Umfrageergebnis anzeigen: Soll der komplette Exploit (Shell-Code oder HTML-Seite mit JS) veröffentlich werden?

Teilnehmer
90. Du darfst bei dieser Umfrage nicht abstimmen
  • Könnte schon lange veröffentlicht sein

    13 14,44%
  • Sollte jetzt veröffentlicht werden

    61 67,78%
  • AVM sollte über die Veröffentlichung entscheiden

    16 17,78%
Seite 4 von 5 ErsteErste 12345 LetzteLetzte
Ergebnis 61 bis 80 von 93

Thema: Disclosure or no disclosure?

  1. #61
    IPPF-Einsteiger
    Registriert seit
    15.12.2014
    Beiträge
    3
    Wenn ich mir so angucke wie Dein Austausch mit AVM bisher lief, kann ich Deine Nachsicht mit denen schon nur noch schwer nachvollziehen. Du hast echt eine Engelsgeduld - verleitest sie damit aber langfristig dazu, Deine "Drohung" einer Veröffentlichung nur bedingt ernst zu nehmen. Da kann sich irgendwann der Gedanke Bahn brechen "den kriegen wir schon weiter per Mail gemanaged".

    Ich würde mir nen festes Datum suchen, das ankündigen und dann raus mit den Details zu dem Termin. Und zwar in Zukunft immer - sonst lernen die das nicht. Und bei sowas wie aktuell, wo sich der Schaden in Grenzen hält, sogar möglichst "script-kiddy-tauglich".

  2. #62
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    Ja, der Gedanke war vermutlich auch vorhanden - wobei das hier wegen der Möglichkeit von externer Auslösung schon noch etwas anderes ist und bei einer anderen Lücke habe ich 114 Tage nach der Meldung (und mehrfachen Erinnerungen, daß da noch eine Reaktion aussteht) das ja bereits einmal praktiziert. Aber das war vielleicht schon zu spät, um wirklich als deutliches Signal meinerseits wahrgenommen zu werden.

    Ich habe mich aber in der Antwort an AVM auf die letzte Mail (hoffentlich) deutlich genug geäußert und unmißverständlich klargestellt, daß ich das künftig nicht mehr unnötig hinauszögere. Wenn AVM einer Lücke eine "mittlere Dringlichkeit" attestiert und daraus resultiert eine Verschiebung auf das nächste Major-Release (wobei mich beim Base-Score von 7.5 für #515119 schon die Frage plagt, wo AVM die Grenze für eine "hohe Dringlichkeit" zieht) und dieses liegt außerhalb der 90 Tage + "Gnadenfrist" bei Zusage der zeitnahen Veröffentlichung, dann kommt das "auf den Tisch".

    Wenn AVM sich bei der Einschätzung irrt, ist das nicht mein Problem und wenn es wieder mal zu lange dauert bis zum nächsten "major release", dann gibt es ja vielleicht wirklich irgendwann mal auch von AVM so etwas wie ein monatliches (wie bei MS, Adobe, usw.) oder zumindest vierteljährliches Update (wie bei Oracle), in dem die Erkenntnisse der letzten drei Monate (das macht dann sogar noch die bewußte "Verlängerung" möglich für Meldungen, die innerhalb der letzten Woche vor Redaktionsschluß eingehen) in Form einer "noch besseren Firmware" (da lasse ich das dann auch gelten) gipfeln.

    Den neuen Termin für den Exploit (so langsam klingt das sogar viel zu hochtrabend, wenn man erst einmal weiß, wie banal das am Ende ist) wird jedenfalls auch kein weiterer Appell von AVM an mein Gewissen verschieben, abgesehen davon gibt es gar nicht genug Modelle, die man noch in der gleichen Frequenz mit einem Update versorgen könnte, damit das nicht nach 14 Tagen dann ebenfalls als Argument entfällt.

    Mir wurde ja aufgetragen, in dieser Richtung einfach einmal selbst zu recherchieren und so bin ich eben ganz naiv den leichten Weg gegangen und habe abgezählt, wieviele FRITZ!Boxen es der AVM-Seite nach gibt (bei Produkte), das kommt - inkl. DOCSIS, LTE und "Glasfaser" - auf 16 Modelle.

