wp_telekom_rMit etwas Verzögerung möchten auch wir bei Botfrei noch etwas zum “Hacker-Angriff auf die Telekom” in der vergangenen Woche schreiben. Denn inzwischen sind auch die Fakten bekannt und die Analysen beendet.
Wir möchten dabei auch das Gerücht aus der Welt schaffen, dass es sich um einen Hacker-Angriff auf die Telekom gehandelt hat.
Die Ursache für den Ausfall von knapp 900.000 Routern bei Telekom-Kunden war nämlich kein Hacking-Angriff, sondern ein Denial-of-Service-Problem.
Es entstand dadurch, dass von einem Botnet aus massenhaft Anfragen auf den Port 7547 gefahren wurden bzw. sogar immer noch gefahren werden, und zwar nicht nur bei der Telekom. Diese massenhaften Anfragen zielen auf eine Sicherheitslücke im Fernwartungs-Port TR-069, welches lediglich auf Zyxel-Routern besteht, die unter anderem bei Kunden des irischen Providers Eir zum Einsatz kommen.
Herausgefunden hat dies Ralf-Philipp Weinmann vom Duisburger Security Unternehmen Comsecuris. Eine genaue Analyse befindet sich auf dem Unternehmensblog.
Die betroffen Speedport-Geräte weisen weder diese Sicherheitslücke auf, noch verwenden die Geräte Linux. Es war somit schon allein technisch gar nicht möglich, auf den Telekom-Speedports Schadsoftware anhand dieser Sicherheitslücke zu platzieren, die Router zu kapern und zum Teil eines Botnets zu machen, welches wiederum neue Angriffe fahren könnte.
bildschirmfoto-2016-12-01-um-08-34-22
Weder die Telekom, noch ein Telekom-Kunde wurde also Opfer einer Hacking-Attacke und es wurde wahrscheinlich auch nirgends Schadsoftware installiert. Auch hat die Telekom nicht “geschlampt”, in dem sie eine ihnen seit 2 Jahren bekannte Sicherheitslücke ignoriert und nicht gestopft hat.
Vielleicht kann man der Telekom eine schlechte Informationspolitik vorwerfen, jedoch muss man auch hier berücksichtigen, dass man selbst lange keine Informationen zu den Ursachen des Vorfalls hatte. Viele Sicherheitsexperten und Medien haben selbst lange im Dunkeln getappt und dabei Gerüchte und Spekulation zur Ursache in die Welt gesetzt, ohne selbst zu wissen, was eigentlich passiert ist. Auch wir bei Botfrei haben lange spekuliert, eigene Vermutungen angestellt und im Dunkeln getappt.
Man lernt bekanntlich aus Fehlern und nicht nur die Telekom sollte für sich prüfen, ob es sinnvoll ist, dass der Fernwartungs-Port TR-069 offen aus dem Internet erreichbar sein sollte.
Doch auch hier muss man wiederum abwägen, ob man als Internet-Service Provider auf eine zentrale Fernwartung setzt, oder darauf vertraut, dass die Router automatisch Updates installieren; oder im schlimmsten Fall sogar Millionen Nutzer darauf hinweisen muss, ihren Router manuell zu aktualisieren.
Letztendlich haben zu viele, wiederholte, botnet-basierte Anfragen auf die Router dazu geführt, dass diese nach einer bestimmten Zahl von Zugriffen auf den Fernwartungs-Port keine Verbindung mehr zum Internet hergestellt haben. Aus diesem Grund gab die Telekom ja auch die richtige Empfehlung an ihre Kunden, den Router neu zu starten. Dies ging gut, bis wieder zu viele Anfragen den Router zum Erliegen brachten.
Bild: pixabay.com