Dialer-Gefahr durch NetCAPI? Ungewollte Aktivierung möglich?

[Ralph]

Hallo,

heisst dass das es jetzt eine software gibt ( FritzFax ) die automatisiert eine NET-CAPI auf/mit der FBF7050 einrichtet ???
Wie kann ich das im Config-Interface blockieren ?
Kann man eventuell per Port-regeln daran was sperren/stoeren ?
Falls das auch nicht get ... kan man das per mod blockieren ?
sonst muss ich ja Trotz DSL-Only einen Dialershutz haben !

Ralph

---

xEdit DM41:
Sicherheitsdiskussion abgetrennt aus diesem Thread.

 

[radio_junkie]

sonst muss ich ja Trotz DSL-Only einen Dialershutz haben

Hallo,

normalerweise ist es völlig ausreichend, sich keine Dialer auf den PC zu laden.
Ich wundere mich hier in letzter Zeit doch sehr über die wahnsinnige Gefahr, die von einer capi2032.dll ausgeht. Ich habe seit ca. 10 Jahren immer Rechner mit ISDN-Karten und entsprechend capi im system32, alle Faxe laufen eingehend wie abgehend darüber. Noch nicht ein einziges Mal hat irgendetwas anderes als mein Fax- oder Telefonprogramm darüber irgendwohin verbunden. Und bei diesen Programmen habe ausschließlich ich veranlasst, dass sie das tun.

Gruß
radio_junkie

Merke: Aids kriegt man nicht, Aids holt man sich!

 

[Ralph]

normalerweise ist es völlig ausreichend, sich keine Dialer auf den PC zu laden.

Stimmt, aber wie erklaer ich das meinem 6-jaehrigen sohn der (noch) nicht nicht lesen kann und alles anklickt was er schoen findet ?
Er hat zwar normalerweise nur sachen wie z.b die maus-seiten des wdr aber man weiss ja nie ...
Ausserdem habe ich den KOMFORT geschaetzt dass ich mir keine grossen sorgen machen muss ...
( das schlimmste moegliche waere der verlust der noch ungesicherten emails und das einspielen eines Backup )
FAX ( und damit CAPI ) brauche ich nicht also wozu das Risiko ...
( ich will ja nicht unbedingt dass CAPI ganz weg ist, ich will nur dass ich es bei mir ABSTELLEN kann und das man das Passwort der FBF wissen muss um es an zu machen )

ausserdem habe ich unter anderem deswegen die FBF genommen weil es die EINZIGE GUTE Kombianlage OHNE CAPI war.

Ralph

 

[Saylor]

Stimmt, aber wie erklaer ich das meinem 6-jaehrigen sohn der (noch) nicht nicht lesen kann und alles anklickt was er schoen findet ?

vielleicht meldest ihn beim rechner über einen eigenen TZugang an, dann kann er klicken und schalten was du zuläst....

spätestens wenn er deine Reg umschreibt, solltest ihn als Admin eintragen

 

[Ralph]

spätestens wenn er deine Reg umschreibt, solltest ihn als Admin eintragen

Er hat schon einen eingeschraenkten zugang und ich hab sogar die befugnis fuer alle *.cpl usw entzogen ( also nichtmal Bildschirm einstellen ... )

Andererseits finde ich wie gesagt den KOMFORT wichtig dass ich z.b bei dem windows-wmf-exploit nicht gleich in panik geraten muss
( natuerlich hab ich den Fix installiert, aber rechtzeitig ?? ) und was wird als naechstes gefunden ...
mir ist es einfach wichtig dass man wenn man meinen rechner knackt nichts wichtigeres als meine email klauen kann !

( Edit: Hatte oben wmf und PNG verwechselt ... gemeit war WMF )

 

[cactus-online]

Hallo,

heisst dass das es jetzt eine software gibt ( FritzFax ) die automatisiert eine NET-CAPI auf/mit der FBF7050 einrichtet ???
[...]
sonst muss ich ja Trotz DSL-Only einen Dialershutz haben !

Ralph

Wie ist denn das eigentlich ? Schaltet die Installation der Fritz!Fax-Software die Capi over TCP der Fritz!Box selbsttätig ein (wenn ja wie ?), oder geht das nur, wenn die per Tastaturcode/ar.7cfg eingeschaltet wird ?


