qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
Freetz lässt sich auf neuer 7490 Os 6.51 nicht flashen
- Ersteller Coolzero82
- Erstellt am
PeterPawn
IPPF-Urgestein
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,148
- Punkte für Reaktionen
- 1,705
- Punkte
- 113
Zwar ist die Feststellung richtig, daß das Verfahren zur Verschlüsselung der Daten in der FRITZ!Box sich nicht geändert hat ... aber wenn man mal über die Konsequenzen so einer Änderung nachdenkt (alle bisherigen Sicherungen werden automatisch unbrauchbar, solange man nicht zwei verschiedene Versionen bei der Sicherung Wiederherstellung (1x "pre-changed" und 1x "post-changed") einführt), verbietet die sich praktisch von alleine, zumal so eine Änderung der Verschlüsselung ja am Ende gegen die geschilderten kriminellen Aktivitäten gar nichts bringt.
Wenn ein böser Bube den Inhalt des TFFS in die Hände kriegt (das predige ich seit langem), dann ist es immer zu spät. Niemand hindert so einen Angreifer daran, die erbeuteten Daten mit einer neueren Firmware-Version zu manipulieren, die er sich vorher entsprechend zurechtgebastelt hat und die dann den neuen Weg der Ver-/Entschlüsselung verwendet.
Warum da jetzt der Wegfall des Telnet-Zugangs (daß bei dessen Nutzung die unverschlüsselten Zugangsdaten im LAN kursieren, wurde ja bereits erwähnt, ein weiterer Punkt war die Möglichkeit, diesen Zugang automatisch (also rein durch Software) zu aktivieren und zu nutzen, auch ohne daß berechtigte Benutzer davon etwas bemerken (können)) keinen Sicherheitsgewinn für die überwiegende Zahl der Kunden darstellen soll, wurde (zumindest für mich) nicht wirklich schlüssig begründet.
Im Gegenteil ... solche Argumentationen (O-Ton: "Es gibt auch noch andere Wege.") dienen nach meiner Erfahrung eigentlich immer dazu (EDIT: bei Software-Herstellern), die eigene Untätigkeit (oder den Unwillen) für Verbesserungen der Sicherheit zu begründen. Wenn die Fee mit dem Zauberstab kommen muß und auf diesem Wege alle Probleme auf einen Schlag gelöst werden sollen, ist das irgendwie unrealistisch ... das ist ein langer steiniger Weg, der aus vielen kleinen Schritten besteht. Im Idealfall sind am Ende sämtliche Wege (für einen Angreifer) verstellt ... und wie gut das mit diesen kleinen Schritten inzwischen funktioniert hat, sieht man m.E. wieder daran, daß eben immer wieder die Fragen hier auftauchen, wie man denn jetzt noch auf die Box kommen soll (und viele, die das "nur zum Spaß" mal machen wollten, dann doch schon wieder dankend abwinken).
Und so, wie das für den berechtigten Benutzer schwerer geworden ist (aber eben nicht unmöglich und wenn er wirklich ein "berechtigtes Interesse" daran hat, wird er auch entsprechende Zeit investieren), sich in die eigene Box einzuklinken, so ist es eben auch für einen Angreifer aus dem (W)LAN schwerer geworden (leider auch hier noch nicht unmöglich, aber Wunder dauern eben etwas länger). Das, was bei einem einzelnen Kunden jetzt vielleicht eine Verfünffachung des Aufwands bedeutet (aus zwei Minuten wurden zehn), stellt bei einem massenhaften (manuellen) Angriff auf viele Boxen eben doch einen Erfolg dar, weil entweder die fünffache Man-Power benötigt wird oder es fünfmal solange braucht, dieselbe Anzahl von Zielen erfolgreich zu übernehmen.
In der heutigen Zeit kann es eben an allen Ecken und Enden (die Aufzählung potentieller Sprungbretter im LAN erspare ich mir mal, das ist auch oft genug abgehandelt) zu unvorhergesehenen Infektionen von Geräten kommen und der ehemals "sichere Hafen" LAN ist schon lange keiner mehr ("neueste" Meldung: http://heise.de/-3190235). Da ist es nur natürlich und folgerichtig, wenn Angriffsvektoren aus dem LAN geschlossen werden (die bei der überwiegenden Mehrheit der Kunden eben keiner wirklich braucht, wie z.B. Telnet-Zugang) und es ist (meine Meinung) sogar konsequent und vertretbar, wenn man dem Kunden beim Wiederaufreißen von gefixten Sicherheitslöchern (durch Downgrade) entsprechende Steine in den Weg legt.
