> > > > Telekom kämpft weiterhin mit bundesweiter Störung

Telekom kämpft weiterhin mit bundesweiter Störung

DruckenE-Mail
Erstellt am: von

telekom2Bereits am Sonntagabend meldeten ungewöhnlich viele Kunden eine Störung im Netz der Telekom. Betroffen sind dabei sowohl das Telefon, Internet als auch das Fernsehen. Aktuell sei die Störung immer noch nicht behoben. Laut der Telekom seien derzeit 900.000 Anschlüsse gestört. Der Anbieter empfiehlt den Kunden den eigenen Router kurz vom Strom zu nehmen. Durch den Neustart des Routers würde der Router sich eine neue Firmware-Version herunterladen und eine neue Verbindung aufbauen. Diese Maßnahme soll allerdings laut Kundenberichten oftmals nicht zum gewünschten Erfolg führen.

Das ändern des DNS auf einen alternativen Server und nicht den der Telekom soll den Aufbau von Verbindungen wieder ermöglichen. Hier man die Wahl zwischen zahlreichen freien DNS-Routern (der Chaos Computer Club hat eine Liste veröffentlicht) und z.B. dem DNS-Server von Google unter den IPs 8.8.8.8 und 8.8.4.4. Eine Anleitung ist ebenfalls auf der Seite des Chaos Computer Clubs zu finden.

Die Störung betrifft wohl auch nicht nur ein bestimmtes Gebiet. Zwar seien vor allem Ballungsräume vom Ausfall betroffen, jedoch melden auch Kunden in ländlichen Gebieten eine Störung. Die Häufung in den Ballungsgebieten ist durch die Verteilung der Bevölkerung bedingt. Aktuell arbeite die Telekom zusammen mit Router-Herstellern intensiv an der Beseitigung des Ausfalls. Offenbar ist aber nur ein bestimmter Typ von Routern der Telekom betroffen.

Wann die Telekom die Störung komplett behoben hat, ist derzeit unbekannt. Somit müssen sich betroffene Kunden wohl noch etwas gedulden.

Social Links

Ihre Bewertung

Ø Bewertungen: 5

Tags

Kommentare (60)

#51
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2190
Der Witz bei der Sache ist, das die ganzen IoT-Geräte und auch die Router (und die meisten Smart-TVs etc. etc.) als Betriebssystembasis das ach so sichere Linux haben.
Linux ist nicht sicherer als z.B. Windows, nur werden da Sicherheitslecks nicht gleich von der Presse an die große Glocke gehängt bzw. es wird keine Verbindung zwischen IoT-Geräten, Routern etc. und Linux hergestellt.

Was Zugriffe nur aus dem eigenen Netz angeht:
So etwas ist bei Fernwartungsports gar nicht gewünscht, denn dann müssten auch z.B. Systemdienstleister etc., die solche Hardware auch pflegen und warten, zwangsweise einen Telekomaccount haben.
Die einzige Lösung ist, diese Ports per Default zu deaktivieren.
#52
Registriert seit: 06.04.2012

Kapitänleutnant
Beiträge: 1598
Zitat p4n0;25107680

Die TCOM hat genug Mittel und Wege solche Zugriffe nur aus dem eigenem Netz zu gewähren. Der Rest wird einfach gedropped und fertig.


Genaugenommen haben sie mir jetzt den Internetanschluss eingeschränkt. Vielleicht habe ich auf dem Port selbst ein Gerät laufen, was ich mit meiner eigenen TR-069-Implementation warte? Warum ist das völlig OK, dass einfach Ports gesperrt werden? Sollen die doch ihren unsicheren Dreck in den Griff kriegen, ohne dass sie anderen Kunden den Anschluss einschränken!
#53
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31948
Zitat p4n0;25107680
Das soll folgendes Ändern: In den Konzernen sitzen viele Menschen, unter anderem auch welche die sich mit Sicherheit befassen.
Wenn ich als TCOM zulasse, dass 900.000 meiner Geräte, meiner Kontrolle entzogen werden, dann stimmt das Sicherheitskonzept nicht.
Software ist nie Bugfrei, ich stimme dir da zu. Doch Sicherheitskonzepte sind meist Mehrstufig, um das Risiko zu minimieren.


Hier sehe ich schon glatt mal mehrere Ungereimtheiten.
A) wer sagt, dass diese "Experten" nicht auf Fehlersuche waren, den Fehler aber nicht gefunden haben?? -> man kann doch nicht ernsthaft von Menschen verlangen etwas zu suchen und wenn sie mal NIX finden, gibts auf den Deckel? So funktioniert das System einfach nicht.
B) wenn du mir zustimmst, dass Software nicht Bugfrei sein kann, wie soll dann ein mehrstufiges Konzept funktionieren? Der Sinn hinter solchen Angriffen ist es doch gerade den EINEN Weg zu finden. Nämlich der, der überall an allen Sicherheitstechniken vorbei ans Ziel kommt.

Keine Ahnung, ich finde das ehrlich gesagt mindestens mal nachvollziehbar unter dem Gesichtspunkt, dass Software nicht Bugfrei ist, wie es hier gelaufen ist. Denn dieser eine Weg, der ist immer da... Da kannste sonstwieviele Leute dran setzen und die Türen zudrehen lassen -> irgendwer findet immer einen Weg. Und wenn es eine Person aus 7 Mrd. der Weltbevölkerung ist. Steht der auf der falschen Seite, wie willst du das verhindern? Geht nicht... Wie gesagt, der Reagierende kann dieses Spiel einfacht gewinnen, ausgeschlossen. Der Agierende sitzt einfach am längeren Heben und hat einen zeitlichen Vorteil... Mit keiner Expertise auf der Welt kann man diesen Nachteil ausgleichen und das Blatt wenden.

Zitat p4n0;25107680
Die TCOM hat genug Mittel und Wege solche Zugriffe nur aus dem eigenem Netz zu gewähren. Der Rest wird einfach gedropped und fertig.
Klar - sagt sich im nachhinein immer einfach, wirst du jetzt sagen... Aber genau an dem Punkt haben viele Koepfe nicht mitgedacht. Dieser
Fehler waere vermeidbar gewesen, mit wenig Aufwand.

Nein, dass können die sich nicht erlauben... Ein Beispiel hat TCM unten gegeben... Was meist du was das für nen Aufschrei gibt, wenn die da Ports proforma blocken?? Geschweige denn da Filtermechanismen ansetzen, die bestimmte Protokolle blocken oder ähnliches? -> das hiesige Problem kommt von der Fernwartung, die auf dem einen Port am Router lauscht. Es wird dabei ein standardisiertes Protokoll gefahren. Nimm nen anderen Router, der nutzt vllt das gleiche Protokoll an nem anderen Port. Blocken wir den dann auch?? Auch das geht nicht auf, wie du siehst...

Zitat p4n0;25107680
Spul mal die naechsten 5 Jahre vorwaerts mit Blick auf unser liebes IOT Botnetz. Findest Du nicht, dass es sowas wie einen 'TÜV' Siegel braucht,
damit Endgeraete ans Netz angeschlossen werden duerfen?

Sonst ist hier bald ganz schnell das Licht aus.

Und das ist NUR realisierbar, wenn die Konzerne zur Rechenschaft gezogen werden. Fuer den Muell den sie Produzieren, Betreiben, nicht Patchen und
nicht aus dem Verkehr ziehen, wenn er zur Gefahr wird.


Ne Art Prüfstelle kann schon funktionieren... Aber auch dort gibts Probleme. Nur mal ins Blaue geraten:
- was macht man mit Geräten, wo der Hersteller bspw. Pleite ist, verkauft ist, oder ähnliches -> und wo tausende Geräte im Umlauf sind? Aus dem Verkehr ziehen? -> wer soll das zahlen? Oder von Dritten patchen lassen? -> wer soll das zahlen?
- wer definiert unter dem Gesichtspunkt, dass Software nicht 100% Fehlerfrei ist, was ans Netz darf? -> geht auch nicht auf. Heute in einem Security Audit als "sicher" eingestuft heist nicht, dass dies ewig so bleibt.
- was ist mit Geräten, wo im laufe der Zeit Fehler gefunden werden, der Hersteller sogar noch gewillt ist, diese zu beheben -> wie kommen die Updates auf die Geräte? -> ein Pushverfahren, ähnlich dem hiesigen Problem?? Ernsthaft? Ne... Also müsste der Endnutzer die Updates auch einspielen. Nur weis Oma Elfriede und Opa Otto wirklich, das ihr Kühlschrank auf einmal in nem Botnetz integriert ist?


Ich stimme dir zu, irgendwas muss eigentlich passieren. Aber wenn wir wissen würden was und vor allem, wenn es so einfach wäre, dann hätten wir ganz sicher schon was. Da kannste definitiv drauf wetten ;)
Aus meiner Sicht könnte man vielleicht die Provider dazu verdonnern, gewisse Datenströme auf Auffälligkeit zu untersuchen. So ne Art Botnetz-Detector oder ähnliches kann technisch durchaus aufgehen... Aber selbst dort, finden und unterbinden sind wieder zwei paar Schuhe. :wink:


Nimmt man es genau, ist der Sinn des Internets, wie es heute ist doch gerade der, dass JEDES Gerät mit JEDEM anderen kommunizieren kann. Im Grunde wird effektiv genau dieser gewollte Umstand dahingehend ausgenutzt... Möglicherweise gibts irgendwann mal ein Netz, was nach komplett anderen Regeln funktioniert und wo man sowas aktiv unterbinden kann. Im Moment ist das nicht in Sicht und ich wüsste auch nicht wie ohne eklatante Einschränkungen zu haben.



@passat3233
das mit dem Fernwartungszugriff aus dem eigenen Netz wäre hier allerdings eine Möglichkeit, dieses Problem zu umgehen. Denn es geht ja nicht um einen Zugriff von Dritten, sondern explizit vom Fernzugriffe, die seitens der Telekom zu den Geräten stattfinden. Das heist, da kommt effektiv nix aus Drittnetzen. (normal) Sinnvollerweise müsste die Geräteseite aber Zugriffe auf gewisse Sources einschränken oder Zugriffe müssten speziell authentifiziert/authorisiert werden oder ähnliches. -> Problem aber weiterhin, wenn die Technik in der Umsetzung krankt, nutzt das gar nix.
Es wäre nichtmal undenkbar, dass Angreifer direkt die Verfahren zum Blocken, egal ob am Gerät selbst oder beim Provider versuchen zu kompromitieren. -> auch das ist möglich und dann ist wieder nix gekonnt.
#54
Registriert seit: 07.07.2007

Kapitänleutnant
Beiträge: 1632
Zitat p4n0;25107350
Aus Bequemlichkeit, aus Unwissenheit... Keine Ahnung - frag mich nicht,
aber genau so laeufts.
...oder einfach im Vertrauen darauf, daß man als Kunde kundenfreundlich behandelt und nicht über'n Tisch gezogen wird. Das privatwirtschaftliche Unternehmen wie die Telekom (ehemaliger Werbespruch "und billig ey - da stehste doch drauf") nix zu verschenken haben, wird dabei vor allem von dem Teil der Bevölkerung, welcher dazu immer noch "Post" sagt, geflissentlich ausgeblendet.

[COLOR="red"]- - - Updated - - -[/COLOR]

Zitat passat3233;25107947
Der Witz bei der Sache ist, das die ganzen IoT-Geräte und auch die Router (und die meisten Smart-TVs etc. etc.) als Betriebssystembasis das ach so sichere Linux haben.
Linux ist nicht sicherer als z.B. Windows, nur werden da Sicherheitslecks nicht gleich von der Presse an die große Glocke gehängt bzw. es wird keine Verbindung zwischen IoT-Geräten, Routern etc. und Linux hergestellt.
Soo trivial ist das nun auch wieder nicht, wie Du es hier darstellst. Linux hat immer schon ein abgestuftes Rechtesystem mit Usern mit eingeschränkten Rechten. Einen Rechner mit einem "locky" komplett lahmlegen ist da einfach nicht drin. Hinzu kommt, daß es unzählige Distributionen gibt, für welche man fast schon individuell einen Schädling basteln müßte. Das ändert nichts daran, daß es Programmierfehler gibt, welche als Lücken bezeichnet werden, mit welchen ein User/Angreifer auf einem System root-Rechte erlangen kann. Damit werden u.a. auch die rooting-Tools für viele Android-Geräte gebaut.
Ein Linux [u]ist[/u] per se sicherer als jedes Windows, aber eben weit entfernt von perfekt.

Davon ab: einfach mal diese Meldung lesen. Da steht etwas von "mit Standard-Passwort gesichert", das hat nun wirklich nichts mit Linux/Windows zu tun - nur mit Doofheit.

Da ein Kunde wohl kaum TR069 benötigt, und da - wieder laut Text - auf die Lücke schon 2014 hingewiesen wurde - ist das ein rein hausgemachtes Problem der Provider, welche mal wieder den Kopf in den Sand gesteckt haben, anstatt sich um eine Problemlösung zu kümmern. Das jetzt angeblich ausgerollte Update hätte schon vor zwei Jahren die Lücke schließen können. Es ist zum Kotzen, daß in anderen Meldungen sogar davon die Rede ist, daß ein User "verpflichtet" werden soll, darauf zu achten, daß eine aktuelle Firmware installiert ist, denn hier wird der schwarze Peter eindeutig demjenigen zugeschoben, der ausschließlich unter der bisherigen Praxis zu leiden hat. Selbst wenn eine aufgeklärter User von der Lücke wußte - er konnte nie aktiv etwas dagegen unternehmen. Auf Deutsch gesagt: der Kunde wird von den Providern erst gefickt und dann verhöhnt! So sieht das aus.
#55
customavatars/avatar44491_1.gif
Registriert seit: 08.08.2006
Weinböhla (Sachsen)
Moderator
Beiträge: 31948
Zitat dirk11;25108324
Davon ab: einfach mal diese Meldung lesen. Da steht etwas von "mit Standard-Passwort gesichert", das hat nun wirklich nichts mit Linux/Windows zu tun - nur mit Doofheit.


Es wäre mal interessant zu wissen, woher die Info stammt bzw. was es mit dem PW überhaupt aufsich hat.
Denn das eine hat mit dem andere irgendwie nix zu tun. Soweit mir bekannt, es wird an den Port ein Request gestellt, der den Router dazu veranlasst selbst eine Verbindung zum Telekom System aufzubauen, über welche dann wiederum die "Wartung" im weitesten Sinne ausgeführt wird.
Dass nun die Schnittstelle, den den Request annimmt, dahingehend ausgetrickst wurde, hat weder was mit einem PW noch mit der Fernwartung als solches zu tun. Ist halt Software... Denn hätte es so funktioniert, wie es funktionieren sollte, dann wäre selbst mit PW und dergleichen da genau gar nix passiert.

Auch passt das mit dem "Hinweis" aus 2014 im Telekom Forum nicht. Denn der User muckierte sich über diesen offenen Port, nicht über die Schnittstelle/Fernwartung als solches. Nur wie hätte es anders laufen können? Wie soll eine Fernwartung stattfinden, wenn der Router nicht auf irgend einen Request lauscht? Und was, wenn dieses Lauschen einen Bug hat -> siehe da, wir haben unser hiesiges Problem.
Ist ja nicht so, dass der Router als solches seit je her offen für unberechtigte Zugriffe Dritter ist. Die Routerzugriffe durch die Telekom werden durch eine Verbindung getätigt, die vom Router aus initiiert wird. Aber wenn man mit dem Vorsatz an das Thema rangeht, dass Geräte perse durch Lücken angreifbar sind -> dann müsste man an allen Geräten die Stecker ziehen. Jetzt und für immer... Auch eine NAT Umsetzung kann Fehler haben, die rudimentäre Firewall kann dies, der IP Stack kann dies usw. Gehts nach Sicherheitslücken, ist das Ding offen für jeden, der weis, wie man die Lücken ausnutzt.

