Computer und Kommunikation / Archiv /

 

Ungewollt auf Du und Du

Fehler bei Internetprovidern schaltet wildfremde Kunden-PCs zusammen

Von Michael Gessat

Ein Konfigurationsfehler bei Internetanbietern lieferte ungewollte  Einblicke in fremde Rechner.
Ein Konfigurationsfehler bei Internetanbietern lieferte ungewollte Einblicke in fremde Rechner. (Stock.XCHNG / Norbert Machinek)

<strong>Bei den meisten WLAN-Anwendern hat es sich mittlerweile herumgesprochen: Ein WLAN muss verschlüsselt betrieben werden, um Fremde auszusperren. Beim klassischen Internetzugang per DSL-Modem macht man sich dagegen eigentlich keine Sorgen über ungebetenen Gäste. Leider zu Unrecht. Denn wenn der Internetprovider einen Netzwerk-Kurzschluss baut, dann sind plötzlich wildfremde PCs ganz intim zusammengeschaltet.</strong>

Ein Windows-User mit DSL-Anschluss stöbert auf seinem Computer etwas herum. Er klickt so ganz nebenbei im Explorer auf das Symbol "Netzwerkumgebung". Und verblüffenderweise erscheint dort ein fremder Rechnername. Auf dem fremden Rechner gibt es freigegebene Ordner. Und darin kinderpornografische Fotos. Und zu allem Übel stellt sich auch noch heraus, dass der Fremde seine Sammlung perfiderweise unter falscher Flagge erweitert: Er surft nämlich anscheinend als Gast über den Rechner unseres Users, mit dem er ja offensichtlich per lokalem Netzwerk verbunden ist. Schlimmer als in diesem Fall, den die Fachzeitschrift "c’t" aufdeckte, geht es eigentlich kaum. Aber die Sache ist, so stellt sich heraus, kein unerklärlicher Spuk. Sondern Folge einer relativ simplen Fehlkonfiguration beim DSL-Anbieter. Dennis Knake vom Kölner Internetprovider QSC kennt die Ursache des Fehlers, der freilich nur die Konkurrenz betraf:

"Das Problem liegt daran, dass der Switch, den der Carrier eingesetzt hatte, im so genannten Defaultzustand eingesetzt wurde, so wie er vom Hersteller ausgeliefert wurde. Den hat man gekauft, hingestellt, alle User angeschlossen, geprüft, funktioniert’s, ja, Datenübertragung geht. War ja auch nicht falsch. Man hat den Negativ-Test nicht gemacht, man hat also nicht geguckt, was geht denn noch, was nicht gehen sollte. Da fehlt einfach die Konfiguration in dem Switch: Bitte lass die Daten nur in eine Richtung, lass die Daten nicht wieder zurück."

Fehlt diese Einbahnstraßenregelung beim Provider, dann tun Windows-Rechner das, was sie in einem Netzwerk sollen: Sie versuchen zu kommunizieren. Ein PC, der sich in ein Netzwerk einloggt, der Datenpakete herausschickt und für ihn bestimmte Datenpakete erhalten möchte, braucht eine IP-Adresse. Bei den allermeisten Heimnetzwerken und auch beim Internetzugang über DSL geht es dabei allerdings locker zu: Die PCs haben keine eigene feste Adresse; stattdessen bekommen die gerade im Netz Anwesenden erst auf Anfrage eine so genannte dynamische IP-Nummer zugeteilt.

"Ein angeschlossener Rechner, der direkt mit dem Modem an der Telefondose hängt, mit dem in Windows standardmäßig installierten Ethernetprotokoll, sendet ein so genanntes Ethernet-Broadcast aus, das heißt er pingt raus: "Hallo, ist noch jemand da?" über Ethernet."

