Diskussion:Cyberattacke auf DSL-Router am 27. November 2016

Die Löschung der Seite „Cyberattacke auf DSL-Router am 27. November 2016“ wurde ab dem 28. November 2016 diskutiert und abgelehnt. Für einen erneuten Löschantrag müssen gemäß den Löschregeln neue Argumente vorgebracht werden.

Der Angriff erfolgte nicht auf die DNS Server sondern auf einen Fernwarnport der Router. Wie kann das im titel formuliert werden ? --178.11.239.121 20:28, 28. Nov. 2016 (CET)Beantworten

Und das ging wohl nicht ausschließlich gegen die Telekom. Bei denen hatte es nur die prominentesten Auswirkungen, wenn ich es richtig verstanden habe. Man sollte deshalb vielleicht das Wort Telekom aus dem Lemma entfernen ... --Gereon K. (Diskussion) 07:43, 29. Nov. 2016 (CET)Beantworten

Japp, da bin ich auch dafür. Es wurde eben bei uns in Deutschland prominent, weil Telekom Kunden betroffen waren. Der Angriff war aber breit angelegt und richtete sich auch gegen andere, evtl. häufiger oder besser upgedatete Router anderer Netze. Einfach Telekom streichen. --178.11.239.121 09:22, 29. Nov. 2016 (CET)Beantworten

Zustimmung, auch via Hr. Piksa: "Was allerdings zu überdenken wäre, ist der Titel des Lemmas: Es handelt sich nämlich explizit NICHT um einen Angriff, der einzig gegen die Endgeräte von Telekom-Kunden gerichtet war. Vielmehr führten lediglich technische Umstände dazu, daß der in wahrheit weltweit stattgefundene Angriff bei den Kunden der Telekom derartige Wellen geschlagen hat." -- VG Horst-schlaemma (Diskussion) 16:18, 30. Nov. 2016 (CET)Beantworten

Das Wort Hacker ist auch falsch. --M@rcela 18:18, 30. Nov. 2016 (CET)Beantworten

Hacker ist definitiv falsch, und Telekom ist fast richtig, da es sich um Angriffe auf SpeedPorts handelte (die setzt doch sonst fast niemand ein, oder?).--Mideal (Diskussion) 11:24, 1. Dez. 2016 (CET)Beantworten

Naja, Speedport#Trivia (letzter Punkt) liest sich anders. Hacker muß Cracker heißen. Wenn das ein Hacker gewesen wäre oder aus Versehen gemacht hätte, wäre das längst bekannt. --M@rcela 11:35, 1. Dez. 2016 (CET)Beantworten

Siehe bitte Wikipedia:Löschkandidaten/28._November_2016#Hackerangriff_auf_Telekom-Router_am_27._November_2016 --Bautsch (Diskussion) 16:33, 30. Nov. 2016 (CET)Beantworten

Kann mir mal bitte einer erklären warum der LA rausgenommen wurde? Dafür liegt keinerlei Grund vor. Die Relevanz ist wie immer zweifelhaft, eher nicht vorhanden. Achnee, wir sind ja inzwischen ein Newsticker geworden. --KayHo (Diskussion) 00:04, 1. Dez. 2016 (CET)Beantworten

"Wir" sind nicht dafür da, Dir einen Newsticker zu ersparen oder Dich sonstwie glücklich zu machen. --Mideal (Diskussion) 11:26, 1. Dez. 2016 (CET)Beantworten

Da liegst du leider falsch: WWNI Nr. 8. --KayHo (Diskussion) 11:43, 1. Dez. 2016 (CET)Beantworten

Hallo,

da es zu einigen Reverts und Gegenreverts kam möchte ich das ganze hier mal zur Diskussion stellen – da hier die Faktenlage (leider) nicht eindeutig scheint bzw. das mal geklärt werden sollte.

TR-064 ist ein, für die LAN-Seite („Heimnetzwerk“) vorgesehenes IGD-Protokoll (im Gegensatz zum WAN-seitigen TR-069). Damit lassen sich dann verschiedene Steuerungen realisieren. Die Bekanntestes dürfte wohl das Verwenden eines Smartphones und App um z.B. via der Fritzbox damit telefonieren zu können. Mit TR-064 lassen auch wie in diesem Fall auch die in Beispielen der Einzelnachweise Befehle absetzen – im Gegensatz zu TR-069.

