TR-069 - Willkommen im Netz!

  • Liebe Netzgemeinde, 

     

    spätestens nach diesem Artikel von mir, sollte auch der letzte verstanden haben, warum jeder in seinen vier Wänden nicht unbedingt sicher ist. 

     

    Ja, ich bin ja ein Technik-Nerd, Freak, Hacker – wie auch immer die meisten mich bezeichnen wollen. Letzens wurden mir über einen Bekannten Grüße einer Ärztin mit den Worten: „Grüß mir den verrückten“ übermittelt. Das überlasse ich jedem selbst. Nur ticke ich so, dass ich mein technisches Wissen gerne an Nicht-Technik-Nerds und auch technisch Interessierte auf dieser Welt in einer Form vermitteln und weitergeben möchte, diese technisch komplexe Welt ein wenig besser zu verstehen. Anstelle mein Wissen kriminell und manipulierend einzusetzen.

     

    Und selbst dem verliebten Technikenthusiasten, der Freude daran hat seinen Internetanschluß selbst zu konfigurieren, mit Leidenschaft Nächte damit verbringt WLAN und andere Antennen ohne Rücksicht auf Verluste auf’s Dach und quer durch die Bude zu kabeln, mit viel Liebe und Geduld seinen Apfel-Rechner einrichtet, oder es schafft seinen Fenster 10 Rechner auf Fenster 11 upzudaten, Festplatten mit Wurst-Käse belegt geht irgendwann die Puste an Verständnis aus. Bleibt noch die Einrichtung des eigenen E-Mail-Kastens mit POP3 oder was weiß ich für Verbindungsprotokollen. 

     

    Eine Frage bleibt aber, die nur die wenigsten im Detail beantworten können:  

     

    Was bitte geht eigentlich genau auf diesem kleinen Kabel ab, was in meine Wohnung kommt, an welchem vor nicht allzu langer Zeit noch Cheddar-Käse oder Kermit- farbene Telefone mit Wählscheibe angeschlossen wurden? Wo heute mittlerweile mein Internet angeschlossen ist, all meine Computer und TV-Geräte dahinter, Telefone, Drucker, Waschmaschinen, Toaster, die heimische Katze und vieles mehr?  

Warum ist das Netz eigentlich "Hackbar"?

Zum Artikel

  • Damals war das der Hit. Konnte man sich einfach parallel ein weiteres Telefon mit an das Kabel schrauben und selbst zu Hause mithören, was so im Nachbarzimmer alles über die Leitung flimmerte. Etwas blöd war nur, falls Mutter einen Anruf genau dann bekommen hat, während du gerade die zwei Drähte zwischen Daumen und Zeigefinger gerollt hast, um die sekundäre hochprofessionelle zweite Telefon-Abhöre zu installieren.  

     

    Das bitzeln eines  9 Volt Varta Batterie-Blocks, den man damals gelutscht hat weil man es nicht besser wußte, dass es sich dabei nicht um lebenswichtige Aminosäuren und Enzyme handelt, war ein Witz gegen diese Art von Stromschlag und mittlerweile weiß ich auch, woher die Herz-Rhythmus Störungen kommen. Die Krönung und was alles toppt, ist das Gefühl der absoluten Hilflosigkeit und die Lähmungserscheinungen, wenn der Anruf kam als du das Kabel zwischen deinen Zähnen hattest um diese als Abisolierzange zu missbrauchen. Heute sind die Kleber der Zahnärzte so gut, dass von der Lücke am Schneidezahn kaum noch etwas zu sehen ist. Es hat Jahre gedauert. 

     

    Nun, heute nutzt man eben dieses Kabel in Kombination mit der blöden Idee, sich zunächst einmal irgendwo einen Internetanschluß zu besorgen. Sogar mit „Festnetztelefonnummer“ (liest sich wie ein abgelaufenes Stück Brot). Immerhin mit drei Rufnummern. Vater, Mutter, Kind1, danach wird es eng. – Sehr Familienunfreundlich also, die Angebote der Service-Provider. Allerdings können bei evtl. weiterer Familienplanung, eine vierte, oder aber auch weitere Rufnummern gegen Gebühr, in die Gesamtkalkulation eines Kindes mit eingeplant werden. 

     

    Also, Job done. Der Vertrag über den Internetanschluß ist gemacht. Im Gegensatz zu manch anderen weit entwickelten Ländern bekommt man das kleine Kästchen – den Internet-Router (Ruuuter, Rauuuuter) – aber meistens nicht gleich mit (falls Vertrag im Laden gemacht… Lass Papa mal machen.. ), sondern muß sich noch ein wenig in Geduld üben, bis das ersehnte Paket dann endlich eintrifft. Wo das gepackt wurde und von wem, interessiert nicht. Fakt ist: Es wird irgendwo und von irgendwem gepackt. Aufkleber drauf, ab die Post. 

     

    Trallala, die Post ist da… Paket auf, Router raus, anschließen, Vorhang auf, Licht an. Gibt es heute mittlerweile Geräte, welche es schaffen sich von alleine zu konfigurieren (auf das DSL aufzumodulieren und die Zugangsdaten zum heiligen Internet nicht mehr manuell eingegeben werden müssen), gibt es aber auch noch jene, welche im beigelegten Brief-Umschlag sorgfältig nach den Zugangsdaten suchen und diese eingeben müssen. Wer Glück hat, darf sogar etwas freirubbeln. 

Etwas mehr Sicherheit? Überprüfe Deinen Internetanschluß zu Hause

Zum Portscanner

  • Passwort für das Gerät und Passwort für das vorkonfigurierte WLAN? Kein Problem. Klebt in der Regel schon einmal alles unten dran, oder befindet sich in irgendeinem Deckel. Wo aber hin mit den Zugangsdaten, wenn man sie selbst eingeben muss? In der beigelegten einschlägigen Fachliteratur - wenig Wort, viel Comic-Zeichnungen - wird das problemlos in etwa wie folgt erklärt: Kabel A1 mit Buchse A4 verbinden. Buchse A4 überprüfen, zurück über Kabel B2, nach Buchse C4, eigenen Computer über Buchse LAN1 verbinden. Stecker rein, Strom an. Manche haben den Segen, dass Comic-Heft erhalten zu haben, welches das zuvor beschriebene Szenario über das vorkonfigurierte WLAN erklären. Gut, spart man sich ein Kabel. Nun warten bis das DSL Lämpchen blinkt, erst langsam, dann schneller, dann wie ein Wunder ist es stabil leuchtend. Nein, die Lampe hat keinen Wackelkontakt. Dieses Disco-Geblinke ist so gewollt. Na also, geht doch….  

     

    Jetzt nur noch den Browser starten, problemlos http://192.168.2.1 oder http://irgendwas.ip eintippen und schon erscheint die Login-Seite des Rauuuters. Deckel vom Router auf, oder umdrehen, Passwort notieren, eingeben und sich durch den Konfiguarations-Assistenten führen lassen, um die Zugangsdaten einzugeben. Wer überhaupt soweit kommt: Chapeau! 

     

    War doch ganz einfach.  

     

    OK. Nehmen wir jetzt einmal vorsichtig an alles geht. Du hast Internet. www.endlich-geschafft.irgendwas geht. Eigentlich kannst du jetzt schlafen gehen. Wären da nicht noch alle anderen Geräte die genau an diesen Kasten angeschlossen werden müssten. Also, wo man schon gerade dabei ist: Handy über das WLAN dran, Drucker, Spielekonsole, Sprachschleuder Alexa, Partyboxen, Überwachungskamera (ganz wichtig), Überwachungskamera 2-14, Televisions-Gerät, Kühlschrank, Herd, vielleicht noch die Nachttischlampe. DECT-Telefone und Nummern einrichten. Wir erinnern uns: Vater, Mutter, Kind1 - Überwachungskamera 15. Thermomix.  

     

    Dann gibt es noch einige die schaffen es, dass Passwort vom Raaauter und vom vorkonfigurierten WLAN zu ändern (die wenigsten tun oder schaffen es, na eh, Werkseinstellungen behalten ist schlauer :-) ). So, keiner kommt mehr ohne meine Herrschaft ins Netz oder den Rauuuter. Unbefugter Zugriff wird mit Todesstrafe geahndet. Kiste save.  

     

    Endlich geschafft. 

     

    Bis hier hin war’s lustig.  

Kritische Sicherheitslücke in OpenSSL

Ende Oktober wurde eine kritische Sicherheitslücke in OpenSSL festgestellt. OpenSSL wird oftmals verwendet, um einen sogenannten Tunnel, also eine Verbindung von zu Hause in beispielsweise ein Firmennetzwerk aufzubauen. Die Entwickler stellen hierzu seit 01.11.2022 Updates bereit um die Lücke zu schließen.

Mehr darüber lesen

  • Wir rufen uns nochmals in Erinnerung, dass alles an diesem Router hängt. Alles. Und dieser kleineKasten wiederum am Kabel, der Ader zur Welt. Willkommen im Netz. Du und deine Geräte. Bei den meisten mit Internetanschlüssen zu Hause ist dies genau so der Fall! Läuft.

     

    Wir wissen immer noch nicht genau was auf dem lustigen Kabel abgeht. Nur soviel sei schon einmal verraten: Ziemlich viel geht da ab und spätestens ab dem Zeitpunkt wo das DSL-Lämpchen der Dauerbrenner unter den Dioden wurde, ist der Kasten heile mit der Welt verbunden. 

     

    Das das DSL-Lämpchen dauerleuchtet ist insofern ein gutes Zeichen, als dass dies bedeutet, dass dein Raaauter zunächst einmal erfolgreich Verbindung mit dem nächsten Netzknoten aufgenommen hat. Also irgendwo hinter deinem Haus, irgendwo mit einen Kasten auf der Strasse, von dort aus irgendwie weiter zum nächsten Infineon- oder anderen technischen Knoten und und und.  

     

    Deshalb muss das Internet aber noch lange nicht funktionieren, da dies zunächst einmal eine Netzebene ist, die noch nichts mit deinen Zugangsdaten zu tun hat. Aber es ist wie gesagt schon einmal ein gutes Zeichen. Denn: Wenn du z.B. deinen Service-Provider wegen einer technischen Störung anfunkst, fragt dieser in der Regel ob dein DSL-Licht leuchtet. 

     

    If Lampe an: Gut 

    If Lampe aus: Schlecht 

     

    Wenn die DSL-Lampe an ist, kann von der Ferne dein Router erreicht werden, in der Regel auch gemessen werden wie die Leitungsqualität ist und sogar noch mehr.


    Denn spannend wird es jetzt:  

     

    Es gibt ja nicht nur deinen Router. Es gibt wie du weißt hunderttausende Anschlüsse, alleine in Deutschland. Und es gibt nicht nur einen Kunden der Probleme hat und sich bei den Hotlines wegen was auch für Problemen mit dem Internet meldet.

     

    Was aber macht ein Service-Provider der hunderttausende Router draußen bei Kunden wie bei dir auch hat? – Er muss sie überwachen und steuern können! Ansosten endet es für den Service-Provider im Chaos.

     

    Stell dir mal vor, du vergisst dein Passwort des Routers was du eingegeben hast, oder hast irgendein anderes Problem mit deinem Internet. Und weißt z.B. nicht wie du das Passwort zurücksetzen oder ein anderes Problem lösen kannst. Also Anruf bei der Hotline des Service-Providers.  

     

    Da wird dir auch geholfen. Und zwar deshalb, weil der Service-Provider Zugriff auf deinen Router zu Hause hat. Und zwar vollkommen Zugriff auf deinen Router egal, ob du vorher ein eigenes Passwort vergeben hast oder nicht.  

Wie ist meine IP-Adresse?

Aus vielerlei Gründen sucht man manchmal vergebens nach seiner eigenen IP-Adresse im Netz. Hier kannst du deine momentan aktuelle finden:

Wie ist meine IP?

