Umfrageergebnis anzeigen: Soll der komplette Exploit (Shell-Code oder HTML-Seite mit JS) veröffentlich werden?

Teilnehmer
90. Du darfst bei dieser Umfrage nicht abstimmen
  • Könnte schon lange veröffentlicht sein

    13 14,44%
  • Sollte jetzt veröffentlicht werden

    61 67,78%
  • AVM sollte über die Veröffentlichung entscheiden

    16 17,78%
Seite 2 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 21 bis 40 von 93

Thema: Disclosure or no disclosure?

  1. #21
    IPPF-Fan Avatar von rst-cologne
    Registriert seit
    11.03.2011
    Ort
    Köln
    Beiträge
    241
    Zitat Zitat von Goggo16 Beitrag anzeigen
    - Vielleicht ist ja bei AVM aus irgendwelchen anderen Gruenden schon genug Dampf unter der Haube.
    Daran würde ich doch stark zweifeln. Es wird doch lieber mit Klatschschaltern rum experiemntiert als das auf Sicherheit und Stabilität wert gelegt wird.

    Disclosure
    FRITZ!Box 7490 + 3390 + C5 + MT-F + MT-D + Speedphone 300 + DECT 200
    NetCologne 100MBit VDSL

  2. #22
    IPPF Siebentausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    7.848
    Als Pendant zu dem HIER und dem HIER könnte noch eine IPPF-Seite mit dem Namen "Aktuelle Unsicherheitshinweise" für mehr Bewegung sorgen.
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.241 +++ 3xSL750H/116.063.00 +++ GR/2.0

  3. #23
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Zitat Zitat von rst-cologne Beitrag anzeigen
    Daran würde ich doch stark zweifeln. Es wird doch lieber mit Klatschschaltern rum experiemntiert als das auf Sicherheit und Stabilität wert gelegt wird.
    Selbstverständlich, AVM ist ein gewinnorientiertes Unternehmen und Sicherheit kostet Geld.

  4. #24
    IPPF Fünfhunderter
    Registriert seit
    12.09.2008
    Beiträge
    598
    @rst-cologne,

    so gesehen hast Du natuerlich recht. Wenn die Zeit fuer sowas wie Klatschschalter haben, dann kann der Druck nicht so hoch sein.


    @maSpro,

    da bin ich auch voll bei Dir.

    Sicherheit einzubauen ist Mehraufwand. Dessen Funktionalität macht das Produkt im besten Fall nicht langsamer. Auf jeden Fall nicht schneller.

    Auf der anderen Seite sind Käufer inzwischen dabei, mehr und mehr auch auf Sicherheitsaspekte zu achten. Da kauft man eher mal was mit so einem Label wie "Geprüfte Sicherheit" anstatt "schnell, billig, und fragwürdige Sicherheit". Daher kann es sich fuer AVM schon lohnen, auch bei Sicherheitsfunktionen nicht zu geizig zu sein.

    LG, Goggo
    Provider: T-Home Entertain mit VDSL50-VOIP
    Router: Fritzbox 7490 mit FritzOS 6.80 + Freetz
    Add-On: AVM 450e, AVM 1750e, 3x Netgear GS108E
    Telefone: 2x Fritzfon C4, 3x Eurit 567 (MT-C); ".

  5. #25
    IPPF Siebentausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    7.848
    Öffentlich bekannt gewordene Unsicherheit bringt auch immer kostenlose Publicity mit sich.
    Das ist auch immer ein von Marketingstrategen vorsätzlich berücksichtigter unternehmensinterner Minder-Kostenfaktor.
    Die Boni-Zahlungen am Jahresende richten sich auch nach dem Verhältnis Kosten/Unkosten.
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.241 +++ 3xSL750H/116.063.00 +++ GR/2.0

  6. #26
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.768
    Wobei die erwartete Minderung durch "Erwähnung in der Presse" nur dann eintritt, wenn die Kunden sich beim Eintritt von Schäden aufgrund solcher Mängel nicht in der Kette über den Verkäufer (der im - für AVM - schlechtesten Falle dann noch ein Provider mit einer recht langen Geschäftsbeziehung zum Hersteller ist und seinerseits dem Hersteller entsprechenden Druck machen will - und kann, was sicherlich entscheidender ist als der reine Wille dazu) und den ggf. vorhandenen Großhändler dann doch noch beim Hersteller melden. Der zusätzliche Support-Aufwand i.V.m. eintretendem Image-Schaden kann solche Überlegungen im Vorfeld in der Endabrechnung schon mal zur berüchtigten "Milchmädchenrechnung" werden lassen.

