Router Malware Hack

SWR-Interview zum Hack der Telekom-Router

Die Sicherheitsexperten von aramido wurden letzte Woche vom SWR zum Hack der Telekom Speedport-Router interviewt.

Was war vorgefallen?

Am 27.11.2016, sonntagabends, hat bei mehreren Kunden der Deutschen Telekom das Internet und andere ĂŒber das Internet Protocol (IP) laufende Dienste wie Telefon (VoIP) und Fernsehen (IPTV) plötzlich nicht mehr funktioniert. Als Grund fĂŒr die Störung wurde zunĂ€chst ein Angriff auf den zur Fernwartung (von der Telekom EasySupport genannt) verwendeten Port 7547 verantwortlich gemacht. Auf diesem Port konnte ein Dienst mit dem Protokoll TR-069 erreicht werden, der eine Sicherheits­lĂŒcke hatte. SpĂ€ter stellte sich jedoch heraus, dass die GerĂ€te gar nicht fĂŒr diese spezielle SicherheitslĂŒcke anfĂ€llig und damit auch nicht das Ziel des Angriffs waren. Der eingesetzte Schadcode sollte gehackte GerĂ€te zu einem Botnetz zusammen­zu­schließen, um sie anschließend aus der Ferne steuern und fĂŒr weitere Angriffe nutzen zu können.

Die Telekom-Router hatten allerdings eine andere Schwach­stelle: Eine hohe Anzahl von Anfragen auf dem besagten Port fĂŒhrten zu einem Dienstversagen des Routers, wodurch ĂŒber 900.000 Telekom-Kunden vom Internet zwangs­getrennt wurden. Das eigentliche Ziel des Angriffs waren Router des Herstellers Zyxel, die unter anderem vom irischen Tele­kommu­nikations­unter­nehmen Eir eingesetzt werden. Diese wurden auch erfolgreich infiziert und haben im Anschluss ihrerseits weitere GerĂ€te im Internet angegriffen. Darunter befanden sich auch die Telekom-Router.

HÀtte der Vorfall verhindert werden können?

Dem Angriff wurde von allen Medien große Aufmerksamkeit geschenkt. Doch dass dieser ĂŒberhaupt aufgefallen ist, liegt nur an der Tatsache, dass er ungeplante Aus­wirkungen hatte, nĂ€mlich dem Ausfall der Telekom-Router. Nach dem Vorfall sind sich Sicherheitsexperten einig, dass es nicht dazu hĂ€tte kommen mĂŒssen. So hĂ€tte der Fernwartungs­port nicht aus dem kompletten Internet erreichbar sein dĂŒrfen. Außerdem sind mangelnde Updates und Wartung bei Router-Firmware ein generelles Problem. Es ist bemerkenswert, dass sich bereits vor zwei Jahren ein Kunde im Support-Forum Telekom Hilft beim Unternehmen gemeldet hatte, um vor potentiellen Sicherheits­lĂŒcken im Fernwartungs­protokoll TR-069 zu warnen. Die Antwort des Telekom­mitarbeiters von Januar 2014 auf diesen Hinweis klingt im Nachhinein gewagt: „Sie können davon ausgehen, dass EasySupport sicher ist.“

Telekomhilft zu TR-069

Welche SchlĂŒsse können gezogen werden?

Der SWR4-Reporter Thorsten Helber hatte Andreas Sperber und Armin Harbrecht von aramido nach dem Vorfall interviewt, um zu erfahren, wie man sich effektiv vor IT-Sicherheitsrisiken schĂŒtzen kann. Das folgende Interview ist ein Ausschnitt des Beitrags, der am 1.12.2016 im SWR-Radio gesendet.

