Pille
BlackBoarder
Dabei seit: 02.09.2001
Beiträge: 1.493
 |
|
| Unsicheres T-DSL |
|
Johannes Endres
Geklaute Identität
T-DSL eröffnet Hackern neue Chancen
Klar, Hacker sind in der Mehrzahl Online-Junkies und daher wohl auch unter T-DSL-Surfern überdurchschnittlich häufig. Schließlich bietet die Telekom ‘High Speed - zu Low Cost’. Doch die meisten anständigen T-DSL-Kunden ahnen nicht, wie billig sie das Internetvergnügen für die bösen Buben machen ...
Am Anfang steht ein scheinbar kleines technisches Problem: Beim Verbindungsaufbau über T-DSL gibt es keine Zuordnung der Einwahldaten zu dem Anschluss, von dem sie benutzt werden. Der Provider protokolliert also immer nur, wann eine bestimmte Kennung aktiv ist; wo der User sitzt, bleibt unbekannt. Das unterscheidet den Turbo-Internetzugang grundsätzlich von der ISDN- und auch der Modemeinwahl, bei denen immer auch die anrufende Nummer erfasst wird. Diese Daten stellt die Telekom der Staatsanwaltschaft zur Verfügung, wenn diese wegen des Missbrauchs einer T-Online-Kennung ermittelt.
Da es beim DSL so etwas wie eine anrufende Nummer nicht gibt, kann der Rosa Riese nach eigenen Angaben den Strafverfolgern bei diesen Zugängen nicht weiterhelfen. Mit den Worten eines Telekom-Sprechers klingt das so: ‘Im Anschlussbereich des Festnetzes gibt es bei T-DSL keine Möglichkeit, betrügerische Verwendungen von Kennungen, Passwörtern beim Zugang im Nachhinein zu verfizieren, um damit eventuell festzustellen, von welchem Anschluss der Betrug ausging.’
Damit scheint es, als könne man jede T-Online-Kennung gefahrlos von jedem T-DSL-Anschluss aus nutzen. Zwei Surfer könnten sogar vereinbaren, entgegen den Vertragsbedingungen einen Flatrate-Account gemeinsam zu benutzen. Nur gleichzeitig könnten sie sich nicht einwählen, denn die Server von T-Online weisen die DSL-Anmeldung ab, wenn bereits ein anderer User mit denselben Benutzerdaten online ist. Dennoch lassen sich vielerlei Szenarien konstruieren, in denen sich T-Kunden die Daten teilen, beispielsweise der EDV-Beauftragte, der die Zugangsdaten seiner per T-DSL angebundenen Firma abends daheim missbraucht, oder der berufstätige Abend-Surfer, der seinen pensionierten Eltern das kostenlose Internet-Vergnügen tagsüber gönnt. Auch die komplett kostenlosen Accounts, die Telekom und T-Online im Rahmen des Projekts ‘Schulen ans Netz’ an Bildungseinrichtungen verschenken, könnten höchst illegale Begehrlichkeiten wecken.
Kennungsdiebe
Soweit ärgert das vertragswidrige Treiben vor allem die Provider, die an mehrere Anwender nur eine einzige Flatrate verkaufen. Für einen legal surfenden Kunden wird die Sache schlimm, wenn er sich die Kennung nicht freiwillig mit anderen teilt. Falls ihm die Zugangsdaten geklaut werden, kann er das nur noch durch höchste Aufmerksamkeit herausfinden. Bei den nach Online-Zeit abgerechneten Tarifen der ISDN-Einwahl deutet immerhin eine überhöhte Rechnung auf einen Parasiten hin. Bei der T-DSL-Flatrate entfällt dieses Indiz.
Auch die Beschränkung auf einen User zur Zeit trägt nichts zur Aufklärung bei. Denn wenn der Kennungs-Dieb gerade online ist, erhält der rechtmäßige Kunde die Fehlermeldung, das Kennwort sei falsch. Nur wenn er in den Eigenschaften der DFÜ-Verbindung ein ausführliches Protokoll anfordert, findet er in der Datei ‘ppplog.txt’ im Windows-Verzeichnis manchmal die Klartextmeldung ‘Session limit exceeded’. Allerdings verhält sich auch derselbe Einwahlknoten von Fall zu Fall unterschiedlich. Nur rund die Hälfte der Paralleleinwahlversuche scheiterte mit diesem Hinweis auf die wahre Ursache. Die anderen Verbindungen lehnte die Gegenstelle die Verbindung genauso ab, als wäre das Passwort tatsächlich falsch.