    Ich denke mal, beim "webcm"-Bug hätte man auf die Publicity liebend gerne verzichtet und die These, daß es lediglich der (für den Kunden) günstigen Lage zu verdanken war, daß die Ansprüche (aus der Abrechnung der nicht-autorisierten Telefonate) in aller Regel genauso vom Provider kamen, wie die eingesetzten FRITZ!Boxen (sei es nun als Leihe, Miete oder Kauf) und damit schon seitens der Provider ein entsprechender Druck auf AVM ausgeübt wurde, weil die ihre Kunden nun nicht von Pontius zu Pilatus schicken konnten, wenn es um die Frage der Verantwortung ging, ist auch nicht wirklich neu. Auch da hat es zwar eine Weile gebraucht, bis AVM überhaupt zur "Anerkennung" eines bestehenden Problems bereit war, aber nachdem das dann kaum noch glaubhaft in Zweifel zu ziehen war (falls sich jemand nicht mehr erinnern kann: zuerst wurden die Kunden "verdächtigt", unsichere Anmeldungen zu verwenden, weil das auch noch mit einem größeren "Datenreichtum" - durch irgendeine geleakte Liste von (deutschen) Accounts aus allem möglichen Ecken des Internets - zusammenfiel), darf man dann sicherlich entsprechenden Druck seitens der "guten Kunden" (und das sind eher nicht diejenigen, die ihre FRITZ!Box im Einzelhandel erworben haben - die dürften deutlich in der Minderheit sein) unterstellen, der bei AVM dann wirklich "Druck im Kessel" verursacht haben mag.

    Wobei ich eben auch beim damaligen Problem sehr, sehr skeptisch bin, wenn mir jemand ein "vorbildliches Update-Verhalten" von AVM in diesem Falle "unterjubeln" will. Das geht eben damit schon los, daß ich - auf der Basis zuvor gemachter Erfahrungen beim "Melden" von Sicherheitsproblemen (und seien es auch nur "vermeintliche") - sogar mal die These (mehr als Bonmot) gewagt habe, daß es AVM vermutlich auch nicht aufgefallen wäre, wenn ihnen jemand um Weihnachten 2013 herum (da ging das in etwa los) dieses Problem auf den damals vom Hersteller angebotenen Wegen gemeldet hätte. Die "üblichen Fristen" lagen damals irgendwo bei 14 Tagen nach meinen Erfahrungen (die ich nicht alle in eigenem Namen gemacht habe, da waren auch Meldungen im Auftrag von bzw. in Unterstützung von Kunden dabei) und wenn man das mit dem Auftreten der ersten Meldungen in regionaler Presse abgleicht, dann erscheint diese These nicht so vollkommen an den Haaren herbeigezogen ... wobei sich das in der Folge dann tatsächlich besserte. Rechnet man dann aber noch die anfängliche Ablehnung der Annahme, es könne ein Problem der Firmware sein, hinzu (sicherlich begleitet von verzweifelten Versuchen, die tatsächliche Ursache zu finden - man "hörte" da so einiges) und bezieht man das wohl unstrittige Interesse der Provider an einer schnellstmöglichen Lösung in diese Rechnung mit ein, dann würde ich das eher noch als den Jagdhund ansehen, der zur Jagd getragen werden wollte ... und nicht primär als einen Hersteller, der von sich aus jede Anstrengung unternahm, das Problem von Beginn an im Interesse seiner (End-)Kunden zu erkennen und zu lösen.

    Ohne entsprechende Schäden und daraus resultierendem Druck (der sich schon aus der Anzahl der installierten Geräte ergibt - das hat man dann halt davon, wenn man zuviel "Marktmacht" verkörpert in einem Segment, das ist die Kehrseite der Medaille) ist AVM (nach meiner Meinung, die ich gerne anhand von Beispielen begründe) beim Anbieten von (Sicherheits-)Updates weder besser noch schlechter als andere Hersteller und es gibt weder Grund sie über den grünen Klee zu loben noch sie zu verdammen, wenn sie bei DOCSIS-Geräten genauso verfahren, wie alle anderen Hersteller solcher Geräte auch und das Update über den CVC-Mechanismus in die Hände der (Kabel-)Provider legen (müssen).
    Geändert von PeterPawn (31.01.2017 um 13:54 Uhr)

  7. #27
    IPPF Tausender
    Registriert seit
    22.02.2005
    Ort
    Bayern
    Beiträge
    1.491
    @PeterPawn: Wann gibt es eine Entscheidung?

