In den vergangenen Tagen gab es einen weiträumigen Ausfall von Internetanschlüssen bei der Telekom. Ich bin ja nun etwas raus aus meinem Job, da ich seit 4,5 Jahren Abgeordneter bin, aber was man zum Thema lesen kann ist teilweise haarsträubend, vor allem Vorschläge aus der Politik dazu siehe > [Link]
Ich will versuchen, in einfachen Worten in etwa zu erklären, wie MEIN Wissensstand dazu ist und ich sage von vorneherein, ich kann auch daneben liegen, weil mir aktuell die Zeit fehlt, solche Dinge selber zu durchleuchten.
Als Ausgangspunkt nehmen wir die Router der Kunden. Auf diese Router kann man recht problemlos von Außen zugreifen, und zwar auch ohne jede Befugnis. Die aktuell betroffenen Geräte sind anscheinend sogar komplett ungesichert. Man muss da nicht einmal einen Usernamen und Passwort angeben wie bei jedem ganz gewöhnlichen Kundenkonto im Onlinehandel üblich.
Diese Zugänge dienen dazu, die Router durch Techniker beim ISP konfigurieren zu können. Während das Anliegen des ISP die Router zu konfigurieren durchaus sinnvoll sein kann, ist sein möglicher ungefragter Zugriff auf dieses Gerät in keiner Weise zu rechtfertigen. Allein, dass die Möglichkeit existiert, dass der ISP auf den Router eines Kunden ungefragt zugreifen kann, halte ich persönlich schon für einen Super-GAU. Dabei ginge es anders, ohne großen Aufwand ließe sich ein Mechanismus schaffen, der nur von Intern (also dem eigenen Heimnetz) erreichbar ist und nur auf Aufforderung des ISP, vom Kunden freigeschaltet werden könnte. Updates könnten statt von außen „gepusht“ zu werden, einfach täglich von innen „gepullt“ werden. Der Provider könnte für technisch nicht versierte Kunden ja problemlos Tools und Assistenten anbieten, die das auf Wunsch auch automatisieren. Kunden, die das wollen, müssen aber die Möglichkeit haben, ihre eigene Entscheidung über den Zugang zu ihren eigenen Daten zu treffen!
Aber was ist nun bei den Angriffen der letzten Tage passiert? Nun irgendjemand[TM] wusste, dass es diese Lücken gibt und hat eine Schadsoftware geschrieben bzw. angepasst um diese Router zum Teil eines Botnetzes zu machen. Botnetze? Wir erinnern uns? Das sind Herden von befallenen Geräten, die für Angriffe auf größere Services genutzt werden und diese oft genug auch über Stunden und Tag lahmlegen, oder stark beeinflussen. Um das zu erreichen musste er nichts weiter tun, als über den oben genannten offenen Zugriff auf die Kundenrouter ein Script zu schicken, das dann seinerseits Schadcode nachlädt. Wenn ich alles richtig auf dem Schirm habe, sind dabei reihenweise Router eines bestimmten Typs, im Netz der Telekom, durch diese Aktion ÜBERLASTET gewesen.
Warum schreibst du überlastet groß?
Das ist sehr einfach, denn der allgemeine Irrglaube dürfte hier auf der grenzdebilen Reaktion der Telekom beruhen, die den Angreifern unterstellt den Code schlecht programmiert zu haben. Der Irrglaube besteht nun imo darin, es sei nix größeres passiert, weil der Code schlecht programmiert war. Das ist aus mehrerlei Gründen eine echt dumme Reaktion der Telekom. Zum einen sitzt jetzt irgendwo auf der Welt jemand der sagt „OK, challenge accepted“ zum anderen ist das imo nur die halbe Geschichte. Zumindest ich weiß nicht, auf wie vielen Geräten in anderen Netzen dieser Angriff ggf. funktioniert hat. Das werden vermutlich erst die nächsten Tage zeigen, in denen im Netz weiter gemessen wird, wie häufig diese Attacke noch stattfindet. Oder mit anderen Worten, möglicherweise läuft der Angriff noch und möglicherweise waren bessere Router die auch schlecht konfiguriert in der Lage mit dem Code umzugehen und sind nun Teil eine Botnetzes (bis zum Reboot, da der Schädling nur im Speicher läuft(eine Bewertung unterlasse ich denn auch dazu gibt es seltsame Meinungen))
Übrigens, erwähnte ich, dass die bei diesem Angriff ausgenutzte Sicherheitslücke bereits seit 2014 bekannt ist?
Gestern in unserer Fraktionssitzung wurde gefordert, dass wir uns dazu äußern, ich war anderer Meinung und bin es noch immer, keine voreiligen offiziellen Aussagen dazu, kein Aktionismus, sonst machst du dich u.U. nur lächerlich. Warum ich es heute doch tue? Nun, das liegt in meinem Blog, ist meine Meinung, meine Sicht der Dinge und die Piraten haben damit zunächst mal nix zu tun und steht alles unter der Prämisse „ich kann mich auch irren“, was in diesem Land politisch nicht geht. Politiker haben immer eine unumstößliche Meinung und vor allem, sie haben Recht, immer.
Und es gibt noch mehr Meinung dazu. Im oben verlinkten Text von Golem gibt es sehr gute Hinweise darauf, was sinnvoll ist und was nicht.
Politische Forderungen aus diesem Angriff können imo folgende sein:
– kein ungefragter Zugriff auf Kundenrouter, an keiner Stelle! Die Kontrolle über die eventuell notwendigen Zugriffe obliegt dem Kunden und sonst niemand!
– Router werden für Zeitraum x gepflegt. Wird Zeitraum x nicht eingehalten hat der Hersteller umgehend den Quellcode seiner Betriebssoftware zu veröffentlichen, oder darf seine Geräte hier nicht mehr verkaufen.
– Ist der Zeitraum x abgelaufen stellt der ISP im Falle eines zum Anschluss gehörenden Routers, VOR Ablauf von Zeitraum x ohne jegliche weiteren Kosten ein neues Gerät zu Verfügung.
– Kaufrouter bekommen Sicherheitsrichtlinien und Klassifizierungen. Es gibt eine große Reihe von unterschiedlichen Kunden bei Routern, dem müssen die Geräte Rechnung tragen. die Hersteller sind in der Verantwortung für jeden Kunden ein ausreichend sicheres Gerät zu verkaufen. Assistenzsysteme sind in der DAU-klasse quasi Pflicht.
– Alle ISPs müssen Sicherheitsscans auf ihren Seiten anbieten.
Wir müssen uns vor Augen halten, wie wichtig diese gerät für die Sicherheit unserer Daten sind. Das ist nicht mal eben ein Gerät für das Internet, das ist unsere verdammte digitale Haustür, zu der haben NUR WIR die schlüssel, sonst niemand und die sichern wir, weil Daten in der heutigen Zeit ein sehr kostbares Gut sind!
Und wo sich aus diesem traurigen Anlass zumindest endlich die Gelegenheit bietet, eine umfassende Sicherheitsdiskussion zu starten: Geräte aus dem Bereich des dieser Tage viel diskutierten „Unternet der Dinge“ (IOT) dürften aus meiner Sicht nur noch unter Auflagen von Mindest-Sicherheitsstandards verkauft werden… aber das ist noch einmal eine andere Diskussion.
Edit: Und genau deswegen sagte ich, man solle nicht zu voreilig sein, mit Aussagen zu solchen Themen. Die Router waren gar nicht überlastet, im Sinne von der Code machte ihm zu schaffen, sondern sie waren eigentlich gar immun gegen diesen Angriff, sie wurden zu einem Kollateralschaden, weil sie einen weiteren Fehler besitzen. Allerdings erhärtet sich damit der Verdacht, dass das, was wir sehen konnten, nur die Spitze des Eisberges ist und somit nur der sichtbare Teil des Angriffes, der eigentliche Angriff wäre ohne diesen Kollateralschaden, weitestgehend unentdeckt, bzw. nur unter den Augen der Experten und somit unter Ausschluss der Öffentlichkeit abgelaufen. Oder mit anderen Worten, Dank der Tatsache, dass die Telekom ihre Geräte nicht schon in 2014 gefixed hat, wissen wir, dass es eine massive Attacke auf Router mit dem Fernwartungsprotokoll gibt.
Nachtrag 1.12.2016 meine Befürchtung scheint sich zu bestätigen, das Ziel war nicht die Telekom, der Agriff ist nicht vorbei, siehe [Link]