Und bei kaum einem T-DSL-Kunden schrillen die Alarmglocken, wenn die Einwahl misslingt. Auch wenn er sicher ist, dass das Passwort stimmt, tippt der leidgeprüfte Schnellsurfer wahrscheinlich erst auf einen Ausfall der zuständigen Server bei der Telekom, wie er in letzter Zeit recht häufig vorkommt. Oft dauert die vom Mitsurfer verursachte ‘Störung’ viel kürzer als ein echter Serverausfall, denn einige Online-Parasiten tarnen sich zusätzlich, indem sie zwischen mehreren geklauten Kennungen wechseln, die sie jeweils nur für kurze Online-Sessions nutzen. So verringern sie die Gefahr, dass einer ihrer Wirte sich dauerhaft nicht einwählen kann und Verdacht schöpft.
Flurschaden
Die häufiger fehlgeschlagene Einwahl könnte man als lästig abtun, und Flatrate-Kunden zahlen für ihre Mitsurfer keinen Aufpreis. Nur wenn das unfreiwillige T-DSL-Sharing auffällt, könnte T-Online den Vertrag kündigen, was besonders für die schon erwähnten Schul-Accounts schlimm wäre.
Doch bei T-Online kann ein Bösewicht mit Hilfe erspähter Zugangsdaten noch viel mehr Schaden anrichten. Denn dieser Provider authentifiziert den User für alle Dienste anhand der Daten, unter denen er eingewählt ist. Die Anleitung beschreibt zwar, dass man in den Mail-Client die richtigen Benutzerdaten eintragen soll. Doch auch mit beliebigen anderen Einträgen gibt der POP-Server die E-Mail des Users heraus, der gerade eingewählt ist. Auch umgekehrt funktioniert das Spiel: Jede abgehende E-Mail erhält automatisch den aktiven Einwahl-Account als Absender. Mit einem zweiten Passwort für die elektronischen Postkästen könnte T-Online die Sicherheit deutlich erhöhen.
Wenn durch solchermaßen ausspionierte E-Mail Geschäftsgeheimnisse offenbar werden, kann das die Existenz einer Firma bedrohen. Doch auch Privatnutzer dürfen die Gefahr nicht unterschätzen, etwa wenn sie Passwörter für Online-Dienste per elektronischer Post erhalten.
Es braucht nicht viel kriminelle Fantasie, um sich vorzustellen, wie böswillige Kennungsdiebe den Postversand unter fremder Kennung nutzen könnten: Viren in Umlauf bringen, Drohbriefe an Prominente schreiben oder teure Flugzeugträger-Ersatzteile online bestellen.
Dass man auch beliebige Inhalte in den Webspace des Betroffenen stellen kann, versteht sich von selbst. Das müssen gar keine öffentlichen sichtbaren Seiten strafbaren Inhalts sein. Es genügt ja schon, Raubkopien hinaufzuladen und als Download von ganz anderen Seiten zu verklinken. Den Ärger bekommt dann wohl auch der, in dessen Webspace die verbotenen Dateien stehen.
Leichte Beute
Dass man auf seine Zugangsdaten gut aufpassen sollte, ist bekannt. Nur machen drei Aspekte die Sache bei T-DSL besonders brisant: Durch die Flatrate haben ungebetene Mitbenutzer eine bessere Chance, nicht aufzufallen; dass die Telekom anders als beim ISDN den Ursprung einer Einwahl nicht ermitteln kann, erschwert die Strafverfolgung. Und schließlich reichen bei T-Online, dem größten T-DSL-Provider, die Einwahldaten aus, um viel weiter reichenden Schaden anzurichten, als das bei anderen Providern möglich ist.
Natürlich gibt es schon lange vielerlei Wege, anderen Anwendern die Zugangsdaten zu klauen. Am weitesten verbreitet sind wohl Programme, die etwas anderes tun als sie vorgeben. Solche Trojaner protokollieren beispielsweise die Einwahldaten und senden sie ihrem Urheber. Klassisch ist der Fall des Tools, das sich als Leistungsoptimierer für T-Online tarnte [1]. Oft überreden Hacker auch einfach ihre Chat-Partner, ein bestimmtes Programm zu installieren.
Doch mit dem weiter fortschreitenden Ausbau von T-DSL tut sich den bösen Buben eine viel einfachere Quelle auf: fehlkonfigurierte Router. Der T-DSL-Anschluss ist wie geschaffen dafür, eine Surfer-Gruppen über einen Router gemeinsam ins Internet zu bringen [2]. Durch die Installation eines solchen Geräts werden oft unerfahrene Anwender unversehens zu Netzwerk-Administratoren, ohne sich dessen und der damit verbundenen Pflichten bewusst zu sein. Die Hersteller der Netzverteiler tragen dazu bei, indem sie verkaufsfördernd ‘Plug & Surf’ anpreisen.
