LCR und Sicherheit

megakeule

Mitglied
Mitglied seit
25 Jan 2005
Beiträge
370
Punkte für Reaktionen
39
Punkte
28
Nach dem AVM Hack möchte ich hier nochmal die Frage nach der Sicherheit an den Autor des LCRs stellen.

Ich hatte vor einiger Zeit mal bemängelt, dass nachdem AVM die vorgeschaltete HTTPS-AUTH abgeschafft hat die Seite mit dem LCR Zugang bei eingeschaltetem Fernzugang ungesichert im Netz steht. Über den Link kommt man direkt zum LCR Login. Der LCR Zugang hat dabei keine Zeitfalle bei falsch eingegebenem Passwort! Damit kann mal also schon mal einfacher eine Brute Force Attacke versuchen, als beim Original Login. Es wird also die Sicherheit durch die Zeitfalle bei AVM ausgehebelt!!! Ich hätte gerne, das diese Sicherheitsproblem vom Autor und vom Unterforum ernst genommen wird. Eine Abschaltung des Fernzuganges kommt für mich aus verschiedenen Gründen nicht in Frage. Also bitte gar nicht erst als Lösung vorschlagen!

Ich möchte hier mal ein Paar Fragen und Anregungen formulieren:
- Lässt sich der Zugang zum LCR grundsätzlich über Fernwartung verhindern? -> Wenn ja, bitte abschaltbar machen!
- Kann man bei aktiven Fernzugang grundsätzlich den LCR immer über seine (externe) URL direkt aufrufen, oder lässt sich das verhindern? -> Wenn ja, bitte machen!
- Der LCR Login Dialog sollte eine Zeitfalle nach Vorbild AVM bekommen! -> Zur Brute Force Verhinderung
- Ist der LCR Dialog sicher gegen PHP Code Injection? Werden die Eingaben und Parameter entsprechend geprüft?

Es wäre echt super, wenn Harald ein paar Gedanken und ein paar zusätzlich Codezeile in die Sicherheit investieren könnte.
Bin auf euer Feedback gespannt...

-keule
 
Noe, von allen. Wie wichtig ist das euch überhaupt? Wird das überhaupt als Problem gesehen?
 
Die Zeitfalle bei falschen Kennworteingaben ist sicherlich eine sinnvolle Änderung.
Bislang wird beim Betreten des LCRs eine Session ID vergeben, so dass es keine fixe URL gibt mit der eine Aktion im LCR ausgelöst werden kann.
Wie man den Zugang von "extern"/Fernwartung erkennen kann weiß ich derzeit nicht, falls das möglich ist, kann auch der Zugang zum LCR via Fernwartung unterbunden werden.

Code Injection sollte nicht möglich sein, einen Taint Modus kennt die Shell zwar nicht, aber der Angreifer benötigt eine gültige Session-ID, welche über ein gültiges Login erstellt wird. Wer die Login Daten hat, könnte bei aktivierter Telnet-Konsole aber auch eigentlich alles machen...
 
Hallo zusammen

Ich und einige Verwandte/Bekannte (auf mein Anraten) nutzen seit Jahren den LCR als Lizenzversion und ich kann die Bedenken von megakeule gut nachvollziehen. Ich selbst bin verwundert, dass dieses Thema nicht mehr User zu interessieren scheint und bin bereit, den LCR in Zukunft nicht mehr zu nutzen, sollten diese Bedenken nicht ausgeräumt werden können. Die Telefonkosten meines Anbieters sind seit Beginn meiner Nutzung vor 7 Jahren deutlich gesunken und die heute noch erzielbare geringe Ersparnis durch den LCR würde aus meiner Sicht das Eingehen eines Risikos in keinster Weise rechtfertigen.

Mich würde eure Einschätzung und die von Harald bzgl. Sicherheit der FBF mit installiertem LCR interessieren, wenn die Fernwartung ausgeschaltet ist bzw. eine FBF verwendet wird, die im Auslieferungszustand und mit aktueller Firmware keine Fernwartung unterstützt.
Ich kenne mich mit Telnet, usw. nicht sehr gut aus und kann daher wenig einschätzen, was genau durch das Einspielen der tar-Datei per Firmware-Update verändert wurde. Telnet selber habe ich bei meiner FBF per Telefoncode abgeschaltet und der Zugriff auf die FBF ist mit Passwort geschützt.