    Basis: 7490 (FRITZ!OS 6.86-43717)
    WLAN Repeater: Fritz!WLAN Repeater 310 mit 06.51
    DECT Repeater: Fritz!DECT 100 mit 3.86
    Fritz!Fon MT-C4: 1.03.89 | Fritz!Fon MT-M2: 1.03.90
    VOIP: 1&1 (6000er ADSL), Sipgate Team, Rynga (Mobil&Ausland)

  8. #28
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.768
    Ich habe 14 Tage Laufzeit für die Umfrage gesetzt ... wenn eine Entscheidung dafür (demokratisch, selbst wenn das hier nicht repräsentativ sein mag) gefallen ist und sich AVM tatsächlich bis dahin immer noch nicht rührt und damit eigenständig neue Fakten schafft, wird das am 12.02. der Fall sein.

    Vielleicht nimmt man aber auch dort (also bei AVM) die Tendenz zur Kenntnis und rückt von dem "O Gott, o Gott ... das wollen unsere Kunden ganz bestimmt nicht." irgendwann einmal ab. Selbst wenn das hier sicherlich eine "besondere Klientel" im IPPF ist, sind doch viele auch "Multiplikatoren" und verbreiten ihrerseits sowohl erhaltene Informationen als auch ihre eigenen Meinungen im Familien-, Bekannten- bis Freundes- und auch im Kundenkreis weiter.

    Gleichzeitig können sicherlich die hier versammelten "Kunden" auch entsprechend einschätzen, wie "gefährlich" solche Informationen wirklich sind und wenn dann das (bisherige) Votum zu 2/3 "für Veröffentlichung" lautet und nur 1/5 dagegen ist (die Differenz ist dann eher für "full disclosure" und ein "weiß nicht" habe ich absichtlich weggelassen in der Hoffnung, daß so jemand dann nicht abstimmen wird), dann ist es ja vielleicht doch keine so schlechte Idee, wenn AVM als Hersteller tatsächlich selbst entsprechende "Advisories" veröffentlicht (s. BSI-Empfehlungen bei Unklarheiten, was das sein soll bzw. was da enthalten sein sollte und das Veröffentlichen eines PoC zum "Nachstellen" ist dann eben tatsächlich erst der letzte Abschnitt im Leben so einer Schwachstelle, wenn man es richtig macht) und es irgendwann in ferner Zukunft vielleicht sogar mal ein öffentlich einsehbares "Tracking" für Probleme (und das meint dann nicht nur Sicherheitslücken) gibt, damit dieses "Davon haben wir ja noch nie etwas gehört." irgendwann der Vergangenheit angehört und die Kunden sich nicht mehr an anderer Stelle (z.B. hier im IPPF) austauschen und händeringend nach jemandem mit ähnlichen Erfahrungen suchen müssen, weil ihnen vom Hersteller eingeredet wird, sie wären tatsächlich die Einzigen mit irgendeinem Problem.

    Ein Firmware-Problem (auch ein "Sicherheitsleck") ist an sich erst einmal nichts Ehrenrühriges ... am Image kratzt das erst dann, wenn man es (ohne Nachweis oder passende Begründung) nicht eingestehen will oder es auf einen anderen schiebt oder man es nicht (innerhalb akzeptabler und "üblicher" Zeiträume) beheben will oder kann.
    #
    Mit irgendwelchen Trollen a la "Na ja, AVM ... was will man da anderes erwarten?" müssen andere Hersteller genauso klarkommen - das kann also auch kein Grund für besondere "Verschwiegenheit" in dieser Hinsicht sein und ein Hersteller, der sich nicht selbst als "unfehlbar" darzustellen versucht, ist allemal glaubwürdiger (zumindest für mich) als einer, der nie irgendwelche relevanten Probleme in seinen Produkten findet.

    Der sucht entweder nicht richtig oder will es nicht wahrhaben ... frei nach dem alten Motto: "Es gibt nur zwei Arten von Netzwerken ... die, die gehackt wurden und die, wo die Besitzer noch nicht wissen, daß sie gehackt wurden.". Ersetzt man hier "Netzwerke" durch "Firmware", ergibt das immer noch einen Sinn und daß in einer hinreichend komplexen Firmware auch Probleme existieren ((theoretisch) fehlerfreie Software (mission critical) kostet i.d.R. mind. eine Zehnerpotenz mehr), ist vollkommen natürlich ... der Unterschied besteht halt darin, wie man mit solchen Problemen umgeht.

