DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
Info Corner / Internet-via-Sat, Datendienste / IPTV / Videoportale / Internet TV & Radio => # WWW, Telefon, Provider & Co => Thema gestartet von: SiLæncer am 19 April, 2010, 14:40
-
Der österreichische Provider UPC hat ein Sicherheitsloch in seinem System gestopft, über das sich die IP-Adressen anderer Kunden missbrauchen ließen. UPC ist nach der Telekom Austria der zweitgrößte Internet-Provider des Landes. Er bietet über das TV-Kabelnetz Internetzugang, Telefonie und Fernsehen in verschiedenen Kombinationen an.
Dazu werden TV-Kabel-Modem und TV-Receiver (bei UPC Mediabox genannt) als getrennte Geräte installiert. Das UPC-System teilt dem Internet-Kabelmodem anhand seiner MAC-Adresse immer dieselbe IP-Adresse zu und verhindert die Nutzung anderer Adressen.
Doch mehrere Modelle der Mediabox verfügen auch über einen Ethernet-Anschluss, der, wie ein heise-Online-Leser bemerkte, als Bridge zum Kabelnetz geschaltet war – und zwar ohne jeden Filter. Das heißt, dass der Verkehr eines Netzwerksegments des Providers dort vorbei kam. Unter anderem konnte ein an der Mediabox angeschlossener PC ARP-Pakete mit den IP-Adressen anderer UPC-Kunden mitlesen.
Ein passend konfigurierter PC hätte dann auch mit den fremden IP-Adressen das Internet nutzen können. Einem Leser gelang dies sogar lange nach der Kündigung seines UPC-Anschlusses. Der offizielle Internetzugang über das Kabelmodem war längst gesperrt, doch über die Mediabox war der Internetzugang mit fremden Adressen weiterhin problemlos möglich.
UPC leitete die Anfrage von heise online zunächst an die Technikzentrale der Konzernmutter Liberty Global in Amsterdam weiter. Denn die sei Europa-weit für die eingesetzte Technik zuständig. Nach der Analyse dort erklärte UPC-Sprecher Siegfried Grobmann: "Das Verhalten konnten wir auf zwei unserer STB-Typen nachvollziehen und rührt von der Konfiguration der STB (MediaBox) im Pre-Provisionierungsstatus her, d.h. das Verhalten tritt nur bei STBs auf, die noch nicht vollständig aktiviert sind. [...] Es handelt sich dabei um einen Fehler im Aktivierungsprozess bei einer sehr kleinen Anzahl von MediaBoxen, und hier wiederum nur in Österreich."Die Vorkonfiguration sei nun korrigiert und das Surfen über die Mediabox sei damit ausgeschlossen. Das bestätigen auch die betroffenen UPC-Kunden.
Auch wenn damit die Lücke selbst gestopft ist, bleibt ein Problem ungelöst: Da UPC-User über die Mediabox beliebige IP-Adressen aus den UPC-Netzen nutzen konnten, sind sämtliche Einträge in Server-Logs mit solchen Adressen unbrauchbar. Sollte eine der UPC-Adressen als Urheber einer Internetstraftat auftauchen, könnte ein unbescholtener Kunde in Verdacht geraten. Doch Grobmann sieht hier keine Gefahr, denn "[UPC weist] sämtliche anfragenden Strafverfolgungsbehörden im Zuge von Datenerhebungen stets darauf hin, dass IP-Adressen durch verschiedenste technische Möglichkeiten gefälscht bzw. verschleiert werden können.
Quelle : www.heise.de
-
IP-Adressen gelten seit Jahren als universelles Beweismittel zur Aufklärung von Straftaten im Internet. Ihre Aussagekraft steht jedoch auf wackeligen Füßen, denn sie sind nur so eindeutig wie die Routing-Informationen der Provider – und die sind manipulierbar.
Ein chinesischer Provider verdeutlichte vor wenigen Wochen erneut die Verletzbarkeit des BGP-Systems (Border Gateway Protocol), auf dem das gesamte Routing im Internet basiert. BGP-Nachbarn (sogenannte "Peers") vertrauen einander – und darauf, dass annoncierte Routen ihre Richtigkeit haben. Dass dem nicht immer so ist, zeigt nicht nur der jüngste Vorfall. Bereits Anfang 2008 hatte ein pakistanischer Provider mittels BGP YouTube praktisch aus dem Internet verschwinden lassen.
Solche Vorfälle wecken Zweifel am "Beweismittel IP-Adresse". Die Strafverfolgung konzentriert sich ausschließlich auf IP-Adressen (in Verbindung mit Zeitstempeln zur Vermeidung von Fehlern in dynamisch zugewiesenen Adressbereichen). Kein Gegenstand der Untersuchung ist jedoch, ob eine IP-Adresse zum Zeitpunkt der Straftat durch gefälschte BGP-Routen "entführt" worden war.
Eine IP-Adresse kann durch so eine "Entführung" je nach Provider über verschiedene Routen zu verschiedenen Zielen führen – also mehrfach sichtbar sein. Ermittlungen richten sich in einem solchen Fall gegen Unschuldige. Nur wenn andere, handfestere Belege als nur die IP-Adresse für eine eindeutige Schuld vorliegen, kann man zweifellos davon ausgehen, dass hier eben keine "IP-Adress-Entführung" vorliegt.
Nur in Verbindung mit vollständigen BGP-Routing-Informationen beider involvierter Provider zum Zeitpunkt der Straftat kann eine IP-Adresse allein so aussagekräftig sein, wie es ihr derzeit in der Praxis und entgegen dem Prinzip "in dubio pro reo" zugebilligt wird.
Fest steht, dass das BGP-System hundertprozentig sicher werden muss. Einen effektiven Schutz bieten zum Beispiel kryptografische Verfahren. Einfacher ist es jedoch, wenn alle Carrier die via BGP akzeptierten Routen dynamisch mit den Datenbanken der regionalen Internet-Registries (RIR) abgleichen. Die dort vorhandenen Objekt-Typen "route" in Verbindung mit "origin"-Einträgen und AS-Nummern oder AS-Sets und den ohnehin vorhandenen Authentifizierungsmechanismen bieten einen ausreichenden Schutz gegen Fälschungen. Wenn alle (insbesondere die großen) Carrier falsche Routen ablehnen und nicht propagieren, gehören Szenarien wie die genannten der Vergangenheit an, und falsche Routen verteilen sich nur noch in sowieso unsicheren Teilnetzen.
Quelle : www.heise.de