32C3: Kabelmodems weltweit verraten Nutzerdaten
Alexander Trust, den 28. Dezember 2015Alexander Graf hat auf dem Chaos Communication Congress in Hamburg einen Vortrag über Sicherheitslücken bei Kabelmodems präsentiert. In der späteren Fragerunde stellte sich raus, dass es sich dabei aller Voraussicht nach nicht um ein regionales Problem handelt.
Neben seiner eigentlichen Arbeit und vor allem in den Nachtstunden, in denen sein Neugeborenes der Pflege bedurfte, nahm sich Alexander Graf Zeit, sein Kabelmodem näher zu untersuchen. Alles begann damit, dass der Hersteller äußerst kompliziert diverses Zubehör mitlieferte, damit eine analoge Telefonleitung zunächst noch digitalisiert würde, obwohl die Internetverbindung selbst bereits digital war. Ein Anruf bei der Hotline brachte zutage, dass im Hintergrund ein normaler SIP-Server für Voice-over-IP-Daten zuständig war. Wenn er wisse, was zu tun sei, könnte er seine Telefonleitung auch digital ohne Wandler und zusätzlich Geräte verwenden, so die Hotline damals.
Graf besorgte sich ein zweites Kabelmodem, um nicht die Gewährleistung bei dem Gerät zu verlieren, das ihm der Anbieter gestellt hatte. Fortan bastelte er immer mal wieder und stellte immense Sicherheitslücken fest.
[mn-youtube code="C2N98HMrFKc"]Daten unverschlüsselt
Die Daten für die Kommunikation mit dem Server zum Internet werden über den Docsis-Standard abgewickelt, der beispielsweise in seiner bisherigen Form verhindert, dass man anders als mit der Übergabe einer Konfigurationsdatei, einem sogenannten „Provisioning File“ eine Verbindung authentifizieren kann. Dies sei, so Graf, auch heute immer noch so. Es müsste der Docsis-Standard, der in Indien entwickelt wird, geändert werden, um beispielsweise separate Kanäle für den Verbindungsaufbau und die Authentifizierung zu nutzen.
Problematisch war zuvor jedoch, dass in dieser Datei sehr viele Daten enthalten waren, die weitere Nachforschungen interessant machten. Graf fand IP-Adressen, Gerätenummer, sogenannte Mac-Adressen und natürlich Passwörter für gewisse Netzwerkkanäle. Am Ende hätte Graf die Telefonnummern, MAC-Adressen, und viele weitere Informationen über alle Kunden seines Kabelanbieters ausfindig machen können. Viele Kabelmodems seien durch die Bank für derlei Versuche offen. In der Fragerunde nach dem Vortrag wurde der Gedanke diskutiert, dass bislang nur Kabel Deutschland als Anbieter von Graf über das Medium Heise Online auf die Umstände aufmerksam gemacht wurde. Es sei davon auszugehen, dass viele, wenn nicht gar alle Kabel-Internet-Anbieter weltweit die gleichen Sicherheitslücken seit Jahren für Angreifer bereitstellten.
Eine rühmliche Ausnahme: Die FritzBoxen von AVM. Denn der Hersteller würde die Kontrolle über die Vorgänge nicht den Kabelbetreibern überlassen und hätte eine gänzlich andere Firmware für seine Geräte als übrige Kabelmodem-Anbieter.
Problembehebung in kleinen Schritten
Bei Kabel Deutschland sind die Lücken wohl gestopft, insofern ein Modem nicht mehr länger die Befugnisse erhält, Konfigurationsdateien von anderen Kunden zu empfangen, weil ihm ganz einfach der Datenverkehr für diesen Vorgang untersagt wird. Falls jemand aber in der Lage sei, die MAC-Adresse eines anderen Geräts vorzutäuschen, könnte man „theoretisch“ – Graf hat dies nicht ausprobiert und rät es niemandem – die Daten dieses einen Kunden, dessen MAC-Adresse man kennt (sie steht hinten auf manchem Router drauf), trotzdem zu erreichen. An anderen Stellen wurden Firewalls eingerichtet, die verhindern, dass man sich zum Beispiel mit dem eigenen Kabelmodem via SSH in das Netzwerk des Providers oder anderer Kunden einloggen kann.
Es ist unbekannt, ob sich an manchen Dingen, die „hinter“ der Firewall passierten, etwas geändert hat. Beispielsweise waren im eigenen Provisioning File die Passwörter für den Telnet-Zugang zum Firmennetzwerk hinterlegt und zwar im Klartext und Passwörter für den Admin-Kanal von Technikern hin zum Kunden waren für alle drei Millionen Kunden dieselben. Möglich, so Graf, dass sich daran nichts geändert hat, doch durch die Firewall könnte man dies nun nicht mehr ohne weiteres probieren und außerdem habe er es nicht mehr versucht, weil er sich nicht strafbar machen wollte.
Die Telnet-Verbindung wurde nach der ersten Kontakt-Aufnahme durch Heise mit dem Kabel-Anbieter in SSH umgewandelt, doch ohne eine Überprüfung, wer letztlich eine Verbindung aufbauen konnte. Da die Passwörter zu diesem Zeitpunkt nicht geändert worden waren, konnte Graf noch immer Kommunikation mit allen anderen Routern betreiben, hätte deren Telefonanrufe abhören können oder in ihrem Namen führen.
Weitere Sicherheitslücken vorhanden
Aus rechtlichen Gründen konnte Graf keine Hinweise geben. Doch in Rede und Gegenrede der Abschlussdiskussion seines Vortrags wurde deutlich, dass einige der Nutzer über Wissen verfügten, mit dem sie theoretisch trotz einiger Vorkehrungen des Kabel-Anbieters heute noch immer Zugriff auf Daten bekommen könnten. Der Aufwand, den man betreiben muss, ist jedoch deutlich angewachsen.