Das Problem ergäbe sich, wenn es eine Malware gäbe, die:

a) diesen Einschaltvorgang beherrscht und
b) die capi32.ddl mitbränge bzw. in der Lage ist die im Installationsverzeichnis der Fritz!Fax-SW (denn nur dort landet die capi32.dll bei der Installation von Fritz!Fax) befindliche dll zu benutzen,

d.h. mit anderen Worten eine explizite Fritz!Box-Windows-Malware wäre.


Dafür ist die Chance glücklicherweise auch relativ gering, obwohl natürlich latent vorhanden.

Es wäre also sinnvoller, dass man den Capi-Daemon in der Fritz!Box wirklich nur händisch und zwar am besten per Telefon oder Web-Frontend ein und auschalten könnte und dessen Status beim einloggen auf der Fritz!Box mit angezeigt würde (oder/und über die LEDs).

Keinesfalls darf es einen (noch so komfortablen) automatischen Weg ohne Authentifizierung/Interaktion des Benutzers geben!

 

[Ralph]

Keinesfalls darf es einen (noch so komfortablen) automatischen Weg ohne Authentifizierung/Interaktion des Benutzers geben!

Ganz Genau !!

Ich habe schon vershiedene Threads inzwishen durchsucht ...
Sicher ist, dass die Software es, zumindest wenn UPNP-Status-Lesen enabled ist
( also NICHT etwa UPNP-Aendern enabled )
und man kein Password fuer das Webinterface gesetzt hat, selbst macht.
( haben jedenfalls einige geschrieben ... )
Mindestens einer vermutet dass die Software es wegen dem Passwort nicht 'enablen' konnte,
ist aber sich nicht sicher ob es daran liegt ...
Sicher ist auch dass man es ueber Telefon-codeeingabe enablen und disblen kann
( haben schon mehrere gemacht )
und dass man in der ar7.cfg dazu etwas sehen kann was vermutlich bei Boxneustart wirkt
Die ar7.cfg kann man sehen wenn man die einstellungen sichert und die fritzbox.export dann
mit einem webbrowser oeffnet ( nicht notepad wg der unix-zeilenumbrueche )
Ausprobieren ob das webfrontend-Password das enablen durch die Fax-software verhindert moechte ich nicht, denn ich will ja gerade KEIN capi auf meinem rechner ...
Villeicht findet sich ja jemand dem das egal ist und der das mal ueberpruefen kann ...

Ralph

 

[DM41]

Die Sicherheitsdebatte hatten wir hier schon mal.

IMHO gilt immer noch, was dort gesagt wurde.

1. Auch für die CAPI gelten die Sperren, die in den Wahlregeln angelegt werden. Man kann sämtliche unliebsame Ziele wie 0190,0900,0180, usw. Sperren.

2. Wer so auf seine Sicherheit bedacht ist, dass er Befürchtungen hat, eine Software könnte NetCAPI ungefragt auf der Box einschalten, hat bestimmt auch eine Personal Firewall auf seinem Computer installiert. Diese arbeiten allesamt auch mit Anwendungsfiltern, so dass eine Software nicht ungefragt durch die Firewall kommt. Das Startcenter von AVM erfüllt den gleichen Zweck.

3. Die Gefahr, dass bekannte und weit verbreitete Softphones gekidnappt werden ist IMO größer (falls man da von größer reden kann), als dass sich jemand speziell für die Fritz!Box eine Terror-Serien-Fax-Malware einfallen lässt.

Softphones lassen sich oft durch Kommanndozeilen-Parameter oder Skripten kinderleicht aufrufen und sind oft schon in der Personal Firewall freigegeben.
Macht sich jemand von Euch um diese Programme Sorgen?

Auch mit aktiviertem Telnet-Zugang zur Box lässt sich wesentlich einfacher mehr Unheil anrichten als über die NetCAPI.

In allen Fällen kommt die Gefahr aber nicht von außerhalb sondern muss schon im eigenen Netzwerk sein (wenn die Box nicht nach außen geöffnet wurde).

 

[Ralph]

CAPI + Dialergefahr - wie schuetzen ?

Erstmal ne Frage an die Moderatoren ...
und danke fuer die Infos !
Kann man diesen Sicherheites-Teil noch in einen eigenen FBF-Sicherheits-Thread verschieben ?
villeicht mit Titel: CAPI + Dialergefahr - wie schuetzen ?
ich hab leider viel zu spaet daran gedacht weil ich so erschrocken war ... !

