[Netzwelt] ~ 900.000 Kunden der Telekom ohne Internet & Telefon - Hackerangriff vermutet

Jump to last post
800px-Adsl_connections.jpg Seit Sonntag Nachmittag waren knapp eine Million Kunden der Telekom ohne funktionierendes Internet, TV und Telefon. Grund dafür war wohl Schadsoftware welche per Fernwartungsschnittstelle auf Router des taiwanesischen Herstellers Arcadyan und die entsprechenden Speedport-Router eingespielt werden sollte. In Folge dieser versuchten Übernahme kam es zu den massiven Problemen der Router und des damit verbundenen Internet der betroffenen Telekom-Kunden.

Im Rahmen des Angriffs wurde wohl der Versuch gestartet entsprechende Router zum Teil eines Botnetzes zu machen - in diesem aktuellen Fall des Botnetz
You do not have permission to view link please Anmelden or Registrieren
. Auch das Resetten der Router durch kurzes Abklemmen vom Stromnetz brachte in den meisten Fällen keinen Erfolg. Mittlerweile funktioniert das Internet bei den meisten Kunden der Telekom aber wieder.

Quelle:
You do not have permission to view link please Anmelden or Registrieren
und Radio + Bildquelle:
You do not have permission to view link please Anmelden or Registrieren
@
You do not have permission to view link please Anmelden or Registrieren
 
Zuletzt bearbeitet von einem Moderator:
Zum Vergrößern anklicken....
You do not have permission to view link please Anmelden or Registrieren

Alter...das haben die doch bitte nicht wirklich SO offiziell in DIESEM Wortlaut veröffentlicht??? :confused: :m

(Ist ne rhetorische Frage, ich sehe ja, dass es verlinkt ist...)
 
Zuletzt bearbeitet:
Wird ja immer besser...

Auf keinem Router ist die Schadsoftware installiert worden", betonte Telekom-Manager Dirk Backofen bei der Eröffnung des Magenta Security Kongresses in Frankfurt.
Quelle:
You do not have permission to view link please Anmelden or Registrieren
Zum Vergrößern anklicken....

Aber im Grunde hat er recht. Die drei Dateien wurden wohl "nur" heruntergeladen ausgeführt. Alles ist gut. :T
 
Aktuell zum Thema auch dieser Thread über die Nutzung alternativer DNS Server.
Hab dort ein paar Messungen durchgeführt und eine Liste nicht kompromittierter DNS Server von Wikileaks hinzugefügt. (u.a. Claranet, DigitalCourage, et c.)

P.S. Ich persönlich war nicht betroffen mit einer debrandeten 1&1 Fritzbox. Seit dem debranden gibts direkt Updates von AVM ohne Verzögerung. Selbstverständlich habe ich die Fernwartung untersagt, ALLE Ports geschlossen, UPNP deaktiviert und so weiter.
Die paar Kleinighkeiten reichen schon, aber
You do not have permission to view link please Anmelden or Registrieren
wird immer interessanter :cool:
 
Zuletzt bearbeitet:
Hector schrieb:
6. Hätte der Angriff verhindert werden können?
Nach heutigen Erkenntnissen, nein. Aber die Detailanalyse läuft noch. Der Angriff war Teil einer weltweiten Aktion, so hat es das BSI bestätigt.
Zum Vergrößern anklicken....
Hm, wie wäre es mit: TR-069 nicht benutzen?

Edit: Sehe gerade,
You do not have permission to view link please Anmelden or Registrieren
steht noch etwas zu den Hintergründen. Fand den Link gerade in einem anderen Forum. Sofern das stimmt, ist die Software wirklich lächerlich programmiert.
 
Zuletzt bearbeitet:
You do not have permission to view link please Anmelden or Registrieren


Du meinst die Routersoftware?

Dann hatte die Telekom also möglicherweise Recht in Bezug auf das TR-069 Protokoll.

Es nicht zu benutzen hätte also auch nichts geholfen und die Fernwartung durch den Provider ist nicht das Problem, sondern das Protokoll, welches der User benutzt.
Das läßt sich wohl schwer deaktivieren.
 
Wobei ich das generelle Gebashe über die Fernwartung, sprich, die Möglichkeit an sich nicht unbedingt nachvollziehen kann. Viele brüsten sich aktuell damit, dass sie das alles, wie auch automatische Updates ...ausgeschaltet haben und fühlen sich wie die Größten Jungs auf dem Schulhof nun.

Ja, ein ITler mag sich darum selbst kümmern können. Das Problem ist jedoch, dass in jedem IT-affinen Forum die User immer denken, sie seien der Nabel der Welt und gucken aus ihrer Bubble nicht raus. Da draußen interessiert sich für den Router kein Schwein. Der 08/15 User kriegt dadurch Updates und bei Problemen geholfen. (In der Regel). Für den ist das gut. Und der macht nunmal 90%, wenn nicht mehr, der Kundengruppe aus.

Grundsätzlich! finde ich solche Funktionen also gut.

Ob sie abgesichert sind entsprechend, steht natürlich auf einem anderen Blatt.
 
Hector schrieb:
Ob sie abgesichert sind entsprechend, steht natürlich auf einem anderen Blatt.
Zum Vergrößern anklicken....

Und genau das ist doch das Problem. Das Protokoll ist an sich schon ein halber schweizer Käse. Und seit Jahren macht es Probleme. Aber seitens der Telekom (und ziemlich wahrscheinlich auch von den anderen Anbietern) wird halt nichts unternommen. Und kaum knallt es mal etwas lauter ist es auf einmal möglich, den Zugriff auf den betreffenden Port zu sperren (noch bevor die neue Software fertig ist). Warum baut man nicht einfach die Software des Routers so, dass sich nur explizit angegebene "Updateserver" sich über TR-069 verschlüsselt verbinden dürfen und der Rest wird abgewiesen? Ich bin zum Beispiel einer derjenigen, die den Router bewusst per Hand updaten (was übrigens bei mir nichts mit angeben zu tun hat). Ich wüsste nicht, dass ich TR-069 schon jemals absichtlich genutzt hätte. Warum darf es dann Lieschen Müller?
 
Das gefährliche an Fernwartung über TR-069 ist, daß diese nicht auf den Router beschränkt ist, sondern das Protokoll auch Zugriff auf Geräte im Lan ermöglichen soll.
Selbst wenn dem nicht so wäre, was it alleine mit Festplatten, die am Router hängen?
 
Nunja - alle anderen Hersteller außer DIESE Telekom-Router haben das Thema ja im Griff?
Über den angegriffenen Port 7547 läuft auch TR-064 welches lt. definition aber nur lan-intern erreichbar sein darf nicht nach außen.

und TR-069 schreibt auch Authentifizierung vor bzw. soll / kann verschlüsselt werden.
Zitat aus der Spezifikation:
If the CPE is not authenticated using SSL/TLS, the ACS MUST authenticate the CPE using HTTP. IfSSL/TLS is being used for encryption, the ACS MAY use either basic or digest authentication [6]. IfSSL/TLS is not being used, then the ACS MUST use digest authentication.
Zum Vergrößern anklicken....

Desweiteren wurde die Telekom ja auch die Probleme hingewiesen und es hieß *wir sind sicher*-
Die anderen Router sind auch sicher... > der eigene kann hier getestet werden:
You do not have permission to view link please Anmelden or Registrieren


Also finde ich die Aussage im FAQ mehr als lächerlich und schlicht eine Falschaussage.
Ja 100% Sicherheit gibt es nicht - nur auf bekannte Schwachstellen sollte man sich innerhalb von 2 Jahren einstellen können wenn man sogar persönlich darüber informiert wird und zusätzlich die schöne Möglichkeit hat alle Problemkandidaten per remote-update unbemerkt zu patchen und eben nicht auf goodwill des Kunden angewiesen ist.
 
Was ja zeigt: Welches Protokoll da jetzt missbraucht wird spielt eigentlich keine Rolle.
Das ist einfach nur eine Frechheit und die Telekom war sicher jetzt nur zufällig betroffen, weil mit einem einzelnen Angriff mehr Router getroffen werden konnten.
Oder die Angreifer haben schon so viel Routine darin, Hunderttausende Router zu kapern, dass sie jetzt einen Flüchtligkeitsfehler gemacht haben... Sollte eigentlich ein Witz sein, aber..
 
spannend :) - gut dann stimmt zumindest doch ein wenig *eher* die Aussage das sie Imun sind gegen die Schwachstelle.
Das der Wartungsport dennoch aus dem Public-Internet erreichbar ist und nicht nur aus z.B. einem wartungs-vlan bleibt dennoch unschön...
andere Anbieter z.B. Kabel-Deutschland /Vodafone und die machen beileibe genug mist - machen management über eigene vLans ...
 
Passend habe ich gestern ein Video von 'Uncle Bob Martin' gesehen 'Future of Programming'. In den letzten 8 Minuten spricht er über genau sowas:

Hauptthesen:
* Zu beginn der Computerzeit (1945 und folgende Jahrzehnte) waren Programmierer bereits erfahrene 'professionals' in ihrem jeweiligen Bereich bevor sie programmierten. 70er Jahre bis 90er Jahre - und heute evtl auch noch - verdoppelte sich jedoch die Zahl der Programmierer alle 5 Jahre.
* Daraus folgt, dass stets die Hälfte aller Programmierer auf der Welt weniger als 5 Jahre Berufserfahrung haben und es insbesondere zu wenige Lehrer gibt. Die Programmierergemeinde muss wieder erwachsen bzw. professionell werden.
* Mehr noch, brauchen Programmierer wie Ärzte und Anwälte einen Ethos, der auch wie bei diesen durch eine externe Instanz durchgesetzt wird.
* Denn an Programmierern hängt die Welt 'Civilization depends on us, in ways it dont understand. In ways we dont yet understand'.
* Er geht davon aus, dass spätestens, wenn Programmierer ein Disaster produzieren und zehntausende töten, der Staat als externe Instanz durch Regulierung auftreten wird - und die Gemeinschaft sollte dem eben zuvorkommen und jetzt schon eine solche externe Instanz herausbilden.

Zur praktischen Umsetzung sagt er leider nichts :D.
 
BurnerR schrieb:
Daraus folgt, dass stets die Hälfte aller Programmierer auf der Welt weniger als 5 Jahre Berufserfahrung haben und es insbesondere zu wenige Lehrer gibt. Die Programmierergemeinde muss wieder erwachsen bzw. professionell werden.
Zum Vergrößern anklicken....
Ich persönlich sehe das nicht wirklich als ein Problem. Zumindest nicht direkt.

Man kann Programmieren lernen, ja. Eine Ausbildung ist in dem Sinne auch sehr vorteilhaft Berufserfahrung auch. Aber dadurch wird man nicht unbedingt ein sehr guter Programmierer, auch mit den besten Lehrern nicht. Es gibt auch genügend Leute, die in der Schule in vielen Fächern gute Noten haben, aber doch hinten und vorne keine Ahnung. Ein wirklich guter Programmierer wird man nur, wenn man privat bereits vor dem Berufsanfang Interesse an der ganzen Sache hatte und auch bereits selbst programmiert hat und mit Herzblut dabei ist.

Den Code können meiner Meinung nach auch Leute schreiben, die nicht die perfekte Ahnung vom Programmieren haben (aber etwas Ahnung schadet nicht...). Wichtig ist aber, dass der Code von einem solchen "Experten" zum Schluss nochmal verifiziert und auf mögliche Schwachstellen untersucht wird. Gerade das fehlt meiner Meinung nach mittlerweile in vielen Fällen und obwohl natürlich niemand perfekten Code liefern kann, beugt gerade das bereits viele Probleme vor. Zumindest so etwas wie die o. g. Lücke wäre so auf jeden Fall aufgefallen.


PS: Habe das Video jetzt nicht geschaut.
 
mathmos schrieb:
Und kaum knallt es mal etwas lauter ist es auf einmal möglich, den Zugriff auf den betreffenden Port zu sperren (noch bevor die neue Software fertig ist). Warum baut man nicht einfach die Software des Routers so, dass sich nur explizit angegebene "Updateserver" sich über TR-069 verschlüsselt verbinden dürfen und der Rest wird abgewiesen?
Zum Vergrößern anklicken....

Natürlich kann jeder ISP konfigurativ gezielt Ports sperren. Allerdings kannst du davon ausgehen, egal um welchen Port es geht, wird irgendein Kunde ankommen und dem Provider genau das ankreiden. Ich gehe auch davon aus, dass der Port wieder freigegeben wird, wenn der Rollout der Firmware-Updates weitgehend abgeschlossen wurde.

Es ist übrigens so, dass die eigentliche Verbindung zwischen Router und ACS-Server ausnahmslos vom IAD ausgeht. Das IAD baut diese Verbindung (zur ihm bekannten Adresse des Servers) in gewissen Zeitabständen oder beim Reboot automatisch auf oder eben, wenn der ACS eine entsprechende Aufforderung sendet. Der ACS bittet das Endgerät nur darum die Verbindung zu initiieren und kann diese nicht selbst aufbauen. Nur dafür wird der offene Port genutzt.

Natürlich ist es einfach zu sagen: Fernwartung deaktivieren und alles selber updaten. Wenn man sich damit auskennt, beseitigt man damit auf jedenfalls ein potenzielles Einfallstor.
Fakt ist aber auch, dass es auch viele Kunden gibt die nur Anwender sind. Diesen muss man es möglichst einfach machen. Wer mal im technischen Support mit Endanwendern aus dem Privatkundenumfeld gearbeitet hat, weiß das es oft schon am finden der Adresszeile ohne Erklärung scheitert. Diese Kunden sollen nun alle selbstständig regelmäßig Firmware-Updates durchführen?

So, steinigt mich :p
 
Nein monty du hast schon recht, es ist aber vor allem bei den mitgelieferten Routen kein Problem den wartungszugang in ein eigenes management vlan zu legen und damit für die Öffentlichkeit nicht zugänglich zu machen. Schaffen andere Anbieter ja auch....
 
Eine Verdächtiger wurde festgenommen...

Britische Polizei verhaftet mutmaßlichen Hacker

Die britische Polizei hat einen Verdächtigen festgenommen, der für einen Hackerangriff auf die Deutsche Telekom verantwortlich sein soll. Der 29 Jahre alte Mann wurde am Mittwoch von Mitarbeitern der National Crime Agency an einem Londoner Flughafen gefasst. Das bestätigte das Bundeskriminalamt (BKA) in einer Mitteilung. Dem Mann werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen, heißt es in der Mitteilung.

You do not have permission to view link please Anmelden or Registrieren
Zum Vergrößern anklicken....
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben