Seit Mitte Februar wird mein Internetanschluss von Swisscom gesperrt, wenn ich anrufe wieder geöffnet, um dann kurz daruaf wieder gesperrt zu werden. Dieses Spiel lief bisher ca. 10 Male so ab. Auskunft, was der “Missbrauch” ist erhalte ich nicht, nur vage Vermutungen. Hat jemand eine ähnliche Situation erlebt? Welche Vorgehensweise würde man mir vorschlagen? Folgende Fakten sind wichtig zu wissen: - der Anschluss ist auf einer Alp, normalerweise ist niemand vor Ort. - am Anschluss ist kein PC angeschlossen, auch kein Smartphone, kein Pad, kein nichts - angeschlossen sind von Netatmo 3 Thermometer und 1 Relais zur Steuerung von 4 Heizungsradiatoren dazu eine QBee Kamera und 4 MyStromswitches, alles von Swisscom geliefert Bei den ersten Kontakten wurde mir vorgehalten, ich verbreite Viren und zwar den Mirai-Virus. Den PC welchen ich vor Ort (bei Anwesenheit im Ferienhaus) anschliesse, habe ich mitgenommen und 20fach auf Viren geröntgt. So oder so, der PC ist weder am Strom noch mit Ethernet angeschlossen (und trotzdem würde ich Viren verbreiten). Der Secondlevel hat mir als Versuche die Internetbox2 ausgetauscht, da möglicherweise eine Störung von diesem Gerät erfolgen könnte. Auch dies hat nichts gebracht. Mein Anschluss müsse auf Veranlassung von Melani geschlossen werden, Swisscom hätte keine eigene Entscheidungskompetenz. Ich habe dann bei Melani die Situation geschildert und Auskunft verlangt. Aber bei Melani bin ich nicht bekannt und man hat zu keinem Zêitpunkt etwas gegen mich eingeleitet. Swisscom werde sich bei mir melden. Das traf leider bis heute nicht ein. Bei Rückfrage weiss niemand von nichts, aber der Anschluss ist nun bereits wieder geschlossen worden. Wegen Missbrauch…… Das Schlimmste ist, dass man bei Swisscom für einen solchen Spezialfall keinen Ansprechspartner erhält. Immer wieder neue Leute, die sich einlesen müssen und dann doch nicht wissen wie weiter. Könnte man mir sagen, welche Art Daten festgestellt werden, auf welchen Server die laufen, könnte ich vielleicht den Ursprung bei einem der genannten Geräte erkennen und auf den Herstellen/Lieferanten losgehen. Aber niemand bei Swisscom ist in der Lage mir weiterzuhelfen. Hat schon jemand so etwas Verrücktes erlebt? Seine Geschichte könnte mir weiterhelfen.

Wenn Mirai im Spiel ist spricht man von sogenannten IoT Geräten. Von diesen hast du hier ja bereits einige aufgezählt. Abgesehen von einer Netzwerkanalyse könnte man diese Geräte mal auf ein Firmwareupgrade prüfen.

@ElioAntonio Beim Link unten noch ein Hinweis! https://dieviren.de/mirai/ Jedenfalls würde ich mal alle Geräte entfernen, eine Freischaltung verlangen und dann schauen ob das Problem immer noch vorhanden ist. N.b. vor dem Kontakt aufnehmen mit der Swisscom noch die Internet-Box auf Werkeinstellung zurücksetzen.

Also bevor du dann wie blöd rumsuchst, halte ich von den genannten Geräten das unbekannte Relais für den wahrscheinlichsten Übeltäter. Bei Swisscom musst du dich nicht melden. Scheinen ja relativ hilflos zu sein trotz eindeutiger Hinweise 🙂

Grundsätzlich ist die Frage, ob es sich hier um einen Ernstfall oder um eine Fehlerkennung handelt. Ich hatte im Laufe der Jahre schon einige solcher Fälle und im Normalfall war auch recht schnell feststellbar, wo der “Übeltäter” ist. D.h. man konnte den Befall beseitigen und war anschliessend auch die Probleme los. Wie tux schon sagte, können durchaus auch irgendwelche Internet-Thermometer, Kameras etc. befallen werden… es ist ja seit einigen Jahren so, dass jeder Depp via Kickstarter & Co sein Internet-XY (beliebiges Ding hier einsetzen, welches man sinnvoller- oder sinnloserweise ans Internet anhängen könnte) “crowdfounded” und nachher mit Ware in die Prdouktion geht, wo vorher oft keiner drübergeschaut hat, der Ahnung von IT-Sicherheit hat. Netatmo hatte sich hier in der Vergangenheit beispielsweise auch nicht gerade mit Ruhm bekleckert… Was du selber machen könntest ist folgendes: - Alle verbundenen Geräte vom Netz nehmen, Anschluss entsperren lassen - Der Reihe nach (z.B. im Abstand von einigen Tagen) eines nach dem anderen wieder in Betrieb nehmen - Schauen nach der Inbetriebnahme von welchem Gerät dir die Swisscom den Anschluss wieder sperrt. Dann hast du vermutlich das infizierte Teil (Falls du Geräte hast, die via Portfreigabe von aussen erreichbar sind, so wären das die, welche ich in erster Linie als verdächtig anschauen würde.) Alternativ wäre es natürlich auch denkbar, dass irgend eines deiner Geräte einen “Fehlalarm” auslöst. Halte ich nicht für unbedingt wahrscheinlich, aber ist wohl auch nicht unmöglich. Ich glaube vor Jahren mal einen solchen Fall bei einem Kunden gehabt zu haben, wo wir wirklich alle grpüft & abgehängt haben bis am Ende nur noch irgend ein teures & sehr exotisches britisches Soundgerät überigblieb, welches am Netz hing. D.h. entweder das Ding war tatsächlich irgendwie infiziert, oder es hat in einer Weise übers Internet “kommuniziert”, die einen Fehlalarm provoziert hat. Ich weiss leider nicht definitiv, wie die Sache damals ausgegangen ist, weil der Hersteller des Soundgeräts ein Freund des Kunden war und die beiden die Möglichkeit eines “infizierten” Geräts dann bilateral klären wollten. Wie du richtig erkannt hast, ist es nicht unbedingt leicht, hier effizient voranzukommen, weil man seitens der Swisscom kaum nützliche Informationen erhält. D.h. man erfährt (nach meiner Erfahrung) bestenfalls, wann ungefähr die Sperrung ausgelöst wurde, aber keine näheren Angaben welche “Verdachtsmomente” vorliegen bzw. wie diese festgestellt/gemessen werden. Ich habs zumindest noch nie fertiggekriegt in so einem Fall jemanden ans Telefon zu kriegen, der über Grundkenntnisse der IT-Sicherheit verfügt hätte… (Aber wie man mir hier im Forum schon nahegelegt hat, liegt das vielleicht daran, dass ich als Nicht-Swisscom-Partner aus Prinzip in dem Laden zu niemandem Zugang habe, der irgend eine Ahnung hat von dem was er tut. Ob dem so ist sei mal dahingestellt… habe nämlich via einen Kollegen der Partner ist auch schon Abklärungen über die angeblich tolle Partner-Hotline treffen lassen und dabei kam auch nur Unsinn raus.)

Vielen Dank TuxOne Mit IoT meinst du wahrscheinlich Internet der Dinge. So weit so gut, weshalb aber eine Kamera (von Swisscom geliefert und mit HomeApp von Swisscom betrieben und ein Relais von Netatmo einen Virus verbreiten können ist mir schleierhaft. Kamera und Relais plus gesteuerte Thermostaten sind auf dem allerneuesten Firmwarestand. Der Spezialist der Swisscom sagte mir zu meiner geäusserten Vermutung, dass das Netatmo-Relais schlicht ein Relais sei und nicht das Problem sein könne. Bei der QBee-Kamera war er zurückhaltender und sagte, dass er und seine Kollegen eine solche Kamera am Arbeitsplatz hätten und diese nur Probleme biete. Die Datenanalyse ist wohl der einzige Weg. Aber Swisscom scheint mir dafür nicht Hand bieten zu wollen.

Werter Walter genau das habe ich natürlich bereits gemacht: Internetbox 2 auf Werkseinstellung und neu eingerichtet, schlussendlich eine neue Internetbox2 erhalten und nochmals eingerichtet. Ich habe den Anschluss zuerst ohne Kamera und ohne Relais betrieben. Keine Sperrung. Dann habe ich die Kamera dazugeschaltet und ein paar Tage gewartet, keine Sperrung. Dann das Relais zugeschaltet, keine Sperrung. Dann lief das Ganze für zwei Wochen ohne Probleme und seit letztem Freitag nun wieder gesperrt. Ich meine Swisscom ist die einzige Stelle, welche mir mit transparenten Daten weiterhelfen kann. Aber sie tut es nicht.

Aber wer bei Swisscom schaltet dann weshalb mein Internet ab? Das ist kein Automatismus, das wird von Hand gemacht. Die Semantik der Daten muss einen “Alarm” auslösen, aber aus diesen Daten muss mir doch eine Antwort gegeben werden können. Es könnte natürlich die Swisscom-Kamera sein und keiner will sich mit der Offenlegung die Finger verbrennen. @“x”#939schrieb: Also bevor du dann wie blöd rumsuchst, halte ich von den genannten Geräten das unbekannte Relais für den wahrscheinlichsten Übeltäter. Bei Swisscom musst du dich nicht melden. Scheinen ja relativ hilflos zu sein trotz eindeutiger Hinweise 🙂

@ElioAntonio Selber habe ich schon lange mehrere QBee-Camera und mehrere Home-Switch im Einsatz und bis jetzt keine Probleme feststellen können, wie schon erwähnt könnten es die anderen Geräte sein. Die QBee-Camera und die Home-Switch erhalten immer wieder neue Firmware Update welche bei mir auch sofort installiert wurden. N.b. wenn das Problem von den QBee-Camera oder den Home-Switch hervorgerufen würde dann gäbe es hier im Community einige Hinweise und bis jetzt ist nichts bekannt. Probleme mit der QBee-Camera gibt es mit der Bereitschaft wenn man sie über die App aufruft, wurde schon mehrmals gemeldet und hat sich verbessert, aber noch nicht optimal.

Lieber cslu wie du aus meiner vorgehenden Antwort ersehen kannst, bin ich ziemlich genau so vorgegangen wie du dies hier beschreibst. Die Kamera (von Swisscom vertrieben) und das Netatmo sollten eigentlich auf Herz und Nieren geprüfte Weltmarken sein und nicht aus Bastelwerkstätten kommen. Aber selbst wenn, müsste mir Swisscom sagen können, welcher Datenstream den Alarm auslöst. Dass ich dauernd gesperrt werde hat auch noch einen rechtlichen Aspekt. Ich habe ein Abonnement, also einen Vertrag mit Swisscom, der laufend gebrochen wird. Irgendwie muss mir ja gesagt werden, was mir als “Missbrauch” vorgeworfen wird. Den Rechtsweg zu beschreiten um ein technisches Problem zu lösen behagt mir aber gar nicht. Vielleicht aber der letztmögliche Weg. Mit den Reaktionen auf meinen Post habe ich noch keine andere Rückmeldung - ausser der deinigen -erhalten, welche auf eine Ähnlichkeit meines Falles hindeutet. Das gibt mir natürlich doppelt zu denken. Mit der Internetbox2 hat man wenig Steuermöglichkeiten, so gibt es auch keine Portfreigabe.

Nehme an das Internet-Box 2 WLAN ist nur Dir bekannt wegen dem Passwort etc. es könnte also niemand anderer dort einsteigen? Hast Du nach der Neuinstallation auch alle Geräte auf die Werkeinstellung zurückgesetzt und alles neue Passwörter gegeben?

Swisscom Internet wegen Missbrauch gesperrt

ElioAntonio

Selbstverständlich WalterB

Die Passwörter sind alle neu und nur ich kenne sie. Im übrigen ist der Anschluss auf einer Alp und damit kaum durch “spazierende Hacker” gefährdet…

WalterB

@Anonym besteht hier die Möglichkeit das Swisscom hier feststellen kann von wo der Übeltäter herkommt?

cslu

@ElioAntonio

Nur dass etwas von Swisscom verkauft/vertrieben wird, heisst leider noch lange nicht, dass es etwas taugt, geschweige denn, dass es auf Herz und Nieren geprüft wurde.

