3
Großstörung bei der Telekom: Was wirklich geschah
Eine Überraschung beim Abschlussbericht zur Großstörung bei der Telekom: Die Telekom Speedport-Router sind gar nicht anfällig für die TR-069-Sicherheitslücke (da kein Linux Kernel vorhanden ist). Es handelt sich "nur" um ein Denial-of-Service-Problem (DoS) der Router.
Meine Meinung dazu: Der Fernwartungs-Port TR-069 sollte trotzdem nicht offen aus dem Internet erreichbar sein!
Gruß
Frank
https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Wa ...
Meine Meinung dazu: Der Fernwartungs-Port TR-069 sollte trotzdem nicht offen aus dem Internet erreichbar sein!
Gruß
Frank
https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Wa ...
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 322616
Url: https://administrator.de/forum/grossstoerung-bei-der-telekom-was-wirklich-geschah-322616.html
Ausgedruckt am: 03.04.2025 um 21:04 Uhr
3 Kommentare
Neuester Kommentar
Schade nur, dass wir ab jetzt, da das Problem kein heimisches mehr ist, in den einschlägigen Publikationen nur noch wenig Neues erfahren werden.
Das Problem ist ja mitnichten gelöst. Nachwievor finden minütlich weltweit auf den Endgeräten Infektionsversuche statt und zehntausende bis hundertausende wurden wieder einmal kompromittiert!
Dass diese Lücke (seit 2014 werden Anfälligkeiten in TR-069 moniert, die Telekom wurde im selben Jahr von einem besorgten Enduser auf den offenen Port hingewiesen) nun nach einem 1-tägigen Netzausfall für Telekom Kunden "nur" zur Vergrößerung eines Botnetzes genutzt wird, das am Ende wohl erpresserische DDOS-Atacken fährt, ist ja vergleichsweise harmlos.
Man könnte darüber wahrscheinlich ebenso DNS Server manipulieren und damit letztlich die Rechner infizieren oder das Nutzerverhalten auszuspähen oder ... Der Phantasie bzw. Kreativität der Hacker sind da erstmal nur die Grenzen des (fehlerhaften) Codes und der Schlurigkeit der Konzerne gesetzt... Es ist ja so praktisch auch hinter der Firewall noch Geräte aus dem Internet (also dem Smartphone) steuern zu können...
Aber auch der Entdecker der Lücke, der diese Anfang November im Netz veröffentlichte, hätte wohl besser daran getan, erstmal den Hersteller zu informieren und diesem eine angemessene zeit zum fixen zu geben,statt diese sofort im Internet auszuposaunen, wie das gerade modern ist. Auch dieses Verhalten ist unverantwortlich naiv, wenn auch evtl. nicht justiziabel.
Da ich Analogien so mag: Fiele mir ein Weg auf, ein bestimmtes Automodell einfach zu öffnen und damit wegfahren zu können, behielte ich das doch für mich oder informierte den Hersteller. Mache ich den Trick öffentlich und es werden tausende Wagen geklaut, so mache ich mich doch mindestens moralisch mitschuldig.
Schlimmer scheint mir aber noch, dass der so vielversprechende Open-Source-Gedanke hier wieder einmal gescheitert ist. Das sind Linux-Systeme, um die es hier geht. Diese sollten eben gerade durch ihre Offenheit einen Kontrollmechnismus bereitstellen, der durch eine potentiell unbegrenzte Zahl an Reviewern genau das vermeidet. Statt aber auf ihren Endgeräten offene, etablierte und von einer Gemeinschaft gepflegte Lösungen wie Open-WRT etc. einzusetzen und zu deren Entwicklung durch Code und Treiber beizutragen,fügen manche Hersteller ein paar Gewürze hinzu und tun so, als seien sie die Meisterköche.
Das trifft auf Arcadyan, den Hersteller der Telekom Modelle hier nun ausdrücklich nicht zu, hat aber auch die bekannten Nachteile.
Sehr wohl aber bei anderen bekannten Herstellern.. Da wird sich lustig frei und offen am Open-Source bedient und heraus kommt etwas, das mit Closed-Source-Code vermengt ist und so aktiv von keiner Gemeinschaft mehr gepflegt und geprüft werden kann und will. Der Code wird evtl. offiziell noch veröffentlicht, ist teilweise wohl aber nur noch nach persönlicher Vorsprache oder drohen mit dem Anwalt erhältlich.
