Thema: "Eigene Dateien" für die ganze Stadt - massive DSL-Lücke

[SiLæncer]

Windows-Freigaben werden bei Providern durch ganze Subnetze verteilt

Bei einigen deutschen DSL-Providern weisen die internen Netze massive Fehlkonfigurationen auf. Dadurch kann man beispielsweise die Festplatten seines Nachbarn durchsuchen - oder auf dessen Kosten surfen.
Dies berichtet das Magazin c't in seiner am Montag, den 23. Juli 2007 erscheinenden Ausgabe. Demnach sind manche Netze von DSL-Anbietern intern so schlecht konfiguriert, dass sie Windows-Freigaben einfach weiterverteilen - im schlimmsten Fall an alle Bewohner einer Stadt. Wie c't-Redakteur Johannes Endres gegenüber Golem.de erklärte, sind dafür falsche Einrichtungen der Ethernet-Netze der Provider verantwortlich. Benutzt ein Kunde seinen DSL-Anschluss mit einem direkt an den Rechner angeschlossenen Modem - also ohne Router - befindet sich sein PC in diesem Fall im selben Subnetz wie alle anderen Kunden des Providers.

Da Windows-PCs standardmäßig ständig auf der Suche nach Freigaben im eigenen Subnetz sind, kann man so nach einem Klick auf die Netzwerkumgebung die freigegebenen Verzeichnisse fremder PCs sehen. Auch eine fremde Internet-Verbindung lässt sich nutzen, sofern die Verbindungsfreigabe auf dem unsicheren Rechner aktiviert ist.

In einem besonders drastischen Fall habe ein DSL-Kunde laut c't so kinderpornografisches Material auf einem anderen Rechner gefunden. Der Benutzer wunderte sich zunächst über blinkende LEDs an seinem DSL-Modem, obwohl er selbst gar keine Zugriffe durchführte. Tatsächlich halten DSL-Modems aber stets eine Verbindung mit dem Netzwerk des Providers, die Eigenheiten der Windows-Freigaben sorgen dann für Aktivität. Dazu muss das Netzwerk des Providers aber die Subnetze auch zusammengeschaltet haben und den Freigabe-Verkehr ungefiltert passieren lassen.

Als der betroffene DSL-Nutzer die illegalen Dateien entdeckte, informierte er die Polizei, die ihm Glauben schenkte, das Material nicht selbst besorgt zu haben. Neben diesem Extrembeispiel gab es aber laut Johannes Enders noch "eine Reihe von Fällen", in denen sich DSL-Kunden an die Redaktion gewandt hätten. Neben dem Provider Alice (Hansenet) sollen die schlecht konfigurierten Netze aber auch bei anderen DSL-Betreibern zu finden gewesen sein.

Laut Endres gibt es in diesen Netzen "verschiedene Stellen, an denen das passieren kann". In machen Fällen seien ganze Viertel betroffen gewesen, weil alle DSL-Leitungen, die zu einem Einwahlpunkt führen, sich in einem Netz befunden hätten. Aber auch auf höheren Ebenen der Provider-Netze seien die Fehler gefunden worden. Im schlimmsten Fall kann sich so eine ganze Stadt ein Netz teilen, die daran angeschlossenen Rechner lassen sich leicht ausspionieren.

Gegen solche Fehler auf Seiten der Providers hilft schon der Einsatz eines einfachen Routers, der nicht einmal besondere Filter-Funktionen mitbringen muss. Schon die "Network Adress Translation" (NAT) sperrt Freigabe-Schnüffeleien aus, weil der Router für die direkt an ihn angeschlossenen Rechner ein eigenes Subnetz aufbaut. Bei einem WLAN-Router gilt es zusätzlich auf eine effektive Verschlüsselung ab WPA2 mit langen Kombinationen aus Zahlen und Buchstaben für den Schlüssel zu setzen, um nicht von der Straße aus mit einem Notebook beschnüffelt zu werden.

Quelle : www.golem.de

[berti]

und bei solchen fehlern will "rolli" spionieren?  witzig und gleichzeitig ziemlich traurig.

[Chrisse]

DAS war (ist) der Bundestrojaner        !

Jetzt wo er aufgeflogen ist wird er als "Fehler" verkauft.........  

Oder so ähnlich     

[berti]

hab grade mal unser netz gescannt- sieht hier nicht besser aus 

naja, wird mal wieder ne lange nacht, diie router umzukonfigurieren.

andererseits ist es schon interresant, was da andere leuts auf der platte haben   

[Hesse]

und bei solchen fehlern will "rolli" spionieren?

Jetzt mal ganz ehrlich :

All unserem gemeinsamen, berechtigten "Unbehagen" (wollte erst was anderes schreiben, hab´s mir aber verkniffen, das Wort würde mit H..... anfangen) gegenüber einem gewissen Herrn S. zum Trotz : Was hat bitte die Geh- und Fickbehinderung dieses Mannes mit der Debatte zu tun ?