  9. #29
    IPPF Zweitausend-Club Avatar von Daniel Lücking
    Registriert seit
    18.04.2008
    Ort
    Berlin
    Beiträge
    2.826
    Wenn du da nicht mal eine absichtliche Sicherheitslücke gefunden hast ...
    1&1: Doppel-Flat 50.000 - UMTS (Smartphone+Stick) Webauftritte Daniel-Luecking.Berlin - Wo ist DanMac?

  10. #30
    IPPF-Fan Avatar von rst-cologne
    Registriert seit
    11.03.2011
    Ort
    Köln
    Beiträge
    241
    @Daniel Lücking: auf genau diese Antwort habe ich noch gewartet denn bisher habe ich mich nicht getraut sie selber zu schreiben...
    FRITZ!Box 7490 + 3390 + C5 + MT-F + MT-D + Speedphone 300 + DECT 200
    NetCologne 100MBit VDSL

  11. #31
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.768

    Absicht?

    Eher nicht ... andere Probleme sind da wesentlich "verdächtiger".

  12. #32
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Gibt es Hinweise zu Vectoring-fähigen All-In-One-Geräten, die als hinreichend sicher gelten und noch bezahlbar (bis 200,- €) sind? Konkret, wie ist AVM hier am Markt im Vergleich aufgestellt?

  13. #33
    IPPF-Urgestein Avatar von HabNeFritzbox
    Registriert seit
    14.09.2011
    Ort
    fd00:HAM:BURG::/64
    Beiträge
    11.653
    TAE Dose mit Silikon abdichten wäre hinreichend sicher. Hier geht es nicht um Hardware Beratung.
    Router: AVM Fritz!Box 7580 (FW 153.06.83) | geschützt durch eine USV NAS: Synology DS415+
    DSL Provider: Telekom DSL Tarif: MagentaZuhause L mit EntertainTV Plus Netzbetreiber: Telekom (AS3320) Protokoll: IPv4 + IPv6 (Dual Stack)
    DSL Sync: VDSL2 17a G.Vector (ITU G.993.5) DL 109 Mbit/s UL 36,0 Mbit/s Linecard Chipsatz: Broadcom 177.140 mit BNG im DSLAM Outdoor von Siemens
    Telefon/Tablet: Gigaset CL660HX, iPhone 6S, iPad 4 (iOS 10.3) Mobil: Telekom MagentaMobil M 2. Gen. (Dual Stack Lite)
    PC: Shuttle mit Intel i7, 16GB RAM OS: Windows 10 Pro x64 (UEFI / GPT) Sonstiges: gemanagter TP-Link Switch, MR400

  14. #34
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Entscheidet wer? Die Frage habe ich aus dem diskutierten Zusammenhang gestellt.

  15. #35
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.768
    Ich entscheide das auch nicht ... aber es wäre trotzdem nett, wenn wir diese Diskussion aus dem Thread heraushalten könnten.

    Es gibt genug andere, wo das Thema immer wieder diskutiert wird und da weder (allgemeingültig) zu entscheiden ist, welche Funktionen so ein Gerät haben muß oder gar, ob eine Firmware nun sicher ist oder nicht, bringt das in diesem Zusammenhang auch nicht wirklich etwas.

    Am Ende kann auch ein "dummes" DSL-Modem, das auf der WAN-Seite fälschlicherweise das (eigentlich interne) GUI (oder auch nur ein CLI) "anbietet" (alles schon dagewesen), genauso angreifbar sein wie ein "voll ausgestattetes" AIO-Gerät - z.B. dann, wenn über ein solches Interface eine manipulierte Firmware installiert werden kann. Und irgendeine Art von netzwerkbasiertem Interface haben neuere Geräte eigentlich immer ... die Zeiten der (sicheren) Konfiguration mit dem Terminalprogramm über eine serielle Schnittstelle sind vorbei (und ich will sie auch nicht zurückhaben).

  16. #36
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Ich hatte mich gefragt ob es, auch unter dem Aspekt der Sicherheit, zu den aktuellen AVM-Geräten überhaupt brauchbare Alternativen gibt. Aber ihr habt natürlich beide recht, sprengt hier den Rahmen. Back to topic.

  17. #37
    IPPF-Einsteiger
    Registriert seit
    19.10.2011
    Beiträge
    7
    @PeterPawn

    Ich persönlich bin ein großer Fan der AVM Geräte. Denn welcher Hersteller bringt schon Firmwareupdates für ältere Geräte?

    Allerdings finde ich es in der heutigen Zeit auch mehr als bedenklich, das auf gemeldete Sicherheitslücken so schleppend, bzw. gar nicht reagiert wird.

    Hier stimme ich mit Dir vollkommen überein=
    Eine Orientierung an Google's "Project Zero" ist sicherlich nicht vollkommen falsch und 90 Tage sind in der heutigen Zeit eine Frist, innerhalb der man sich einiges an Gedanken machen kann.
    Wenn keine vernünftige Reaktion stattfindet, muss eben der Druck erhöht werden und die Sicherheitslücke veröffentlicht werden.
    Schließlich sollte AVM ein großes Interesse daran haben, hier nicht eine Armee von Zombie-Fritzboxen auftreten zu lassen!

  18. #38
    IPPF-Einsteiger
    Registriert seit
    27.12.2005
    Beiträge
    7
    Dieser Bug sollte auf jeden Fall zeitnah veröffentlicht werden. AVM hatte genug Zeitvorlauf um das zu fixen. Und wenn zur Veröffentlichung kein Fix vorhanden ist, ist es auch nicht allzu schlimm. Denn grundsätzlich steckt die Fehlervermeidung bereits in jeder bisherigen Firmware, nämlich indem man den Fernzugriff abschaltet. Ich habe sowieso noch nie verstanden, warum man das ins Internet exponiert und so Angriffsfläche bietet. Obwohl ich auch schon seit vielen Jahren diverse Fritzboxen einsetze habe ich das noch nie eingeschaltet. Wenn man wirklich Zugriff braucht, dann stellt man vorher eine gesicherte VPN Verbindung her.

  19. #39
    IPPF Fünfhunderter
    Registriert seit
    12.09.2008
    Beiträge
    598
    Zitat Zitat von usetheworld Beitrag anzeigen
    Schließlich sollte AVM ein großes Interesse daran haben, hier nicht eine Armee von Zombie-Fritzboxen auftreten zu lassen!
    Stimme Dir zu.

    Allerdings hätten wir dann hier die Zündschnur angesteckt. Nicht das so was dann auf uns hier zurueckschlaegt. (... nur so ein Gedanke ...)

    Was mich hier im Forum immer wieder wundert ist, dass von AVM keine offizielle Stimme dabei ist, die dann auch mal ein Statement abgibt. Das würde Druck vom Kessel nehmen.

    LG, Goggo
    Provider: T-Home Entertain mit VDSL50-VOIP
    Router: Fritzbox 7490 mit FritzOS 6.80 + Freetz
    Add-On: AVM 450e, AVM 1750e, 3x Netgear GS108E
    Telefone: 2x Fritzfon C4, 3x Eurit 567 (MT-C); ".

  20. #40
    IPPF-Urgestein Avatar von HabNeFritzbox
    Registriert seit
    14.09.2011
    Ort
    fd00:HAM:BURG::/64
    Beiträge
    11.653
    Sehe das nicht so wild, nen Grund mehr VPN anzuwenden statt Telefonie, Fernwartung ect. alles im Netz freizugeben.
    Router: AVM Fritz!Box 7580 (FW 153.06.83) | geschützt durch eine USV NAS: Synology DS415+
    DSL Provider: Telekom DSL Tarif: MagentaZuhause L mit EntertainTV Plus Netzbetreiber: Telekom (AS3320) Protokoll: IPv4 + IPv6 (Dual Stack)
    DSL Sync: VDSL2 17a G.Vector (ITU G.993.5) DL 109 Mbit/s UL 36,0 Mbit/s Linecard Chipsatz: Broadcom 177.140 mit BNG im DSLAM Outdoor von Siemens
    Telefon/Tablet: Gigaset CL660HX, iPhone 6S, iPad 4 (iOS 10.3) Mobil: Telekom MagentaMobil M 2. Gen. (Dual Stack Lite)
    PC: Shuttle mit Intel i7, 16GB RAM OS: Windows 10 Pro x64 (UEFI / GPT) Sonstiges: gemanagter TP-Link Switch, MR400

Seite 2 von 5 ErsteErste 12345 LetzteLetzte

Ähnliche Themen

  1. [Info] GrandStream GXV3275 ist Thema auf "full disclosure"
    Von PeterPawn im Forum GS-Allgemein
    Antworten: 1
    Letzter Beitrag: 08.07.2015, 06:51
  2. Umfrage zu BS v8
    Von gismotro im Forum SOT / Streaming Client
    Antworten: 6
    Letzter Beitrag: 01.06.2009, 15:18
  3. Umfrage: Gigaset.NET
    Von VoIPMaster im Forum Gigaset
    Antworten: 8
    Letzter Beitrag: 09.04.2007, 11:20
  4. [SOT] Umfrage: Wer hat welche Box mit SOT
    Von karl2100 im Forum SOT / Streaming Client
    Antworten: 19
    Letzter Beitrag: 25.02.2007, 23:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •