Das Internet – so wie wir es kennen – wird es bald nicht mehr geben. Warum das so ist? Letzte Woche gab es bei der Deutschen Telekom eine ziemlich große Störung, die eigentlich gar keine Störung war, sondern ein Hacker-Angriff. Der Telekom Hack. Fast eine Million Kunden konnten weder im Internet surfen, noch telefonieren. Zum Glück! Ja wirklich. Auch wenn das die Betroffenen sicherlich anders sehen: es ist ein Glücksfall gewesen, dass die Telekom-Router ausgefallen sind.
Wie der Angriff ablief
Der Router mit dem Sie ins Internet gehen hat – bildlich gesprochen – viele Türen die man „Ports“ nennt. Durch manche Türen kann man rein, durch andere raus. Diese Türen sind nummeriert und jede Türe lässt auch nur einen Service durch. Wer eine unverschlüsselte Email verschickt, schickt diese immer durch Tür 25. Eine aufgerufene Webseite hingegen gelangt über Tür 80 auf Ihren Rechner. Durch eine andere Türe, die mit der Nummer 7547, kommt der Kundendienst der Telekom. Dieser Port ist für die Fernwartung gedacht und für Updates. Hacker haben nun versucht, durch diese Fernwartungs-Türe ein gefälschtes Update zu schicken. Das ist ihnen auch weitgehend gelungen, wobei die Telekom Router das Update nicht starteten, weil es fehlerhaft* war. Da die Hacker aber alle paar Sekunden versuchten, ein weiteres gefälschtes Update nachzulegen, war irgendwann der Speicher** voll und die Router sind abgestürzt.
Eine Untersuchung des Schädlings zeigte, dass sich da jemand echt was dabei gedacht hat. Der Schadcode hätte sofort die Fernwartungstüre verschloßen. Damit wäre der Netzbetreiber nicht mehr in der Lage gewesen, das Gerät anzusprechen und gegebenenfalls mit Anti-Virus-Techniken zu säubern. Danach wäre der eigentliche Schadcode von einem Server im Internet heruntergeladen worden und hätte dann auf Befehle eines so genannten Command & Control-Server gewartet. Diese beiden Server standen übrigens in unterschiedlichen Ländern: in den USA bzw. in der Ukraine. Spuren verschleiern nennt man das.
Das Ziel war ein anderes
Jetzt ist es ja auch nicht so, dass diese Hacker Anfänger sind, die sich erst letzte Woche das Buch „Programmieren für Dummies“ gekauft haben. Die haben Ihren Schadcode garantiert vorher getestet. Ich gehe jede Wette ein, dass der Angriff auch funktioniert hat. Er war nur gar nicht für Geräte der Telekom gedacht – sondern für Router von anderen Providern, irgendwo auf dieser Welt. Eine halbe Woche nach dem Angriff wusste man, dass Geräte des Hersteller Zyxel betroffen sind. Bei den Zyxel-Routern hat niemand einen ähnlich intensiven Ausfall beobachten können, daher gehe ich davon aus, dass dort der Angriff geklappt hat.
Und all diese Geräte werden in Kürze – jede Wette – dafür genutzt werden, Firmen über das Internet anzugreifen und deren Dienste lahm zu legen. Im Gegensatz zu den eh schon immensen dDOS Attacken der letzten Wochen mit popeligen Online-Überwachungskameras haben Router aber eine immense Bandbreite zur Verfügung. Wieviel die gekaperten Zyxel-Geräte haben, ist (noch) nicht bekannt, es waren wohl auch „nur“ ein paar tausend Stück.
Was hätte, wenn und aber
Laut Telekom-Sicherheitschef Thomas Tschersich hätte jeder der 900.000 Telekom-Router im Infizierungsfall durchschnittlich etwa 50 Megabit zur Verfügung gehabt, was in Summe gigantisch viel ist. Router werden daher auch in Zukunft ein lohnendes Ziel von Hackerangriffen sein.
Es werden immer mehr Angriffe und Attacken dieser Kapazität merken wir. Spätestens dann, wenn Google nicht mehr erreichbar ist oder YouTube keine Videos mehr abspielt – und sowas alle paar Tage passiert, stundenlang. Dann ist das Internet auch nicht mehr das, was es mal war. Der nächste Schritt ist dann, dass die Regierungen beginnen, das Internet regulieren zu wollen. Und dann ist es erst recht nicht mehr das, was es einmal war. Grämen Sie sich also nicht, wir haben echt Glück gehabt. Und es war auch für mich das erste Mal, dass ich mich über einen stundenlangen Ausfall des Internets gefreut habe.
Hintergrundinfos:
* das Schadprogramm war nicht wirklich fehlerhaft. Es war nur für ein anderes Gerät programmiert. Die Speedport-Geräte der Telekom konnten jedoch mit den Linux-Befehlen nichts anfangen, da sie ein anderes, proprietäres Betriebssystem haben.
** tatsächlich war es nicht der Speicher, der voll lief. Durch einen Programmierfehler wurde der Verbindungsaufbau (Session) nicht sauber geschlossen. Nach kurzer Zeit waren daher zu viele offene Sessions vorhanden und der Router hängte sich auf. Im Prinzip ist das aber das gleiche: eine benötigte Ressource ist einfach nicht mehr verfügbar – egal ob Speicher oder freie Sockets für Sessions, der Router stürzt ab.
Bildnachweis: (c) 2015 Deutsche Telekom AG
Sehr gut erklärt Tobias!
Ich war zwar selbst nicht betroffen
(weil in Österreich lebend),
aber meine Verwandten in Deutschland
hat es auch fast alle getroffen.
Ich glaub auch, dass wir in Zukunft mit noch
viel mehr „Störungen“ rechnen müssen ……..
(welcher „Zweck und Nutzen“ auch immer
dahinter stecken möge……)
Ein großes Lob: die Darstellung der Ereignisse und der Hintergründe gelingt in dem Beitrag wirklich sehr gut und trotz der schwierigen Materie gut nachvollziehbar. Wichtig finde ich auch die Erklärung, dass es sich nicht um „Stümper“ handelte, so kam es bei mir bei anderen Berichten vor, sondern um einen sehr professionellen Angriff.
Nur, was kann ich jetzt machen? Gibt es ein Virenschutzprogramm für Router? Ich kenne leider keins.
Leider nur hoffen, dass die Hersteller ihre Kisten vernünftig pflegen, und die Reseller die Updates auch an die Kunden weiterreichen.
Danke sehr! Nein, ein Anti-Viren-Programm für Router, das wir User aufspielen könnten, gibt es nicht.
De facto müssen sich aber *alle* Hersteller von onlinefähigen Geräten fragen, wie sie zukünftig ein echtes Update von gefälschten unterscheiden können. Da kommen dann wieder die geliebten Zertifikate ins Spiel.
Ich stelle mir gerade vor, mein „connected-car“ bekommt in so ner dunklen Ecke der Stadt ein „Update“ eingespielt … nur von wem?