Baustelle für den TR-069 Artikel

Bearbeiten

Grundidee

Bearbeiten

Der Breitband-Endgerätemarkt besteht aus unzähligen Geräten verschiedener Hersteller mit ebenso unterschiedlichen und meist proprietären Einrichtmethoden. Dieser Umstand bereitete Internetanbietern einige Probleme bei der effizienten Gerätewahl und deren Ferneinrichtung. Viele Hersteller boten Lösungen zur Einrichtung ihrer Geräte an, diese harmonierten jedoch selten mit Geräten von Mitbewerbern und zwangen die Anbieter in eine Abhängigkeit von ihren Produkten und deren Preisgestaltung.

Als Ausweg erarbeitete das Broadband Forum (anfangs DSL-Forum) einen herstellerübergreifenden Standard zur Ferneinrichtung von Breitband-Endgeräten TR-069. Ziel war es dem Anbieter eine freie Auswahl der Endgeräte ohne jegliche Herstellerbindung zu ermöglichen, und von den durch mehr Wettbewerb entstehenden niedrigeren Preisen zu profitieren. [1]

Ein zweiter Aspekt bei der Entwicklung des Standards waren die immer komplizierteren Anforderungen an die Qualitätssicherung (QoS) bei der Bereitstellung multipler Dienste, wie Internetzugang, IP-Telefonie und IPTV, deren Einrichtung die meisten Kunden überfordern würde. Zudem wurde die Rationalisierung des Kundendienstes durch vielfältige Ferndiagnosefunktionen eingeplant, die zuvor oft nur durch Hausbesuch eines Technikers möglich waren.

Das Broadband Forum ist eine Arbeitsgruppe, die durchnummerierte technische Empfehlungen (kurz TR für englisch "technical recommendations") erarbeitet, die als Vorlage für eine Normung durch die jeweils zuständigen Institutionen dienen sollen. Ähnlich den RFCs etablieren sich einige dieser Empfehlungen auch bereits vor einer eventuellen Normung am Markt, andere nicht. Im DSL-Breitbandmarkt stellt TR-069 heute den dominierenden Anschaltstandard für Zugangsgeräte dar, und wurde durch zahlreiche zusätzliche Empfehlungen erweitert.

Erweiterungen

Bearbeiten

TR-069 definiert vorwiegend die Einrichtung und Überwachung eines Routers. Darauf aufbauende Protokolle befassen sich mit der Kontrolle des Heimnetzes.

Automatische Aktualisierung

Bearbeiten

Eine der umstrittensten Funktionen von TR-069 ist die automatische Aktualisierung der Firmware durch den Anbieter. Sie ersetzt zu einem vom Provider gewählten Zeitpunkt die Software des Routers. Diese Funktion kann bei im Handel erworbenen Geräten abgeschaltet werden, da der Zeitpunkt der Aktualisierung dann für den Kunden nicht vorhersagbar ist. Eine Vorwarnung findet normalerweise nicht statt, eine Prüfung auf laufende Netzaktivität auch nicht. So berichten verärgerte Kunden über spontanen Netzabriss um bei der weiteren Analyse festzustellen dass eine neue Firmware aufgespielt wurde. Nur wenige Geräte können gefahrlos ohne Wissen des Benutzers aktualisiert werden, zieht er währenddessen den Stecker sind die meisten Geräte nicht mehr betriebsfähig. Befürworter versuchen diese Funktion mit dem Freischalten von Leistungsmerkmalen ohne Hardwaretausch zu rechtfertigen, jedoch trifft dies meist nur auf Geräte zu bei denen vorher Leistungsmerkmale deaktiviert wurden. Auch versucht man die Fernaktualisierung als Vermeidung von Elektroschrott oder gar als Green IT darzustellen,[4] jedoch sind alle im Fachhandel erwerbbaren Geräte auch ohne TR-069 aktualisierbar. Der Benutzer kann dabei Zeitpunkt, Bezugsquelle und die Firmware selbst wählen und benötigt zur Aktualisierung keinen laufenden Anbietervertrag.

Sicherheit und Haftung

Bearbeiten

Prinzipbedingt stellt TR-069 eine Backdoor dar, die - so geworben - dem Endnutzer sowie dem Netzbetreiber von Nutzen sein soll. Meist wird zwar der Kommunikationsweg mit TLS geschützt, jedoch endet diese Absicherung im ACS-Server und geht dort in Vertrauen gegenüber unbekannten Mitarbeitern eines gewinnorientierten Unternehmens über. Auch wenn bisher kein Fall von Missbrauch bekannt wurde stellt dies eine Gefahr für die Privatsphäre und/oder den Datenschutz der Endanwender dar. Insbesondere vor dem Hintergrund der „Online-Durchsuchungen“, von Abhör-Befugnissen[5] und ähnlichem wird dieses als gefährlich für den Benutzer angesehen.

Besonders kritisch bleibt jedoch die Tatsache, dass auch unter den erfahrenen Benutzern nur den Wenigsten die Existenz von TR-069 bekannt ist und dessen Möglichkeiten bewusst sind. Zudem schweigen sich trotz offener Spezifikation sowohl Gerätehersteller als auch Provider darüber aus welche der zahlreichen optionalen Funktionen implementiert und aktiviert sind und welche davon wann oder wozu genutzt werden. Selbst der Besitzer eines selbst erworbenen Gerätes hat keinerlei Einsicht in die aus der Ferne durchgeführten Aktionen, ein einsehbares Protokoll gibt es nicht.