Nun die Antwort zu obigem ...
in dem Thread ging es darum wie die capi2032.dll wierder geloescht werden kann weil
sie jemand als Risiko 'erkannt' hatte nachdem ers sie ausprobiert hatte ...
Mir geht es darum wie ich zuverlaessig verhindern kann ( reicht z.b das setzen
des Web-Password ?? ) dass irgendein Programm das auf meinem PC laeuft diese Api
funktionsfaehig in Betrieb nimmt ohne dass ich am Telefon eiene Codenummer waehle.
Bisher ist nur die Windows-Firewall in betrieb, keine zusaetzliche.
( die Windows-Firewall kann z.b der real-player steuern ! )
Soft-phones betriebe ich aus dem gleichen Grund nich nicht aus dem ich die
CAPI bei mir sperren will - damit der PC nicht telefonieren KANN - ob er das
jemals versuchen wuerde weiss ich nicht,
aber das fehlen dieser Api war wie weiter oben angegeben ein Grund die FBF zu waehlen.

Ich benoetige weder Soft-Phone noch CAPI weil ich fuer meine Telefonate die FBF habe
und faxe nicht vom Computer sende ...
Daher fand ich es ein wesentliches Komfort-Merkmal dass ich mir bei der FBF
nicht jedesmal bei neuen PC-Exploits sorgen machen musste ob mein PC schon
infiziert ist ( und villeicht mein Geld vertelefoniert ) bevor ich von
dem neuen Exploit erfahren habe ...

bisher war das 'Wertvollste' was jemand klauen konnte meine Emails,
mit CAPI koennte er mein Geld klauen ...

es war natuerlich ( fuer mich ) schoen als es gar kein CAPI gab ...
aber das verlange ich ja gar nicht weil ich weiss dass es nuetzlich sein kann.
ich moechte nur dass Die FBF mindestens ein Passwort verlangt,
oder besser nur Telefoncodes!, wenn man es Einschalten will
( egal ob einmalig oder dauerhaft )

wenn man das mal ( uebertrieben ) mit EC-Scheckkarten vergleicht ...
( Die FBF ist die Karte und AVM die BANK ... wie gesagt uebertrieben )
ich will niemanden daran hindern SEINE Pin draufzuschreiben,
ich verlange nur dass die BANK meine nicht gleich aufdruckt ...
( die koennten dann ja auch sagen bitte gut gesichert lagern ... )

Ralph

 

[radio_junkie]

Hallo,

wenn du die Capi nicht brauchst und nicht verwenden willst, dann istallier sie doch ganz einfach nicht. Und wenn du sie - aus welchem Grund auch immer - installiert hast, dann lösch sie doch! Eine Capi, die nicht da ist, kann auch keinen Unsinn anstellen. Und wirklich absolut sicher ist eben nur ein PC in einem funkdichten Bunker ohne Stromanschluss.

Gruß
radio_junkie (sich über diese Geisterdiskussion sehr wundernd)

 

[Saylor]

und was hat dann Fritz!Fax für einen sinn wenn keine Capi mehr hast?

 

[radio_junkie]

Ich benoetige weder Soft-Phone noch CAPI weil ich fuer meine Telefonate die FBF habe
und faxe nicht vom Computer sende ...

Deshalb verstehe ich ja eben die Diskussion nicht!

 

[DM41]

Kann man diesen Sicherheites-Teil noch in einen eigenen FBF-Sicherheits-Thread verschieben ?

Jepp, ist ja doch etwas länger geworden, die Diskussion. ;-)

Der einzige Sicherheitsaspekt, der mir persönlich fehlt, ist, dass NetCAPI-Verbindungen nicht in der Gesprächsübersicht der Box angezeigt werden.
Wobei das für mich persönlich keine echte Sicherheitsfrage ist sondern ich nur die Sicherheit haben möchte, dass Versatel meine Gespräche richtig abrechnet. ;-)

Da wäre es schon schön, wenn AVM dies mal nachrüsten würde.

Alles andere habe ich selbst unter Kontrolle mit den oben genannten Maßnahmen.

 

[radio_junkie]

Zeigt die Fritz!Box die auch nicht in der als Mail versandten Liste? Datenverbindungen stehen da nämlich auch drin, obwohl sie in der Liste auf dem Web-UI nicht auftauchen. Und JFritz zeigt die auch an.