Mich wundert, dass auch wenn beim TSB-Daemon das Kennwort für die FBF nicht hinterlegt ist, die Konfigurationsdatei verändert werden kann, also Veränderungen an einem eigentlich mit Passwort geschützten Bereich vorgenommen werden können.
Wenn dies möglich ist, wieso sollten dann nicht auch Änderungen an anderen mit Passwort geschützten Einstellungen der FBF über den TSB-Daemon vorgenommen werden können oder durch den TSB-Daemon auf der FBF andere Aktionen ausgelöst werden, wie z.B. Telnet anschalten, Dialer zu kostenpflichtigen Nummern hochladen und letztlich gar ein Zugriff auf das an die FBF angehängte Netzwerk?

In älteren Firmware-Versionen konnte der TSB-Daemon ja sogar über allcfgconv das in der FBF hinterlegte Kennwort auslesen und so die Anruflisten ohne Passworteingabe abfragen und anzeigen. Dies ist mittlerweile ja nicht mehr möglich und die Anrufliste wird bei FBF-Kennwortverwendung im LCR nur angezeigt, wenn man das Kennwort der FBF auch im LCR einträgt.
Hier würde mich noch interessieren, wo und wie (verschlüsselt?) der LCR das beim Kennwortschutz hinterlegte Passwort der FBF abspeichert.

Als Laie denke ich mir bei einem solchen Satz:
Wer die Login Daten hat, könnte bei aktivierter Telnet-Konsole aber auch eigentlich alles machen...
Das Passwort zu beschaffen war in alten Firmware-Versionen offenbar kein Problem und wenn man heute das FBF-Passwort auch im LCR hinterlegt hat, ist es evt. auch auslesbar (wo und wie gespeichert?)?! Ein über die LCR-Erweiterung oder über spätere Updates möglicherweise eingespielter Code könnte auch Telnet aktivieren, so dass alle Bedingungen deiner Aussage gegeben wären.

Besten Dank vorab für eure Antworten und Anregungen.
 
Jegliche Software die auf Deinem Rechner, Smartphone oder in diesem Fall auf der Fritzbox installiert wird, erhält bestimmte Rechte und kann etwas verändern, was unter Umständen nicht gewünscht ist. Entsprechend sollte man vor der Installation überlegen ob man dem Anbieter vertraut. Wieviel "Zeug" wird einfach mal so aus dem Internet auf dem Rechner oder Smartphone installiert, weil man es mal eben braucht - kostet ja nichts. Das überdenkt dann kaum jemand. Je nach Einstellungen im System und technischem Verständnis der Entwickler könnte man aber auch einen Dialer direkt auf dem PC installieren, oder den Zugang zur Fritzbox protokollieren oder die Session im Browser kapern... Falls das Kennwort in der Fritzbox nicht auslesbar ware, müsste man es in solchen Addons hinterlegen (LCR Updater, Callmonitor, JFritz, FritzLoad...) - ob dadurch aber die Sicherheit zunimmt...? Einzige Möglichkeit wäre, dass AVM den Zugang zu seiner Box vollständig sperrt und Fremdsoftware gar nicht mehr zulässt... Aber wie schon geschrieben gäbe es für Angreifer weiterhin Ansatzpunkte um denoch zum Ziel zu gelangen. Den LCR Updater biete ich nun seit ca. 15 Jahren an, für die TK Anlage Fritzbox gibt es diesen seit 2004. Da ich kein Unternehmen mit beschränkter Haftung habe, hafte ich mit meinem vollständigen Privatvermögen, sicherlich liegt es nicht in meinem Interesse mal eben so mit Betrug mein Geld zu verdienen. Die Tarifdaten erhebe ich seit jeher unabhängig, nahm noch nie Werbung von Call by Call Anbietern an...
 
Hallo Harald

besten Dank für Deine Antwort.
Bei der Auswahl der Software, die ich auf meinen Rechnern installiere, bin ich sehr vorsichtig und habe sehr wenige Programme, die kostenfrei verfügbar sind. Aus diesem Grund und wegen der ganzen FBF-Sicherheitsthematik (auch wenn meine FBF offiziell von der Sicherheitslücke nicht betroffen war) habe ich mir nun Gedanken gemacht, wo in meinem System dennoch durch Fremdsoftware ohne spezielle Zertifikate Lücken bestehen könnten.
Dies soll keineswegs ein Angriff auf dich sein oder Dir etwas unterstellen, sondern ich möchte herausfinden, ob durch diese Erweiterung an einer doch recht sensiblen Stelle eines Netzwerks, die Angriffsfläche für einen möglichen Angreifer nicht deutlich vergrößert wird.

Falls das Kennwort in der Fritzbox nicht auslesbar ware, müsste man es in solchen Addons hinterlegen (LCR Updater, Callmonitor, JFritz, FritzLoad...) - ob dadurch aber die Sicherheit zunimmt...?
Bei mir sagt der LCR Updater:
Kennwort der Fritzbox: Kann auf Ihrer Box nicht ausgelesen werden, weil das dafür notwendige Systemprogramm /bin/allcfgconv fehlt. Um den Kennwortschutz des LCR Updaters zu aktivieren und die Anrufliste auszuwerten, muss das Kennwort hier hinterlegt werden.
Bei älterer FBF-Firmware und gleicher LCR-Updater-Version war die Anzeige der Anrufliste bei gesetztem Kennwort der FBF problemlos auch ohne Hinterlegung im LCR-Updater möglich. Von daher bin ich davon ausgegangen, dass ein Auslesen des FBF-Kennworts aktuell aufgrund dieser Meldung nicht mehr möglich ist. Andererseits kann die Wahltabelle aber auch ohne Kennworthinterlegung geschrieben werden, was wiederum dafür spricht, dass trotz des in der FBF gesetzten Kennworts ein Zugriff auf den geschützten Bereich und somit ein Auslesen des Kennworts möglich ist.
Wenn ich Dich richtig verstehe, kann der LCR Updater das Kennwort der FBF auslesen, aber wieso fordert mich der LCR-Updater dann auf, das FBF-Kennwort nochmals im LCR-Updater zu hinterlegen?
 
Das Auslesen des Kennwortes müsste möglich sein, das muss ich mir nochmal im Code ansehen warum es bei der alten Firmware aus 2007 (25.04.27 ?) nicht funktioniert.
 
Hallo Harald,
Könntest Du bitte auch eine Zeitfalle nach AVM Vorbild einbauen? Mich stört, dass diese "Sicherheit" durch den LCR ausgehebelt wird. Ich habe den Fernzugang aktiviert unter anderem wegen des Android Ticket Widgets.
Du könnest doch einen Fernzugriff außerdem an einer externen IP erkennen, oder?
Außerdem wäre es gut, wenn man den LCR Link auf dem Login-Bildschirm zumindest abschaltbar machen könnte.

-megakeule
 
Hallo Harald,
Könntest Du bitte auch eine Zeitfalle nach AVM Vorbild einbauen? ....
...Du könnest doch einen Fernzugriff außerdem an einer externen IP erkennen, oder?
Außerdem wäre es gut, wenn man den LCR Link auf dem Login-Bildschirm zumindest abschaltbar machen könnte.

-megakeule

und toll wäre, wenn der login name nicht als dropdown dem angreifer auf dem Tablett serviert wird, sondern wie bei avm von extern handeingabe/ von intern dropdown-menü

Danke
Gruß
Manne
edit: zitat gekürzt
edit: eigentlich kann man den LCR von außen ganz sperren, wer ihn trozdem will, kann den Fernzugang von AVM nutzen, dann läuft man als "interner" teilnehmer des Netzes und kann wieder drauf zugreifen.
 
AVM hast sich des Problems wohl schon auf ihre Art angenommen.
Der LCR funktioniert mit der aktuellem Labor sowieso nicht mehr...
 
Ich hab noch die 6.03er ;)

Gruß Manne
 
Hallo

Akt. (FRITZ!OS: 06.04-27861 BETA) 7270 Beta Firmware:
Nicht nur die debug.cfg wird nicht mehr erstellt (mknod) und ausgeführt, nein.
AVM hat auch den dekodierswitch -c aus allcfgconv entfernt.

Fernzugang:
HTTPS aus dem Internet = Kein Pulldownmenü für den Benutzernamen.
HTTPS aus dem lokalen Netz = Pulldownmenü vorhanden
HTTP lokal oder Internet = Pulldownmenü vorhanden
AVM checkt das also, ausser bei HTTP, der sowieso über die AVM Firewall freigeschaltet werden müsste.
 
Zuletzt bearbeitet:

Neueste Beiträge

Statistik des Forums

Themen
244,695
Beiträge
2,216,691
Mitglieder
371,315
Neuestes Mitglied
jack-mack
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.