Eskalation

UM/VF nutzt illegale Scans und schickt unter dem Vorwand »TKG §109a Abs. 4« mir Warnungen. Telekom macht dies auch, schickt alle paar Wochn einen Brief mit Hinweis auf eine Mail an den t-online.de-Account; auch die Telekom sieht sich im Recht – ich sehe das anders –, aber anders als Vodafone ist das nicht penetrant. UM/VF schickt die Mail alle paar Tage, und ich forderte die Einstellung.

Ich denke, daß ich mir Belästigungen meines ISPs nicht bieten lassen muß:

Betreff: Re: Vodafone Kd.-Nr.: … – wiederholte Sicherheitswarnung – offener Dienst mdns

Moin,

der Port ist und bleibt offen, er dient als Honeytrap. Bitte beweisen Sie, daß von dem offenen Port ein Sicherheitsproblem ausgeht oder stellen Sie Ihr diesbezügliches Mailing unverzüglich und dauerhaft ein, zu welchem Sie ab dieser Mitteilung nicht mehr autorisiert sind.

Desweiteren ist der Inhalt Ihres Mailings grob falsch: a) auf mein Kabelmodem – Teil meiner FritzBox – haben Sie keinen administrativen Zugang, die Behauptung, dort etwas gesperrt zu haben, ist schlicht unwahr. Sofern Sie aber den Port filterten, wäre das Problem, entgegen Ihrer Aussage, durchaus behoben. b) Eine vorhandene Sicherheitslücke existiert nicht; Sie haben keinerlei Beweise hierzu vorgelegt, Sie argumentieren basierend auf Vermutungen, offensichtlich ohne eigene Tests, mithin auf Hörensagen.

Die Antwort war mehr so nichtssagend:

Guten Tag […]

vielen Dank für Ihre Nachricht.

Aufgrund des am 25.07.2015 in Kraft getretenen IT-Sicherheitsgesetzes und der damit verbundenen Erweiterung des TKG informieren wir Sie gemäß §109a Abs.4.

Detailinformationen zum Sicherheitshinweis für Ihre Anschluss können über Sie folgendem Link einsehen: […]

Extracted Details

ip 84.119.[…]
send_date 2020-06-02T07:20:28Z
received_date 2020-06-02T07:20:28Z
format bsi

Incident part

asn: 6830
workstation_info: gw-gt-2 [00:19:99:…]._workstation._tcp.local.

Extracted Details

ip 84.119.[…]
send_date 2020-06-01T20:14:06Z
received_date 2020-06-01T20:14:06Z
format csv

Incident part

scan_initiator: scan_engine

Evidence part

scan_result: 9/tcp workstation Address=192.168.[…] 2a02:908:d516:[…]

Freundliche Grüße

Vodafone

Customer Security
IT-Sicherheit & Abuse […]

Man ging auf meine Argumente nicht ein – was ich gar nicht leiden kann –, also klärte ich die Sachlage per Mail am 8.6.2020:

Moin,

leider sind Sie nicht auf meine Nachricht eingegangen. Mail von abuse@unitymedia.de werden nun auf SMTP-Ebene abgelehnt.

MfG,
[…]

Das fand wohl jemand not amusing, denn am 8.6.2020 gegen 12:30 reduzierte Vodafone meinen Zugang von 1000/50 auf 6/0,6 MBit/sec. Kann man machen, ist dann aber scheiße, weil vertragswidrig.

Um 12:45 kam die Erwiderung per Mail:

Guten Tag […],
vielen Dank für Ihre Nachricht.

Wir haben Ihnen mit der E-Mail vom 02.06.2020 das bei Ihnen bestehende Sicherheitsrisiko dargestellt und über den Link weitere Detailinformationen bereitgestellt.

Stellen Sie das Sicherheitsrisiko bitte umgehend ab.

Freundliche Grüße

Vodafone Customer Security
IT-Sicherheit & Abuse […]

Ja, nee. So nicht. Meine Antwort vom 11.06:

Moin,

Sie sind den Nachweis eines Sicherheitsproblems trotz Nachfrage schuldig geblieben; ein offener Port stellt per se kein Sicherheitsrisiko dar, ganz abgesehen davon, daß Sie Ihre Information offensichlich aus illegalen Scans Dritter beziehen — und daraus noch unzulässige Schlüsse ziehen.

