Warum machen 900.000 Telekom-Router Ärger?

[rendegast]

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

... daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

Ein Haken hat die Argumentation.
Wäre das eine Behörden-Backdoor, so sollte sie nicht allgemein bekannt sein.
Das ist sie nämlich schon sein einigen Jahren.

Die deutschen Behörden hätten da wohl eher ein gesteigertes Interesse daran, daß nicht jeder TKÜ machen kann.
ZBsp. IS, Korea, NSA, China, GB, Anonymous, ...
also die ganze Konkurrenz im Cyber-War-Geschäft.





Hier in der Zeitung ist der Hauptteil der Meldung, daß da eine Malware für einen Angriff installiert werden sollte,
was häufig nicht geklappt hat (folgend www-Ausfall).
Nur nebenbei: "ermöglicht durch eine Lücke in der Router Software".
Nichts davon, daß diese Lücke seit Jahren (auch und gerade dem Hersteller t-com) bekannt ist und offensteht.

[spiralnebelverdreher]

2. Unsere Router lauschen nur auf diesem Port, damit eine staatliche Telekommunikationsüberwachung stattfinden kann.

Glaubst du ernsthaft, daß man für etwas, das von den Behörden geheim gehalten wird, zitierbare Quellen findet?

Das Argument verstehe ich nicht. Die Definition von TR069 ist kein Geheimnis. Schließlich müssen es ja die HW-Hersteller implementieren damit sie bei den ISPs weltweit ihre Geräte anbieten können. Und da TR069 allen der englischen Sprache mächtigen Interessierten bekannt ist, haben die nationalen staatlichen Stellen keinen Wissensvorsprung vor den Nachrichtendiensten aller anderen Länder sowie der organisierten Kriminalität.
Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

[MSfree]

Nichts davon, daß diese Lücke seit Jahren (auch und gerade dem Hersteller t-com) bekannt ist und offensteht.

Man will die Bevölkerung wohl nicht beunruhigen.

https://www.heise.de/netze/meldung/Def- ... 92576.html

Man beachte das Datum des Artikels!

[spiralnebelverdreher]

Gibt es denn überhaupt Hinweise?

Selbstverständlich. Ich sage nur Bundestrojaner.

Der Bundestrojaner als Erklärung dafür, dass weltweit Telekom-Provider und Gerätehersteller TR069 Protokolle in ihren Produkten implementieren??? Das überzeugt mich nicht. So groß würde ich den Einfluß des BKA auf die weltweite Technikentwicklung nicht einschätzen.

[MSfree]

Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

Wenn du jetzt noch erkläst, wie man bei einem Speedport den Datenverkehr auf dem WAN-Port mitschneiden kann, wäre wir einen Schritt weiter. Vom LAN aus siehst du ja nicht, was am WAN-Port passiert.

[DeletedUserReAsG]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert. Wenn der Plastikrouter irgendwas im LAN versucht, wird das in meinen Logs auftauchen. Bislang war das zumindest bei mir nicht der Fall, und ich denke auch nicht, dass ich der Einzige bin, der den Plastikroutern misstraut (allerdings nicht in der Hinsicht, dass darüber versucht wird, irgendwelche Bundestrojaner zu verteilen) und der so ein Setup fährt, so dass es zumindest Berichte über verdächtige Logs geben sollte™, wenn an der Geschichte etwas dran wäre.

Eigentlich braucht’s dazu nicht mal ein isoliertes LAN, ein Blick in die Logs der Kisten im Plastik-LAN sollte sowas auch zutage fördern. Das Einzige, was so ein Plastikrouter einigermaßen unbemerkt machen könnte: Daten über die im LAN befindlichen Geräte ausleiten. Das fände ich zwar nicht schön, und sowas zu vermeiden ist auch eine der Aufgaben meines Routers, aber das hat wenig mit dem Fernwartungsport zu tun.

[spiralnebelverdreher]

Ob und wie TR069 bei deinem Gerät zuhause zum Einsatz kommt, lässt sich sehr leicht durch Mitschneiden des Datenverkehrs beobachten, woraus sich wiederum jede Menge Material für zitierbare Quellen erzeugen ließe.

