DSL-Gratissurfen mit AOL - Studenten entdecken Systemfehler

RollerChris

R.I.P.
Uni-Rechenzentrum Freiburg entdeckt Systemfehler mit weitreichenden Folgen


Das Rechenzentrum der Universität Freiburg hat eine Sicherheitslücke im AOL-System vermeldet, die jedem T- DSL-Nutzer die kostenlose Nutzung des AOL-DSL- Dienstes erlaubt haben soll. AOL wurde vom Rechenzentrum bereits auf das Problem hingewiesen, um weiteren wirtschaftlichen Schaden zu verhindern.

Bei der AOL-Einwahl über T-DSL sei der Port 53 offen, ohne dass eine nähere Benutzerauthentifizierung notwendig wäre. Es genüge, einfach die von allen AOL-Benutzern deutschlandweit verwendete einheitliche Kennung anzugeben, wie sie auch im Internet zu finden ist. Der oben angesprochene Port 53 arbeitet mit dem User Datagramm Protocol und wird traditionell für die Namensauflösung verwendet, d.h. die Zuordnung einer IP-Adresse zu einem Rechnernamen. AOL habe den Namensservice allerdings großzügig freigegeben, damit eine Auflösung von "americaonline.aol.com" funktioniert, dem Host, zu dem bei der "richtigen" AOL-Verbindung ein VPN-Tunnel aufgebaut wird.

Diese allgemeinen Vereinbarungen sind jedoch kein Zwang: Jedem steht es frei, auf seiner Maschine auf diesem Port auch andere Dienste anzubieten, z.B. einen IP-Tunnel. Mit einem solchen wäre es dann möglich, bereits vor der eigentlichen AOL-Authentifizierung die gesamte Kommunikation über den Port-53-Tunnel zu schleusen. Dazu benötigt man nur einen beliebigen Rechner im Internet, welcher die Daten wieder ausgepackt und ins Netz weiterleitet. Dafür sind noch nicht einmal besondere Kenntnisse notwendig, da verschiedene Tunnelprotokolle UDP-basiert arbeiten. Sie können meistens leicht auf den Port 53 umkonfiguriert werden.

Bei Experimenten von Studenten der Uni Freiburg habe sich weiterhin gezeigt, dass der Rückweg sogar völlig ungehindert genutzt werden kann. Damit sei die Datenübertragung aus dem Internet zu über AOL eingewählten Rechnern völlig offen. Für verschiedene Sicherheitsaspekte dürfte dies interessant sein, besonders, da der offiziell angemeldete AOL-Nutzer eine weitere IP-Adresse für seine Kommunikation zugeteilt bekommt.

In einer Pressemitteilung empfiehlt die Uni Freiburg AOL, nicht alle Nameserver dieser Welt freizugeben, da bei der DSL- Einwahlprozedur IP-Adressen für aus AOL-Sicht zuverlässige Nameserver dem Nutzer übermittelt werden könnten. Solche Nameserver würden für AOL ihre Aufgabe bereits vollständig erfüllen, wenn sie ausschließlich die notwendigen AOL- Adressen auflösen und jeden weiteren Zugang unterbinden würden.

"Das hier beschriebene Problem ist eigentlich ein typisches Szenario für Anbieter kostenpflichtiger Netzzugänge, das jedoch schon seit Jahren bekannt sein müsste", kritisierte Dirk v. Suchodoletz vom Rechenzentrum der Uni Freiburg in einer Pressemitteilung.

Von AOL gab es auf Anfrage von Golem.de bis zum Redaktionsschluss noch keine Stellungnahme zur Meldung der Uni Freiburg.


Quelle: www.golem.de
 
:confused

Kann mir das bitte einer mal im Klartext für Laien erklären?
 
Da seht Ihr's mal wieder - Die Freiburger sind nicht nur helle, sondern auch noch ehrlich dazu :angel !

(kleine Einschränkung zu "helle": ich bin auch nicht so ganz durchgestiegen, wie man sich das jetzt zunutze machen könnte, obwohl
Dafür sind noch nicht einmal besondere Kenntnisse notwendig, da verschiedene Tunnelprotokolle UDP-basiert arbeiten. Sie können meistens leicht auf den Port 53 umkonfiguriert werden.
- scheint eine schmeichelhafte Fehleinschätzung zu sein...
:D
 
Bei AOL möchte ich nicht mal umsonst serven. Da zahl ich lieber für meinen Nefkom.net - Zugang :D

Des weiteren geht jeder Krug nur zum Brunnen, bis dieser bricht. Fazit: Betrugsanzeige wegen Leistungserschleichung... :eek:
 
Original geschrieben von Silverbird

Des weiteren geht jeder Krug nur zum Brunnen, bis dieser bricht. Fazit: Betrugsanzeige wegen Leistungserschleichung... :eek:

Moin, wie wollen die Dir das denn nachweisen? Bei Zugang mir Universal-Kennnung wohl kaum möglich. Aber mal wieder typisch AOL, bin froh, dass ich da nur 3 Monate war und die waren schon zuviel.
 
Mal keine Aufregung:

AOL über Schlupfloch nicht besorgt

Das Rechenzentrum Freiburg teilte heute mit, dass es einen Systemfehler im DSL-Zugang des Online-Dienstes AOL entdeckt habe. Über UDP-Anfragen auf dem Port 53 sollten danach kostenlose Verbindungen ins Internet möglich sein. Zur Nutzung ist allerdings ein spezieller Proxy-Server außerhalb des AOL-Netzes und ein passender Treiber auf dem Rechern des Users erforderlich. Neu ist die Lücke ohnehin nicht; mit dieser Konfiguration arbeitet der AOL-DSL-Zugang seit August 2001. Die Sicherheit der Daten von AOL-Kunden wird dadurch in keiner Weise beeinträchtigt.

Bei AOL gibt man sich gelassen: "Die von der Universität Freiburg aufgezeichnete Thematik ist uns seit längerem bekannt. Allerdings setzt sie voraus, dass man mit einigem Aufwand technische Manipulationen durchführt -- und dabei Gefahr läuft, sich strafbar zu machen", so AOL-Sprecher Jens Nordlohne zu heise online. Nordlohne deutete an, dass entsprechende Zugriffs-Versuche in Zusammenarbeit mit der Deutschen Telekom beobachtet würden. Ob die allerdings tatsächlich die Nutzer dingfest machen könnte, ist fraglich. Schließlich behauptete die Telekom noch vor zwei Jahren, dass die Zuordnung des DSL-Verkehrs zu einem bestimmten Anschluss nicht möglich sei.

Nachdem nun ein breites Publikum von der Möglichkeit des kostenlosen Surfens erfahren hat, ist AOL aber offensichtlich gezwungen zu reagieren. "Ganz kurzfristig" werde man die kostenlose Nutzung technisch unterbinden, so Nordlohne. Diese sei ohnehin nur in einigen Regionen möglich gewesen. (uma/c't)
 
Oben