Ich selbst bin nach einem Unfall leicht (!) gehbehindert (kann beides noch) und finde nicht, daß man Menschen, egal ob Freund oder Feind, selbst aus tiefstem H... ähhh Unbehagen heraus auf diese Weise beleidigen sollte...

Bleiben wir lieber bei der Sache !

@syrabert : Ist nicht speziell gegen dich gemeint, sondern das, was mir ganz allgemein bei der ganzen Diskussion immer wieder etwas übel aufstösst.

[berti]

All unserem gemeinsamen, berechtigten "Unbehagen" (wollte erst was anderes schreiben, hab´s mir aber verkniffen, das Wort würde mit H..... anfangen) gegenüber einem gewissen Herrn S. zum Trotz : Was hat bitte die Geh- und Fickbehinderung dieses Mannes mit der Debatte zu tun ?

Ok, hast schon irgendwie recht. Sein körperliches Gebrechen hat mit der sache nichts zu tun, seine derzeitige psychische Verfassung sollte uns eher Anlass zur Sorge geben Und H... ? nee, das kann ich für ihn nicht empfinden, eher Mitleid. Er hat sich seine Gedanken gemacht, was an sich ja lobenswert sein sollte. das dabei aber ungereimtes zeug rauskam, das ist nervig.

@syrabert : Ist nicht speziell gegen dich gemeint,

 
Schon klar 

[Jürgen]

Andererseits macht eine Behinderung niemanden sakrosankt.
Als Betroffener hat man genau dieselben Rechte wie alle anderen, nicht mehr, nicht weniger.

Von jedem Hund erwartet man ein Gesellschafts-kompatibles Verhalten, ansonsten bekommt der 'nen Maulkorb, nicht statt dessen die Gesellschaft Ausgehverbot.

PDSD ist als ernsthafte Erkrankung einzuordnen, die die Eignung für manche Berufe und Ämter infragestellen lässt.

Die Erwähnung des Kopfschusses ist - in Anbetracht der Reden dieses Herrn - nicht zu vermeiden, weil hier Redensart und Tatsache direkt zusammen passen.
Und die körperlichen Behinderungen haben offenkundig erhebliche Auswirkungen auf die mentale Verfassung.
Ernsthafte Folgen von Ersatzbefriedigung müssen wir Bürger nicht kommentarlos hinnehmen.

btw.
als Diabetiker versucht man doch auch nicht, im ganzen Lande die Süssigkeiten verbieten zu lassen...

[Hesse]

Als Betroffener hat man genau dieselben Rechte wie alle anderen, nicht mehr, nicht weniger.

Stimmt schon, dennoch denke ich daß sich an der ewigen Draufrumreiterei da noch mehr Leute (auch Nichtbehinderte) dran stören und u.U. das Forum deswegen weniger mögen könnten.

Wir wollen aber doch gerade das Gegenteil :

So viele Leute wie möglich auf die Missstände aufmerksam machen !

Gegen die "Kopfschuss" Formulierung sag ich ja gar nix...

[SiLæncer]

Private PCs auf Ethernet-Ebene verbunden, nicht per Internet

In der am Montag, den 23. Juli 2007 erscheinenden Ausgabe berichtet die Zeitschrift c't über Fehlkonfigurationen bei DSL-Providern. Dadurch kann man auf Kosten anderer Nutzer - und mit deren IP-Adresse - mitsurfen, aber unter Umständen auch Windows-Freigaben einsehen. Bereits die Vorab-Berichterstattung sorgte für viel Wirbel und zahlreiche Missverständnisse.
Die neue Ausgabe 16 der c't erscheint zwar erst am Montag, den Abonnenten liegt sie jedoch bereits vor. Wie bereits berichtet beschreibt das Magazin darin einen Fehler von DSL-Providern, der zu einer direkten Verbindung von privaten Rechnern führt, so als ob sie in einem lokalen Netz verbunden wären - die Redaktion der c't nennt das treffend "Netzwerk-Kurzschluss".

Zahlreiche Nutzer, die seit den ersten Meldungen über den Bericht in Internet-Foren hitzig diskutieren, sehen das allerdings ganz anders. Eine der vertretenen Meinungen lautet sinngemäß "Was ich freigebe, hat der Provider auch durchzulassen, alles andere wäre ein beschränkter Internet-Zugang". Doch darum geht es bei diesem Fehler gar nicht. De facto sind die Rechner nicht über das Internet miteinander verbunden, sondern auf der Ebene von Ethernet-Verbindungen. Diese Tatsache bedingt auch, dass es sich hierbei nicht um eine Sicherheitslücke im Betriebssystem eines Kunden handelt. Mit früheren Fehlern, wie sie unter anderem im TCP/IP-Stack älterer Windows-Versionen auftraten, hat das aktuelle Problem auch nichts zu tun.