Wenn du jetzt noch erkläst, wie man bei einem Speedport den Datenverkehr auf dem WAN-Port mitschneiden kann, wäre wir einen Schritt weiter. Vom LAN aus siehst du ja nicht, was am WAN-Port passiert.

Ich habe keinen Speedport Router und bin auch kein Telekom-Kunde, deshalb kann ich dir da aus eigener Erfahrung keine Antwort geben. Meine FritzBox hat eine Option, auf der WAN-Seite der Box den Datenverkehr mitzuschneiden und als Datei abzulegen, damit man das später in Wireshark o.ä. analysieren kann. Man muss dann natürlich dem Hersteller avm vertrauen, dass der nicht alle Bundestrojaner-Spuren vom Logging heraus filtert.
Aber es gibt auch professionelles Werkzeug dafür: http://www.broadframe.com/pdf/dslscope.pdf oder https://www.iol.unh.edu/testing/broadba ... /xdsl-tool.

[MSfree]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert.

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Plastikrouter wurden auch schon dazu mißbraucht, teure Telefonate zu führen, indem der Angreifer seine Anrufe einfach über fremde Plastikrouter und deren VoIP geführt hat. Nicht nur, daß das Opfer dabei erstmal auf hohen Telefonrechnungen sitzt, auch Telefonate, die man als "IS-Anwärter" lieber nicht über das eigene Smartphone führt, kann man so über Anschlüsse unbescholtener Bürger führen.

[MSfree]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

[spiralnebelverdreher]

Vor dem Plastikrouter steht bei mir ein eigener Router, der den Plastikrouter von meinem LAN isoliert.

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Das war aber nicht die Ausgangsfrage, auf die "niemand" antwortete. Die Ausgangsfrage war, ob du für deine These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird, Belege finden kannst. Und "niemand" hat dir dafür einen technisch machbaren Weg aufgezeigt.

Was also hast du an niemands Vorschlag nun auszusetzen? Was hindert dich daran, deine These in deiner Heimumgebung zu prüfen und uns das Ergebnis mitzuteilen?

[spiralnebelverdreher]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient? Bin ich als FritzBox Nutzer für immer unverdächtig?

[MSfree]

These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird

Die Frage habe ich weiter oben bereits beantwortet.

Was also hast du an niemands Vorschlag nun auszusetzen?

Ich habe nur zu bedenken gegeben, daß man den Plastikrouter damit zwar vom LAN abkoppelt, ihn dadurch aber auch weiter aus dem Auge verliert und er trotzdem gekapert werden kann.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient?

Ich habe nicht gesagt, daß die Schnittstelle "nur" für TKÜ dient.

Bin ich als FritzBox Nutzer für immer unverdächtig?

Wer sich versteckt, macht sich in den Augen der Ermittlungsbehörden sogar erstrecht verdächtig.

[BenutzerGa4gooPh]

Zur Überwachung: Meint ihr nicht, dass es für Provider (und Berechtigte Stellen, bS) viel einfacher ist, Traffic an zentralen Stellen (DSLAM, Router) per SPAN-/Monitoring-Ports abzugreifen? Eine sog. Probe (dedizierter NW-Analyzer, Filter) ist recht teuer. Beispiel, keine Werbung: http://www.neox-networks.com/produkte/f ... flow-probe

Hausinternen Traffic kriegt man so nicht - ist für die Befriedigung TKG/TKUeV/G10-Gesetz auch nicht erforderlich. Kein Provider macht mehr, als er unbedingt muss. Kosten halt. (Vorauseilenden Gehorsam lasse ich mal außen vor.) Für das Abgreifen von hausinternem Traffic, noch besser dessen Ergebnissen (Dateien) ist ein Trojaner viel besser geeignet.