Das sind aber nur grundsätzliche Sachen. Warum der TR-069 Standard keine verschlüsselte Kommunikation vorschreibt sondern nur empfiehlt, warum im aktuellen Fall niemandem bei Zyxel und den anderen auffällt, dass das produzierte Gerät auf Port 7547 für TR-064 (also das VOLLE Programm) erreichbar ist. Naja.
Ausserdem haben bei der Verabschiedung dieser Standards sicher auch staatliche Behörden starke Interessen an Sicherheitslücken. Wenn also dann Verschlüsselung nicht zwingend ist, ist eine Überwachbarkeit gegeben ohne dass der Hersteller / Provider gegen Gesetze verstösst. Auch das ist nicht NUR zu unserem Nachteil.
Warum fragt eigentlich niemand der Journalisten bei der Telekom nach, ob der TR-069 Traffic verschlüsselt wurde? Und ob der erreichbare Range für das Protokoll nun mal endlich auf die Telekom-Server beschränkt wurde? (Jetzt sollte man beides erwarten können, ich habe nichts gelesen.)
Sogar ich kleiner Admin bin auf die Idee gekommen, die Fernwartung für die Kundenfirewalls nur von (m)einer IP zuzulassen. Das ist doch mehr als naheliegend. Auch wenn ich gute Passwörter und Verschlüsselung einsetze.
Prinzipiell kann ich aber die Sorglosigkeit hier auch nachvollziehen. Das TR-069 lässt aus dem Internet nunmal nur einen Connection-Request zu. Das ist an sich nicht tragisch. Meine Haustür steht auch offen in der Welt und ich habe eine Klingel die jeder benutzen kann. Wenn ich dann durch den Spion einen Einbrecher sehe bleibt die Tür eben zu. (Sehr vereinfacht, o.k.)
Ein paar Nachtgedanken vom Freibeuter.
Das Problem ist ja mitnichten gelöst. Nachwievor finden minütlich weltweit auf den Endgeräten Infektionsversuche statt und zehntausende bis hundertausende wurden wieder einmal kompromittiert!
Dass diese Lücke (seit 2014 werden Anfälligkeiten in TR-069 moniert, die Telekom wurde im selben Jahr von einem besorgten Enduser auf den offenen Port hingewiesen) nun nach einem 1-tägigen Netzausfall für Telekom Kunden "nur" zur Vergrößerung eines Botnetzes genutzt wird, das am Ende wohl erpresserische DDOS-Atacken fährt, ist ja vergleichsweise harmlos.
Man könnte darüber wahrscheinlich ebenso DNS Server manipulieren und damit letztlich die Rechner infizieren oder das Nutzerverhalten auszuspähen oder ... Der Phantasie bzw. Kreativität der Hacker sind da erstmal nur die Grenzen des (fehlerhaften) Codes und der Schlurigkeit der Konzerne gesetzt... Es ist ja so praktisch auch hinter der Firewall noch Geräte aus dem Internet (also dem Smartphone) steuern zu können...
Aber auch der Entdecker der Lücke, der diese Anfang November im Netz veröffentlichte, hätte wohl besser daran getan, erstmal den Hersteller zu informieren und diesem eine angemessene zeit zum fixen zu geben,statt diese sofort im Internet auszuposaunen, wie das gerade modern ist. Auch dieses Verhalten ist unverantwortlich naiv, wenn auch evtl. nicht justiziabel.
Da ich Analogien so mag: Fiele mir ein Weg auf, ein bestimmtes Automodell einfach zu öffnen und damit wegfahren zu können, behielte ich das doch für mich oder informierte den Hersteller. Mache ich den Trick öffentlich und es werden tausende Wagen geklaut, so mache ich mich doch mindestens moralisch mitschuldig.
Schlimmer scheint mir aber noch, dass der so vielversprechende Open-Source-Gedanke hier wieder einmal gescheitert ist. Das sind Linux-Systeme, um die es hier geht. Diese sollten eben gerade durch ihre Offenheit einen Kontrollmechnismus bereitstellen, der durch eine potentiell unbegrenzte Zahl an Reviewern genau das vermeidet. Statt aber auf ihren Endgeräten offene, etablierte und von einer Gemeinschaft gepflegte Lösungen wie Open-WRT etc. einzusetzen und zu deren Entwicklung durch Code und Treiber beizutragen,fügen manche Hersteller ein paar Gewürze hinzu und tun so, als seien sie die Meisterköche.
