T-DSL offen für Sabotage
Die Netzwerkverbindung eines T-DSL-Nutzers lässt sich ohne großen technischen Aufwand aus der Ferne unterbrechen.
Die Netzwerkverbindung eines T-DSL-Nutzers lässt sich ohne großen technischen Aufwand aus der Ferne unterbrechen. Sie bricht immer dann zusammen, wenn die Übertragungsrichtung vom Nutzer ins Internet (Upstream) mit der vollen Bandbreite von 128 kBit/s genutzt wird. Dies läßt sich von außen mittels "ping flooding" provozieren – bereits ein einzelner Computer mit großer Bandbreite zum Internet genügt hierzu.
Der Rechner des T-DSL-Kunden belegt bei hinreichend vielen Anfragen mit seinen Ping-Anworten die volle Upstream-Bandbreite und die Verbindung bricht zusammen. Nach Auskunft von Telekom-Pressesprecher Willfried Seibel liegt das daran, dass die Router der Telekom nicht rechtzeitig Antwort auf so genannte Keep-Alive-Pakete an den Client bekommen. Durch die Vollauslastung des Upstreams erreichen die antwortenden Echo-Request-Pakete erst zeitversetzt den Router und werden somit verworfen, was zu dem Verbindungsabbruch führt.
Für Privatanwender mag das nur lästig sein, für Geschäftskunden kann sich ein solcher Denial-of-Service-Angriff aber durchaus geschäftsschädigend auswirken. Das Problem wird seit einiger Zeit in der Support-Newsgruppe bei T-Online diskutiert – unter reger Beteiligung der zuständigen T-Online-Mitarbeiter. Telekom-Pressesprecher Willfried Seibel erklärte jedoch, man sei erst durch die Anfrage von c't auf die Sicherheitslücke aufmerksam geworden: "Das geschilderte Problem lässt sich durch eine Umkonfiguration lösen, die manuell an allen Standorten vorgenommen werden muß. Diese Umkonfiguration ist bereits veranlasst und wird zur Zeit durchgeführt." Ein Update beim Client sei hingegen nicht notwendig.
Bis dahin empfiehlt Seibel Privatkunden, sich einfach wieder einzuloggen. Die dann neu zugeteilte IP-Adresse müsse der Angreifer erst einmal herausfinden. Geschäftskunden sollen im Firewall ihres Routers das Beantworten von Ping-Requests untersagen. Das funktioniert auch bei Endanwendern, wenn sie einen so genannten Personal Firewall installiert haben, der ICMP-Daten filtern kann, beispielsweise mit der Freeware ZoneAlarm; zur Administration einer solchen Software ist allerdings ein gewisses Verständnis der Protokolle notwendig. (je) (nl)