PS: das WLAN-to-Go Feature benötigt wohl den EasySupport, sprich aktive Fernwartung. Scheint wohl auch Leute zu geben, die das nutzen... Wenn auch mir nicht klar ist, wie das rechtlich überhaupt ausschaut, also wenn da wer über meinen Anschluss (der bei aktivem WLAN-to-Go ja dann dieses Feature ebenso anbietet) Schaden macht!?



Leider werden bei solchen Meldungen sehr häufig Halbweisheiten weitergeben! Und alle stellen sich immer hin als wäre es so einfach... Ists aber nicht, ganz im Gegenteil.
#56
Registriert seit: 07.07.2007

Kapitänleutnant
Beiträge: 1632
Interessante Aspekte, danke!
#57
Registriert seit: 01.05.2007

Korvettenkapitän
Beiträge: 2190
Eine Idee:
Viele IoT-Geräte erhalten im Laufe ihrer Lebensdauer nie ein FW-Update und IMHO haben viele Hersteller auch gar kein Interesse daran, so etwas jemals zur Verfügung zu stellen, selbst bei offensichtlichen Sicherheitslücken nicht.
Da wäre es doch eine gute Idee, die Firmware einfach in einem ROM zu speichern und direkt aus dem ROM auszuführen.
Damit wären zumindest solche Dinge wie z.B. Code Injection technisch unmöglich.
#58
customavatars/avatar178171_1.gif
Registriert seit: 07.08.2012
Raum Stuttgart
Oberleutnant zur See
Beiträge: 1446
Zitat fdsonne;25108293



Ne Art Prüfstelle kann schon funktionieren... Aber auch dort gibts Probleme. Nur mal ins Blaue geraten:
- was macht man mit Geräten, wo der Hersteller bspw. Pleite ist, verkauft ist, oder ähnliches -> und wo tausende Geräte im Umlauf sind? Aus dem Verkehr ziehen? -> wer soll das zahlen? Oder von Dritten patchen lassen? -> wer soll das zahlen?
- wer definiert unter dem Gesichtspunkt, dass Software nicht 100% Fehlerfrei ist, was ans Netz darf? -> geht auch nicht auf. Heute in einem Security Audit als "sicher" eingestuft heist nicht, dass dies ewig so bleibt.
- was ist mit Geräten, wo im laufe der Zeit Fehler gefunden werden, der Hersteller sogar noch gewillt ist, diese zu beheben -> wie kommen die Updates auf die Geräte? -> ein Pushverfahren, ähnlich dem hiesigen Problem?? Ernsthaft? Ne... Also müsste der Endnutzer die Updates auch einspielen. Nur weis Oma Elfriede und Opa Otto wirklich, das ihr Kühlschrank auf einmal in nem Botnetz integriert ist?


Ich stimme dir zu, irgendwas muss eigentlich passieren. Aber wenn wir wissen würden was und vor allem, wenn es so einfach wäre, dann hätten wir ganz sicher schon was. Da kannste definitiv drauf wetten ;)
Aus meiner Sicht könnte man vielleicht die Provider dazu verdonnern, gewisse Datenströme auf Auffälligkeit zu untersuchen. So ne Art Botnetz-Detector oder ähnliches kann technisch durchaus aufgehen... Aber selbst dort, finden und unterbinden sind wieder zwei paar Schuhe. :wink:


Natuerlich muss auch der Endbenutzer gemeinsam mit den Herstellern / Provider arbeiten.
Beispielsweise koennte sowas in der Art funktionieren:

Das BSI scanned eh schon nach allem moeglichem Schrott im Netz. Finden sie Auffaelligkeiten am Anschluss von Teilnehmehr xy so wird dieser Kontaktiert.
Passiert nichts (Abuse-maeßig), so meldet das BSI den Vorfall dem ISP, welcher dann die Leitung abschaelt - bis die Ursache geklaert ist.

