Schlagwort-Archive: Telekom

Zweiundvierzig

Veröffentlicht am von

Jeder kennt sie, viele hassen sie – „Sicherheitsfragen“. Eine solche sollte ich heute beim Besuch des Kundencenters der Telekom einrichten.

Die Frage selbst kann man in aller Regel nicht frei wählen, die Antworten dieser Fragen lassen sich oft durch Social Engineering erarbeiten.

Aber die Telekom hat auch eine Frage im Katalog, deren Antwort eigentlich schon vor-ausgefüllt sein könnte:

Sicherheitsfrage „Wie lautet die Antwort auf die Frage aller Fragen?“

Ich frage mich tatsächlich und ehrlich, wie oft hier „Zweiundvierzig“ eingegeben wird (und ob die Eingabe zulässig ist). Liest hier jemand von der Telekom mit, der zugriff hat und mal eine Statistik rauslassen könnte?

Allgemein ist Passwortsicherheit ein Thema für sich. Viele IT-Abteilungen erfordern fordern z. B. einen sehr engen Wechselzyklus und Anforderungen wie Groß- & Kleinschreibung, Zahlen, Sonderzeichen, ein kyrillisches Zeichen, zwei Hiragana-Zeichen, eine persische Zahl und ein Emoji. Grund: weil es sicherer ist.

Ich bin eher der Meinung, dass es ziemlich großer Unsinn ist. Passwortüberprüfungen erfolgen nicht nach dem Prinzip des Spiels Mastermind. Es gibt entweder ein true oder ein false und nicht, ob und wie viele Zeichen richtig sind. Zudem lässt ein häufiger Passwortwechsel die Leute unkreativ werden. Dann gibt es Stammpasswörter mit einer Variablen wie das Datum des Passwortwechsels oder es steigt ganz einfach die Gefahr, dass das Passwort irgendwo notiert wird. An der Stelle möchte ich nicht wissen, von wie vielen das Passwort nicht nur unter der Tastatur klebt, sondern gleich Cherry oder Logitech verwendet wurde.

Auch habe ich schon viel zu oft gehört und gelesen, dass man als Passwort die ersten Buchstaben eines Satzes verwenden und noch eine Leetspeak-Zahl und ein Sonderzeichen reinnehmen soll. Beispiel: Das ist das Haus vom Nikolaus: DidHvN, mit Zahl dann D1dHvN. Mit dem erstbesten gefundenen Passwort-Crack-Estimater liegt das erste Passwort bei 6 Sekunden, das zweite bei 20 Sekunden. Würde man den kompletten Satz als Passwort nehmen, läge man bei 7,2*10^38 Jahren. Wie gesagt, unter der Annahme, dass die Passwortprüfung nur ein true/false zurückgibt. Ein kompletter Satz ist beim „Shouldersurfing“ vermutlich nicht ganz so gut, da man es in diesem Fall etwas einfacher als scheinbar zufällige Tastendrücke rekonstruieren kann – aber: das ist zusätzliche Information. Da der Aufwand bei Bruteforce-Attacken mit der Länge des Passworts exponentiell steigt, ist es von Nachteil, kurze, komplexe Passwörter zu verwenden.

Aber solche Angriffe sind mittlerweile eh langweilig – spätestens nach dem 10. Fehlversuch dürfte/sollte jedes Formular für eine Weile dicht machen. Kritischer ist heute nicht mehr das Passwort selbst, sondern die Person, die es eingibt.

Ein Passwort für alle Dienste, ungesichert gespeicherte Passwörter im Browser und ganz vorneweg: Zeug anklicken. Das Konto muss verifiziert werden? Klick. Unaufgeforderte Passwortwiederherstellung? Klick. Irgendwas gewonnen und man muss sich mit den Credentials der Seite einloggen, auf der die Werbung stand? Die Liste der Möglichkeiten ist lang.

Meine Strategie: Lallo-Passwörter liegen im (gesicherten) Passwortmanager, die wichtigeren (bei denen etwas bei einem Leak kaputt gehen könnte) existieren nur im Kopf. Dazu noch 2FA wo es möglich und sinnvoll ist. Zudem genau schauen, wo man denn nun sein Passwort eingibt.

Hier schlägt auch der Vorteil eines Passwortmanagers, der im Browser integriert ist, zu: Der schlägt den einzugebenden Login erst einmal nur auf den legitimen Domains vor, was schon sehr hilfreich sein kann.

Bei der Sicherheitsfrage von der Telekom habe ich übrigens einen zufällig generierten Text eingetragen, auch wenn DIE ANTWORT aller Fragen verlockend gewesen wäre. Wobei der Kenner weiß: Es ist nicht die Antwort, es ist die Frage.

Ranzbox

Veröffentlicht am von

Ganz im ernst, wer benutzt die Sprachbox der Telekom freiwillig?

Wenn ich bei Kunden Telekom-Anschlüsse einrichte, ist es eine der ersten Fragen, ob sie sie benutzen wollen und die Antwort ist in aller Regel „Nein“.

Die Gründe sind meistens:

  • Kein Anrufbeantworter gewünscht
  • Es gibt bereits einen klassischen Anfrufbeantworter
  • Der Anrufbeantworter in der meist vorhandenen Fritz!Box soll genutzt werden
  • Der Anruf der Sprachbox um 23:00, dass um 18:00 jemand angerufen hat aber keine Nachricht hinterlassen hat, nervt.

Das Dumme: Sie ist Opt-out, also standardmäßig aktiv.

In der nächsten Zeit werde ich das Vergnügen vermutlich wieder öfter haben, da die Telekom nun begonnen hat, ihre letzten Kunden vor die Entscheidung gestellt hat, ob sie keinen Anschluss oder einen mit All-IP haben möchten. Dabei machen sie das, was vermutlich keiner will: sie schalten die Sprachbox an.

Warum können sie die Einstellung nicht einfach übernehmen? Und warum ist das Teil nicht einfach Opt-in und im Willkommensschreiben steht etwas, dass es sie gibt und wie man sie aktiviert?

Und warum ruft das Teil u. a. zu Unzeiten an? Ich weiß nicht, ob es mittlerweile gemacht wird, aber warum nicht WMI (Benachrichtigung ans Endgerät) nutzen und erst nach dem nächsten ausgehenden Anruf melden

Ok, eines kann sie, was der lokale Anrufbeantworter nicht kann: Benachrichtigung per SMS, wobei: eine entsprechende Fritz!Box kann per E-Mail benachrichtigen – inklusive der Aufzeichnung. Kann das auch die Sprachbox?

Ein Schritt weiter und oft ein echter Mehrwert wäre speech to text und als SMS/E-Mail an den Kunden – sofern das der Datenschutz erlaubt

Ein anderes Ärgernis: SMS ins Festnetz. Zum Glück ist SMS so gut wie tot. Die letzte, die ich bekommen hab kam auch kurz vor 23 Uhr. Die anrufende Nummer war etwas kryptisches und natürlich hat das Teil abgebrochen, als der AB angenommen hat. Also hieß es warten, bis der Anruf wiederholt wird. Schlussendlich war es ein Kunde, der seine Dateien gelöscht und nicht gecheckt hat, dass er meine Handynummer nicht hat. Gleichzeitig war meine Schwester im Ausland und dementsprechend machte ich mir (aufgrund der eigenwilligen Rufnummer) Sorgen, dass etwas passiert sei.

Warum kann die Telekom (oder jeder beliebige Anbieter) nicht einfach SMS, die auf den Hausanschluss gingen, aufs Handy weiterleite? Von den meisten Kunden haben sie ja die entsprechenden Nummern und technisch wäre es auch möglich. Zudem war die Sprachsynthese zumindest damals eher nicht so toll.

Genauso hat die Telekom mehrere Jahre gebraucht, um den automatischen Rückruf (ein Merkmal aus früheren Zeiten) im VoIP-Netz zurückzubringen, wobei er auch jetzt nur selten angeboten wird.

Übrigens: Wer die Sprachbox deaktivieren möchte: 08003302424 anrufen und im Hauptmenü die 4 drücken.

Alle Passwörter geändert?

Veröffentlicht am von

tl;dr: Bekommt man eine Mail vom T-Online-Sicherheitsteam, dass der Account für Spam missbraucht wird, darf nicht nur das Passwort für den Webmailer sondern muss auch das zweite für die Nutzung von POP3/IMAP/SMTP geändert werden.

Einer meiner Kunden war eine Spamschleuder.

Freundlicherweise hat die T-Online bzw. die Telekom das gemerkt und eine Mail geschrieben. Darin wird empfohlen, den Rechner nach Malware zu durchsuchen und alle Passwörter zu ändern. So weit so gut. Allerdings war es nicht das erste Mal, dass diese Warnmail gekommen ist.

Also den Rechner gecheckt. Avira, Malwarebytes und Avast fand nix. Auch Spybot Search & Destroy fand nichts. In Currports und Process Explorer war auch nichts zu sehen. Gut, muss nichts bedeuten – wenn ein Rootkit im Spiel ist, fliegt der Krempel unterm Radar.

Laut Kunde kamen vor ein paar Tagen auch einige nicht zuordenbare Zustellungsfehler-Mails. Wie üblich ist auch die Originalmail dabei – einmal eine Fedex-Paketzustellungsmail und das andere mal für einen amerikanischen Internetfax-Provider.

Die Links führen auf eine gehackte WordPress-Installation, dann auf eine kryptische Domain – weiter habe ich den Weg nicht verfolgt.

Interessanter waren da die Mailheader, die Details über den Versand zeigen. Absendezeitpunkt, Hostname und IP des Absenders und das verwendete Mailprogramm.

Nichts passte:

  • Zu dem Zeitpunkt war nach Windows Event Log der PC aus
  • Hostname stimmte nicht zum PC und die IP (Logs vom Router) wurde zum Versendezeitpunkt nicht dem Anschluss zugeordnet – und war auch in einem völlig anderem Range. Geotrace spuckte – wenn man dem nach einer guten Woche nach Versand noch trauen darf – die Westküste der USA aus
  • Als Mailclient war „iPhone Mail“ gesetzt

Gut, der letzte Punkt ist schwach, die anderen deuten sehr stark darauf hin, dass der PC nicht am Spamversand beteiligt war.

Was dann sonst? Schließlich hat mein Kunde lt. eigenen Angaben das Passwort seines Mailaccounts geändert. Das Passwort? Hier liegt der Hund begragen: Bei T-Online-Mailaccounts gibt es zwei Passwörter. Eines für den Webmailer, das man in den dortigen Einstellungen ändern kann (was auch gemacht wurde) und ein zweites für die Nutzung eines lokalen Mailclients. Um dieses Passwort zu ändern, muss in das Kundencenter gewechselt werden.

Dort kann man das Passwort nicht nur ändern, sondern auch einsehen. Einsehen? Einsehen. Es wird also an mindestens einer Stelle im Klartext gespeichert. Nach diversen Datenlecks sollte man eigentlich wissen, dass man das nicht macht…

Das Problem sollte mit dem zweiten geänderten Passwort wohl behoben sein. Wie die Mailadressen-Passwort-Kombination in die Hände von Spammern gelang, konnte ich leider nicht verfolgen, allerdings hat mein Kunde für viele Dienste das gleiche Passwort verwendet. Vermutlich war das das Einfallstor – Identitätsdiebstahl.

Da das sicher nicht der einzige Fall für einen T-Online-Mail-Benutzer war, habe ich das Sicherheitsteam (abuse@) angeschrieben. Zunächst wurde mein Hinweis anscheinend nicht richtig verstanden, da nach den Mailheadern einer der zurückgekommenen Mails gefragt wurde. Auf meine Antwort, dass „alle“ Passwörter geändert werden sollen (in Bezug auf alle Passwörter eines Dienstes), was von den meisten als „alle Passwörter“ der verschiedenen genutzten Dienste missverstanden wird.

Leider habe ich bis jetzt keine Antwort mehr bekommen.

