Warum machen 900.000 Telekom-Router Ärger?

[spiralnebelverdreher]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient? Bin ich als FritzBox Nutzer für immer unverdächtig?

[MSfree]

These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird

Die Frage habe ich weiter oben bereits beantwortet.

Was also hast du an niemands Vorschlag nun auszusetzen?

Ich habe nur zu bedenken gegeben, daß man den Plastikrouter damit zwar vom LAN abkoppelt, ihn dadurch aber auch weiter aus dem Auge verliert und er trotzdem gekapert werden kann.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient?

Ich habe nicht gesagt, daß die Schnittstelle "nur" für TKÜ dient.

Bin ich als FritzBox Nutzer für immer unverdächtig?

Wer sich versteckt, macht sich in den Augen der Ermittlungsbehörden sogar erstrecht verdächtig.

[BenutzerGa4gooPh]

Zur Überwachung: Meint ihr nicht, dass es für Provider (und Berechtigte Stellen, bS) viel einfacher ist, Traffic an zentralen Stellen (DSLAM, Router) per SPAN-/Monitoring-Ports abzugreifen? Eine sog. Probe (dedizierter NW-Analyzer, Filter) ist recht teuer. Beispiel, keine Werbung: http://www.neox-networks.com/produkte/f ... flow-probe

Hausinternen Traffic kriegt man so nicht - ist für die Befriedigung TKG/TKUeV/G10-Gesetz auch nicht erforderlich. Kein Provider macht mehr, als er unbedingt muss. Kosten halt. (Vorauseilenden Gehorsam lasse ich mal außen vor.) Für das Abgreifen von hausinternem Traffic, noch besser dessen Ergebnissen (Dateien) ist ein Trojaner viel besser geeignet.

Unwahrscheinlich, das CPE/Endgeräte direkt für Überwachung UMKONFIGURIERT werden müssen. Zentrale Stellen genügen vollauf. Und gegen die Analyse eures externen Traffics, könnt ihr ausser Verschlüsselung nichts, aber auch gar nichts tun. Mail nicht vergessen.

https://www.netuse.de/tkg-113
https://berlin.ccc.de/wiki/Telekommunik ... berwachung
https://dejure.org/gesetze/TKG/110.html
usw.

[DeletedUserReAsG]

Das Problem hierbei ist, daß der Plastikrouter trotzdem gekapert und mißbraucht werden kann. Zwar haben die Behörden schlechte(re) Karten, auf dein LAN zu kommen, Botnetzbetrieber sind dennoch dankbar für das "Zur-Verfügung-Stellen" deiner Plastikkiste.

Plastikrouter wurden auch schon dazu mißbraucht, teure Telefonate zu führen, indem der Angreifer seine Anrufe einfach über fremde Plastikrouter und deren VoIP geführt hat. Nicht nur, daß das Opfer dabei erstmal auf hohen Telefonrechnungen sitzt, auch Telefonate, die man als "IS-Anwärter" lieber nicht über das eigene Smartphone führt, kann man so über Anschlüsse unbescholtener Bürger führen.

Ja, das war’s nicht, worum es mir ging. Dass ein aufmachbares Gerät an dieser Stelle immer ein Problem darstellt, ist kein großes Geheimnis. Es ging schon um die Frage, was genau darauf hindeutet, dass dieser Wartungsport zur Implementierung der TKÜ auf Endgeräten genutzt würde, oder darauf, dass es absichtlich unsicher wäre. Wenn ich mir als Behörde eine Backdoor einbauen lasse, würde ich doch zumindest zusehen, dass die für alle anderen verschlossen bleibt.

[spiralnebelverdreher]

These, dass das TR069 Protokoll von den Telekom-Unternehmen NICHT zur Fernkonfiguartion verwendet wird

Die Frage habe ich weiter oben bereits beantwortet.

Wie verträgt sich das mit deiner obigen These, dass TR069 nur der Telekommunikationsüberwachung durch staatliche Stellen dient?

Ich habe nicht gesagt, daß die Schnittstelle "nur" für TKÜ dient.

Dann habe ich deinen Beitrag von heute morgen

Der Grund für den Port ist auch alles andere als Fernwartung, denn die wird von den Providern gar nicht betrieben oder aber mindestens sträflich vernachlässigt, so daß man den Port eigentlich gar nicht bräuchte. Der eigentliche Grund ist TKÜ.

irgendwie völlig missverstanden.

[spiralnebelverdreher]

Zur Überwachung: Meint ihr nicht, dass es für Provider (und Berechtigte Stellen, bS) viel einfacher ist, Traffic an zentralen Stellen (DSLAM, Router) per SPAN-/Monitoring-Ports abzugreifen? Eine sog. Probe (dedizierter NW-Analyzer, Filter) ist recht teuer.
...
Hausinternen Traffic kriegt man so nicht - ist für die Befriedigung TKG/TKUeV/G10-Gesetz auch nicht erforderlich. Kein Provider macht mehr, als er unbedingt muss. Kosten halt.

Sehe ich auch so. Solange das Überwachen ein finanzielles Minus-Geschäft für den Provider ist wird er da nur das Nötigste tun. Und welchen Stellenwert heute Metadaten durch ihre leichte Verarbeitbarkeit haben, wissen wir spätestens seit Snowden. Das alles spricht für das Ausleiten von (Meta)daten an zentraler Stelle.

[mat6937]

Meine FritzBox ....

Die Fritten waren auch nicht betroffen. Deren TR069-Port ist auch per Default nicht offen.

Bei den FritzBoxen (Zwangsrouter) von Unitymedia ist dieser TR069-Port (8089) offen. Z. B.:

Code: Alles auswählen

:~ $ nping -c 2 --tcp --flags syn --delay 1s -g 5566 -p 8089 37.##.##.###

Starting Nping 0.7.01 ( https://nmap.org/nping ) at 2016-12-01 11:52 CET
SENT (0.0702s) TCP 46.###.###.##:5566 > 37.##.##.###:8089 S ttl=64 id=43314 iplen=40  seq=1931699281 win=1480 
RCVD (0.2364s) TCP 37.##.##.###:8089 > 46.###.###.##:5566 SA ttl=63 id=0 iplen=44  seq=2742675853 win=5840 <mss 1460>
SENT (1.0710s) TCP 46.###.###.##:5566 > 37.##.##.###:8089 S ttl=64 id=43314 iplen=40  seq=1931699281 win=1480 
RCVD (1.2364s) TCP 37.##.##.###:8089 > 46.###.###.##:5566 SA ttl=63 id=0 iplen=44  seq=2758315800 win=5840 <mss 1460>
 
Max rtt: 165.897ms | Min rtt: 165.286ms | Avg rtt: 165.591ms
Raw packets sent: 2 (80B) | Rcvd: 2 (92B) | Lost: 0 (0.00%)
Nping done: 1 IP address pinged in 1.30 seconds

Den Port 7547 haben die Server von Unitymedia.