Helber: Es ist wohl der Alptraum jedes Unternehmers: sĂ€mtliche GeschĂ€ftsdaten plötzlich weg, verschlĂŒsselt, ausgespĂ€ht oder böswillig verĂ€ndert. In solchen und Ă€hnlichen FĂ€llen werden die IT-Spezialisten der Karlsruher Firma aramido gerufen. Meistens allerdings erst, wenn schon etwas passiert ist. So wie beispielsweise der Angriff auf eine Unternehmenswebseite, erinnert sich einer der GeschĂ€ftsfĂŒhrer Andreas Sperber.
Sperber: Es gab eine Webseite, die wurde offensichtlich mit Schadsoftware infiziert, die wiederum andere Rechner infiziert hat. Es hat tatsĂ€chlich gereicht diese Webseite aufzurufen. Es war ein sogenannter Drive-by-Download. Man konnte sich dann darĂŒber infizieren.
Helber: Besonders kritisch daran: ĂŒber Monate hinweg blieb der Hackerangriff erst einmal unbemerkt. Die Schadsoftware konnte sich ungestört verbreiten. Im Fall der angegriffenen Telekom-Router ist es daher positiv zu sehen, dass die SicherheitslĂŒcke nun aufgeflogen ist, erklĂ€rt Armin Harbrecht.
Harbrecht: Wir können eben froh sein, dass die Autoren dieser Schadsoftware das so schlecht gemacht haben. Sonst wĂ€ren jetzt vielleicht 900.000 Router infiziert, ohne dass es jemand gemerkt hĂ€tte. Ziel eines Hackers ist es eigentlich unbemerkt zu bleiben, weil er nun dann die SicherheitslĂŒcke weiterhin ausnutzen kann.
Helber: Die beiden IT Spezialisten arbeiten als so genannte White Hat-Hacker. Also die guten Hacker, sinnbildlich mit den weißen HĂŒten — White Hat. Im Gegensatz zu den Black Hat-Hackern setzen sie ihr Wissen nur zum Schutz von IT-Systemen ein, suchen Schwachstellen und machen darauf aufmerksam. Manchmal ist es Unwissenheit, oft fĂŒhren aber auch Kostendruck und Bequemlichkeit zu Sicherheitsrisiken.
Harbrecht: Ein ganz gutes Beispiel dazu sind mit dem Internet verbundene Überwachungskameras, die es bei Aldi zu kaufen gab. Die hatten einfach ein Standard-Passwort voreingestellt. Das macht es fĂŒr den Hersteller gĂŒnstiger und ist fĂŒr den Nutzer dann erst einmal bequem. Dass das eben auch ausgenutzt werden kann, ist klar.
Helber: Das allgemeine Bewusstsein fĂŒr IT Sicherheit nehme zwar zu meinen die Experten, oft herrsche aber ein zu sorgloser Umgang und die Haltung „wer interessiert sich schon fĂŒr meine persönlichen Daten“. Dabei zeigt gerade der aktuelle Fall der Telekom Router mal wieder:“
Harbrecht: Die Hacker hatten kein Interesse die privaten Urlaubsfotos von den Leuten zu hacken, sondern eben die Masse der Router, die dann wiederum fĂŒr neue Angriffe verwendet werden können. Das war das Interesse.
Helber: „Und was kann man tun, um sich und eben auch andere zu schĂŒtzen? FĂŒr Andreas Sperber gibt es zwei entscheidende Punkte.
Sperber: „Dass man die Standardkennwörter beispielsweise abĂ€ndert, auf eigene, sichere Passwörter — entsprechend auch lang und mit komplexen Zeichen. Und das zweite Wichtige ist, dass man fĂŒr Updates seiner GerĂ€te sorgt. Genauso wie man ein Auto eigentlich auch in die Werkstatt zur Wartung bringt, muss man sich darum kĂŒmmern, dass seine GerĂ€te auch gewartet werden.
Helber: Das gilt fĂŒr jeden zu Hause, aber natĂŒrlich ganz besonders fĂŒr den Schutz von Unternehmen.
Sperber: Ein ehemaliger FBI Direktor hat einmal gesagt, dass es zwei Arten von Firmen gibt: Firmen, die bereits gehackt wurden, und Firmen die es noch werden.
SWR-Logo

Was ist zu tun?

Aus dem Hack der Telekom Router kann man verschiedenen Lehren ziehen.

  1. Die Telekom muss ich fragen lassen, warum sie bekannte Sicherheits­lĂŒcken so lange nicht behoben hat.
  2. Die Aufhebung des Routerzwangs war eine richtige Entscheidung. Kunden können jetzt aus einer grĂ¶ĂŸeren Auswahl an Routern wĂ€hlen und sind nicht gezwungen, einen möglicher­weise unsicheren Router Ihres Providers zu benutzen.
  3. Hersteller von Routern und anderen Internet of Things (IoT)-GerĂ€ten mĂŒssen einen Weg finden, ihre GerĂ€te sofort nach Bekanntwerden einer Sicherheits­lĂŒcke zu patchen.
  4. Es kann davon ausgegangen werden, dass solche Angriffe tĂ€glich im Internet ablaufen und erfolgreich sind. Als Konsequenz steigt die Gefahr fĂŒr DDoS-Angriffe durch massive Botnetze weiter an, wie Beispiele der jĂŒngsten Vergangenheit zeigen.
  5. Wenn man sich selbst schĂŒtzen will, darf man nicht blind einem Anbieter vertrauen. Sicherheit entsteht nach dem Zwiebel­schalen­prinzip aus der Kombination mehrerer Schutzschichten.

Wie können Sie Internet of Things-GerĂ€te in Ihrem Unter­nehmen sicherer machen? Ein IoT-Penetrationstest verrĂ€t Ihnen, wo Sie angreifbar sind.

Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zurĂŒck und klĂ€ren mit Ihnen die Details fĂŒr ein verbindliches Angebot ab.