…erläutert Dennis Knake. Beim DSL-Zugang antwortet normalerweise nur eine Gegenstelle auf dieses "Hallo": Der so genannte "Access Concentrator", ein Gerät, das den Datenverkehr der Kunden sammelt und letztlich den Kontakt zum Internet herstellt. Der "Access Concentrator" vergibt nun eine temporäre, also zeitlich begrenzt gültige IP-Adresse. Und dann kann es losgehen mit dem Surfen. Ähnliche Dinge passieren, wenn unter dem meistverwendeten Betriebssystem zum Beispiel Desktoprechner und Notebook Daten austauschen sollen:

"Wenn man sein eigenes Netzwerk lokal aufbaut, dann hat man einen Router und steckt drei Rechner dran, und automatisch haben sich die drei Rechner schon gefunden über Windows. Das ist so vorinstalliert, Windows hat ja die Freigaben automatisch schon eingestellt, Ethernet gucken: Hallo, wer ist noch da? Andere Rechnernamen gefunden, aha."

Praktischerweise übernimmt nämlich notfalls einfach einer der Rechner die Sache mit dem "Adressen verteilen", vergibt IP-Adressen an die Anwesenden, und es kann losgehen mit dem Datenaustausch im Heimnetz. Was im lokalen Netz also nützlich ist, führt bei einer DSL-Fehlkonfiguration geradewegs zum Daten-GAU. Und anfällig sind dabei ausgerechnet DSL-Anbieter mit einer Infrastruktur, die momentan stark im Trend liegt: Die so genannten NGNs, die "Next Generation Networks".

"Da die Provider heutzutage eine Ethernet-Technologie einsetzen in ihrer Vernetzung, die eigentlich genau die selbe Technologie ist wie in einem Heimnetzwerk, ist nichts anderes passiert, als dass der Ethernet-Switch des Providers, dort wo Kunden zusammengeführt sind, diese Broadcasts, diese "Hallo-Finde-mich-Signale" wieder zurückgeleitet hat zu einem anderen Kunden, der dort angeschlossen war."

Die Folge: Bei Windows-Usern baut das Betriebssystem nun automatisch ein lokales Netzwerk auf. Nur leider eben mit wildfremden PCs. Auch eine Software-Firewall bietet davor keinerlei Schutz. Nicht alle DSL-Kunden sind von der potenziellen Panne bedroht. QSC zum Beispiel verwendet eine aufwändigere Technologie namens MPLS. Dabei erhalten alle Datenpakete ein zusätzliches "Label": Eine Briefmarke sozusagen, auf der Sender, Empfänger und der vorher festgelegte Weg explizit verzeichnet sind.

Der Netzwerk-Kurzschluss soll nur in einigen wenigen Fällen passiert sein. Und die fehlkonfigurierten Switches, das versichern die betroffenen NGN-Provider, arbeiten mittlerweile so, wie sie sollen. Etwas mehr Schutz, als dieser Beteuerung einfach zu glauben, bietet ein Router. Wer als NGN-Kunde ein solches Gerät nicht ohnehin schon besitzt, etwa für den WLAN-Anschluss, der sollte sich eines zulegen: Mit der Investition von etwa 25 Euro verhindert man zumindest den Zugriff auf das eigene lokale Netz und freigegebene Dateien.

Beitrag hören

 
 
Dradio Audio
Kein Audio aktiv
 
 
 
 
 

Für dieses Element wird eine aktuelle Version des Flash Players benötigt.

Computer und Kommunikation

Europäischer DatenschutzDatenschutz soll zum Standortvorteil werden

Europäische DatenschutzreformVerbraucher sollen Daten löschen können

Blick von oben auf das EU-Parlament.

"Die persönlichen Daten gehören der Person, sind Eigentum der Person", sagt Viviane Reding, bis vor kurzem EU-Justizkommissarin. Und das ist der Kern der geplanten europäischen Datenschutzreform. Es wird wohl - nicht nur aus IT-Sicht - das größte Reformvorhaben in der neuen Legislaturperiode.

Digitale AgendaÜberwachung als ehrenhafte Sache