{"id":162,"date":"2007-06-29T22:07:39","date_gmt":"2007-06-29T20:07:39","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/162-t-online-und-die-sicherheit"},"modified":"2018-05-31T18:19:42","modified_gmt":"2018-05-31T17:19:42","slug":"t-online-und-die-sicherheit","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/162-t-online-und-die-sicherheit","title":{"rendered":"T-Online und die Sicherheit"},"content":{"rendered":"

Die Telekom (bzw. T-Online) hat ihren Kunden da einen ADSL-WLAN-Router Speedport W 700V angedreht, der per Browser aus dem Internet konfigurierbar ist. So etwas ist bekanntlich keine besonders gute Idee. Dieses Konfigurationsinterface l\u00e4sst sich leider auch nicht abschalten und wenn die Anwender schlechte Passw\u00f6rter verwenden oder sogar das Standardpasswort<\/a> („0000“) lassen, kann man z.B. die Zugangsdaten klauen oder anderen Unsinn anstellen. Das Ger\u00e4t wird von Arcadyan, einem Joint Venture von Accton und Philips hergestellt. Verbockt haben das beide:<\/p>\n

    \n
  1. Arcadyan hat, es musste wohl billig sein, schlicht ein paar Konfigurationsoptionen oder eine brauchbare ACL-Implementierung weggelassen. (Vielleicht wollten sie auch nur nicht von Harald Welte verklagt<\/a> werden.)<\/li>\n
  2. T-Online hat das eigentlich \u00fcbliche Due Dilligence beim Abschluss eines solchen Liefervertrags grob vernachl\u00e4ssigt, bereits bei einfachen Tests der Ger\u00e4te h\u00e4tte so etwas auffallen m\u00fcssen.<\/li>\n<\/ol>\n

    Nun gut, jetzt gibt es ein Firmware-Update auf 1.16, das dieses Problem l\u00f6st. Das laden die Router sogar automatisch (ich hoffe das hat T-Online vorher auch getestet), es dauert nur eine ganze Weile bis das auf allen Ger\u00e4ten drauf ist. Nicht jeder ist schlie\u00dflich rund um die Uhr online.<\/p>\n

    Und da ist T-Online auf die geniale Idee gekommen, einfach komplett f\u00fcr alle User, vermutlich auf allen Routern, den TCP-Port 8085 zu sperren. Den Port verwendet normalerweise eh keiner. Herausgekommen ist das, weil eine Bank f\u00fcr ihr Online-Banking zuf\u00e4llig genau diesen Port nutzt, lt. IANA<\/a> ist der Port „unassigned“. Im Prinzip ist das nichts neues. Das Leibniz Rechenzentrum der M\u00fcnchner Hochschulen macht so ettwas auch, da nennt sich das Sicherheitspaket D<\/a> und sperrt von au\u00dfen den Zugriff auf bestimmte Microsoft-Ports.<\/p>\n

    Nur, das LRZ kommuniziert mit den angeschlossenen Instituten. Da wei\u00df jeder Bescheid. T-Online sperrt einfach und gibt niemandem Bescheid. Auch wenn eine solche Ma\u00dfnahme im Sinne der meisten Kunden ist, halte ich es f\u00fcr absolut inakzeptabel, dass solche Sperren nicht \u00f6ffentlich bekanntgegeben werden. F\u00fcr jeden sonstigen Werbek\u00e4se verschickt T-Online ja auch eine E-Mail.<\/p>\n

    Ach ja, die Kollateralsch\u00e4den: World of Warcraft braucht in vielen privaten Server-Installationen die Ports 3724, 8080 und 8085. Sipgate bietet \u00fcber Port 8085 anscheinend eine Abfrage des Onlinestatus und Sun Java will den Port auch f\u00fcr irgendwas verwenden. Dumm gelaufen.<\/p>\n

    Andererseits k\u00f6nnte das auch eine clevere Gesch\u00e4ftsidee sein:<\/p>\n