xDSL.at

[jutta]

hi all,
ifo-net hat ein mail von der rechtsabteilung der ta bekommen, dass " vertrauliche Daten der Telekom Austria TA AG gepostet [wurden]. In conreto hat der User username und password von "TA-Modems" gepostet.
Namens der Telekom Austria TA AG darf ich Sie ersuchen, diese Inhalte schnellstmöglich zu löschen, um drohenden Schaden möglichst hintanzuhalten. "

ich versteh zwar nicht, wie daten vertraulich sein koennen, die so leicht rauszufinden sind, aber ich habe den thread einmal unzugaenglich gemacht, um ifo-net moeglichen aerger zu ersparen.

@d0n: vielleicht waere es strategisch guenstiger, nicht die zugangsdaten zu posten, sondern den weg, wie man dazu kommt.

//ps. ich hoffe sehr, dass die TA mit wirklich vertraulichen daten (zb ihrer kund_innen) sorgfaeltiger umgeht.

[dpkg]

--> http://de.wikipedia.org/wiki/Streisand-Effekt

[Stefan Hedenig]

Wer google bedienen kann und fähig ist +site:xDSL.at als suchbegriff anzuhängen wird sowieso im cache noch fündig...

was für eine schaumschlägerei

[jutta]

btw, wie inode seinerzeit damit umging, dass das passwort der self-install zyxels bekannt wurde: http://xDSL.at/viewtopic.php?p=228453#228453 (-rsc- war damals inode-ma und hat das offiziell gepostet)

und auf private anfrage erhielt ich damals die antwort: "eigentlich war es ja unsere blödheit, das das passwort klartext übertragen wird. der hinweis der firewall sagt dann auch noch, wo man es nachlesen kann. "

[sheikhstone]

looool google ist schon ne feine sache hhhhhhhh

[radditz]

... ich versteh zwar nicht, wie daten vertraulich sein koennen, die so leicht rauszufinden sind, ...

Die Sicherheitseinstufung von Daten hat ja nichts mit der tatsächlich verbauten Schutzmechanismen zu tun. Und der 0815-User kann diese Daten auch nicht so einfach rausfinden.

edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.

[ANOther]

edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.

OT
naja, als "sicherheitsproblem" kann man ein modempasswort auch nicht bezeichnen, auch ist ein vergleich mit "kundendaten" irgendwie ...

[radditz]

edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.

OT
naja, als "sicherheitsproblem" kann man ein modempasswort auch nicht bezeichnen, auch ist ein vergleich mit "kundendaten" irgendwie ...

1. falsch zitiert (hab das mal bei meiner Antwort richtig gestellt),
2. die Daten alleine stellen kurz und knapp betrachtet kein Sicherheitsproblem dar. Aber es stellt sich die Frage, wo diese Daten noch von Bedeutung sind? Meine Vermutung geht in Richtung Business Kunden, die das Pirelli Zeugs bekommen.
Stell ich mir lustig vor, wenn dann plötzlich ein Mitarbeiter (oder noch schlimmer: ein Gast) unbefugterweise Zugriff auf das Modem erlangt. Und vielleicht dann mal eben eine Backdoor einrichtet, etc...

Selbst wenn diese nicht die selben Benutzerdaten haben, so dürfte es doch ein leichtes sein, diese herauszufinden, nachdem das ha schon einmal geklappt hat.

Das nächste Problem kommt dann auf die Privatkunden zu:
Diverse Schadsoftware ist bereits darauf ausgelegt, den Router zu manipulieren, so dass Anfragen des gesamten Netzwerks umgelenkt werden.
Die Bekanntgabe dieser Benutzerdaten ist für Entwickler von Schadsoftware ein gefundenes Fressen! Das wird einfach mal so in die Datenbank geadded...

Insofern ist sowohl das posten dieser Daten als auch die Möglichkeit, diese heraus zu finden, ein großes Sicherheitsproblem.

[jutta]

Und der 0815-User kann diese Daten auch nicht so einfach rausfinden.

wer noch nie was von ssh gehoert hat wird scheitern. wer keinen linux-rechner zur verfuegung hat, wird es recht schwer haben. wer beides hat und ein bissl motiviert ist, braucht je nach vorkenntnissen ein paar stunden oder ein paar tage.

noch einmal: wer auf dutzenden, hunderten, tausenden geraeten ein standard-passwort einsetzt, *muss* damit rechnen, dass es frueher oder spaeter bekannt wird.


@ANOther: die bezeichnung als vertrauliche daten stammt nicht von mir, sondern vom autor des mails aus der ta-rechtsabteilung. ob man mit hilfe des modem-passworts mehr schaden anrichten kann, als nur das eigene modem zu verpfuschen, haengt davon ab, ob es bei dem ding sowas wie ACLs gibt, und wie die konfiguriert sind.

[wicked_one]

Nun betrachten wir mal einen anderen Gesichtspunkt.

Das Pirelli ist Eigentum der Telekom, das Passwort ist nicht für User gedacht. Analog ist es in etwa so, als würd ich zur nächstbesten Tür gehen, diese Aufknacken, weil ich grad Lust auf Fernsehen habe...

Es ist mit WLANs nichts anderes, sobald ein Grundlevel an Schutmaßnahmen vorhanden ist, sogar das als absolut unsicher geltende WEP, ist das umgehen derselbigen ein krimineller Akt...

