Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 38 subscribers
  • Views 1675 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Merkwürdiges Verhalten - HTTPS Klartext möglich?

electribe
Hallo,

ich habe ein Heimnetzwerk mit einer Sophos Firewall mit Home-Lizenz.

Bei mir treten seit ca. 2 Wochen seltsame Dinge auf. Habe irgendwie das Gefühl, das ich "gehackt" wurde.

Unvernünftig wie ich war, hatte ich für alle meine Geräte (incl. Sophos-Firewall) das gleiche Passwort mit Speicherung im Browser.

Ich glaube, der potentielle Angreifer hatte Zugriff auf meine Firewall.

Ich frage mich jetzt gerade, ob es mit einer Sophos-Firewall (wenn man Zugriff darauf hat) möglich ist, Passwörter etc. (z.B. Facebook etc.) die über eine HTTPS Seite im internen Lan eingegeben werden, im Klartext auszugeben.

Geht es irgendwie (mittels Proxy-Einstellungen oder Ähnlichem), dass man, wenn man Zugriff auf die Firewall hat, die Passwörter verschiedener Internet-Sites (HTTPS) auslesen kann?

Ich vermute, dass der Angreifer irgendwie meinen "scheiß" Team-Viewer "geentert" hat (PC ist immer online, auch nachts). Wie auch immer, ganz seltsam alles. 

Hoffe auf Antwort, danke Euch !!!


This thread was automatically locked due to age.
  • 0
    Hallo,
    Geht es irgendwie (mittels Proxy-Einstellungen oder Ähnlichem), dass man, wenn man Zugriff auf die Firewall hat, die Passwörter verschiedener Internet-Sites (HTTPS) auslesen kann?


    Ja selbstverständlich geht das.

    Sobald Deine HTTPS-Kommunikation über die Firewall als HTTPS-Proxy geht (wenn Du das selbst so nicht eingestellt hast, hat evtl. der Angreifer das Eingeschaltet und die notwendigen Konfigurationsänderungen auf Deinem PC durchgeführt was Proxy-Einstellungen, HTTPS-Zertifikat, etc. angeht), kann man diesen Netzwerkverkehr mittels tcpdump, wireshark, o.ä. einfach mitschneiden.

    Mit dem auf der Firewall befindlichem privatem Schlüssel des HTTPS-Zertifikats kann dieser Netzwerkverkehr nachträglich ganz einfach entschlüsselt werden.

    Somit kommt ein potentieller Angreifer, der Zugriff auf Deinen PC und die Firewall hat, an alle Daten ran, wie Du schon vermutet hast.

    Gruß
    Manuel
  • 0
    Hallo electribe,
    Wie kommst du denn darauf?

    Wie beschrieben, ja theoretisch geht das, aber was veranlasst dich zu dieser Vermutung?
    Wenn jemand so viele Infos hat, warum sollte man die Sophos UTM anpassen, um bekannte Kennwörter nochmal zu bekommen?
    Bzw. Ist das ein ganz schön großer Aufwand für den Nutzen...
    Update installiert und die Anpassungen könnten wieder weg sein.

    Kennwörter ändern und um das Thema Sicherheit Gedanken machen ;-)

    Nice greetings
  • 0 in reply to GuyFawkes
    Schau mal ob der SSH Zugang aktiviert ist und prüfe "Last WebAdmin sessions" (unter Management) bzw. die Login Logs. 

    Wenn allerdings wirklich jemand sich die Mühe macht deinen Datenverkehr mitzuschneiden, kann man evtl auch davon ausgehen, dass die Logs manipuliert wurden.

    Du kannst auch mal die Teamviewer Logs prüfen - evtl aber ebenfalls manipuliert.
    Zudem könntest du zur Sicherheit mit der Black-/Whitelist Funktion von Teamviewer arbeiten, wenn du denkst dass darüber jemand auf die System kam. Ich habe bei meinen Hosts nur meine E-Mail (mein TV Konto) in der Whitelist. Zusätzlich Two Factor Authentication.

    Grüße
Unfiltered HTML