicher sein kann.

Um eine einzelne authorisierte MAC durch BruteForce zu finden, brauchen typische Ethernet-NIC im statistischen Mittel etwa 5-10 Jahre. So viel zum Thema "Vollhorst".

 

[CharlieBrown]

Was ist denn aktuell die für mich "Normaluser" sicherste Methode mein WLAN zu sichern?

Ich habe WPA2 mit einem uniquen starken Passwort und den MAC-Filter.
Kann ich noch mehr tun (Snowleo und AirPort Extreme)?

Danke!

 

[Bananenbieger]

Um eine einzelne authorisierte MAC durch BruteForce zu finden, brauchen typische Ethernet-NIC im statistischen Mittel etwa 5-10 Jahre. So viel zum Thema "Vollhorst".

Von Ethernet war nicht die Rede. Aber auch dort würde man doch nicht mit Brute-Force angreifen. An eine valide MAC kommt man doch recht einfach, wenn man sich eh schon im Bereich eines LANs befindet. Bei uns sind z.B. Inventaraufkleber mit der MAC-Adresse versehen.

 

[MikeatOSX]

Von diesen Leuten die rumfahren und nach freien/unsicheren Netzwerken suchen hört man immer wieder. Ich würde sofort zur Polizei gehen bzw mir rechtlichen Beirat holen, schon alleine weil du sein Kennzeichen hast.

WarDriving etc.
Aber ob das die Polizei interessiert, wenn einer im Auto hockt, möchte ich mal bezweifeln.

 

[Denny15]

Ist klar ich meinte ja nur, wenn er sich sicher sein kann dass er ins Netzwerk eingedrungen ist. Bspw könnte man ja gesehen haben dass er nen Laptop im Auto hat, oder ähnliches. Ob das die Polizei interessiert oder nicht... Ich würde mich in diesem Fall rechtlich mal beraten lassen, stell dir mal vor er hat wichtige dokumente etc mitgehen lassen, bilder der familie, adressen.


Man sollte aber natürlich auch bedenken dass das Datenschutzrechtlich nach hinten losgehen kann (...warum haben Sie Namen und Adressen von Ihrer alten Schulklasse gespeichert?!?...)

 

[helge]

Und WPA ist doch schon seit Jahren nicht mehr sicher (oder war es das überhaupt mal?).

WPA ist eigentlich recht sicher, wenn man ein ausgefallenes Passwort verwendet.
Bei einem Passwort, das mit hoher Wahrscheinlichkeit in einem Wörterbuch oder einer Wortliste steht, ist WPA ziemlich unsicher.

Siehe dazu auch: http://www.sempervideo.de/?p=3677

 

[MikeatOSX]

...warum haben Sie Namen und Adressen von Ihrer alten Schulklasse gespeichert?!?...

Warum nicht?
Für ein zukünftiges Klassentreffen u.v.m.