Lt. Aussage Ihres Support ist Ihre Abteilung »IT-Sicherheit & Abuse« für die Reduzierung des Zugangs auf 6/0,6 MBIt/sec verantwortlich. Da Sie trotz Aufforderung kein real existierendes Sicherheitsproblem nachgewiesen haben – was Ihnen aufgrund des fehlenden Traffics auch unmöglich ist –: aufgrund welcher vertraglichen bzw. AGB-Regelung haben Sie diese Reduktion vorgenommen?

Wie kommuniziert (Fax), werde ich aufgrund dieser vertragswidrigen Minderleistung die Zahlung im Juni reduzieren. Da Sie offensichtlich kein Recht haben, diese Drosselung durchzuführen, erwarte ich im Laufe des 11.06.2020 Ihrerseits die Rückkehr zu einem vertragskonformen Verhalten.

Grüße,

Desweiteren wurde alle 10 Minuten jede Mail von Vodafone in der Inbox bzgl. dieses »Sicherheitsproblems« per Template beantwortet — allerdings nicht aus der Inbox verschoben. Oops. Naja, gut 1000 unsinnige Mails hat VF bis zum nächsten reinschauen bekommen — unbeabsichtigt, aber quasi ein »wie du mir so ich dir«.

Nochmal zum mitmeißeln: Es. Geht. Kein. DOS-Risiko. Von. Meiner. Einstellung. Aus.

root@de6:~# for i in 1 2 3 4 5 6 7 8 9 10 ; do dig +short -p 5353 -t ptr _services._dns-sd._udp.local @meine.um.ip | awk '{printf("%s: %s\n", strftime("%c"), $0);}' ; done
Sun Jun 14 03:14:01 2020: _workstation._tcp.local.
Sun Jun 14 03:14:01 2020: _workstation._tcp.local.
Sun Jun 14 03:14:01 2020: _workstation._tcp.local.
Sun Jun 14 03:14:06 2020: _workstation._tcp.local.
Sun Jun 14 03:14:06 2020: _workstation._tcp.local.
Sun Jun 14 03:14:06 2020: _workstation._tcp.local.
Sun Jun 14 03:14:21 2020: ;; connection timed out; no servers could be reached
Sun Jun 14 03:14:21 2020: _workstation._tcp.local.
Sun Jun 14 03:14:21 2020: _workstation._tcp.local.
Sun Jun 14 03:14:21 2020: _workstation._tcp.local.

Aber bei Vodkafone hat man längst abgeschaltet, am 12.06.20 schreibt man:

Guten Tag …,

vielen Dank für Ihre Nachricht(en).

Den Nachweis haben wir erbracht, dass der an Ihrem Anschluss offene mDNS Dienst missbraucht werden kann.
Wir erhalten diese Informationen aus zuverlässigen Quellen, wie z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI).

Offen aus dem Internet erreichbare mDNS-Dienste können für DDoS Reflection Angriffe gegen IT-Systeme Dritter missbraucht werden.
Darüber hinaus können Angreifer den Dienst potenziell nutzen, um Informationen über das System bzw. Netzwerk zur Vorbereitung weiterer Angriffe auszuspähen.

Diese Informationen haben wir Ihnen bereits mit sämtlichen Sicherheitshinweisen per E-Mail mitgeteilt.

Ihnen steht natürlich frei, die Zahlungen zu reduzieren, wir möchten jedoch darauf hinweisen, dass unser gesetzeskonformes Verhalten Sie nicht dazu berechtigt.

Laut unseren besonderen Geschäftsbedingungen Internet und Telefonie (in NRW, Hessen, BW) haben wir die Möglichkeit den Anschluss komplett zu sperren. Sie haben die AGBs mit Vertragsabschluss anerkannt. (z.B. Abschnitt B: Internetdienste | 3 Rechte und Pflichten | Unterpunkt 3.7)

Sobald Sie den offenen mDNS Dienst nicht mehr für jedermann aus dem Internet heraus erreichbar machen, werden wir Sie nicht mehr per E-Mail informieren und den Anschluss wieder auf die vertraglich gebuchte Bandbreite schalten.

Freundliche Grüße

Vodafone
Customer Security
IT-Sicherheit & Abuse
Security | Technology

Lesen wir doch mal in den »Besondere Geschäftsbedingungen Internet und Telefonie (in NRW, Hessen, BW)« nach:

3.7 Bei missbräuchlicher Nutzung des Internetdienstes gemäß der vorstehenden Regelungen und/oder bei Verstößen gegen geltendes Recht ist der Kabelnetzbetreiber zur Sperrung bzw. Löschung der Inhalte und/oder fristlosen Kündigung des Vertragsverhältnisses berechtigt. Das gleiche Recht steht dem Kabelnetzbetreiber auch in begründeten Verdachtsfällen sowie bei einer Gefährdung des Breitbandnetzes des Kabelnetzbetreibers oder des Internets zu.