Gruß
radio_junkie

 

[Ralph]

Hallo,

natuerlich habe ich die CAPI nicht bei mir installiert ( und werds auch nicht tun ) !
Aber jeder der ein bischen im Forum liest oder selber fax4box hat hat sie ...
wenn also ein Trojaner/Virus sie einfach mitbringt, speichert und ein paar
Registry-Eintraege macht wuerde sie funktionieren ...
Speatestens wenn der 'Boesewicht' einmal mit einen Protokoll-Programm
mitschreibt was die Install-Software an die FBF sendet um die CAPI einzuschalten
und das dann selbst macht ( Virenprogrammierer sind nicht
Doof sondern nur Boese ... ! ) kann er ueber jede FBF rauswaehlen.
Die einzige Chance dass das nicht geht waere wenn zur Aktivierung das Passwort
oder besser noch eine Telefon-eingabe noetig waere !
( das Passwort koennte ein Trojaner ja auch mitloggen ... )

Die Kleine Unbequemlichkeit einmalig am Telefon einen Code zu Waehlen wenn man
CAPI kurzzeitig oder dauerhaft an haben will wuerde doch sicher keinen abhalten ...
wenn ich andere threads ansehe wurde sogra extra die FBF gepatcht
( aber eben nur von denen die es nutzen wollten,
und das Patchen ging nur nach Passorteingabe ... )

und telnet hab ich zwar auch noch nicht installiert aber bevor ich das taete
wuerde ich mal untersuchen ob der Telnet dann nach dem/einem Passwort fragt !

Ralph

 

[Ralph]

Und wirklich absolut sicher ist eben nur ein PC in einem funkdichten Bunker ohne Stromanschluss.

Genau ! und weil ich weiss dass mein PC NIE ganz sicher sein kann moechte ich
dass meine Telefonleitung ( und Rechnung ) vor meinem PC sicher ist !!

Edit:

Nochmal ganz einfach: ich bin nicht gegen das CAPI an sich, sondern dagegen dass es eine
Software gibt die seine Nutzung mit der FBF vom PC aus freigibt und dabei moeglicherweise
nicht das Password der FBF erfragt ( jedenfalls haben mehrere bereichtet dass beim installieren
von Fax4Box nur gefragt wurde ob es enabled werde soll, von Passwordabfrage berichtete keiner)

wenn AVM es so bauen wuerde/gebaut haette dass man nur mit einer Codeeingabe vom Telefon
( also NIEMALS der PC selbst ) den CAPI in der FBF enabled wuerde ich es villeicht sogar selbst
eines tages installieren ... ( wenn ich doch irgendwann mal faxen will ... ) aber eben nur wenn
der PC es sich nicht selbst erlauben lassen kann auf die leitung zu gehen ... !!

Ralph

 

[radio_junkie]

wenn also ein Trojaner/Virus sie einfach mitbringt, speichert und ein paar
Registry-Eintraege macht wuerde sie funktionieren ...

Du solltest dir wirklich abgewöhnen, Trojaner und Viren runterzuladen ;-)

 

[Ralph]

Hallo,

ich weiss ich bin da extrem vorsichtig ...
z.b habe ich eine Kanotix-CD gebooted um die VOIP-Lines einzutragen ...
wenn die einer mitloggt koennte er sonst schlieslich von ueberall auf der welt auf mein konto telefonieren ...


uebrigends habe ich mal endlich daran gedacht meine Frage in den CBIT-Theread reinzubringen ...
( in dem cactus-online uns freundlicherweise schon verlikt hatte )

 

[niemand0815]

also bei mir war es nicht möglich die capi per software anzuschalten.
hab ein passwort auf der box, und upnp auch abgeschaltet (status UND konfig. ich hasse auto-dinge und pnp).

ich VERMUTE mal die leute die sagten sie wurden nach keinem passwort gefragt hatten auf der fbox upnp aktiviert (zum konfigurieren).

da das default bei den alten sw-versionen war (erst ab der 101/01 wenn ich mich recht erinnere konnte man status und konfig bei upnp unterscheiden) ist das sogar sehr wahrscheinlich.

schlimm ist nur das avm da nicht richtig informiert bzw davor warnt.

gut finde ich aber das die box mit der aktuellen firmware defaultmäßig NICHT mehr für upnp-config aktiviert ist (sonder nur für upnp-status, was schon schlimm genug ist).

könnte jemand nochmal verifizieren das bei abgeschalteter pnp-config und aktiviertem passwort eine automatische aktivierung der netcapi nicht geht?

 

[Ralph]

Hallo,

erstmal vielen dank fuer Deine Teilweise 'Entwarnung' !

Ich habe gerade mal folgendes an AVM geschrieben damit ich mal eine offizielle Auskunft bekomme ...
ich hoffe keiner wird sauer sein dass ich es hier Poste ...
( wenn ich Antwort bekomme werd ich hier mal den 'Sachstand' ueber Password Ja/Nein zurueckmelden
sofern AVM nichts dagegen hat ! ... bitte nicht als 'negativ-Antwort' auffassen
wenn ich erst am Wochenende wieder schreiben sollte, ich weiss nicht ob ich es vorher hinkrige ! )

Ralph

#######################

Guten Tag.

Ich habe in einem Ip-Phone-forum gelesen, dass es jetzt eine Software FAX4BOX gibt, die
fuer die FBF7050 automatisiert eine Netz-CAPI einrichtet und bei vielen Nutzern auch
selbst in der FBF7050 die Nutzung der Netz-CAPI enabled.

Da niemand von einer Passwordabfrage berichtete bin ich sehr besorgt darueber dass sich
die Netz-CAPI der FBF7050 moeglicherweise auch ohne das Passwort der FBF7050 zu kennen
per Programm einschalten laesst.

Da das dann auch die Sogenannten 'Dialer' koennten, moechte ich hiermit fragen ob man
bei der FBF7050, wenn man ein Password gesetzt hat, dieses unter allen Umstaenden,
insbesondere bei Nutzung der software FAX4BOX, zum aktivieren des CAPI benoetigt.

Falls sich das CAPI irgendwie ohne kenntnis des Passwortes enablen laesst wuerde
ich um schnellstmoegliche Information sowie um 'reperatur' dringend bitten.

Ausserdem wuerde ich es sehr begruessen wenn in einer ( moeglichst bald ... )
Folgenden Firmware das Enablen des FBF7050-Net-CAPI in der Web-Oberflaeche sichtbar
waere und ein aktivieren ( Egal ob dauerhaft oder Kurzzeitig )
nur noch ueber Eingaben am Telefon moeglich waere !

Begruendung:
Als ich die FBF7050 kaufte war es nicht moeglich dass ein ueber LAN/WLAN
angeschlossener Computer an die Telefonleitung gelangt.
Das war fuer mich ein WESENTLICHES Kaufargument beim Kauf einer Hardware
die DSL und Telefonie vereint. ( villeicht auch fuer viele Andere )
( weil ich SICHER sein will dass es fuer mich ohne negative finanzielle
Folgen bliebe wenn mein PC einens tages Viren/Trojaner bekaeme )

Da sich wie sie sicher wissen auch das Passwort bei der eingabe am PC von einem
Trojaner mitloggen liesse reicht es nicht als Absoluter schutz vor Dialern !
( man muss es z.b sogar fuer die Anruferliste, also sehr oft benutzen )
Auch wurde bei der Firmware ...89 nicht darueber informiert
dass ich mir damit ein vom PC aus schaltbares Net-CAPI einhandle !

Wenn man jedoch die CAPI nur ueber die Telefone und nicht ueber den PC
( auch nicht mit Password ) aktivieren koennte waere wieder der gleiche gute
Sicherheitszustand erreicht ohne auf die CAPI verzichten zu muessen.
( niemand wird eine FBF7050 kauefen der kein Telefon besitzt,
denn ihr grosser Vorteil ist ja die Telefon-VOIP-Kopplung ... )

Viele leute werden sich auch deshalb die FBF gekauft haben damit das VOIP
eben gerade ohne die Gefahren eines PC der am Internet haengt laeuft.
Wenn die Hardware (FBF7050) den PC nicht an die Telefonleitung leasst
ist man absolut 'Dialer-sicher' was ich als GROSSEN vorteil empfand !

Haette ich von dem per PC schaltbaren Netz-CAPI in der Firmware ...89 gewusst
haette ich sie trotz all der guten Features niemals installiert !
( sogar obwohl sie auch gelegentliche laestig ISDN-Abstuerze behob ).

Ralph