Im Spamfilter ist zumindest nichts hängen geblieben.

Drosselkom

Veröffentlicht am von

Die letzten Tage ist die Telekom (meiner Meinung völlig zu Recht) Ziel diverser Verbalangriffe. Grund, für all die, die hinterm Mond leben: es soll ab 2016 auch für DSL keine richtigen Flatrates mehr geben – ab einem bestimmten Volumen wird gedrosselt.

Knackpunkt: manche Dienste sind von der Drosselung nicht betroffen, wie das IPTV von der Telekom. Ein Verstoß bzw. Vorstoß gegen die Netzneutralität steht im Raum, fefe umreißt die Sache ganz gut.

Was natürlich am interessantesten ist: wie schnell kommt man an die Grenze und wie viel Spaß hat man für sein Geld?

Zumindest beim Anschluss hier wäre noch etwas Luft nach oben: der Datenzähler der Fritzbox zeigt für März knapp 40 GiB an, bei zwei Nutzern und ohne dediziertes IPTV/Filmabo/etc. Genauso wird kein Filesharing betrieben, Onlinespeicher kommt nur sehr sporadisch zum Einsatz. Das ganze bei 6 Mbit/s.

Ein Vier-Personen-Haushalt, bei dem noch ein wenig mehr Multimedia over IP genutzt wird, dürfte die Drosselgrenze also locker sprengen – ohne Filmabo oder sonstige netzlastigen Anwendungen.

Bleibt nur noch die Frage wie viel man von seinem Anschluss hat. Der Einfachheit halber nehme ich einfach mal einen 16 Mbit/s-Anschluss, mit dem man etwa 2 MiB pro Sekunde durch die Leitung würgen kann. Pro Minute 120 MiB und pro Stunde 7200 MiB. Am Tag macht das stolze 168,75 GiB, da kommt die Drosselung schon am ersten Tag, bzw. ist bei den angestrebten 75 GiB nach knapp 10,5 Stunden Schluss.

Ok, der Anwendungsfall ist etwas unrealistisch, ich behaupte einfach mal, dass man bei normalem Surfen mit durchschnittlich 2 Mbit/s unterwegs ist und das – sagen wir einfach mal – 4 Stunden am Tag. Also sozusagen entweder ein Single, dem nach Feierabend langweilig ist oder einer 4-köpfigen Familie, bei der jeder täglich eine Stunde im Netz unterwegs ist.

2 Mbit/s sind immerhin noch 900 MiB/h, also gehen an einem Tag 3600 MiB durchs Kupfer. 75 GiB sind bekanntlich 76800 MiB, nach Division kommen 21 Nutzungatage und sehr genau 5 Minuten raus. Da verhält sich der Internetanschluss wie ein Studentengeldbeutel: die letzten Tage im Monat wir das gegessen, was im Kühlschrank nach hinten geschoben wurde oder zumindest das, was man noch in der Speis findet.

Man kommt auf jeden Fall nicht durch. Klar, wenn man die Zahlen mit dem von uns „versurften“ Volumen vergleicht, ist das etwas unrealistisch, aber es ist ja auch nur grob überschlagen.

Bleibt noch die Frage, wie es denn mit der verstümmelten Leitung in Sachen Auslastung aussieht. Lastet man das oben genannte 16 Mbit/s-DSL voll aus, bekommt man im Monat ( 30.4375 Tage im Schnitt = 2629800 Sekunden) stolze 5136 GiB, erfolgt die Drosselung nach 75 GiB, hat man 38400 Sekunden Volldampf, die restlichen 2591400 Sekunden im Monat hat man 384 kbit/s zur Verfügung. Ergibt 118,62 GiB. Also 193,62 GiB im Monat.

Das sind gerade mal 3,8 % von dem, was theoretisch über die Leitung ginge. Würde man den Anschluss rein nach der Leistung des Internets bezahlen, blieben von den 40 Euro im Monat gerade mal 1,52 Euro übrig.

Na, günstig wäre es auf jeden Fall 😉

(ich hoffe, ich hab mich – um die Uhrzeit – nirgends verrechnet)