Viel Spaß; wie Vodafones »IT-Sicherheit & Abuse« indirekt bestätigt, führen sie keine eigenen Tests durch. There goes your »begründeten Verdachtsfällen« — ein alleine auf Hörensagen – »aus zuverlässigen Quellen, wie z.B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI)«, welches diese Scan-Ergebnisse wiederum von Dritten bekommt – gestütztes »Wissen« ist keins. Vodafone »IT-Sicherheit & Abuse« muß wissen, woher die BSI-Daten stammen — nämllich nicht von Scans des BSI, da das illegal wäre. Aber gucken wir exemplarisch mal einen solchen BSI-Hinweis an — als ISP bekommt man sowas ja ;-)

Sehr geehrte Damen und Herren,

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen. Implementierungen von mDNS sind z.B. Apple ‘Bonjour’ oder ‘Avahi’ bzw. ‘nss-mdns’ unter Linux/BSD. mDNS verwendet Port 5353/udp.

Neben der Preisgabe von Informationen über das System/Netzwerk können offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection-Angriffe gegen IT-Systeme Dritter missbraucht werden.

Betroffene Systeme in Ihrem Netzbereich:

Format: ASN | IP | Timestamp (UTC) | Workstation info
[…]

Wir möchten Sie bitten, den Sachverhalt zu prüfen und Maßnahmen zur Absicherung der mDNS-Dienste auf den betroffenen Systemen zu ergreifen bzw. Ihre Kunden entsprechend zu informieren.

Falls Sie kürzlich bereits Gegenmaßnahmen getroffen haben und diese Benachrichtigung erneut erhalten, beachten Sie bitten den angegebenen Zeitstempel. Wurde die Gegenmanahme erfolgreich umgesetzt, sollten Sie keine Benachrichtigung mit einem Zeitstempel nach der Umsetzung mehr erhalten.

Weitere Informationen zu dieser Benachrichtigung, Hinweise zur Behebung gemeldeter Sicherheitsprobleme sowie Antworten auf häufig
gestellte Fragen finden Sie unter: […]

Mein Rate-Limiting zielt darauf ab, daß die – nochmals: illegalen – Scans einen false-positive erzeugen, darüber versuchte (D)DoS-Attacken aber ins Leere laufen zu lassen. Sprich: zu »einer Gefährdung des […] Internets« kommt es nicht — aber die »wasch mir den Pelz aber mach mich nicht naß«-Alibi-Lösungen sollen zu einem Tannenbaum an (Fehl-) Alarmen führen. Letzlich, damit sie sich nicht mehr auf Angaben Dritter beziehen können.

Schön auch, wie überheblich sich Vodkafone nach dem dröflten Wodka-Wodka gibt:

»Den Nachweis haben wir erbracht, dass der an Ihrem Anschluss offene mDNS Dienst missbraucht werden kann.« — Nein, genau einen Nachweis seid Ihr Helden schuldig geblieben: offener Port != Mißbrauchsoption. Ich habe kein Problem mit den Informationen, die der Dienst freigibt; gegen Dritte ist die durchgelassene Paketanzahl keine Bedrohung (von Vodafone-Mobifunkkunden mal abgesehen, wo ja drei Pings in Folge ggf. schon einen DoS darstellen. So sad!).

»Offen aus dem Internet erreichbare mDNS-Dienste können für DDoS Reflection Angriffe gegen IT-Systeme Dritter missbraucht werden.« — Richtig. Rate-limiting allerdings konterkarriert dies. Den Beweis, daß mein Rate-limiting [D]DoS-Attacken nicht aufhalten würde, hat Vodafone nicht erbracht. Insofern: Go fuck yourself.

Ich halte fest: »Vodafone IT-Sicherheit & Abuse« ist jeglichen, geforderten, Beweis, daß die Port-5353-Verbindung für eine »Gefährdung des Breitbandnetzes des Kabelnetzbetreibers oder des Internets« nutzbar ist, schuldig geblieben. Vodafone kann sich somit nicht auf ihre AGB, Abschnitt 3.7, berufen. Mit der Reduzierung der Zugangsgeschwindigkeit handelt Vodafone also vertrags- und rechtswidrig, von einem »gesetzeskonforme[n] Verhalten« kann nicht die Rede sein.

One thought on “Eskalation

  1. Pingback: Ausrichtung der Kanonen: Eskalation v2 | blogdoch reloaded

Sag' Deine Meinung ;)