Oftmals wird TR-069 vorgeworfen, dass es die gefährdet. Dieses wird begründet mit der unbestrittenen Tatsache, dass TR-069 dem Provider auch erlaubt, automatische Aktualisierungen unbemerkt und ohne explizite Zustimmung des Benutzers für Heim-Router einzuspielen. Diese können sogar zielgerichtet für bestimmte Benutzer oder Benutzergruppen eingerichtet werden. Dieses Problem erweitert sich durch die Tatsache daß das Bundesamt für Sicherheit in der Informationstechnik in ihrem "Leitfaden IT-Forensik" zur Beweismittelsicherung die Erstellung eines Speicherabbildes des Routers im Betrieb und die anschließende Sicherstellung empfiehlt. [6] Durch TR-069 platzierte Beweise sind durchaus machbar und kaum nachweisbar.

TR-069 wird vorwiegend als Hilfsprotokoll zur Ersteinrichtung des Routers präsentiert, was nur eine Teilwahrheit darstellt. Weniger bekannt ist die Tatsache, dass TR-069 permanent als Dienst läuft und zudem auch benutzt werden kann, Geräte im lokalen Netzwerk, die sich also hinter der Firewall befinden, zu konfigurieren.[7] Es kann zwar nicht jedes beliebige Gerät verwaltet werden, jedoch ist dies ein Beweis für die Möglichkeiten, die TR-069 bietet. Durch Fernzugriff könnten so auch beliebig Daten auf den Kundengeräten, auf die der Netzbetreiber Zugriff hat, gelöscht oder manipuliert werden werden. Dies würde nicht zum ersten Mal geschehen, wie es das Beispiel von Amazon und seinem Kindle zeigt.[8] Hierzu diente nicht TR-069, jedoch wird diese Möglichkeit von TR-069 geboten.

Bei der Ersteinrichtung sind die Vorteile offenbar, die immer komplexeren Einstellungen lassen sich kaum noch durch den Benutzer bewerkstelligen. Leider führte diese Entwicklung auch dazu dass immer mehr Bedienelemente aus den Geräten verschwinden, manche Geräte sind gar ohne TR-069 vollkommen unbrauchbar. Immer mehr Provider schreiben Endgeräte vor, deren durch den Benutzer veränderbare Einstellungen immer weiter zurückgehen. Im Volksmund nennt man sie "Zwangsrouter". Anbieter die solche Router vorschreiben entschuldigen die limitierte Benutzeroptionen beschwichtigend damit das Gerät als Netzabschluss zu bezeichnen, also als Teil ihres Netzes, erwarten aber vom Kunden die Stromversorgung zu finanzieren.

Dies erlaubt die .

, auf der installierten Basis automatisch einzuspielen[9] und so Sicherheitslücken für Angriffe wie Cross-Site-Scripting u. ä. auch für diejenigen zu schließen, die technisch nicht versiert sind und für die ein lokales Firmwareupgrade zu kompliziert ist.


Ein wesentlicher Aspekt ist aber auch die automatische Einrichtung der Geräte, sobald der Anwender sie mit dem Netz verbindet. Viele technisch weniger versierte Anwender haben Schwierigkeiten, die Einstellungen für Netzzugang (PPP-Username und -Passwort), Internet-Telefonie (SIP-Server, -Username, -Passwort, …) selbst vorzunehmen. Dieses kann TR-069 mit Auto-Konfiguration übernehmen und für die Breite der Anwender den Zugang erleichtern.

Kritische Daten, wie Passwörter, können ebenso wenig mittels TR-069 ausgelesen werden wie besuchte Webseiten oder die Tageszeiten, in denen der Endanwender im Internet surft. Zwar können diese theoretisch als proprietäres Datenmodell auf dem CPE hinterlegt und somit abrufbar gemacht werden, allerdings liegt das Sicherheitsproblem dann auf dem verwendeten CPE und nicht an TR-069. Zudem kann man sich mit alternativen CPEs aus dem freien Handel versorgen, die man vollständig selbst kontrollieren kann. Das CPE muss die Serveradresse des ACS kennen, um verwaltet zu werden. Diese Provider-spezifische Serveradresse wird bei Drittgeräten in der Regel nicht passend konfiguriert sein. Zudem wird der ACS regelmäßig nur vom Provider selbst zur Verfügung gestellte CPEs authentisieren und in der Folge dann automatisch verwalten.

  1. Broadband Forum: Remote Management Work - Seite 2: Why Standardize Management Protocols?
  2. Broadband Forum: TR-135 Spezifikation
  3. Broadband Forum: TR-140 Spezifikation
  4. http://www.btopenzone.com/news/news_20080422.jsp
  5. http://www.bmj.bund.de/files/-/2047/RegE%20TK%DC.pdf Regierungsentwurf eines Gesetzes zur Neuregelung der Telekommunikationsüberwachung und anderer verdeckter Ermittlungsmaßnahmen sowie zur Umsetzung der Richtlinie 2006/46/EG
  6. BSI: Leitfaden IT-Forensik
  7. http://www.broadband-forum.org/technical/download/TR-098_Amendment-1.pdf Internet Gateway Device Data Model for TR-069 - Fernzugriff auf Endbenutzergeräte
  8. http://www.heise.de/newsticker/meldung/Amazon-loescht-gekaufte-Kindle-eBooks-6887.html Amazon löscht gekaufte Kindle-eBooks - Heise.de
  9. http://www.theregister.co.uk/2007/10/09/bt_home_hub_hole_response/