Modems unter Beschuß

Stürzt auch Ihre Modem-Verbindung ins Internet in letzter Zeit verdächtig häufig ab? Dann könnten Pakete mit versteckten Befehlen an Ihr Modem die Ursache sein.

Seit einigen Tagen wird im Internet immer häufiger ein Fehler in der Implementierung von Modem-Befehlen ausgenutzt -- mit dem Resultat, daß die Verbindung des Opfers plötzlich abbricht.

Die Spezifikation des Hayes-Befehlssatzes sieht vor, daß zwischen der Eingabe der Escape-Sequenz "+++", die das Modem in den Kommandomodus versetzt und dem eigentlichen AT-Befehl mindestens eine Sekunde vergehen muß. Aus patentrechtlichen Gründen verzichten jedoch viele Modem-Hersteller auf diese Pause. So kann ein Angreifer beispielsweise ein Ping-Paket mit der Sequenz "+ + + ATH0" (ohne die Leerzeichen, die Fehler bei der Übertragung dieser Seite verhindern sollen) an einen Rechner schicken. Dessen TCP/IP-Stack antwortet mit einem Paket gleichen Inhalts, das vom Modem als Befehl, die Verbindung zu beenden, interpretiert wird. Theoretisch lassen sich so auch Befehle aufrufen, die das Modem komplett umprogrammieren.

Insgesamt sind etwa 30 Prozent aller Modems betroffen, lediglich US-Robotics-Produkte scheinen generell imun zu sein. Als einfache Schutzmaßnahme kann man bei den meisten Modems mit dem Befehl

ATS2=255&w

die Escape-Sequenz deaktivieren. Nahezu alle Kommunikationsprogramme nutzen ohnehin die DTR-Steuerleitung zum Beenden der Verbindung. (ju)