So Update von der Angriffsfront (oder so ;):
DIe Router der DTAG (Deutsche Telekom AG) waren nach neuesten Erkenntnissen nicht für den TR-069 Angriff anfällig.
Die Router haben einfach nach einer unbestimmten Anzahl Anfragen auf den TR-069 Dienst sämtlichen Netzwerkverkehr eingestellt. Dies entspricht eher einer Denial of Service Attacke als einer Routerübernahme.
Trotzdem sollte dieses Thema mit Argusaugen und paranoider SIcherheit behandelt werden. Ist der Router erst einmal gekapert gnade uns der Netzwerkgott. Diese Botnetz Attacke wird dann wohl kaum mitigierbar sein.
Quelle: https://heise.de/-3520212
Es macht es interessant Provider zu erpressen. Wenn die Geräte so sensibel darauf reagieren, den Kunden die Services nicht mehr zur Verfügung stehen und keine Inbetriebnahmen möglich sind, ist das nicht wirklich schön für die Opfer.
Es ist ich vielen Firmen nicht wirklich bewusst wie ihre gesamte Kommunikation (mit All IP inkl. Telefonie) vollständig ausser der Betrieb gesetzt werden kann.
Es lebe das Internet of shity things.
@ei8ht schrieb:
So Update von der Angriffsfront (oder so ;):
DIe Router der DTAG (Deutsche Telekom AG) waren nach neuesten Erkenntnissen nicht für den TR-069 Angriff anfällig.
Die Router haben einfach nach einer unbestimmten Anzahl Anfragen auf den TR-069 Dienst sämtlichen Netzwerkverkehr eingestellt. Dies entspricht eher einer Denial of Service Attacke als einer Routerübernahme.
Trotzdem sollte dieses Thema mit Argusaugen und paranoider SIcherheit behandelt werden. Ist der Router erst einmal gekapert gnade uns der Netzwerkgott. Diese Botnetz Attacke wird dann wohl kaum mitigierbar sein.
Quelle: https://heise.de/-3520212
Argusaugen ja, aber paranoid sicher nicht, denn das wäre genau so wie Panik ein sehr schlechter Berater.
@Koniferski schrieb:
In Deutschland geht dieser Anriff durch die Presse. Gibt es solche Hiweise auch für die Schweiz?
Hallo @Koniferski, wir haben folgendes von Swisscom erhalten:
Weder liegen Störungsmeldungen vor, noch zeigen eigene Tests und Analysen, dass Kunden von uns betroffen sind.
@RaphaelG schrieb:
@Koniferski schrieb:In Deutschland geht dieser Anriff durch die Presse. Gibt es solche Hiweise auch für die Schweiz?
Es liegen keine Störungsmeldungen vor, noch zeigen eigene Tests und Analysen, dass Kunden von uns betroffen sind.
@RaphaelG: Und die werden hoffentlich informiert? Wie kann das sein, wenn die IB's alle sicher sind? Um welche Geräte handelt es sich da?
:smileysurprised:
Raphael wollte wohl schreiben "weder liegen Störungsmeldungen vor, noch zeigen...".
@hed schrieb:Argusaugen ja, aber paranoid sicher nicht, denn das wäre genau so wie Panik ein sehr schlechter Berater.
Doch. Gerade hier, da mit einem Schlag Millionen (!) von Geräten gekapert werden können, ist Paranoia, aber sicher nicht Pankik, angesagt.
Grundsatz der IT Sicherheit: Man kann nicht paranoid genug sein. Das Mirai Botnetz zeigt schön, dass wir bei einer Io(s)T Attacke, mit Millionen von Geräten, aktuell keine Change mehr haben diese zu mitigieren!
Darum wundere ich mich, das Swisscom weiterhin, zumindest öffentlich, keine Anstalten macht, TR-069 weiter abzusichern (eben mit Whitelist nur auf Swisscom ACS IP, TR-069 in eigenes VLAN, anderen Port als Default 7547 nutzen (das ist noch am einfachsten umzusetzen)).
Klar, dies ist meine Meinung, du hast deine Meinung. Bei der nächsten Attacke sind wir schlauer.
Greez
ei8ht
Woher willst Du wissen, dass wir das nicht alles machen und noch viele andere Dinge. Wir werden aber nicht sagen, was wir machen. Natürlich kann man immer etwas verbessern. Wir haben intern eine sehr kompetente Truppe zum Thema Sicherheit. Die haben soviel Ideen, da kommen wir kaum mit dem Implementieren hinterher.
Aber Sicherheit ist uns und auch mir persönlich sehr wichtig. Und wenn es ein Problem gibt, dann werden wir es sehr kurzfrisitg angehen.
Guido
Ich kann es nicht lassen, auch noch ein paar Weisheiten hierzu zum besten zu geben:
So ein Vorfall wie in Deutschland zeigt natürlich sehr drastisch die Schwachstellen grosser Providernetze mit Einheitsroutern auf. Dennoch halte ich es für zu simpel, die Schuld daran den bösen Providerroutern und deren Fernsteuerungsfunktionen wie TR-069 auf Port 1794 in die Schuhe zu schieben. Klar hat jetzt jeder einen Vorschlag und eine Idee, wie das Debakel hätte verhindert werden können. Und auch ich würde es begrüssen, wenn der Betrieb eines Eigengeräts durch den Provider zumindest mit überschaubarem Aufwand ermöglicht würde. Dennoch ist die Realität halt einfach nun mal so, dass dieses Thema gefühlten 97% aller Kunden schlichtweg wurscht ist, solange das Internetkästchen in der Wohnung läuft.
Dass sich Swisscom im Sinne von "Security by Obscurity" zu den umgesetzten Sicherheitsmassnahmen bedeckt hält, kann man mögen oder nicht. Letztendlich halte ich es aber immer noch besser als "Security by Enduser". Wer erst durch den Port-Checker von Heise gemerkt hat, dass in seine Internetbox eine Fernsteuerungsfunktion eingebaut ist, für den ist TR-069 wohl mehr Segen als Fluch. Auch ist der ungeliebte "Zwangsrouter" mit hoher Wahrscheinlichkeit sicherer als die eindrückliche und laute 19-Zoll-Firewall mit 5jährigem Softwareimage, die man aus dem E-Schrottcontainer vom Geschäft nach Hause nehmen durfte. Ich will gar nicht wissen, wieviele Devices immer noch mit den Werksdefault-Passwörtern oder WLAN-Keys konfiguriert wären, wenn dem sicherheitstechnischen Glück der Kunden nicht so wie bei Swisscom mit im Kundencenter einsehbaren Zufallspasswörtern nachgeholfen würde.
Wenn Swisscom schreibt, dass ihre Router sicher seien, dann verstehe ich das so, dass zum jetztigen Zeitpunkt keine Sicherheitslücken bekannt sind, welche aktiv ausgenutzt werden. Ich sehe keinen Grund, das nicht zu glauben. Ebenso vertraue ich darauf, dass bei Bekanntwerden einer Sicherheitslücke so wie im Fall der DTAG umgehend Gegenmassnahmen ergriffen werden. Die grossen Firewall-Hersteller machen es im Grunde auch nicht anders.
Mein persönliches Fazit: die Wahl des Routers wie auch des Internetproviders ist Vertrauenssache, und da macht Swisscom IMO einen guten Job. Trotzdem wäre es sehr zu begrüssen, wenn Swisscom es ihren Kunden zumindest einfacher machen würde, auf Wunsch und eigene Verantwortung alternative Router zu betreiben. Die grössere Diversität kann ja auch ein Sicherheitsmerkmal sein.
@Anonym schrieb:
Es kommt immer auf die Architektur des ganzen Systems an.
Und noch zu Arcadyan. Arcadyan baut für uns nur die Hardware. Bei der DTAG ist das anders.
Ahja. Falls es die Absicht war, mit diesem vage gehaltenem Statement zu "beruhigen", ging die meiner Meinung nach eher daneben.
Ich entnehme, die DTAG bezieht neben der Hard- auch die Software für den Betrieb des Netzes. Wohingegen aufgrund von Guido's lapidare Feststellung zu vermuten ist, Swisscom betreibe ihre eigene Software. Nun ja, aus meiner Sicht hat sich die Swisscom allerdings noch nie mit Ruhm bekleckert, was die Firmware=Software seiner Einheitsböxlis anbetrifft. Vielmehr war mein Eindruck stets der, dass deren Anwendungsmöglichkeiten a) recht schlicht gehalten werden (im Vergleich zu "öffentlichen" kommerziellen Produkten), und b) immer wieder von Pannen begleitet werden, Stichwort IPv6. Wohl wird man eine Ahnung haben, aber ein Spitzenengineering in den Swisscomrängen vermute ich doch eher nicht. Tz ...
Immerhin ist der "Markt" vergleichsweise klein, so dass die Swisscom Infrastruktur vermutlich nicht prioritär ins Visier bei solchen Angriffen genommen wird.
08.01.08 fürt dann wieder eine ACL ein wie früher mal 😉