Gefährlicherweise bieten fast alle ADSL-Router eine Option zur Fernkonfiguration. Ist dieser Zugang nicht ausreichend gesichert, so bildet er ein Einfallstor für Hacker. Oft lehnen sogar erfahrene Admistratoren diese Tür nur an, indem sie das Standardpasswort nicht ändern. Dabei sollte die Fernkonfiguration nur in begründeten und geprüften Einzelfällen überhaupt freigeschaltet sein. Und dann muss sie durch ein besonders schwer zu brechendes Passwort gesichert werden.
Leider sehen das die Supporter bei den Herstellern und ihren Vertriebspartnern oft anders. Sie nutzen die Fernkonfiguration gern, um den Router eines verzweifelten Kunden auf die Schnelle richtig einzustellen, ohne alle Schritte langwierig erklären zu müssen. Daher gibt es sogar Geräte, deren Werkseinstellung die Fernkonfiguration ganz ohne ein Passwort erlaubt oder nur die Kenntnis des Herstellernamens erfordert.
Das trifft ausgerechnet auf zwei der meistinstallierten Typen zu, nämlich die des ersten Herstellers (ELSA), der derlei überhaupt in deutsche Läden brachte, und die eines Preisbrechers (Draytek), der sich schnell Marktanteile erobern konnte. Beide Router zeigten fatalerweise das zur Einwahl erforderliche Passwort und die Benutzerkennung im Klartext an. Inzwischen sind diese Sicherheitslücken gestopft - für die seit ihrem Bekanntwerden ausgelieferte Geräte. Doch noch immer finden sich zahlreiche ungeschützte Router dieser Typen im Netz.
Eine Stichprobe in einem Ausschnitt des T-DSL-Adressbereich brachte über 130 betroffene Router des einen falsch vorkonfigurierten Modells zu Tage. Das andere dürfte mindestens so zahlreich sein. Hinzu kommen Geräte mit bisher nicht erkannten Sicherheitslücken und solche, die in der Werkskonfiguration zwar sicherer sind, von unerfahrenen oder sorglosen Systemverwaltern jedoch unsicher konfiguriert wurden.
Obacht!
Einen Router anzustöpseln und die Einwahldaten einzutragen reicht einfach nicht. Wer sich so zum Netzverwalter aufschwingt, muss zumindest regelmäßig die Support-Seiten des Herstellers besuchen und sehr genau lesen. Denn allzu oft finden sich die entscheidenden Sicherheitshinweise nur im Kleingepixelten an unauffälliger Stelle. Die Hersteller scheinen Sicherheitslücken eher verstecken zu wollen, als durch eine offene Informationspolitik den Kunden vor Schaden zu schützen.
Egal ob über einen Router oder direkt, wer einen T-DSL-Account benutzt, muss das Passwort häufig ändern und darf dabei niemals auf bereits benutzte Passwörter zurückgreifen. Sobald der Verdacht entsteht, dass jemand ungebeten mitsurft, ist außerdem eine E-Mail an abuse@t-online.net fällig. (je)
Literatur
[1] Norbert Luckhardt, Nicht ganz dicht, Jugendliche Hacker knacken T-Online, c't 7/98, S. 62
[2] Johannes Endres, Gemeinsam ins Netz, ADSL-Router der Einsteigerklasse, c't 24/00, S. 232
---------------------------------------------------------------------------
-----
AOL ohne AOL ?
Seit August bietet auch AOL seine Dienste über T-DSL an. Das verwundert, denn bei der Einwahl übers Modem benutzt der Online-Dienst ein proprietäres Protokoll, das die Zugangsrechner der Telekom nicht unterstützen. Ein Ethernet-Sniffer gewährt Einblick in die übertragenen Daten und bringt dabei des Rätsels Lösung zu Tage: AOL benutzt einen einzigen Account für alle seine DSL-Kunden!
Die AOL-Software veranlasst - für den Anwender unsichtbar - eine normale DFÜ-Verbindung über T-DSL. Dabei benutzt sie nicht die Einwahldaten des Kunden, sondern einen Standard-Login und ein Standardpasswort. Der Datenverkehr fließt dann durch einen Adressfilter, sodass der Client nur bestimmte AOL-Server erreichen kann. Daher kann man AOL auch weiterhin nicht ohne die Zugangssoftware als Internet-Provider nutzen - zumindest, solange nicht irgendwer unter den erreichbaren Rechnern einen Durchgang ins Internet findet. Auch die drei erreichbaren Adressbereiche sind zusammen so groß, dass die intensive Suche nach einem Proxy einen einzelnen Rechner zu lange beschäftigen würde.
Mit den Servern des Online-Diensts kommuniziert das AOL-Programm im Prinzip nach dem Verfahren ‘AOL über TCP/IP’ - allerdings ohne die dabei eingebaute Geschwindigkeitsbegrenzung.
Quelle: http://www.heise.de/ct/01/21/284/ ---> c't 21/2001, S. 284: T-DSL
__________________
Es gibt keine dummen Fragen ... nur dumme Antworten!
|
|
