• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Netzwelt] ~ 900.000 Kunden der Telekom ohne Internet & Telefon - Hackerangriff vermutet

800px-Adsl_connections.jpg Seit Sonntag Nachmittag waren knapp eine Million Kunden der Telekom ohne funktionierendes Internet, TV und Telefon. Grund dafür war wohl Schadsoftware welche per Fernwartungsschnittstelle auf Router des taiwanesischen Herstellers Arcadyan und die entsprechenden Speedport-Router eingespielt werden sollte. In Folge dieser versuchten Übernahme kam es zu den massiven Problemen der Router und des damit verbundenen Internet der betroffenen Telekom-Kunden.

Im Rahmen des Angriffs wurde wohl der Versuch gestartet entsprechende Router zum Teil eines Botnetzes zu machen - in diesem aktuellen Fall des Botnetz Mirai. Auch das Resetten der Router durch kurzes Abklemmen vom Stromnetz brachte in den meisten Fällen keinen Erfolg. Mittlerweile funktioniert das Internet bei den meisten Kunden der Telekom aber wieder.

Quelle: Tagesspiegel und Radio + Bildquelle: Asim18 @ Wikimedia.Commons
 

TheOnly1

RBTV | ngb | BMG
Veteran

Registriert
14 Juli 2013
Beiträge
8.901
Ort
Zimmer 237
@Hector:
Alter...das haben die doch bitte nicht wirklich SO offiziell in DIESEM Wortlaut veröffentlicht??? :confused: :m

(Ist ne rhetorische Frage, ich sehe ja, dass es verlinkt ist...)
 
Zuletzt bearbeitet:

DocKugelfisch

Neu angemeldet

Registriert
26 Okt. 2016
Beiträge
30
Ort
Астана
Aktuell zum Thema auch dieser Thread über die Nutzung alternativer DNS Server.
Hab dort ein paar Messungen durchgeführt und eine Liste nicht kompromittierter DNS Server von Wikileaks hinzugefügt. (u.a. Claranet, DigitalCourage, et c.)

P.S. Ich persönlich war nicht betroffen mit einer debrandeten 1&1 Fritzbox. Seit dem debranden gibts direkt Updates von AVM ohne Verzögerung. Selbstverständlich habe ich die Fernwartung untersagt, ALLE Ports geschlossen, UPNP deaktiviert und so weiter.
Die paar Kleinighkeiten reichen schon, aber IPCop wird immer interessanter :cool:
 
Zuletzt bearbeitet:

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.909
6. Hätte der Angriff verhindert werden können?
Nach heutigen Erkenntnissen, nein. Aber die Detailanalyse läuft noch. Der Angriff war Teil einer weltweiten Aktion, so hat es das BSI bestätigt.
Hm, wie wäre es mit: TR-069 nicht benutzen?

Edit: Sehe gerade, hier steht noch etwas zu den Hintergründen. Fand den Link gerade in einem anderen Forum. Sofern das stimmt, ist die Software wirklich lächerlich programmiert.
 
Zuletzt bearbeitet:

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
@thom53281:

Du meinst die Routersoftware?

Dann hatte die Telekom also möglicherweise Recht in Bezug auf das TR-069 Protokoll.

Es nicht zu benutzen hätte also auch nichts geholfen und die Fernwartung durch den Provider ist nicht das Problem, sondern das Protokoll, welches der User benutzt.
Das läßt sich wohl schwer deaktivieren.
 

Hector

Board-Paladin

Registriert
16 Juli 2013
Beiträge
4.383
Wobei ich das generelle Gebashe über die Fernwartung, sprich, die Möglichkeit an sich nicht unbedingt nachvollziehen kann. Viele brüsten sich aktuell damit, dass sie das alles, wie auch automatische Updates ...ausgeschaltet haben und fühlen sich wie die Größten Jungs auf dem Schulhof nun.

Ja, ein ITler mag sich darum selbst kümmern können. Das Problem ist jedoch, dass in jedem IT-affinen Forum die User immer denken, sie seien der Nabel der Welt und gucken aus ihrer Bubble nicht raus. Da draußen interessiert sich für den Router kein Schwein. Der 08/15 User kriegt dadurch Updates und bei Problemen geholfen. (In der Regel). Für den ist das gut. Und der macht nunmal 90%, wenn nicht mehr, der Kundengruppe aus.

Grundsätzlich! finde ich solche Funktionen also gut.

Ob sie abgesichert sind entsprechend, steht natürlich auf einem anderen Blatt.
 

mathmos

404

Registriert
14 Juli 2013
Beiträge
4.415
Ob sie abgesichert sind entsprechend, steht natürlich auf einem anderen Blatt.

Und genau das ist doch das Problem. Das Protokoll ist an sich schon ein halber schweizer Käse. Und seit Jahren macht es Probleme. Aber seitens der Telekom (und ziemlich wahrscheinlich auch von den anderen Anbietern) wird halt nichts unternommen. Und kaum knallt es mal etwas lauter ist es auf einmal möglich, den Zugriff auf den betreffenden Port zu sperren (noch bevor die neue Software fertig ist). Warum baut man nicht einfach die Software des Routers so, dass sich nur explizit angegebene "Updateserver" sich über TR-069 verschlüsselt verbinden dürfen und der Rest wird abgewiesen? Ich bin zum Beispiel einer derjenigen, die den Router bewusst per Hand updaten (was übrigens bei mir nichts mit angeben zu tun hat). Ich wüsste nicht, dass ich TR-069 schon jemals absichtlich genutzt hätte. Warum darf es dann Lieschen Müller?
 

KaPiTN

♪♪♫ wild at heart ♪♫♫♪

Registriert
14 Juli 2013
Beiträge
29.138
Das gefährliche an Fernwartung über TR-069 ist, daß diese nicht auf den Router beschränkt ist, sondern das Protokoll auch Zugriff auf Geräte im Lan ermöglichen soll.
Selbst wenn dem nicht so wäre, was it alleine mit Festplatten, die am Router hängen?
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Nunja - alle anderen Hersteller außer DIESE Telekom-Router haben das Thema ja im Griff?
Über den angegriffenen Port 7547 läuft auch TR-064 welches lt. definition aber nur lan-intern erreichbar sein darf nicht nach außen.

und TR-069 schreibt auch Authentifizierung vor bzw. soll / kann verschlüsselt werden.
Zitat aus der Spezifikation:
If the CPE is not authenticated using SSL/TLS, the ACS MUST authenticate the CPE using HTTP. IfSSL/TLS is being used for encryption, the ACS MAY use either basic or digest authentication [6]. IfSSL/TLS is not being used, then the ACS MUST use digest authentication.

Desweiteren wurde die Telekom ja auch die Probleme hingewiesen und es hieß *wir sind sicher*-
Die anderen Router sind auch sicher... > der eigene kann hier getestet werden: klick

Also finde ich die Aussage im FAQ mehr als lächerlich und schlicht eine Falschaussage.
Ja 100% Sicherheit gibt es nicht - nur auf bekannte Schwachstellen sollte man sich innerhalb von 2 Jahren einstellen können wenn man sogar persönlich darüber informiert wird und zusätzlich die schöne Möglichkeit hat alle Problemkandidaten per remote-update unbemerkt zu patchen und eben nicht auf goodwill des Kunden angewiesen ist.
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Was ja zeigt: Welches Protokoll da jetzt missbraucht wird spielt eigentlich keine Rolle.
Das ist einfach nur eine Frechheit und die Telekom war sicher jetzt nur zufällig betroffen, weil mit einem einzelnen Angriff mehr Router getroffen werden konnten.
Oder die Angreifer haben schon so viel Routine darin, Hunderttausende Router zu kapern, dass sie jetzt einen Flüchtligkeitsfehler gemacht haben... Sollte eigentlich ein Witz sein, aber..
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
spannend :) - gut dann stimmt zumindest doch ein wenig *eher* die Aussage das sie Imun sind gegen die Schwachstelle.
Das der Wartungsport dennoch aus dem Public-Internet erreichbar ist und nicht nur aus z.B. einem wartungs-vlan bleibt dennoch unschön...
andere Anbieter z.B. Kabel-Deutschland /Vodafone und die machen beileibe genug mist - machen management über eigene vLans ...
 

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Passend habe ich gestern ein Video von 'Uncle Bob Martin' gesehen 'Future of Programming'. In den letzten 8 Minuten spricht er über genau sowas:

Hauptthesen:
* Zu beginn der Computerzeit (1945 und folgende Jahrzehnte) waren Programmierer bereits erfahrene 'professionals' in ihrem jeweiligen Bereich bevor sie programmierten. 70er Jahre bis 90er Jahre - und heute evtl auch noch - verdoppelte sich jedoch die Zahl der Programmierer alle 5 Jahre.
* Daraus folgt, dass stets die Hälfte aller Programmierer auf der Welt weniger als 5 Jahre Berufserfahrung haben und es insbesondere zu wenige Lehrer gibt. Die Programmierergemeinde muss wieder erwachsen bzw. professionell werden.
* Mehr noch, brauchen Programmierer wie Ärzte und Anwälte einen Ethos, der auch wie bei diesen durch eine externe Instanz durchgesetzt wird.
* Denn an Programmierern hängt die Welt 'Civilization depends on us, in ways it dont understand. In ways we dont yet understand'.
* Er geht davon aus, dass spätestens, wenn Programmierer ein Disaster produzieren und zehntausende töten, der Staat als externe Instanz durch Regulierung auftreten wird - und die Gemeinschaft sollte dem eben zuvorkommen und jetzt schon eine solche externe Instanz herausbilden.

Zur praktischen Umsetzung sagt er leider nichts :D.
 

thom53281

SYS64738
Teammitglied

Registriert
14 Juli 2013
Beiträge
6.909
Daraus folgt, dass stets die Hälfte aller Programmierer auf der Welt weniger als 5 Jahre Berufserfahrung haben und es insbesondere zu wenige Lehrer gibt. Die Programmierergemeinde muss wieder erwachsen bzw. professionell werden.
Ich persönlich sehe das nicht wirklich als ein Problem. Zumindest nicht direkt.

Man kann Programmieren lernen, ja. Eine Ausbildung ist in dem Sinne auch sehr vorteilhaft Berufserfahrung auch. Aber dadurch wird man nicht unbedingt ein sehr guter Programmierer, auch mit den besten Lehrern nicht. Es gibt auch genügend Leute, die in der Schule in vielen Fächern gute Noten haben, aber doch hinten und vorne keine Ahnung. Ein wirklich guter Programmierer wird man nur, wenn man privat bereits vor dem Berufsanfang Interesse an der ganzen Sache hatte und auch bereits selbst programmiert hat und mit Herzblut dabei ist.

Den Code können meiner Meinung nach auch Leute schreiben, die nicht die perfekte Ahnung vom Programmieren haben (aber etwas Ahnung schadet nicht...). Wichtig ist aber, dass der Code von einem solchen "Experten" zum Schluss nochmal verifiziert und auf mögliche Schwachstellen untersucht wird. Gerade das fehlt meiner Meinung nach mittlerweile in vielen Fällen und obwohl natürlich niemand perfekten Code liefern kann, beugt gerade das bereits viele Probleme vor. Zumindest so etwas wie die o. g. Lücke wäre so auf jeden Fall aufgefallen.


PS: Habe das Video jetzt nicht geschaut.
 

Monty

Faulpelz

Registriert
13 Juli 2013
Beiträge
1.560
Ort
LV, NV
Und kaum knallt es mal etwas lauter ist es auf einmal möglich, den Zugriff auf den betreffenden Port zu sperren (noch bevor die neue Software fertig ist). Warum baut man nicht einfach die Software des Routers so, dass sich nur explizit angegebene "Updateserver" sich über TR-069 verschlüsselt verbinden dürfen und der Rest wird abgewiesen?

Natürlich kann jeder ISP konfigurativ gezielt Ports sperren. Allerdings kannst du davon ausgehen, egal um welchen Port es geht, wird irgendein Kunde ankommen und dem Provider genau das ankreiden. Ich gehe auch davon aus, dass der Port wieder freigegeben wird, wenn der Rollout der Firmware-Updates weitgehend abgeschlossen wurde.

Es ist übrigens so, dass die eigentliche Verbindung zwischen Router und ACS-Server ausnahmslos vom IAD ausgeht. Das IAD baut diese Verbindung (zur ihm bekannten Adresse des Servers) in gewissen Zeitabständen oder beim Reboot automatisch auf oder eben, wenn der ACS eine entsprechende Aufforderung sendet. Der ACS bittet das Endgerät nur darum die Verbindung zu initiieren und kann diese nicht selbst aufbauen. Nur dafür wird der offene Port genutzt.

Natürlich ist es einfach zu sagen: Fernwartung deaktivieren und alles selber updaten. Wenn man sich damit auskennt, beseitigt man damit auf jedenfalls ein potenzielles Einfallstor.
Fakt ist aber auch, dass es auch viele Kunden gibt die nur Anwender sind. Diesen muss man es möglichst einfach machen. Wer mal im technischen Support mit Endanwendern aus dem Privatkundenumfeld gearbeitet hat, weiß das es oft schon am finden der Adresszeile ohne Erklärung scheitert. Diese Kunden sollen nun alle selbstständig regelmäßig Firmware-Updates durchführen?

So, steinigt mich :p
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Nein monty du hast schon recht, es ist aber vor allem bei den mitgelieferten Routen kein Problem den wartungszugang in ein eigenes management vlan zu legen und damit für die Öffentlichkeit nicht zugänglich zu machen. Schaffen andere Anbieter ja auch....
 

TBow

The REAL Cheshire Cat

Registriert
15 Juli 2013
Beiträge
4.252
Eine Verdächtiger wurde festgenommen...

Britische Polizei verhaftet mutmaßlichen Hacker

Die britische Polizei hat einen Verdächtigen festgenommen, der für einen Hackerangriff auf die Deutsche Telekom verantwortlich sein soll. Der 29 Jahre alte Mann wurde am Mittwoch von Mitarbeitern der National Crime Agency an einem Londoner Flughafen gefasst. Das bestätigte das Bundeskriminalamt (BKA) in einer Mitteilung. Dem Mann werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen, heißt es in der Mitteilung.

http://www.zeit.de/digital/internet...r-angriff-november-tatverdaechtiger-festnahme
 
Oben