WDR3 Lokalzeit: "Kongress Cybercrime" mit u.a. AVM wegen Fritzbox-Hack in 2014

Moins

Ja, da geb ich doch den (AVM) Anzugträger Recht.
2 Jahre Vorwarnzeit von Jemanden der T-Shirt und Jeans trägt sind viel zu kurz.
Waren wohl doch ein paar Jährchen mehr (08.04.2009): AVM bestätigt Angriff
...mein Dank gilt jedenfalls hph und heise.de
Ohne die wäre die Lücke wohl immernoch offen.
Denn erst durch die Veröffentlichung sah sich AVM wohl im Zugzwang.
 
Zuletzt bearbeitet:
Interessant finde ich den Aufbau der Fritzbox. Ist das ein kleiner Switch mit dem die Kommunikation der Fritzbox mit dem Internet parallel ausgeleitet und analysiert wird?
 
Waren wohl doch ein paar Jährchen mehr (08.04.2009):
Vollkommen andere Baustelle, von AVM beseitigt (über das Ergebnis kann man vielleicht noch geteilter Meinung sein, wenn SIDs immer noch im LAN abgegriffen werden können) und eindeutig (? - ist halt m.M.) besser als der HTTP-Zugriff auf LAN-Seite mit "basic auth", wo dann Username und Password gleich im Klartext "über den Draht" gehen und von MITM-Angriffen (ettercap könnte das z.B.) noch einfacher abgefangen werden können ... wie es bei anderen Geräten häufig genug der Fall ist.

Cookie-basierte Verfahren mit Sessions sind am Ende auch nicht viel sicherer; nicht mal bei HTTPS, wie wir seit Poodle wissen, von der neu aufflammenden Debatte der fehlenden Authentifizierung bei Cookies mal ganz abgesehen.

Wenn AVM auch noch die - im BSI-Entwurf für "sichere Router" noch optionale - Empfehlung für HTTPS auf LAN-Seite umsetzt, wird es noch sicherer bzw. schwieriger für Angreifer. Aber schon das SID-Verfahren erfordert eben einen zeitnahen Angriff mit einer erbeuteten SID, bei Username/Password steht der Zeitpunkt des Zugriffs im Belieben des Angreifers.

CSRF (wie im Artikel von tecchannel aus 2009) spielte hier auch nur eine Rolle, weil es eben ohne Authentifizierung möglich war, die Kommandos einzuschleusen.

Also ist das (ohne Beweis für das Gegenteil muß man das für bare Münze nehmen) mit der Vorwarnzeit (wie im TV-Beitrag dargestellt) genauso richtig, wie der Einwand von hph im von Dir verlinkten Thread, daß es AVM mit entsprechenden Meldungen bis zu diesem Zeitpunkt eher locker nahm - das deckt sich zumindest mit meiner eigenen "Erfahrung" und den mir vorliegenden E-Mails als Reaktion. Das hat sich erheblich verbessert, die Anzeichen sind hoffentlich für jeden sichtbar (und ich stehe sicherlich nicht im Verdacht, ein "AVM-Jubelperser" zu sein).

Ohne die wäre die Lücke wohl immernoch offen.
Denn erst durch die Veröffentlichung sah sich AVM wohl im Zugzwang.
Und hier bringst Du die zeitlichen Abläufe von Veröffentlichungen (und auch das, was hph selbst geschrieben hat) deutlich durcheinander ... sortiere Dir das mal noch einmal anhand von Internet-Fundstellen, wie da der Ablauf war.

Es gab schon vorher Berichte in der Presse und hph hat nach eigenem Bekunden den Angriff "über Bande" erst auf der Basis des ersten Patches von AVM (den er per RE untersucht hat) an heise.de gemeldet. Zwischen der "Außendarstellung" des Umfangs der Bedrohung seitens AVM und der Realität mag es Differenzen gegeben haben ... die schon begonnene Beseitigung der inzwischen erkannten Lücke war davon nicht betroffen.

Wie wahrscheinlich so ein CSRF-Angriff über eingeschleuste Werbung am Ende ist oder war, spaltet auch immer wieder die Heerschar der Beobachter ... auch ist das bei den Produkten von Konkurrenten merkwürdigerweise alles immer viel relevanter als bei den eigenen und von Seiten Dritter wird ohnehin immer übertrieben, wenn es nach solchen "Rechtfertigungen" geht.

Vielleicht wurde noch der Umfang der Rückportierungen auf ältere Modelle und Firmware-Versionen beeinflußt, wenn man hier einen Handlungsdruck unterstellen will durch die umfangreiche Berichterstattung, aber das wird ohne Kenntnis von AVM-Interna auch nur spekulativ bleiben (auch wenn man sich mit dem gesunden Menschenverstand sicherlich vorstellen kann, wie da Kämpfe zwischen Marketing/Support und Controlling ausgesehen haben könnten, denn die (kurzfristigen) Interessen dürften da nur schwer in Übereinstimmung zu bringen sein).

Also im Sinne des "Amtseides" eines Bundeskanzlers/einer Bundeskanzlerin (damit die Gender-Fans auch zufrieden sind, ggf. die Reihenfolge noch umdrehen): "Gerechtigkeit gegen jedermann" (jederfrau fehlt im offiziellen Text meines Wissens) und dann auch für AVM und die dortigen Mitarbeiter. Berechtigte Kritik muß am Ende eben genau das auch sein, nämlich "berechtigt" und das setzt eine saubere Argumentation (auch im Rückblick) voraus.
 
@PeterPawn: Danke für die Richtigstellung
 
chilango79 schrieb:
Interessant finde ich den Aufbau der Fritzbox.
Das halte ich für einen Terminalserver, der die serielle Konsole der FRITZ!Box abgreift und über das Netzwerk (z.B. per Telnet) verfügbar macht.

G., -#####o:
 
Naja heutzutage wird sich ja in alles eingehackt... Schade..

Liebe Grüße
Willi
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.