Bei vielen Providern, die ihre Netze zügig ausbauen, wird ganz auf Ethernet-Infrastrukturen gesetzt, auch die DSL-Leitung zum Kunden ist lediglich eine Verlängerung dieses Ethernet-Netzes auf ATM-Ebene, danach geht es per Ethernet weiter. Dieses "Next Generation Network" (NGN) setzt unter anderem auch der Anbieter Alice ein, bei dem der Fehler laut c't mehrfach zu beobachten war - allerdings nur in Städten, wo Alice kein eigenes Telefon-Netz betreibt, sondern seine Angebote über das von Telefonica bereitstellt. Laut Angaben von Alice soll der beschriebene Fehler aber mit Erscheinen des c't-Artikels im Netz dieses Providers nicht mehr auftreten. Im Alice-Netz werden auch analoge Telefonanschlüsse per Voice-over-IP emuliert, das Netz setzt vollständig auf IP-Verkehr, der aber zum größten Teil über Ethernet-Verbindungen abgewickelt wird.

Das Modem hat dabei - anders als man vielleicht denken mag - stets eine Verbindung ins Netz des Providers. Es dient aus Sicht eines angeschlossenen PCs lediglich als Bridge zwischen dem eigenen lokalen Netz und der Infrastruktur des Providers. Diese ATM-Verbindung, die das Modem mit dem Einwahlpunkt (DSLAM) aufbaut, ist aus Sicht des Ethernet-Netzes transparent. Der Fehler besteht darin, dass die Verbindung des Kunden an einem Switch nicht von denen anderer Benutzer getrennt wird. Dadurch befinden sich die Rechner im selben Subnetz, in dem per Ethernet jeder Rechner von jedem anderen aus sichtbar ist - ganz so, als seien sie in einem lokalen Netzwerk zuhause am selben Switch angeschlossen. Je nachdem, wo sich dieser Switch - oder ein Gerät mit gleicher Funktion - im Netz des Providers befindet, können mehr oder weniger DSL-Nutzer von dem Fehler betroffen sein. Die Kunden wissen aber nicht, wer mit ihnen im selben Subnetz hängt - von einer gewollten Freigabe kann damit keine Rede sein.

Da die Rechner auf der Ebene des Ethernet-Protokolls direkt verbunden sind, spielt es auch keine Rolle, welches Betriebssystem der Kunde einsetzt, oder ob dieses besonders sicher konfiguriert ist. Im beschriebenen Fall des Nutzers, der in seiner Netzwerk-Umgebung unter Windows plötzlich einen Ordner mit kinderpornografischem Material fand, hatte der DSL-Kunde laut dem Artikel der c't einen PC direkt mit dem Modem verbunden. Dieser Rechner stellte anderen PCs im gleichen Netzwerk über die Internet-Verbindungs-Freigabe von Windows seinen Zugang zur Verfügung.

Besonders problematisch für den - laut c't erwiesenermaßen unschuldigen - DSL-Kunden war dabei, dass der Kinderporno-Sammler den fremden Internet-Zugang über die Verbindungs-Freigabe mitbenutzte. Dadurch trugen die Zugriffe auf die illegalen Dateien stets die IP des Nutzers, der mit derartigen Dateien eigentlich gar nichts zu tun hatte - wäre der Kunde nicht selbst zur Polizei gegangen, wäre die Verantwortung für die Datentransfers des illegalen Materials zunächst ihm angelastet worden. Da eine IP-Adresse bisher vor Gericht meist unbesehen als Beweismittel dient, sind derartige Fehlkonfigurationen nicht nur ein Problem des privaten Datenschutzes.

Es ist Nutzern, die einen Rechner mit freigegebenen Verzeichnissen und Internet-Verbindungsfreigabe mit direkt angeschlossenem DSL-Modem auch nicht vorzuwerfen, sie hätten damit besonders fahrlässig gehandelt. Wer einen DSL-Vertrag abschließt, wird schließlich nicht darauf hingewiesen, dass er für grundlegende Sicherheit unbedingt einen Router braucht - oder auf Freigaben und gemeinsame Nutzung des Anschlusses verzichten muss. Dennoch ist ein DSL-Router nicht nur wegen möglicherweise fehlerhaft eingerichteter Netzwerke bei Providern stets zu empfehlen. Da er ein privates Subnetz für das lokale Netz aufbaut, ist man auch gegen simple Würmer und einige andere Attacken geschützt. Daher genießt man auch mit einem einzelnen PC durch einen DSL-Router ein gewisses Maß an Sicherheit.

Quelle : www.golem.de

[Jürgen]

Ich empfehle auf jeden Fall einen intensiven Besuch auf folgender Seite:
http://www.heise.de/security/dienste/portscan/

[awaschko]

Guter Service von heise.de.

Danke für den Hinweis!