Zudem gibts fuer den Hersteller eins auf den Deckel.
#59
Registriert seit: 30.11.2006

Leutnant zur See
Beiträge: 1051
Hm, anscheinend doch kein Ausnutzen einer Sicherheitslücke, sondern im Endeffekt ein DOS Angriff:

https://www.heise.de/newsticker/meldung/Grossstoerung-bei-der-Telekom-Was-wirklich-geschah-3520212.html
#60
customavatars/avatar116335_1.gif
Registriert seit: 12.07.2009
Bonn
Moderator
A very special one
Kölsche Würmche
Tupper-Tussie
Beiträge: 7147
Zitat fdsonne;25108383
PS: das WLAN-to-Go Feature benötigt wohl den EasySupport, sprich aktive Fernwartung. Scheint wohl auch Leute zu geben, die das nutzen... Wenn auch mir nicht klar ist, wie das rechtlich überhaupt ausschaut, also wenn da wer über meinen Anschluss (der bei aktivem WLAN-to-Go ja dann dieses Feature ebenso anbietet) Schaden macht!?

Für den Hotspot wird nicht deine IP genutzt, der wird meines Wissens nach per VPN getunnelt.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Synology DS216j im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216J_TEASER

Synology hat mit der DiskStation DS216j vor kurzem den Nachfolger der sehr erfolgreichen Einsteiger-NAS DS215j vorgestellt. Die DS216j ist ein kompaktes NAS-System für zwei Festplatten, welches dank aktuellem Betriebssystem DiskStation Manager 6.0 mit umfangreichen Funktionen aufwarten kann. Im... [mehr]

Synology DS216play im Test

Logo von IMAGES/STORIES/REVIEW_TEASER/SYNOLOGY_DS216PLAY_TEASER

Die im letzten Jahr vorgestellte Synology Diskstation DS216play ist ein 2-Bay-NAS, welches besonders durch seine Transkodierungsfähigkeiten hervorstechen soll und somit auf den Multimedia-Bereich zielt. Das DS216play soll dank eines leistungsfähigen ARM-SoCs auch hochauflösende 4K-Videos... [mehr]

AVM FRITZ!Box 7580 mit MU-MIMO im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/FRITZBOX7580/FRITZBOX-7580-LOGO

Bereits seit Monaten rührt AVM fleißig die Werbetrommel für die FRITZ!Box 7580, die als vorläufiges High-End-Produkt aus Berlin schnelles WLAN mit den aktuellen DSL-Standards verbindet. MU-MIMO ist dabei das Stichwort und soll die WLAN-Leistung der FRITZ!Box wieder an die Spitze bringen. Das... [mehr]

Ausprobiert: Synology Diskstation Manager 6.0 Beta 2

Logo von SYNOLOGY

Der DiskStation Manager als Betriebssystem der NAS-Systeme von Synology ist sicher der entscheidene Faktor, warum Synology im NAS-Markt so erfolgreich ist. Das Userinterface, was mit seinem Desktop-Look einen einfachen Einstieg ermöglicht, bietet ebenso einen leichten Zugriff auf die Vielzahl an... [mehr]

Synology DS116 und DS916+: Neues Einsteiger- und High-End-NAS

Logo von IMAGES/STORIES/LOGOS-2013/SYNOLOGY

Synology hat am Donnerstag zwei neue NAS-Geräte vorgestellt, die unterschiedlicher nicht sein könnten. Während die Synology DiskStation DS116 sich eher an preisbewusste und weniger anspruchsvolle Käufer richtet, ist die DiskStation DS916+ deutlich leistungsfähiger und natürlich teurer. Sie... [mehr]

Netgear AC1750 und Synology RT1900ac im Test

Logo von IMAGES/STORIES/GALLERIES/REVIEWS/2016/SYNOLOGY-RT1900AC/SYNOLOGY-RT1900AC-LOGO

Von Jahr zu Jahr finden sich mehr WLAN-fähige Geräte in deutschen Haushalten. Deren immer größerer Bedarf an möglichst schneller WLAN-Versorgung bringt die von den Internetanbietern zur Verfügung gestellten Router schnell an ihre Grenzen - diese vertrauen zu einem Großteil auf die... [mehr]