Netatmo z.B. wurde erst vor sechs Jahren gegründet. Und selbst deutlich grössere und ältere Netzwerkausrüster “gänzen” regelmässig durch grobe Sicherheitslücken in ihren Produkten. Was da alles an Ramsch im Netz rumgammelt, will man gar nicht wissen…

Daneben bleibt es zu wiederholen, was wir beide eigentlich schon festgestellt haben:

Ja, die Swisscom müsste dir hier mehr Hand bieten dem Problem auf die Schliche zu kommen. Wenn die Sperrungen z.B. nur unregelmässig und aufgrund unklarer Kriterien erfolgen, dann kannst du selber natürlich auch mit systematischem Vorgehen nicht viel erreichen.

Aber das tun sie erfahrungegemäss nicht. Die Leute die du da an den Hörer kriegst sind knapp in der Lage dir aus irgend einer Liste auf dem Bildschirm abzulesen, wann dein Anschluss gesperrt wurde und welches Stichwort als Grund eingetragen wurde. Dann raten sie dir, Swisscom Internet Security zu abonnieren (ganz wichtig, höhö) und/oder dir professionelle Hilfe ins Haus zu holen.

Wenn dir da einer die Definition von “Botnet” geben kann, ist es vermutlich bereits überqualifiziert für die swisscomschen Ansprüche ans Personal der entsprechenden Hotline-Abteilung.

Wenn du aber Glück hast, wird durch deine Beschwerde hier irgend jemand auf die Sache aufmerksam, der veranlassen kann, dass man in deinem Fall mehr bietet als das, womit man den Durchschnittskunden abspeist. @WalterB hat diesen Glücksfall in seinem vorherigen Beitrag etwas zu forcieren versucht 😉

Tux0ne

Persönlich würde ich mich schon etwas fragen, wenn der Provider das Netzwerk über das CPE analysieren könnte und dass dann hier auch noch propagiert.

Äh nein, ich frage mich nicht wirklich 🤪

PowerMac

Es darf nicht Aufgabe des Providers sein, dir die Suche nach dem Übeltäter innerhalb deines privaten Netzes abzunehmen. Alles andere wäre nicht nur aus datenschützerischer Sicht bedenklich. Wenn z.B. Melani feststellt, dass von einer bestimmten IP aus Missbräuche ausgehen, werden die das an den Internetanbieter (hier Swisscom) melden, welcher dann den nur ihm namentlich bekannten Kunden ansprechen wird. Eine Rückmeldung des Providers an Melani erfolgt normalerweise nicht, und das ist auch gut so. Von daher macht es Swisscom hier durchaus richtig, indem der Anschluss gesperrt wird.

Zum jetztigen Zeitpunkt würde ich mir weniger Gedanken um die administrativen Abläufe machen, und mich primär auf die Suche und Eliminierung der Virenschleuder konzentrieren. Dir wurde ja offenbar bereits das Stichwort “Mirai” genannt, wodurch sich der Verdacht auf die IoT-Geräte (Netatmo, QBee, MyStrom) lenkt. Hast du auf allen deinen Geräten bereits einmal die aktuelle Firmware neu installiert, alles auf Werkseinstellungen zurückgestellt und (ganz wichtig) wo möglich gleich nach Inbetriebnahme bzw. Reset alle Werkspasswörter auf “richtige” Passwörter abgeändert?

Während des Betriebs kannst du auf der Internetbox unter Expertenmodus -> Diagnose -> WLAN bzw. LAN schauen, welche Geräte wieviel Netzwerkverkehr verursachen. Normalerweise machen die genannten Netzwerkgeräte nicht mehr als ein paar kbit/s Traffic; wenn ein Gerät da ohne ersichtlichen Grund deutlich höher liegt, schau dieses genauer an.

Als letzte Möglichkeit wäre noch die Installation eines Paketsniffers vorstellbar, damit dürfte sich der Übeltäter eindeutig identifizieren lassen. Ist aber nicht ganz einfach und wird mit Vorteil von einem Profi gemacht.

Anonymous1

@ElioAntonio Schick mir mal Deine Daten (DSL-Anschlussnummer oder die Festnetznummer des Anschlusses sowie Name und Adresse des Anschlusses) per PN. Dann lasse ich es mal prüfen.

Guido

ElioAntonio

Ganz einverstanden bin ich nicht. Wenn du zu schnell fährst und eine Busse nach Hause geschickt erhältst, die Polizei aber verweigert dir zu sagen wie schnell und wo du zu schnell gefahren bist, würdest du das nie akzeptieren. Ich verlange vom Provider nicht, dass er mir das Problem löst, sondern dass er mir den Datenstream bekannt gibt welcher den Alarm ausgelöst hat. Wenn ich weiss, dass es z.B. die Heizungssteuerung von Netatmo ist, werde ich dann mit Bomben und Raketen auf Netatmo zugehen. Mit anderen Worten Swisscom muss mir plausibl machen, dasss ich überhaupt ein Problemn verursache und nicht einfach komentarlos ausschalten.

Mit Melani habe ich im übrigen Kontakt aufgenommen und die Mitteilung erhalten, dass ich in Bezug auf Virenverbreitung für sie ken Problem darstelle.

Ich habe die Geräte auf den neuesten Stand der Firmware gebracht, in Werkszustand zurückgesetzt, sämtliche Passwörter neu vergeben (nur alleine ich kenne die). Auf der Internetbox2 habe ich zudem VPN eingerichtet damit ich auch aus der Ferne das Internet (natürlich sehr beschränkt) beobachten kann. Wenn Swisscom auf Ausschalten klickt, geht natürlich überhaupt nichts mehr.

Die Prozedur Reset und Neuinstallation habe ich nun gegen 10 Mal (gefühlte Tausend Mal) gemacht (jedesmal renne ich dafür auf die Alp und zurück). Ich habe zuletzt geräteweise neu installiert und immer ein paar Tage gewartet. Und siehe da, vor meiner Abreise ins Ausland lief alles einwandfrei, für gut 2 Wochen problemlos. Bis ich dann am letzten Freitag zur Kenntnis nahm, dass Swisscom wieder abgeschaltet hat.

ElioAntonio

Gerne GuidoT

kannst du mir einen Kontaktkanal dafür geben?
Je nach gewünschten Daten müsste ich meine Rückkehr in die Schweiz abwarten. Ab Montag bin ich jedenfalls wieder da.

POGO 1104

@ElioAntonio

klicke oben im Beitrag von GuidoT einfach auf seinen Namen auf das hellblaue GuidoT im Kopf seines Beitrages und wähle dort “Nachricht senden”

ElioAntonio

vielen Dank, schon gemacht, alles klar

cslu

@“x”#38531schrieb:

Es darf nicht Aufgabe des Providers sein, dir die Suche nach dem Übeltäter innerhalb deines privaten Netzes abzunehmen. Alles andere wäre nicht nur aus datenschützerischer Sicht bedenklich.

@PowerMac& @Tux0ne

Dass die SC innerhalb des priavten Netzes rumschnüffeln muss wurde ja auch nicht gefordert. Aber die SC muss ja aufrgund irgendwelcher Daten den mutmasslichen Missbrauch feststellen - und zumindest diesbezüglich wäre eine klare & transparente Kommunikation wünschenswert.

Wenn beispielsweise der Anschluss erst nach ein paar Wochen wieder gesperrt wird, so möchte man doch eigentlich wissen, wieso die Sperrung jetzt ausgerechnet zum Zeitpunkt X stattgefunden hat. Wurde vorher mehrere Wochen lang nichts gemessen oder war der Sachbearbeiter mit dem Sperrknopf in den Ferien?

Die entsprechend zu Grunde liegenden Datenpunkte (Zeitpunkte & Art der Feststellungen) könnten ja durchaus zur Aufklärung der Ursache beitragen. Mit “irgend wann”, “irgend etwas” steht der Kunde verständlicherweise im Regen.

kaetho

@ElioAntonio schrieb:

…Bei den ersten Kontakten wurde mir vorgehalten, ich verbreite Viren und zwar den Mirai-Virus….

Steht doch schon im ersten Post, was los ist. Etwas googeln nach “Mirai” bringt sehr schnell Licht ins Dunkle.

Hier jetzt noch mehr “wenn, hätte, würde” bringt nichts, zumal @Anonym ja angeboten hat, hier näher draufzuschauen. Warten wir doch ab, was dabei herauskommt.