  • Damit große Service-Provider diese hunderttausende an Geräten und auch technische Probleme aus der Ferne verwalten und in Teilen beheben können (damit nicht auch jedes Mal ein Techniker vor Ort kommen muss), wurde vor Jahren das sogenannte TR-069 Protokoll standardisiert. Merke dir: TR-069! Weitere technische Details werde ich an dieser Stelle ersparen, da zu komplex, aber du solltest dir über folgendes im Klaren sein: 

     

    Jedes von einem Service-Provider gelieferte Endgerät (dein Router) hat dieses TR-069 Protokoll implementiert und greift somit in den Datenschutz und deine Privatsphäre ein. 

     

    Neben dem, dass du also deine eigenen Passwörter für den Router und das WLAN usw. vergeben kannst, ist durch das TR-069 Protokoll in deinem Router eine sogenannte BACKDOOR vorhanden, über welche die meisten nichts wissen und über welche auf dein Gerät zugegriffen werden kann. Remote CPE Management heißt es.

     

    Und zwar nicht nur auf den Router, sondern das Funktionsprinzip von TR-069 ermöglicht es ebenso, auf alle deine dahinterliegenden Geräte und somit auf alle an deinen Router angeschlossen Geräte zuzugreifen. 

     

    In der „Regel“ haben nur die Service-Provider und von diesem genehmigte Personen z.B. Techniker/Hotlines Zugriff auf die Systeme und TR-069. Diese Personen dann eben entsprechend weiter zu deinem oder auch anderen Routern gelangen können. Jedoch könnte auch im Rahmen der sogenannten „Online-Durchsuchungen“ und speziellen Abhör-Befugnissen der Personenkreis erweitert werden und schon bleibt es ggf. nicht mehr nur beim Personenkreis der Service-Provider. 

     

    Ist TR-069 sicher?  

     

    Nichts im Netz ist sicher! Was dafür gebaut wurde nicht gehackt zu werden, wird gehackt! Sonst wären Hacker arbeitslos und du würdest nicht ständig darüber lesen, dass russische Hacker mal wieder irgendwo in die kritische Infrastruktur Deutschlands einbrechen wollen, oder Anonymous mal wieder DoS Attacken fährt, bis der letzte Partei-Server down ist, oder Bugs-Bunny auf deren Webseite auftaucht.

     

    Zudem reicht es oftmals durch psychologische Kriegsführung, auch Social-Engineering genannt, an Zugangsdaten einer oder mehrerer Personen zu gelangen, welche Zugriff auf die Serversysteme eines z.B. Service-Providers haben. TR-069 hat vor Jahren ca. 1 Million Internetanschlüsse lahmgelegt, da ein nicht beabsichtigter Fehler einer unserer deutschen Service-Provider dazu geführt hatte, dass ein "böses" Programm was eigentlich für etwas anderes gedacht war, mal eben die Kisten zum Absturz brachte.

     

    Das lustige ist, dass jeder dieser Kästen (Router) eine integrierte Mini-Firewall hat, die das schlimmste von außen verhindern soll. Manche kennen es, dass man für seine Überwachungskameras deshalb zu Hause auch sogenannte Ports freischalten muss. Nur was nutzt diese integrierte Firewall, wenn sie durch TR-069 ausgehebelt werden kann, da über TR-069 wie schon zuvor erwähnt eine BACKDOOR exisitert? 

  • Jetzt kann sich jeder für sich Gedanken machen, was er mit all diesen Informationen anfängt. Noch besser wird es, wenn du an diesem Kasten vielleicht noch deinen Firmenrechner angeschlossen hast, am besten mit sensiblen Daten z.B. aus dem Banken-, Pharma- Behören- oder Gesundheitsbereich. 


    Aus diesem Grunde kann ich nur jedem empfehlen, dass er sich auch zu Hause und im Home-Office eine zusätzliche Firewall anschafft. Die kommt hinter den Kasten der Service-Provider und dort schließt du dann erst deine Geräte an. Und am besten eine Firewall die eben TR-069 aushebelt. Dann kann der Service-Provider zwar immer noch auf deinen Rauuuter, aber wenn alles klappt, scheitert er dann an deiner zusätzlichen Firewall.

