News Telekom-Ausfall wurde durch missglückten Botnet-Angriff verursacht
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Einen Tag, nachdem der vermeintliche Ausfall von über 900.000 DSL-Anschlüssen der Telekom in Deutschland in den Schlagzeilen war, zeichnet sich langsam ab, was die Ursache dafür war. Während die Telekom zunächst noch im Dunkeln tappte, wurde bereits gestern der Verdacht laut, dass es sich um einen Hacker-Angriff handeln könnte. Heute wurde bekannt, dass nicht die Infrastruktur-Knoten der Telekom das Ziel des Angriffs waren, sondern die Millionen von Router der DSL-Kunden.
(…)
» Artikel lesen
(…)
» Artikel lesen
Karli9
Fleet Captain Special
"Die Lücke betrifft die Fernwartungsschnitte TR-069..." Die arme Schnitte 
Sollte doch bestimmt Schnittstelle heißen??
Sollte doch bestimmt Schnittstelle heißen??
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.608
- Renomée
- 422
- Standort
- Bayern, am Rande des Wahnsinns
Fernwartungsschnittstellen können für Angriffe missbraucht werden?
Hätte uns doch bloß mal jemand gewarnt!!!!
Hätte uns doch bloß mal jemand gewarnt!!!!
bschicht86
Redaktion
☆☆☆☆☆☆
Man stelle sich nur vor, der Hack wäre geglückt. Dann hätte wohl tagelang überhaupt niemand was gemerkt.
TR-069 hat einen Bruder TR-064, der nur für Geräte im LAN zuständig sein soll.
Der hat aber bei den betreffenden Routern auch Befehle aus dem Internet angenommen und das ohne Authentifizierung, was im LAN nicht so schlimm ist.
Aber man kann eigene Defizite auf die pösen Hacker abwälzen.
So sehen die Einstellungen bei meinem gefritzen Speedport aus.
Auto Konfiguration TR69: Das automatische Einrichten durch den Dienstanbieter ist ausgeschaltet .
LAN Auto Konfiguration TR64: Das automatische Einrichten durch den Dienstanbieter aus dem lokalen Netz vom PC aus ist ausgeschaltet.
Der hat aber bei den betreffenden Routern auch Befehle aus dem Internet angenommen und das ohne Authentifizierung, was im LAN nicht so schlimm ist.
Aber man kann eigene Defizite auf die pösen Hacker abwälzen.
So sehen die Einstellungen bei meinem gefritzen Speedport aus.
Auto Konfiguration TR69: Das automatische Einrichten durch den Dienstanbieter ist ausgeschaltet .
LAN Auto Konfiguration TR64: Das automatische Einrichten durch den Dienstanbieter aus dem lokalen Netz vom PC aus ist ausgeschaltet.
Nightshift
Grand Admiral Special
- Mitglied seit
- 19.08.2002
- Beiträge
- 4.447
- Renomée
- 81
- Standort
- Tief im Weeeeeesss-teheheheeen ;-)
Das war kein Hacker Angriff. Ich wusste nur meine IP nicht mehr und habe einfach mal alle durchprobiert, als ich auf meine FritzBox zuhause zugreifen wollte.
Aber Spaß beiseite: Ich bin verdammt froh keinen Teledumm-Router gewählt zu haben, sondern mir schön die eigene Fritzbox gekauft und durchkonfiguriert zu haben.
Aber Spaß beiseite: Ich bin verdammt froh keinen Teledumm-Router gewählt zu haben, sondern mir schön die eigene Fritzbox gekauft und durchkonfiguriert zu haben.
flashbang
P3DN Vize-Kommandant, Special, ,
Ich hoffe so sehr das den Leuten das "Internet of Things" so um die Ohren fliegt. So unausgegorener, billig produzierter Mist strotzt doch nur vor Lücken und es wird fröhlich als "smart" verkauft. Natürlich braucht man für jedes Gerät eine App da der Toaster dann so super schlau ist und im Internet hängt.....
cyrusNGC_224
Grand Admiral Special
Überhaupt die Frage, was die damit bezwecken wollten. Ein Eingriff, der sofort auffällt (Grundfunktionen beeinflusst), ist irgendwie sinnlos.
Das! Ist überhaupt witzig, wie die Bundesregierung jetzt drüber nachdenkt, wie man nun Industrie 4.0, WebX.0 usw. usf. dazu verpflichten könnte, regelmäßig für Sicherheitsupdates zu sorgen. Wo es netzwerkbasierende Infrastruktur nun schon Jahrzehnte gibt.
Stattdessen prescht man mit süffisant vermarkteten Zensurmethoden vor, die man sich von diversen Partnern abguckt (China).
tomturbo
Technische Administration, Dinosaurier
Da sollte man zuallererst einmal Cisco einen ordentlichen vor den Latz knallen.
Von denen bekommt man Security Updates nur wenn man einen laufenden Wartungsvertrag bei einem Partner hat.
Eine vorprogrammierte Sicherheitslücke.
Von denen bekommt man Security Updates nur wenn man einen laufenden Wartungsvertrag bei einem Partner hat.
Eine vorprogrammierte Sicherheitslücke.
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.608
- Renomée
- 422
- Standort
- Bayern, am Rande des Wahnsinns
tomturbo: Wir haben seit kurzem unsere Cisco Coreswitche ausrangiert. Alles in allem reden wir hier von einer Investition wo wir langsam den 6-Stelligen Bereich verlassen, nur für die Anschaffung. Support ist aber trotzdem ne Katastrophe.
Da sind scheinbar alle Anbieter nicht so toll.
Da sind scheinbar alle Anbieter nicht so toll.
MagicEye04
Grand Admiral Special
Außer man will einfach nur gezielt auf diese Lücke hinweisen. Sowas machen ethisch korrekte Hacker im eigentlichen Definitionssinne nunmal.
tomturbo
Technische Administration, Dinosaurier
Wir haben im 6stelligen Bereich von Cisco INKOMPATIBLE Erweiterungskarten geliefert bekommen die beim Einbau, im laufenden Betrieb, was ja lt. Cisco überhaupt kein Problem ist, den Core Switch gecrasht haben und bis heute (jetzt 3 Wochen) nicht funktionieren.
Seit dem letzten Firmwareupgrade geht OSPF nicht mehr, usw. usf.....
Cisco eben....
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Ich hab gestern etliche Artikel und Folgelinks dazu gelesen. Wenn ich das richtig verstanden habe, ist der Hack bei den Telekom-Routern fehlgeschlagen, weil diese beim Versuch via TR-069 Schadcode einzuimpfen, ein Zertifikat haben wollten, den Zugriff geblockt haben und deswegen durch Überlastung abgestürzt sind. Das gilt für die genannten Telekom-Router.
Aber die Speedports werden ja nicht die einzigen Router mit dem genannten DSL-Modemtyp sein. Wer sagt denn, dass der Hack bei Modellen, die nicht am Zertifikat abgesemmelt sind, nicht doch funktioniert hat und jetzt Millionen von Zombie-Routern online sind
Der Angriff hat ja nicht nur in Deutschland, sondern weltweit stattgefunden!
Was ich an der Sache nur nicht verstehe: anscheinend wurde doch eine Sicherheitslücke in einem DSL-Modem ausgenutzt. Nach meinem Verständnis vom Aufbau eines kombinierten DSL-Routers mit Modem wie es die Speedports sind, liegt das Modem intern doch vor dem Router-Teil. Ich kann ja auch ein reines DSL-Modem betreiben und einen separaten Router dahinterklemmen. Was hat dann das Schließen oder Öffnen von Port 7547 im Router-Teil für eine Auswirkung, wenn das Modem davor hängt?
Aber die Speedports werden ja nicht die einzigen Router mit dem genannten DSL-Modemtyp sein. Wer sagt denn, dass der Hack bei Modellen, die nicht am Zertifikat abgesemmelt sind, nicht doch funktioniert hat und jetzt Millionen von Zombie-Routern online sind
Der Angriff hat ja nicht nur in Deutschland, sondern weltweit stattgefunden!Was ich an der Sache nur nicht verstehe: anscheinend wurde doch eine Sicherheitslücke in einem DSL-Modem ausgenutzt. Nach meinem Verständnis vom Aufbau eines kombinierten DSL-Routers mit Modem wie es die Speedports sind, liegt das Modem intern doch vor dem Router-Teil. Ich kann ja auch ein reines DSL-Modem betreiben und einen separaten Router dahinterklemmen. Was hat dann das Schließen oder Öffnen von Port 7547 im Router-Teil für eine Auswirkung, wenn das Modem davor hängt?
Zuletzt bearbeitet:
tomturbo
Technische Administration, Dinosaurier
Für das Modem spielt es keine Rolle was Du am Router machst.
Wenn Du nicht in der Lage bist am Modem das TR-069 abzuschalten, dann bist Du dort auf jeden Fall offen.
Wenn Du nicht in der Lage bist am Modem das TR-069 abzuschalten, dann bist Du dort auf jeden Fall offen.
ja, sind integriert, was anderes gibt es ja heutzutage kaum noch. Jedenfalls dürfte das einer von hunderten oder tausenden ähnlicher Angriffen auf ähnliche Geräte sein, der nur in diesem Fall mal aufgefallen ist, weil "der Router nicht mehr ging", sprich keine Internetverbindung mehr möglich war. Von den Hackern beabsichtigt war ja wohl, daß der Router normal weiterfunktioniert, nur eben zusätzlich von den Hackern für den Spammailversand oder für DDOS-Attacken benutzt werden kann, so daß das möglichst lange (Monate bis Jahre) nicht auffällt. Die legen sich so ein Botnetz an und vermieten dann zeitweise Kapazitäten davon an andere Tunichtgute. In diesem speziellen Fall dürfte es ein Softwarebug im Schadcode gewesen sein, der den anderen Softwarebug nicht wie gewünscht ausnutzen konnte. So eine Art modernes "Minus mal Minus ergibt Plus"
Ich würde mir auch mal eine bessere Berichterstattung wünschen. In der IT-Fachpresse steht ja was handfestes dazu, aber welcher "normale", d.h. IT-unbedarfte Mensch liest denn sowas? Es müssen auch in der Tagesschau, Tageszeitungen usw. mal ein paar Details genannt werden. Wenn eine Wurst Metallstückchen enthält und zurückgerufen werden muß, dann wird gesagt "das Produkt Bärchenwurst mit Knoblauch 125 g von Mühlenwalder mit Mindesthaltbarkeitsdatum 1.12.2016 ist betroffen, vor dem Verzehr wird gewarnt, Kunden können sich die Kaufsumme im Laden erstatten lassen", also kann jeder in seinem Kühlschrank nachgucken. Aber ob man nun von diesem IT-Angriff betroffen ist und falls ja, was man tun soll, wird nicht gesagt. Was macht also der normale Mensch, der kaum weiß, ob er DSL oder Kabelanschluß hat? Genau: Nichts. So bekämpft man Botnetze nicht.
Ich würde mir auch mal eine bessere Berichterstattung wünschen. In der IT-Fachpresse steht ja was handfestes dazu, aber welcher "normale", d.h. IT-unbedarfte Mensch liest denn sowas? Es müssen auch in der Tagesschau, Tageszeitungen usw. mal ein paar Details genannt werden. Wenn eine Wurst Metallstückchen enthält und zurückgerufen werden muß, dann wird gesagt "das Produkt Bärchenwurst mit Knoblauch 125 g von Mühlenwalder mit Mindesthaltbarkeitsdatum 1.12.2016 ist betroffen, vor dem Verzehr wird gewarnt, Kunden können sich die Kaufsumme im Laden erstatten lassen", also kann jeder in seinem Kühlschrank nachgucken. Aber ob man nun von diesem IT-Angriff betroffen ist und falls ja, was man tun soll, wird nicht gesagt. Was macht also der normale Mensch, der kaum weiß, ob er DSL oder Kabelanschluß hat? Genau: Nichts. So bekämpft man Botnetze nicht.
Zuletzt bearbeitet:
G
Gast29012019_2
Guest
Im Grunde ist Jedes Gerät unsicher, wenn es entsprechend so eingestellt ist.
Im Grunde hätte schon eine Fritzbox gereicht, da ist lediglich der Port 443 offen, den ich geändert habe. Alles andere ist dicht, und auch automatische Einrichtung durch den Anbieter ist deaktiviert. Alles eine Sache der Einstellungssache.
Das dies aber mit den Speed-Ports nur eingechränkt möglich ist, ist nicht neues.
Außerdem wenn man den Artikel gelesen hat, waren nur einige ECHTE SPEEDPORTS betroffen, alles andere nicht. Sprich alle die AVM-Hardware hatten waren nicht betroffen, aber die Teile taugen ebend nur für die graue Tonne.
2 Telekom Kunden haben von mir eine Fritzbox installiert bekommen und da liefen die Anschlüsse. 8)
Zuletzt bearbeitet:
MagicEye04
Grand Admiral Special
Das Modem läßt ja alles ungefiltert durch und auch ein Router im reinen Modembetrieb läßt alles durch.Was hat dann das Schließen oder Öffnen von Port 7547 im Router-Teil für eine Auswirkung, wenn das Modem davor hängt?
Ich würde mal sagen, wenn der Router-Teil abgeschaltet ist, dürfte das Teil dann nicht betroffen sein.
Der Hack ist bei den Telekom-Routern vor allem deswegen fehlgeschlagen, weil er eine Linux-Lücke ausnutzt und die Speedports in der Regel irgendwas proprietäres als System haben. Da lief der Befehl einfach ins Leere und allein die Überlastung durch die vielen Anfragen war das Problem für die Telekom.
Das heißt dann wohl, dass Router mit embedded Linux und der Lücke in aktiven Fernwartungsprotokollen, unbemerkt kompromittiert werden konnten und jetzt Teil eines Botnetzes sind. Linksys, Asus und Buffalo sind solche Kandidaten und davon gibt es wohl mehr als Speedports, die zudem nur lokal begrenzt genutzt werden können.
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.608
- Renomée
- 422
- Standort
- Bayern, am Rande des Wahnsinns
http://www.heise.de/newsticker/meld...der-Telekom-Was-wirklich-geschah-3520212.html
Interessanter Weise sollen die gestörten Router ja nichtmal anfällig gewesen sein, wie MagicEye04 schon angedeutet hatte.
Eben nur Linux-basierte Router, und da in der Hauptsache auch nur ein Hersteller, der nichtmal bei uns in Deutschland verbreitet ist.
Die Großstörung dürfte jedenfalls das Thema IT-Sicherheit und "Internet-of-(shitty)Things" stärker der Öffentlichkeit ins Bewusstsein bringen. Zumindest ist das meine Hoffnung.
Interessanter Weise sollen die gestörten Router ja nichtmal anfällig gewesen sein, wie MagicEye04 schon angedeutet hatte.
Eben nur Linux-basierte Router, und da in der Hauptsache auch nur ein Hersteller, der nichtmal bei uns in Deutschland verbreitet ist.
Die Großstörung dürfte jedenfalls das Thema IT-Sicherheit und "Internet-of-(shitty)Things" stärker der Öffentlichkeit ins Bewusstsein bringen. Zumindest ist das meine Hoffnung.
G
Gast29012019_2
Guest
D.H lediglich optional möglich, ob tatsächlich jeder Anbieter es umsetzt steht auf einem ganz anderen Blatt.
ja, das ändert die Sache erheblich!
| Eine wie auch immer geartete Infektion gab es dabei nicht. Die Angriffe hätten also die Telekom-Router gar nicht infizieren können, weil diese die TR-069-Lücke gar nicht aufwiesen. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde. |
Tja, vielleicht hilft es irgendwie, auch wenn es nun gar nicht direkt was damit zu tun hat.
Zuletzt bearbeitet:
G
Gast29012019_2
Guest
Naja keine Ahnung was da verzapft wird, fakt ist das Bekannte mit echten "Speedport" Probleme hatten, und jene die eine "Fritzbox" hatten nicht, das erklärt doch alles.