Thomas

NotNormal

Was Du noch probieren könntest: Die Geräte via Kindersicherung auf der IB vom Internet trennen. Das könntest Du zumindest via VPN auch aus der Ferne machen.

Via VPN kannst Du dann immer noch auf die Geräte zugreifen. Selber habe ich davon nur die Mystrom-Schalter, diese lassen sich direkt über dir IP-Adresse ansteueren (http://192.x.x.x/toggle).

Und dann wie vorher Schrittweise zuschalten. Auch ich würde erstmal Netatmo und das Relais verdächtigen. Und das mit der “renomierten” Firma kannst Du vergessen. Denk mal an den Diesel-Betrug, dass sind alles bekannte Hersteller…und in deinem Fall war es vermutlich nur Nachlässigkeit und keine Absicht.

Am Besten wäre sicher, den IP-Verkehr zu analysieren, vielleicht wendest du dich mal an den Nerd deines Vertrauens oder so.

Gruss

NotNormal

Tux0ne

Abgesehen davon, dass Swisscom ohne explizites Zutun des Kunden jederzeit auf das Linux System des Routers zugreifen kann, ist es immer noch so das diese Krücken per Default upnp-igd aktiviert haben?

Peter Gyger

Guten Abend ElioAntonio

Das Beispiel mit dem Auto ist gut. Wenn Du als Halter Deines Autos eine Busse erhälst, muss die Polizei nicht identifizieren wer gefahren ist. Relevant ist die sichere Identifikation mit dem Auto.

Melani und andere Ermittlungsbehörden müssen lediglich anhand der externen IP ermitteln, auf welchen Vertragsnehmer die WAN IP zu diesem Zeitpunkt lief. Der technisch spannende Punkt ist, selbst wenn sie wollten könnten Sie nicht ermitteln, welches Gerät es war.

Diese Infomaton ist im Router in der NAT-Tabelle gespeichert. Und dieser Zugriff sollte aus Datenschutzgründen für Dritte nicht möglich sein. Wie weiter oben vorgeschlagen, braucht es einen Netzwerksniffer um das verursachende Gerät zu finden. Ein anderer Ansatz ist eine Firewall.

Grüsse

Peter

Werner

@“x”#939schrieb:

Abgesehen davon, dass Swisscom ohne explizites Zutun des Kunden jederzeit auf das Linux System des Routers zugreifen kann, ist es immer noch so das diese Krücken per Default upnp-igd aktiviert haben?

Meines Wissens ist das immer noch so, also könnte das explizite Ausschalten der impliziten Portweiterleitung auf dem Router vermutlich die “Kommunikationsfreude” der einzelnen Geräte ins Internet vermutlich ebenfalls wesentlich reduzieren…

ElioAntonio

Genau das werde ich tun! Allerdings muss der Anschluss erst wieder eingeschaltet werden.
Seit heute bin ich wieder aus dem Ausland zurück und werden am Montag den Support angehen.

ElioAntonio

Ich habe Melani meine Daten inklusive externer IP geliefert und nach ein paar Tagen eine detaillierte Antwort erhalten. Melani hatte mich nie auf dem Radar und bei Swisscom nie etwas veranlasst. Melani hat seinerseits mit Swisscom Kontakt aufgenommen und veranlasst, dass Swisscom mit mir Kontakt aufnimmt (ist leider nicht geschehen) Meine Sperrungen sind alleine die Folge von Swisscom-internen Abläufen. Deshalb müsste mir Swisscom die Daten bekannt geben, welche den Alarm auslösen. Ich bin sicher, der auslösende “Bösewicht” wäre rasch einzugrenzen. Aber was, wenn das betroffene Gerät eines von Swisscom ist? Dann beisst sich der Hund in den eigenen Schwanz.

Anonymous1

Hallo

Bitte nichts machen. Ich war 2 Tage im Ausland und am Montag wird sich ein Team das anschauen. Ich gehe nicht davon aus, dass ein Swisscom-Gerät der Auslöser ist. Es gibt bislang keinerlei Anzeichen, dass irgendwelche unserer Geräte gehackt wurden. Aber wir werden sehen.

Guido

ElioAntonio

ok, mach ich Guido. Ich warte deine Rückmeldung ab und lasse den ganzen Anschluss “ausser Betrieb”

ElioAntonio

« Pagina precedente