Das Problem im konkreten Fall ist, dass der Angriff auf Port 7547 erfolgte, der überlicherweise für TR-069 vorgesehen ist. Doch schon vor dem Angriff (7. Nov. 2016) war bekannt, dass einige Router über diesen Port 7547 auch TR-064 „sprechen“ (siehe [1]+[2]) und dass dieser LAN-seitige Port ohne Authentifizierung WAN-seitig erreichbar ist, wodurch der Angriff möglich war. In diesem Beispiel [3] ist auch zu sehen, dass man sich verbinden kann und dann einen Befehl abgesetzt wird, und dieser dann mit einem (IGD-)UPnPError seitens TR-064 quittiert wird. Anders formuliert: Würde im Fall TR-064 über Port 22 laufen, würden jetzt wohl alle vom SSH-Protokoll anstatt von TR-064 schreiben. Deshalb ist es in meinen Augen falsch in diesem Kontext das ganze immer wieder TR-069 herunterzubrechen. Dass TR-069 ist ein Problem ist will ich nicht in Abrede stellen, ist hier aber deplatziert.

Leider, leider gab es in den letzten Tagen wenig vernünftig recherchierte Artikel und überall fällt ständig das Wort TR-069 und zu wenig TR-064:

• http://www.golem.de/news/telekom-ausfall-router-botnetz-ueber-luecke-in-fernwartungsinterface-tr-064-1611-124751.html
• http://arstechnica.com/security/2016/11/notorious-iot-botnets-weaponize-new-flaw-found-in-millions-of-home-routers/
• https://devicereversing.wordpress.com/2016/11/07/eirs-d1000-modem-is-wide-open-to-being-hacked/

Sollte ich komplett falsch liegen, bitte ich darum es korrekt es mir korrekt zu erklären. ;-)

Grüßle, --WikiPimpi (Diskussion) 21:57, 30. Nov. 2016 (CET)Beantworten

Wie bewertest du die Angaben unter https://netzpolitik.org/2016/tr-069-die-telekom-und-das-was-wirklich-geschah/ und die Ausführungen unter https://www.heise.de/forum/heise-Security/News-Kommentare/Nach-Grossstoerung-bei-der-Telekom-heise-Security-bietet-TR069-Test/FUD-Busting-Basics-zu-TR-069-heise-bitte-mal-lesen/posting-29571343/show/? Von mir kam ja einer der Reverts, daher bin ich natürlich auch an einer Klärung interessiert ^^ --Kreuvf (Diskussion) 23:07, 30. Nov. 2016 (CET)Beantworten

TR-069 war wohl nicht das Problem, wie Heise berichtet. --Mideal (Diskussion) 12:31, 1. Dez. 2016 (CET)Beantworten

Die Telekom (wie auch die Analytiker) spricht selbst von TR-069. Damit sollte diese Diskussion m.E. abschließend geklärt sein. Wem das aber noch nicht reicht, zwei weitere Punkte:

1.) Port 7547 ist tatsächlich als standardmäßiger Port für TR-069 definiert.

2.) Zu der Frage, ob TR-069 ursächlich war: Ja, war es. TR-069 war bei der Telekom bedauernswerter Weise so konfiguriert, daß die Endgeräte der Kunden sich über diesen Port von jeder IP-Adresse aus ansprechen ließen. Die Telekom hätte ihr Netz so konfigurieren müssen, daß ausschließlich sie selbst mit den Endgeräten in ihrem Netz kommunizieren kann. Was die Router dann zum Absturz brachte, war die Tatsache, daß es in der Routerfirmware einen Fehler gab, der zur Folge hatte, daß die eintreffenden TR-069-Pakete die routerseitige Verarbeitung des DNS kollabieren ließ.--Peter Piksa (Diskussion) 12:53, 1. Dez. 2016 (CET)Beantworten

Danke für den Telekom-Link, hatte ich noch nicht gesehen.

Ich gebe dir aber nur zum Teil recht, denn die Telekom schreibt selbst: „Nach aktueller Sachlage basiert diese auf einer Veröffentlichung im Internet von Anfang November 2016“. Für mich heißt das, dass es um [4] und [5] geht (in den „News“ am 22. November [6]). Hier erfolgt der Angriff auf das TR-064-Protokoll welches auf TR-069-Port bereitgestellt wird, jedoch nicht explizit TR-069 – denn SetNTPServers (vgl. ExploitDB) ist kein TR-069-Parameter. Du hast aber recht, die Ursache des Telekom-Ausfalls am Ende „irgendwas“ am TR-069 (will die Telekom uns zu mindestens weismachen). Nur sollte man das im Artikel besser ausarbeiten, d.h. wem der Angriff eigentlich (!) galt und warum die Telekom-Geräte „ausfielen“. Wie schon im Heise-Forum [7], bei Register [8] und hier [9] beschrieben, scheinen wohl einige Hersteller (vereinfacht formuliert) einen Teil von TR-064 über TR-069 über das WAN zur Verfügung stellen. Beim Angriff auf Telekom-Router war glücklicherweise lediglich die Auswirkung anders als vom Angreifer prognostiziert – weshalb auch immer.

<Spekulation>Hier spielt für mich das Statement „die Schadsoftware sei schlecht programmiert gewesen“ eine Rolle. Richtig umgesetzt wäre wohl mehr passiert. Denn ich denke, dass die Arcadyan-Firmware TR-064-Befehle aktzeptiert hätte. Oder warum war wohl in den ganzen Beispielen TR-064/069 ohne jedgliche Authentifizierung offen? Und „ganz zufällig“ war bei der Telekom nur TR-069 offen und von allen IPs aus erreichbar.</Spekulation>

Zum Thema TR-064 oder TR-069 gibt' übrigens auch hier in den Kommentaren unterschiedliche Auffassungen: https://netzpolitik.org/2016/tr-069-die-telekom-und-das-was-wirklich-geschah/

Gruß, --WikiPimpi (Diskussion) 19:54, 1. Dez. 2016 (CET)Beantworten

Hab den Artikel gemäß dieser Erkenntnis überarbeitet. Wer sich die Historie der Quellen liest (!) und versteht (!!) dem sollte das Gesamtkonstrukt jetzt klarer werden. --WikiPimpi (Diskussion) 22:14, 1. Dez. 2016 (CET)Beantworten

Rezeption in den Medien sollte zugefügt werden, wie z.B. auch die Kommentierung als erwarteter Beginn weiterer Attacken weltweit. Gibt es einen Artikel zum Angriff auf finnische Heizungsanlagen vom (vor)letzten (?) Monat? Ich finde nichts.--Mideal (Diskussion) 12:31, 1. Dez. 2016 (CET)Beantworten

Ja, dazu gibt es Berichte. Diesen beispielsweise.--Peter Piksa (Diskussion) 13:12, 1. Dez. 2016 (CET)Beantworten

„..wurde bekannt, dass ein Router-Modell des irischen Telekommunikationsanbieters Eircom, dessen .., das Fernwartungsprotokoll TR-069 auf dem Port 7547 frei zugänglich ist ...“ - bitte einen auch grammatisch richtigen Satz draus machen. -- itu (Disk) 00:17, 3. Dez. 2016 (CET)Beantworten

Das hätte schon längst erfolgen sollen, als es noch aktuell war. Es war ein Crackerangriff, das hat nichts mit Hackern zu tun. --M@rcela 12:29, 5. Dez. 2016 (CET)Beantworten

Man kann gerne darauf hinweisen, dass es sich im Prinzip um einen „Crackerangriff“ handelt, aber so bezeichnet das Ding ansonsten niemand. [10]. Nicht einmal heise. --Gripweed (Diskussion) 16:39, 5. Dez. 2016 (CET)Beantworten

Ich frage ja auch lieber vorher nach ;) Die Presse wird den Unterschied eh nie mehr lernen. --M@rcela 16:44, 5. Dez. 2016 (CET)Beantworten

da bin ich dagegen - mit Cracker ist im alltäglichen Sprachgebrauch überwiegend die chemische Anlage oder ein Drogenkonsument konotiert. Gruß, --Foreign Species (Diskussion) 21:22, 5. Dez. 2016 (CET)Beantworten

Wikipedia bildet. Und deshalb nennen wir korrekte Begriffe. Inbus statt Imbus, Polystyrol statt Styropor, Masse statt Gewicht. Klar muß erwähnt werden, was Cracker und Hacker ist. Wie Gripweed schreibt, keiner nennt es so, deshalb geht eine Umbenennung vielleicht wirklich zu weit. Aber man sollte den Leser schon aufklären. --M@rcela 22:05, 5. Dez. 2016 (CET)Beantworten

Wie wäre es mit Cyberattacke? --WikiPimpi (Diskussion) 16:13, 13. Mai 2017 (CEST)Beantworten