[jutta]

steht das irgendwo? dh, wird der kunde darauf aufmerksam gemacht, dass er sich keinen zugang zu den einstellungen des routers verschaffen darf? bei den privatkunden-routern der ta war das ja bisher nicht ueblich, daher kann man auch nicht davon ausgehen, dass es die leute ohnehin wissen.

fuer mich ist das passwort nicht viel anders als "1234" oder "password".

[ANOther]

steht das irgendwo? dh, wird der kunde darauf aufmerksam gemacht, dass er sich keinen zugang zu den einstellungen des routers verschaffen darf? bei den privatkunden-routern der ta war das ja bisher nicht ueblich, daher kann man auch nicht davon ausgehen, dass es die leute ohnehin wissen.

jetz wirds spannend:

soll der kunde eigene firmware auf ein fremdes gerät spielen dürfen, wenn ja, gereifte oder auch beta?
zweifellos war das bei der ta "so üblich", allerdings - hat der kunde nun "ersessenes recht", den router bis nach unten zu konfigurieren?

das umgehen der gesetzten zugangsbeschränkungen durch welche auch immer gesetzten tätigkeiten ist IMHO eine aktion, die mit z.t. recht heftigen strafen "belohnt" werden könnten...

z.t. 1234, password
IMHO ist dies doch _etwas_ anders, da diese pwds vom hersteller in dessen dokus vorkommen, und nicht bewusst gesetzt wurden, um jmd draussenzuhalten.
die realisierung der pwd-geschichte ähnelt der implementierung von WEP in einem wlan von heute...

a bissi patschert;)

und trotzdem ist auch das knacken von wep illegal...

[jutta]

> soll der kunde eigene firmware auf ein fremdes gerät spielen dürfen, wenn ja, gereifte oder auch beta?

frueher, als die modems und router nach beendigung der vertragslaufzeit noch zurueck verlangt wurden, haette ich in voller ueberzeugung *nein* gesagt, denn etwas ausgeborgtes muss man unveraendert zurueckgeben. da a) die cpes inzwischen nicht mehr zurueck genommen, sondern den kunden zum entsorgen ueberlassen werden und b) der support bei allen moeglichen anfragen selbst "machen sie ein fw-upgrade" empfiehlt, bin ich mir heute nicht mehr so sicher. im zweifel werde ich die kosten fuer umtausch oder reparatur zu tragen haben, wenn ich ohne vorherige rueckfrage am geraet rumbastle und dann nicht mehr weiter weiss.

> zweifellos war das bei der ta "so üblich", allerdings - hat der kunde nun "ersessenes recht", den router bis nach unten zu konfigurieren?

nein. aber er hat ein recht darauf, darauf hingewiesen zu werden. und zwar schon vor vertragsabschluss, weil dieser umstand fuer manche kunden (wenn auch eine minderheit) durchaus kaufentscheidend sein kann. und fuer alle anderen sollte zumindest ein warnzettel beigepackt werden.

> z.t. 1234, password
> IMHO ist dies doch _etwas_ anders, da diese pwds vom hersteller in dessen dokus vorkommen, und nicht bewusst gesetzt wurden, um jmd draussenzuhalten.

so gross ist der unterschied imo nicht. ein default-pw ist ein default-pw, egal ob es im handbuch fuer die endkunden steht oder bloss in der doku fuer die techniker. wenn das passwort dann noch vom wizard jedem dahergelaufenen sshd verraten wird, dann ist das fast so gut wie das post-it am monitor.

> das umgehen der gesetzten zugangsbeschränkungen durch welche auch immer gesetzten tätigkeiten ist IMHO eine aktion, die mit z.t. recht heftigen strafen "belohnt" werden könnten...

das aendert aber nichts daran, dass die gesetzen zugangsbeschraenkungen nicht wirksam waren/sind. wenn es nur darum geht, die anstaendigen user auszusperren, die ein "du darfst das nicht angreifen" respektieren, brauche ich gar kein passwort. dann brauch ich aber auch keine verschluesselung fuers wlan, kein schloss an der haustuere oder autotuere usw.

> a bissi patschert;)

da simma uns 100% einig

[radditz]

Ich weiß, der Vergleich hinkt etwas, aber:
Wenn ich meine Haustüre absperre, den Schlüssel aber in den Briefkasten lege, ist dann der Finder dieses Schlüssels auch berechtigt, die Tür aufzusperren und sich im Haus umzusehen?

[jutta]

aeh - darum geht es nicht mehr. sondern: wie verhindere ich, dass nicht nur die nette nachbarin, die mir die blumen giessen und die katzen fuettern soll, reinkommt, sondern auch alle anderen (diebe, einbrecher usw).

einem cracker ist es ziemlich wurscht, ob die ta auf ihn boese ist, weil er das passwort missbraeuchlich verwendet hat.

um bei deinem beispiel zu bleiben: wenn ich in einer ruhigen friedlichen gegend wohne, wo alle nachbarn einander kennen und es noch nie einen einbruch gegeben hat, kann ich den schluessel fuer die nachbarin in den briefkasten oder unter den fussabstreifer legen. in einer gegend, wo pausenlos wohnungen oder autos aufgebrochen werden und sachen verschwinden, eher nicht.

ein passwort, das nur anstaendige besucher raussperrt, unanstaendige und gefaehrliche aber nicht, find ich ein bissl kontraproduktiv. (wenn die anstaendigen reinduerften, dann koennten sie es wenigstens auf ein sicheres/unbekanntes pw aendern.)