Beweismittel IP-Adresse fragwürdig

Falsch vorkonfigurierte Kabel-TV-Receiver erlaubten es, bei einem österreichischen Provider mit fremden IP-Adressen im Internet zu surfen.

In Pocket speichern vorlesen Druckansicht 131 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Johannes Endres

Der österreichische Provider UPC hat ein Sicherheitsloch in seinem System gestopft, über das sich die IP-Adressen anderer Kunden missbrauchen ließen. UPC ist nach der Telekom Austria der zweitgrößte Internet-Provider des Landes. Er bietet über das TV-Kabelnetz Internetzugang, Telefonie und Fernsehen in verschiedenen Kombinationen an.

Dazu werden TV-Kabel-Modem und TV-Receiver (bei UPC Mediabox genannt) als getrennte Geräte installiert. Das UPC-System teilt dem Internet-Kabelmodem anhand seiner MAC-Adresse immer dieselbe IP-Adresse zu und verhindert die Nutzung anderer Adressen.

Doch mehrere Modelle der Mediabox verfügen auch über einen Ethernet-Anschluss, der, wie ein heise-Online-Leser bemerkte, als Bridge zum Kabelnetz geschaltet war – und zwar ohne jeden Filter. Das heißt, dass der Verkehr eines Netzwerksegments des Providers dort vorbei kam. Unter anderem konnte ein an der Mediabox angeschlossener PC ARP-Pakete mit den IP-Adressen anderer UPC-Kunden mitlesen.

Ein passend konfigurierter PC hätte dann auch mit den fremden IP-Adressen das Internet nutzen können. Einem Leser gelang dies sogar lange nach der Kündigung seines UPC-Anschlusses. Der offizielle Internetzugang über das Kabelmodem war längst gesperrt, doch über die Mediabox war der Internetzugang mit fremden Adressen weiterhin problemlos möglich.

UPC leitete die Anfrage von heise online zunächst an die Technikzentrale der Konzernmutter Liberty Global in Amsterdam weiter. Denn die sei Europa-weit für die eingesetzte Technik zuständig. Nach der Analyse dort erklärte UPC-Sprecher Siegfried Grobmann: "Das Verhalten konnten wir auf zwei unserer STB-Typen nachvollziehen und rührt von der Konfiguration der STB (MediaBox) im Pre-Provisionierungsstatus her, d.h. das Verhalten tritt nur bei STBs auf, die noch nicht vollständig aktiviert sind. [...] Es handelt sich dabei um einen Fehler im Aktivierungsprozess bei einer sehr kleinen Anzahl von MediaBoxen, und hier wiederum nur in Österreich."Die Vorkonfiguration sei nun korrigiert und das Surfen über die Mediabox sei damit ausgeschlossen. Das bestätigen auch die betroffenen UPC-Kunden.

Auch wenn damit die Lücke selbst gestopft ist, bleibt ein Problem ungelöst: Da UPC-User über die Mediabox beliebige IP-Adressen aus den UPC-Netzen nutzen konnten, sind sämtliche Einträge in Server-Logs mit solchen Adressen unbrauchbar. Sollte eine der UPC-Adressen als Urheber einer Internetstraftat auftauchen, könnte ein unbescholtener Kunde in Verdacht geraten. Doch Grobmann sieht hier keine Gefahr, denn "[UPC weist] sämtliche anfragenden Strafverfolgungsbehörden im Zuge von Datenerhebungen stets darauf hin, dass IP-Adressen durch verschiedenste technische Möglichkeiten gefälscht bzw. verschleiert werden können. (je)