     

    Wie zuvor geschrieben sind irgendwann einmal mehr oder weniger alle Systeme Opfer einer Hacker-Attacke. Es ist immer nur eine Frage der Zeit und oftmals sind viele Lücken den Herstellern noch gar nicht bekannt, welche aber bereits durch Hacker gefunden und ausgenutzt werden (ZERO-DAY-EXPLOIT). 

     

    Auf der anderen Seite gibt es aber auch eine große Community im Netz, die sich ständig um Sicherheit bemüht, ebenso wie es eben die Community gibt, welche versucht Sicherheit zu umgehen. Gut und Böse wie man es auch aus anderen Bereichen kennt. 

     

    Von dem her macht es immer Sinn sich so gut es geht zu schützen, gerade wenn man ggf. mit sensiblen Daten zu tun hat oder auch Wert darauflegt, seine Privatsphäre etwas mehr von der Außenwelt abzuschotten. Es gibt genügend vernünftige Systeme auch zum kleinen Preis die Schutz bieten.  


    Abgesehen davon, dass wir alle mit nervigen Cookie-Bannern auf jeder Seite im Internet belästigt werden, was dadurch ggf. alles von dir erfahren werden kann, oder du auf sämtlichen Seiten den Haken "ich akzeptiere die Datenschutzbestimmungen" usw. klicken musst.

    Das Service-Provider aber Router in jedem Haushalt installieren, welche eine BACKDOOR haben und damit meiner Meinung nach schlimmer sind als irgendwelche Kekse auf einer Webseite, schein nicht unter Datenschutz zu fallen. Und was Verträge mit dem Kleingedruckten angeht sind große Konzerne ja Meister darin, bestimmte Dinge so zu verklausulieren, dass man meint, man hätte einen dufte Urlaub auf den Malediven gewonnen.

     

    Das traurige an dieser Geschichte ist, dass wir hier über TR-069 im Privaten Umfeld sprechen. TR-069 kommt aber auch in ganz anderen Bereichen zum Einsatz, Bereichen wo es wirklich um kritische Infrastruktur geht.

    Und dann uns alle betrifft, und nicht mehr nur deinen kleinen Kasten an der Ader zur Welt!

    Zusammen gefasst:

    Die Deutsche Telekom verwendet sowohl TR-064 als auch TR-069 für die Verwaltung und Fernwartung ihrer Speedport-Router. TR-064 ist ein Protokoll für die lokale Verwaltung von Netzwerkgeräten, während TR-069 ein Protokoll für die Fernwartung von Netzwerkgeräten über das Internet ist.

    TR-069 ist ein Protokoll, das von der Broadband Forum entwickelt wurde und für die Fernwartung und Konfiguration von Netzwerkgeräten wie Routern, Modems und Set-Top-Boxen verwendet wird. Es ermöglicht es den Serviceprovidern, auf die Router ihrer Kunden zuzugreifen und sie aus der Ferne zu konfigurieren und zu verwalten, ohne dass du vor Ort sein mußt.

    Die Deutsche Telekom verwendet TR-069 für die Fernwartung und Verwaltung ihrer Speedport-Router. Über TR-069 können die Telekom-Techniker Firmware-Updates, Konfigurationsänderungen und andere Wartungsarbeiten an den Routern ihrer Kunden durchführen, ohne dass diese physisch anwesend sein müssen.

    TR-064 wird hingegen für die lokale Verwaltung und Konfiguration der Speedport-Router verwendet. Mit TR-064 kannst du als Kunde auf deinen Router zugreifen und ihn konfigurieren, indem du dich über das Telekom-Kundenportal oder eine spezielle App anmeldest. So kannst du z.B. WLAN-Einstellungen ändern, die Kindersicherung aktivieren oder deaktivieren oder eine Liste der angeschlossenen Geräte anzeigen.


     

    Viel Spass am Gerät! 

     

    Bötty