Sicherheitsloch durch BTX-Abschaltung

T-Online will seinen Classic-Dienst zum 31.12.2001 ganz abschalten. Ganz? Nein! Ein kleines Häufchen von Online-Banken leistet noch Widerstand gegen den vollständigen Umstieg auf Online-Banking via Internet. Daher bleiben die Online-Banking-Funktionen von T-Online Classic weiterhin verfügbar.

Am 1. März 2002 folgt der nächste Schritt Richtung Totalabschaltung: T-Online stellt dann den Betrieb der Nummer 01 94 31 31 ein, über die sich Banking-Programme wie Quicken 98 einwählen, die zur Datenübertragung nicht auf die T-Online-Software zurückgreifen (siehe S. 146 in c't 25/01).

Gefährliche Umleitung

Derzeit dient T-Online Classic nur noch zum Online-Banking und zum Ändern der Zugangsdaten des T-Online-Kunden. Die Verwaltungsfunktionen sind im Vorfeld der Abschaltung bereits in den Service-Bereich des Web-Servers von T-Online umgezogen. Dadurch ergibt sich eine neue, ernsthafte Sicherheitslücke: Für einige Einstellungen muss der Kunde sein Passwort nicht eintippen, sondern wird vom Server anhand der aktiven Einwahldaten authentifiziert. Wenn auf dem Kunden-Rechner ein Proxy-Server läuft, können Angreifer diese Optionen ändern. Dazu ist nur eine geringfügig falsche Konfiguration des Proxy erforderlich, die dazu führt, dass er seine Dienste nicht nur einem lokalen Netzwerk anbietet, sondern auch jedem Rechner, der ihn aus dem Internet anspricht. Wenn der Angreifer dann den Kundenrechner als Proxy in seinen Browser einträgt und darüber auf die T-Online-Seiten zugreift, schlüpft er in die Identität des rechtmäßigen Kunden, denn für T-Online kommen die Anfragen über die Einwahlverbindung des Kunden.

Einen solchen Proxy betreiben viele Windows-Anwender, um ein kleines lokales Netzwerk ins Internet zu bringen. Die meisten Linux-Distributionen installieren den Proxy ‘squid’ unaufgefordert mit. Eine kleine Stichprobe in einem Teilnetz von T-Online förderte mehrere hundert betroffene Rechner zu Tage. Über diese Einfallstore können böswillige Angreifer beispielsweise die monatliche Limitsperre auf eine Mark setzen und den betroffenen T-Online-Kunden so effektiv vom Internet-Zugang ausschließen.

Abhilfe wäre für T-Online ganz einfach, der Provider müsste lediglich alle Konfigurationsseiten mit einer Passwortabfrage ausstatten, statt nur einige wenige. In der Darmstädter Zentrale findet man das derzeitige Verfahren aber ganz normal und sieht nach Angaben der Pressestelle keinen Handlungsbedarf. (je) (es)