Die dunkle Seite der Fernwartung

Seit kurzem ist das Jahr 2016 um ein weiteres digitales Großereignis reicher: Ein großer Teil der Telekom-Kunden hatte Schwierigkeiten beim Internetzugang oder gar keinen Zugang zum Internet mehr. Wie man mittlerweile weiß, lag der Grund dafür nicht in einem technischen Fehler, sondern in einem Hackerangriff, wenn auch einem missglückten. Die Angreifer versuchten einen Fehler im TR-069-Protokoll bei den Routern von Telekom-Kunden auszunutzen und die betroffenen Geräte in ein Bot-Netz einzugliedern. 900.000 Kunden sollen insgesamt betroffen gewesen sein. Doch die Attacke ging gleich auf mehreren Ebenen schief. Zunächst auf Seiten der Angreifer: So waren die attackierten Router überhaupt nicht für die angepeilte Schwachstelle empfänglich. Die Pakete mit der Aufforderung, Software von einem Server nachzuladen, bewirkten auf den Geräten – nichts. Damit blieb der erhoffte Zuwachs für das Bot-Netz aus. Und was als möglichst unauffälliger Angriff im Hintergrund ablaufen sollte, wurde zum Aufmerksamkeits-GAU schlechthin. Die Attacke schaffte es in die Tagesschau und so ziemlich jedes On- und Offline-Medium in Deutschland und Europa. Denn dass überhaupt nichts passierte, stimmt auch nicht ganz. Die Router konnten zwar nicht über die Schwachstelle übernommen werden, sie kamen aber auch nicht damit klar, auf diesem Port ständig Anfragen zu erhalten. Sicherheitsanalysten stellten fest, dass die Router bei wiederholten Anfragen auf dem betroffenen Port nach einiger Zeit begannen, die Netzverbindung einzustellen und dann ganz zu kappen. Das führte zum beobachteten Symptom der Internet- und Telefonieausfälle von Telekom-Kunden.

Nachdem die Telekom den betroffenen Port 7547 blockiert hatte, normalisierte sich die Lage. Weil sich die manipulierten Pakete nicht im Router einnisten konnten, waren die Geräte nach einem Neustart wieder einsatzbereit. Jetzt beginnt die Forensik, oder auch, im Zeitalter der sozialen Medien, das gegenseitige Fingerzeigen. Eines ist klar, der Hersteller hat offensichtlich bei der Implementierung von TR-069 gepfuscht, sonst hätten die Router nicht nach einer Weile den Dienst quittiert. Während solche Versäumnisse früher achselzuckend hingenommen wurden, ist das Klima nun deutlich feindseliger. Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) fordert eine konsequente Anwendung bestehender Gesetze und Sanktionen für unzureichend gesicherte IT-Produkte. Es sei notwendig, dass flächendeckend auf die Sicherheit von Endgeräten geachtet werde. Und überhaupt: Wie kann man nur einen Port, der zur Fernkonfiguration genutzt wird, von außen zugänglich lassen? Ganz einfach – weil es nicht anders geht. TR-069 ist eine Schnittstelle, mit der Telekommunikationsanbieter die Hardware der Kunden wie Router oder Modems von außen konfigurieren können. Natürlich muss das Protokoll dazu auch Zugriff auf die Einstellungen der Endgeräte haben, es handelt sich um klassischen Remote-Access. Und die Entwickler gaben sich bei der Definition der Funktionsweise zumindest Mühe. Bei TR-069 gehen alle Verbindungen vom Client, also dem Router, Modem oder der Set-top-Box aus. Endgeräte fragen nach dem Einschalten oder in regelmäßigen Abständen beim Auto-Configuration-Server (ACS) des Herstellers oder Netzbetreibers an, ob eine aktualisierte Konfiguration vorliegt. Somit wäre kein offener Port notwendig.

Es gibt allerdings eine Ausnahme, dann wenn der Netzbetreiber, beispielsweise für ein dringendes Update oder für Hilfestellung beim Support, von selbst eine Verbindung initiieren will. Dafür klopft er am besagten Port des Endgeräts an, welches dann die Verbindung zum ACS aufbaut. Hier zeigt sich, dass man Fernzugriff wirklich nur mit sehr soliden Sicherheitsmechanismen zulassen sollte. Denn zum einen sieht die TR-069-Spezifikation per SSL/TLS gesicherte Verbindungen zwischen Provider und Endgerät nur als Empfehlung vor. Ob sie implementiert werden, hängt von Provider und Hersteller ab, häufig ist das nicht der Fall. Zum anderen ist die Authentifizierung von Endgerät und ACS problematisch und, wie der aktuelle Fall zeigt, ebenfalls von der Implementierung des Hardwareherstellers abhängig. Erst vor kurzem hatte Sicherheitsanbieter Checkpoint zahlreiche Schwachstellen in TR-069 gefunden und publiziert.

Was mit einem gehackten TR-069 Zugang möglich ist, listet der Wikipedia-Eintrag eindrucksvoll im Abschnitt „Sicherheit“ auf. Im Prinzip kann das Protokoll als Backdoor missbraucht werden, sowohl für die Konfiguration des Routers als auch für bestimmte Geräte hinter dem Router, im lokalen Netz. Fazit: Ohne Fernwartung geht es (meistens) nicht, aber wenn Fernwartung möglich ist, sollte sie wirklich absolut wasserdicht umgesetzt werden. Dass eine Attacke, wie an diesem Wochenende, als anschauliche Lernhilfe benutzt werden kann, dürfte nicht sehr häufig vorkommen.