Das trifft auf Arcadyan, den Hersteller der Telekom Modelle hier nun ausdrücklich nicht zu, hat aber auch die bekannten Nachteile.
Sehr wohl aber bei anderen bekannten Herstellern.. Da wird sich lustig frei und offen am Open-Source bedient und heraus kommt etwas, das mit Closed-Source-Code vermengt ist und so aktiv von keiner Gemeinschaft mehr gepflegt und geprüft werden kann und will. Der Code wird evtl. offiziell noch veröffentlicht, ist teilweise wohl aber nur noch nach persönlicher Vorsprache oder drohen mit dem Anwalt erhältlich.
Das sind aber nur grundsätzliche Sachen. Warum der TR-069 Standard keine verschlüsselte Kommunikation vorschreibt sondern nur empfiehlt, warum im aktuellen Fall niemandem bei Zyxel und den anderen auffällt, dass das produzierte Gerät auf Port 7547 für TR-064 (also das VOLLE Programm) erreichbar ist. Naja.
Ausserdem haben bei der Verabschiedung dieser Standards sicher auch staatliche Behörden starke Interessen an Sicherheitslücken. Wenn also dann Verschlüsselung nicht zwingend ist, ist eine Überwachbarkeit gegeben ohne dass der Hersteller / Provider gegen Gesetze verstösst. Auch das ist nicht NUR zu unserem Nachteil.
Warum fragt eigentlich niemand der Journalisten bei der Telekom nach, ob der TR-069 Traffic verschlüsselt wurde? Und ob der erreichbare Range für das Protokoll nun mal endlich auf die Telekom-Server beschränkt wurde? (Jetzt sollte man beides erwarten können, ich habe nichts gelesen.)
Sogar ich kleiner Admin bin auf die Idee gekommen, die Fernwartung für die Kundenfirewalls nur von (m)einer IP zuzulassen. Das ist doch mehr als naheliegend. Auch wenn ich gute Passwörter und Verschlüsselung einsetze.
Prinzipiell kann ich aber die Sorglosigkeit hier auch nachvollziehen. Das TR-069 lässt aus dem Internet nunmal nur einen Connection-Request zu. Das ist an sich nicht tragisch. Meine Haustür steht auch offen in der Welt und ich habe eine Klingel die jeder benutzen kann. Wenn ich dann durch den Spion einen Einbrecher sehe bleibt die Tür eben zu. (Sehr vereinfacht, o.k.)
Ein paar Nachtgedanken vom Freibeuter.
2
Zitat von @Frank:
Meine Meinung dazu: Der Fernwartungs-Port TR-069 sollte trotzdem nicht offen aus dem Internet erreichbar sein!
Meine Meinung dazu: Der Fernwartungs-Port TR-069 sollte trotzdem nicht offen aus dem Internet erreichbar sein!
Hi Frank,
und TR-064 schon gar nie nimmer niemals nicht!
"Der Port ist Teil des Fernwartungsprotokolls TR-069 wird aber auch für das verwandte Protokoll TR-064 verwendet – und genau hier liegt die Schwachstelle. TR-064 sollte eigentlich nur aus dem lokalen Netz erreichbar sein. Das sagt schon der Name der Funktion des Protokolls: LAN-Side CPE Configuration. Über diese SOAP-Schnittstelle kann ein beliebiger Client im Netz mit POST-Requests die DNS- und NTP-Konfiguration der Geräte ändern – und das ohne jegliche Authentifizierung."
Heise
mfg
kowa
1
Das Handelsblatt hat mal journalistisch gearbeitet:
http://www.handelsblatt.com/unternehmen/it-medien/router-hack-protokoll ...
(Lesenswert!)
Alle anderen hatten keine Kapazitäten... (?)
e mare libertas
buc
http://www.handelsblatt.com/unternehmen/it-medien/router-hack-protokoll ...
(Lesenswert!)
Alle anderen hatten keine Kapazitäten... (?)
e mare libertas
buc
