Eine veritable Sicherheitslücke im österreichischen Kabel-Netz hat man sich bei UPC offenbar über falsch konfigurierte Digital-TV-Receiver eingefangen. Laut einem aktuellen Bericht von heise.de soll es bis vor kurzem auf diesem Weg möglich gewesen sein, mit den IP-Adressen anderer NutzerInnen ins Internet zu gehen.

Tricks

So konnten manche Modelle der bei UPC "Mediabox" genannten Set-Top-Boxen für diesen Zweck genutzt werden, konkret jene die über einen eigenen Ethernet-Anschluss verfügen. Denn während UPC bei den eigentlich zum Internet-Konsum gedachten Kabelmodems darauf achtet, dass ein Gerät auch tatsächlich immer nur die selbe IP-Adresse bekommt, ließ sich diese fixe Anbindung über die Nutzung der Mediabox austricksen.

Mitlesen

Im Detail zeigt sich, dass das Unternehmen hier tatsächlich äußerst grob gepatzt hat: Der Ethernet-Anschluss der Mediabox war als Bridge zum Kabelnetz geschaltet, dies dazu noch ohne jeglichen Filter. Konkret bedeutet dies, dass über diesen Anschluss der Internet-Verkehr im lokalen Netzwerksegment teilweise mitgelesen werden konnte - also auch der Traffic zahlreicher anderer UPC-KundInnen im eigenen Umfeld.

Abschalten sinnlos

Pikanterweise dürfte dieser Zugang sogar dann noch möglich gewesen sein, wenn der UPC-Anschluss bereits abgedreht war, immerhin konnte man sich über die Mediabox einfach die IP von anderen NutzerInnen schnappen. Über einen angeschlossenen PC konnte dann problemlos ins Netz gegangen werden.

Stellungnahme

Bei UPC bestätigt man das Problem mittlerweile für zwei der ausgelieferten Mediabox-Varianten, bemüht sich aber in Schadensbegrenzung: Auslöser sei ein Fehler in der Pre-Provisionierung der Geräte gewesen, insofern sei dieser Hack auch nur mit noch nicht vollständig aktivierten Geräten möglich gewesen, habe also nur eine geringe Anzahl der vorhandenen Devices betroffen. Zudem sei das Problem mittlerweile behoben, was auch die Entdecker der Lücke mittlerweile bestätigen.

IP

Wie heise.de herausstreicht, ergibt sich aus dem Vorfall zudem noch eine andere Problematik: Alle in der Zeit getätigten IP-Logs sind in Bezug auf UPC de fakto unbrauchbar, hätte doch jeder die IP einer anderen Person übernehmen und für eigenen Aktivitäten nutzen können. Bei UPC sieht man darin allerdings kein größeres Problem, verweise man doch schon jetzt bei jeglichen Anfragen von Behörden darauf, dass sich IP-Adressen auf unterschiedlichsten Wegen manipulieren lassen. (red, derStandard.at, 19.04.10)