Unwahrscheinlich, das CPE/Endgeräte direkt für Überwachung UMKONFIGURIERT werden müssen. Zentrale Stellen genügen vollauf. Und gegen die Analyse eures externen Traffics, könnt ihr ausser Verschlüsselung nichts, aber auch gar nichts tun. Mail nicht vergessen.

https://www.netuse.de/tkg-113
https://berlin.ccc.de/wiki/Telekommunik ... berwachung
https://dejure.org/gesetze/TKG/110.html
usw.

[DeletedUserReAsG]

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Plastikrouter wurden auch schon dazu mißbraucht, teure Telefonate zu führen, indem der Angreifer seine Anrufe einfach über fremde Plastikrouter und deren VoIP geführt hat. Nicht nur, daß das Opfer dabei erstmal auf hohen Telefonrechnungen sitzt, auch Telefonate, die man als "IS-Anwärter" lieber nicht über das eigene Smartphone führt, kann man so über Anschlüsse unbescholtener Bürger führen.

Ja, das war’s nicht, worum es mir ging. Dass ein aufmachbares Gerät an dieser Stelle immer ein Problem darstellt, ist kein großes Geheimnis. Es ging schon um die Frage, was genau darauf hindeutet, dass dieser Wartungsport zur Implementierung der TKÜ auf Endgeräten genutzt würde, oder darauf, dass es absichtlich unsicher wäre. Wenn ich mir als Behörde eine Backdoor einbauen lasse, würde ich doch zumindest zusehen, dass die für alle anderen verschlossen bleibt.

[spiralnebelverdreher]

These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird

Die Frage habe ich weiter oben bereits beantwortet.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient?

Ich habe nicht gesagt, daß die Schnittstelle "nur" für TKÜ dient.

Dann habe ich deinen Beitrag von heute morgen

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

irgendwie völlig missverstanden.

[spiralnebelverdreher]

Zur Überwachung: Meint ihr nicht, dass es für Provider (und Berechtigte Stellen, bS) viel einfacher ist, Traffic an zentralen Stellen (DSLAM, Router) per SPAN-/Monitoring-Ports abzugreifen? Eine sog. Probe (dedizierter NW-Analyzer, Filter) ist recht teuer.
...
Hausinternen Traffic kriegt man so nicht - ist für die Befriedigung TKG/TKUeV/G10-Gesetz auch nicht erforderlich. Kein Provider macht mehr, als er unbedingt muss. Kosten halt.

Sehe ich auch so. Solange das Überwachen ein finanzielles Minus-Geschäft für den Provider ist wird er da nur das Nötigste tun. Und welchen Stellenwert heute Metadaten durch ihre leichte Verarbeitbarkeit haben, wissen wir spätestens seit Snowden. Das alles spricht für das Ausleiten von (Meta)daten an zentraler Stelle.

[mat6937]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

Bei den FritzBoxen (Zwangsrouter) von Unitymedia ist dieser TR069-Port (8089) offen. Z. B.:

Code: Alles auswählen

:~ $ nping -c 2 --tcp --flags syn --delay 1s -g 5566 -p 8089 37.##.##.###

Starting Nping 0.7.01 ( https://nmap.org/nping ) at 2016-12-01 11:52 CET
SENT (0.0702s) TCP 46.###.###.##:5566 > 37.##.##.###:8089 S ttl=64 id=43314 iplen=40  seq=1931699281 win=1480 
RCVD (0.2364s) TCP 37.##.##.###:8089 > 46.###.###.##:5566 SA ttl=63 id=0 iplen=44  seq=2742675853 win=5840 <mss 1460>
SENT (1.0710s) TCP 46.###.###.##:5566 > 37.##.##.###:8089 S ttl=64 id=43314 iplen=40  seq=1931699281 win=1480 
RCVD (1.2364s) TCP 37.##.##.###:8089 > 46.###.###.##:5566 SA ttl=63 id=0 iplen=44  seq=2758315800 win=5840 <mss 1460>
 
Max rtt: 165.897ms | Min rtt: 165.286ms | Avg rtt: 165.591ms
Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.30 seconds

Den Port 7547 haben die Server von Unitymedia.