Wenn so ein Kunde das nicht nur wegen irgendeines obskuren Tipps aus dem Internet machen will und wirklich einen belastbaren Grund hat, warum er in das Herzstück seines lokalen Netzes gelangen muß (viele weichen heute dann schon lieber auf einen zusätzlichen Einplatinen-Computer aus), dann kann und wird er auch die notwendige Zeit investieren. Wenn am Ende durch so einen Eingriff ein Angriff erfolgreich ausgeführt werden kann, fragt keiner mehr danach, ob da originale Firmware installiert war oder ob diese verändert wurde ... die Nachricht "meine FRITZ!Box wurde gehackt" wäre eben sowohl richtig als auch falsch, solange die genauen Begleitumstände nicht erwähnt werden. Das würde ich als Hersteller irgendwie auch nicht wollen ...
Mit Apple-Geräten o.ä. sind FRITZ!Boxen trotzdem immer noch nicht zu vergleichen ... es werden einem praktisch keinerlei Steine bei der Installation einer anderen Firmware in den Weg gelegt. Die Signaturprüfung für Firmware-Updates funktioniert derzeit nur dann, wenn man versucht, dieses Update über das GUI der Box zu installieren (bzw. auf einem anderen Weg, der im Hintergrund auf "firmwarecfg" oder die libfwsign.so zurückgreift). Sowie man die Firmware auf einem alternativen Weg installiert, kann man alles auf der FRITZ!Box machen, von der (kryptographischen) "Tivoisierung" der FRITZ!Box kann m.E. keine Rede sein.
Die meisten reduzieren auch die (nach außen sichtbaren) Verbesserungen der Sicherheit auf den Wegfall des Telnet-Daemons und die neu eingeführte Verweigerung von Downgrades und unsignierter Firmware ... das ist aber definitiv zu kurz gegriffen. Aus meiner Sicht wären da zumindest noch folgende "erwähnenswert":
- Abschaffung von "allcfgconv", weil damit der "Einzeiler" zum unverschlüsselten Export der Konfigurationsdateien möglich war (die "Demo" für "webcm-Gate")
- Abschaffung von "nc" als Applet, weil damit dasselbe Problem einherging, wie mit dem Telnet-Daemon
- Änderung des Weges, auf dem "davfs2" seine Credentials erhält, auf "shared memory" ... damit ist ein weiterer Weg der Entschlüsselung von intern gespeicherten Kennwörtern verbaut
- Abschaffung der "debug.cfg" ... hier könnte man sogar "diskutieren", ob das ein Sicherheitsgewinn war oder nicht - andererseits ist das ohnehin eine der schlechteren Varianten, sich in die Firmware einzuklinken und man braucht (auch als "Bastler") diesen "hook" nicht wirklich (er ist an der "alten Stelle" auch eher ungünstig platziert gewesen)
- schon vorher war eine Weile ein Update mit unsignierter Firmware nur noch dann möglich, wenn ein Kennwort für das GUI gesetzt war - das war aber am Ende eben alles andere als "ausreichend", weil es schon die Übernahme einer frischen Box über ein LAN-Kabel auf sehr simplem Weg ermöglichte
Jede einzelne dieser Änderungen konnte (und kann) immer noch irgendwie "umgangen" werden ... aber es ist eben deutlich schwerer geworden (siehe entsprechende Threads auch hier im IPPF) und so, wie das für einen einzelnen Kunden vielleicht zum Ärgernis wird, weil er mehr Zeit investieren muß oder mangels Verständnis gar nicht mehr in seinen Router eindringen kann, so ist es eben auch für einen Angreifer schwerer geworden.
Wenn das kein Sicherheitsgewinn (bei > 95% der Kunden, die "Bastler" sind m.E. ganz klar in der Minderheit, selbst 5% halte ich für zu hoch gegriffen) ist, dann weiß ich auch nicht mehr ... das ändert freilich nichts daran, daß jemand mit der Chance zur Ausführung von Shell-Kommandos nach wie vor mit simplen Applets (cat, ftpput) einen 1:1-Dump einer TFFS-Partition auf einen beliebigen FTP-Server im Internet transferieren kann und daß man diese dann in aller Ruhe dekodieren könnte.
Aber die Möglichkeiten der Ausführung solcher Kommandos sind eben definitiv weniger geworden ... und genau dazu gehören die beiden hier kritisierten Änderungen. Damit entfallen nämlich die vom Telnet-Daemon gestartete Shell und die Datei /var/install in einem unsignierten Firmware-Image als Möglichkeiten zum Absetzen solcher Kommandos.
Ich bin mir auch meines eigenen Zwiespalts bewußt (hoffentlich ist es keine Zwielichtigkeit), wenn ich auf der einen Seite immer mehr Einschränkungen befürworte und auf der anderen Seite nach Wegen suche, wie man trotzdem noch in die Firmware der Boxen kommt.
Aber in der Konsequenz ist das für mich nicht wirklich ein Widerspruch ... ich plädiere durchaus dafür, daß der interessierte Kunde weiterhin die Firmware anpassen kann und soll - aber das soll eben nur dem berechtigten Benutzer möglich sein und keinem Angreifer.
So wenig ich möchte, daß ein einfacher HTTP-Zugriff ohne Authentifizierung aus dem LAN den Zugang zur Box ermöglicht, so wenig möchte ich auch, daß einfach alles komplett verriegelt und verrammelt wird. Auf der anderen Seite steht dann wieder das Interesse, auch dem (eher unkundigen) Benutzer das Erweitern seiner FRITZ!Box so einfach wie möglich zu machen, weil eben auch die Installation eines OpenVPN-Clients oder eines SSH-Servers anstelle der unverschlüsselten Kommunikation (das AVM-VPN mit IKEv1 ist nun wirklich recht selektiv bei der Auswahl der möglichen Gegenstellen) bei den "Moddern" einen Beitrag zur Sicherheit leisten können.
Und so ganz nutzlos ist die Bastelei der Community an den Boxen ja auch nicht geblieben, es haben viele Lösungen ihren Weg aus der Community in die derzeitige Firmware gefunden, auch wenn nicht alles aus dem "Wunschthread" umgesetzt wurde (oder auch nur realistisch ist).
Wenn ein böser Bube den Inhalt des TFFS in die Hände kriegt (das predige ich seit langem), dann ist es immer zu spät. Niemand hindert so einen Angreifer daran, die erbeuteten Daten mit einer neueren Firmware-Version zu manipulieren, die er sich vorher entsprechend zurechtgebastelt hat und die dann den neuen Weg der Ver-/Entschlüsselung verwendet.
Warum da jetzt der Wegfall des Telnet-Zugangs (daß bei dessen Nutzung die unverschlüsselten Zugangsdaten im LAN kursieren, wurde ja bereits erwähnt, ein weiterer Punkt war die Möglichkeit, diesen Zugang automatisch (also rein durch Software) zu aktivieren und zu nutzen, auch ohne daß berechtigte Benutzer davon etwas bemerken (können)) keinen Sicherheitsgewinn für die überwiegende Zahl der Kunden darstellen soll, wurde (zumindest für mich) nicht wirklich schlüssig begründet.
Im Gegenteil ... solche Argumentationen (O-Ton: "Es gibt auch noch andere Wege.") dienen nach meiner Erfahrung eigentlich immer dazu (EDIT: bei Software-Herstellern), die eigene Untätigkeit (oder den Unwillen) für Verbesserungen der Sicherheit zu begründen. Wenn die Fee mit dem Zauberstab kommen muß und auf diesem Wege alle Probleme auf einen Schlag gelöst werden sollen, ist das irgendwie unrealistisch ... das ist ein langer steiniger Weg, der aus vielen kleinen Schritten besteht. Im Idealfall sind am Ende sämtliche Wege (für einen Angreifer) verstellt ... und wie gut das mit diesen kleinen Schritten inzwischen funktioniert hat, sieht man m.E. wieder daran, daß eben immer wieder die Fragen hier auftauchen, wie man denn jetzt noch auf die Box kommen soll (und viele, die das "nur zum Spaß" mal machen wollten, dann doch schon wieder dankend abwinken).
Und so, wie das für den berechtigten Benutzer schwerer geworden ist (aber eben nicht unmöglich und wenn er wirklich ein "berechtigtes Interesse" daran hat, wird er auch entsprechende Zeit investieren), sich in die eigene Box einzuklinken, so ist es eben auch für einen Angreifer aus dem (W)LAN schwerer geworden (leider auch hier noch nicht unmöglich, aber Wunder dauern eben etwas länger). Das, was bei einem einzelnen Kunden jetzt vielleicht eine Verfünffachung des Aufwands bedeutet (aus zwei Minuten wurden zehn), stellt bei einem massenhaften (manuellen) Angriff auf viele Boxen eben doch einen Erfolg dar, weil entweder die fünffache Man-Power benötigt wird oder es fünfmal solange braucht, dieselbe Anzahl von Zielen erfolgreich zu übernehmen.
In der heutigen Zeit kann es eben an allen Ecken und Enden (die Aufzählung potentieller Sprungbretter im LAN erspare ich mir mal, das ist auch oft genug abgehandelt) zu unvorhergesehenen Infektionen von Geräten kommen und der ehemals "sichere Hafen" LAN ist schon lange keiner mehr ("neueste" Meldung: http://heise.de/-3190235). Da ist es nur natürlich und folgerichtig, wenn Angriffsvektoren aus dem LAN geschlossen werden (die bei der überwiegenden Mehrheit der Kunden eben keiner wirklich braucht, wie z.B. Telnet-Zugang) und es ist (meine Meinung) sogar konsequent und vertretbar, wenn man dem Kunden beim Wiederaufreißen von gefixten Sicherheitslöchern (durch Downgrade) entsprechende Steine in den Weg legt.
Wenn so ein Kunde das nicht nur wegen irgendeines obskuren Tipps aus dem Internet machen will und wirklich einen belastbaren Grund hat, warum er in das Herzstück seines lokalen Netzes gelangen muß (viele weichen heute dann schon lieber auf einen zusätzlichen Einplatinen-Computer aus), dann kann und wird er auch die notwendige Zeit investieren. Wenn am Ende durch so einen Eingriff ein Angriff erfolgreich ausgeführt werden kann, fragt keiner mehr danach, ob da originale Firmware installiert war oder ob diese verändert wurde ... die Nachricht "meine FRITZ!Box wurde gehackt" wäre eben sowohl richtig als auch falsch, solange die genauen Begleitumstände nicht erwähnt werden. Das würde ich als Hersteller irgendwie auch nicht wollen ...
Mit Apple-Geräten o.ä. sind FRITZ!Boxen trotzdem immer noch nicht zu vergleichen ... es werden einem praktisch keinerlei Steine bei der Installation einer anderen Firmware in den Weg gelegt. Die Signaturprüfung für Firmware-Updates funktioniert derzeit nur dann, wenn man versucht, dieses Update über das GUI der Box zu installieren (bzw. auf einem anderen Weg, der im Hintergrund auf "firmwarecfg" oder die libfwsign.so zurückgreift). Sowie man die Firmware auf einem alternativen Weg installiert, kann man alles auf der FRITZ!Box machen, von der (kryptographischen) "Tivoisierung" der FRITZ!Box kann m.E. keine Rede sein.
Die meisten reduzieren auch die (nach außen sichtbaren) Verbesserungen der Sicherheit auf den Wegfall des Telnet-Daemons und die neu eingeführte Verweigerung von Downgrades und unsignierter Firmware ... das ist aber definitiv zu kurz gegriffen. Aus meiner Sicht wären da zumindest noch folgende "erwähnenswert":
- Abschaffung von "allcfgconv", weil damit der "Einzeiler" zum unverschlüsselten Export der Konfigurationsdateien möglich war (die "Demo" für "webcm-Gate")
- Abschaffung von "nc" als Applet, weil damit dasselbe Problem einherging, wie mit dem Telnet-Daemon
- Änderung des Weges, auf dem "davfs2" seine Credentials erhält, auf "shared memory" ... damit ist ein weiterer Weg der Entschlüsselung von intern gespeicherten Kennwörtern verbaut
- Abschaffung der "debug.cfg" ... hier könnte man sogar "diskutieren", ob das ein Sicherheitsgewinn war oder nicht - andererseits ist das ohnehin eine der schlechteren Varianten, sich in die Firmware einzuklinken und man braucht (auch als "Bastler") diesen "hook" nicht wirklich (er ist an der "alten Stelle" auch eher ungünstig platziert gewesen)
- schon vorher war eine Weile ein Update mit unsignierter Firmware nur noch dann möglich, wenn ein Kennwort für das GUI gesetzt war - das war aber am Ende eben alles andere als "ausreichend", weil es schon die Übernahme einer frischen Box über ein LAN-Kabel auf sehr simplem Weg ermöglichte
Jede einzelne dieser Änderungen konnte (und kann) immer noch irgendwie "umgangen" werden ... aber es ist eben deutlich schwerer geworden (siehe entsprechende Threads auch hier im IPPF) und so, wie das für einen einzelnen Kunden vielleicht zum Ärgernis wird, weil er mehr Zeit investieren muß oder mangels Verständnis gar nicht mehr in seinen Router eindringen kann, so ist es eben auch für einen Angreifer schwerer geworden.
Wenn das kein Sicherheitsgewinn (bei > 95% der Kunden, die "Bastler" sind m.E. ganz klar in der Minderheit, selbst 5% halte ich für zu hoch gegriffen) ist, dann weiß ich auch nicht mehr ... das ändert freilich nichts daran, daß jemand mit der Chance zur Ausführung von Shell-Kommandos nach wie vor mit simplen Applets (cat, ftpput) einen 1:1-Dump einer TFFS-Partition auf einen beliebigen FTP-Server im Internet transferieren kann und daß man diese dann in aller Ruhe dekodieren könnte.
Aber die Möglichkeiten der Ausführung solcher Kommandos sind eben definitiv weniger geworden ... und genau dazu gehören die beiden hier kritisierten Änderungen. Damit entfallen nämlich die vom Telnet-Daemon gestartete Shell und die Datei /var/install in einem unsignierten Firmware-Image als Möglichkeiten zum Absetzen solcher Kommandos.
Ich bin mir auch meines eigenen Zwiespalts bewußt (hoffentlich ist es keine Zwielichtigkeit), wenn ich auf der einen Seite immer mehr Einschränkungen befürworte und auf der anderen Seite nach Wegen suche, wie man trotzdem noch in die Firmware der Boxen kommt.
Aber in der Konsequenz ist das für mich nicht wirklich ein Widerspruch ... ich plädiere durchaus dafür, daß der interessierte Kunde weiterhin die Firmware anpassen kann und soll - aber das soll eben nur dem berechtigten Benutzer möglich sein und keinem Angreifer.
So wenig ich möchte, daß ein einfacher HTTP-Zugriff ohne Authentifizierung aus dem LAN den Zugang zur Box ermöglicht, so wenig möchte ich auch, daß einfach alles komplett verriegelt und verrammelt wird. Auf der anderen Seite steht dann wieder das Interesse, auch dem (eher unkundigen) Benutzer das Erweitern seiner FRITZ!Box so einfach wie möglich zu machen, weil eben auch die Installation eines OpenVPN-Clients oder eines SSH-Servers anstelle der unverschlüsselten Kommunikation (das AVM-VPN mit IKEv1 ist nun wirklich recht selektiv bei der Auswahl der möglichen Gegenstellen) bei den "Moddern" einen Beitrag zur Sicherheit leisten können.
Und so ganz nutzlos ist die Bastelei der Community an den Boxen ja auch nicht geblieben, es haben viele Lösungen ihren Weg aus der Community in die derzeitige Firmware gefunden, auch wenn nicht alles aus dem "Wunschthread" umgesetzt wurde (oder auch nur realistisch ist).
Zuletzt bearbeitet:
Neueste Beiträge
-
Originale Urmet MediaPhone MP315-Firmware
- Letzte: italienischetelefonie
-
1und1 Umstellung auf 50/20 Mbit im Alt Tarif denkbar?
- Letzte: beiti
-
-
Soundlogo bei DUS.tel Complete funktioniert nicht
- Letzte: Fritz!Mick