    Wobei ich das bei der 5490 zu lesende
    Exklusiv vom Provider

    Die FRITZ!Box 5490 ist für Glasfaseranschlüsse optimiert und wird von vielen Netzbetreibern angeboten.
    auf der deutschen Version der Seite auch schon wieder für Wunschdenken halte ... vielleicht kennt ja tatsächlich jemand wenigstens einen deutschen Glasfaser-Provider, der auch die 5490 im Angebot hat? Ansonsten muß man die vielleicht wieder abziehen. Vielleicht in der Schweiz (da kenne ich tatsächlich einen Provider, der einen Feldtest gemacht hat) oder in den Niederlanden, wie mal angekündigt? Wobei die sich dann auch alle sehr zurückhalten müssen beim Bewerben dieses Angebotes, die Suche bei Google bringt da nicht wirklich Ergebnisse (oder ich stelle mich nur zu dumm an).

    Läßt man dann mal eine Suche auf die Dateien auf dem AVM-FTP-Server los (einfach per "find -ls" über "ftpfs" erstellt), sieht das im Moment so aus:
    Code:
    # grep -r "[A-Za-z]\{3\}[ \t]*[0-9]\{1,2\}[ \t]*[0-9]\{1,2\}:[0-9]\{1,2\}" /tmp/avm.ftp.files | grep "\(Jan\|Feb\)" | grep ".*\.image\$"
       397 23812 -rw-r--r--   1 root     root     24381440 Feb  2 13:13 /ftp/avm/fritzbox.3490/firmware/deutsch/FRITZ.Box_3490.140.06.80.image
       545 23272 -rw-r--r--   1 root     root     23828480 Feb  2 17:43 /ftp/avm/fritzbox.7362_sl/firmware/deutsch/FRITZ.Box_7362_SL.131.06.80.image
       565 20412 -rw-r--r--   1 root     root     20899840 Feb  9 19:20 /ftp/avm/fritzbox.7412/firmware/deutsch/FRITZ.Box_7412.137.06.80.image
       574 23252 -rw-r--r--   1 root     root     23808000 Feb 13 15:07 /ftp/avm/fritzbox.7430/firmware/deutsch/FRITZ.Box_7430.146.06.80.image
       592 26420 -rw-r--r--   1 root     root     27054080 Jan 23 14:03 /ftp/avm/fritzbox.7490/firmware/deutsch/FRITZ.Box_7490.113.06.80.image
       595 26872 -rw-r--r--   1 root     root     27514880 Feb  3 13:55 /ftp/avm/fritzbox.7490/firmware/deutsch_a-ch/FRITZ.Box_7490.en-de-es-it-fr-pl.113.06.80.image
       598 26872 -rw-r--r--   1 root     root     27514880 Feb  3 13:54 /ftp/avm/fritzbox.7490/firmware/english/FRITZ.Box_7490.en-de-es-it-fr-pl.113.06.80.image
       634 23012 -rw-r--r--   1 root     root     23562240 Jan 30 10:03 /ftp/avm/fritzbox.7560/firmware/deutsch/FRITZ.Box_7560.149.06.81.image
       640 22992 -rw-r--r--   1 root     root     23541760 Jan 31 13:44 /ftp/avm/fritzbox.7560/x_misc/deutsch/firmware_alt/FRITZ.Box_7560.149.06.80.image
       647 23592 -rw-r--r--   1 root     root     24156160 Jan 25 18:03 /ftp/avm/fritzbox.7580/firmware/deutsch/FRITZ.Box_7580.153.06.81.image
       653 23592 -rw-r--r--   1 root     root     24156160 Jan 31 13:18 /ftp/avm/fritzbox.7580/x_misc/deutsch/firmware_alt/FRITZ.Box_7580.153.06.80.image
      1160 20052 -rw-r--r--   1 root     root     20531200 Feb  6 15:22 /ftp/avm/fritzbox.fon_wlan_7360_v2/firmware/deutsch/FRITZ.Box_Fon_WLAN_7360.124.06.80.image
      1187 17220 -rw-r--r--   1 root     root     17633280 Feb  8 15:05 /ftp/avm/fritzbox.fon_wlan_7390/firmware/deutsch/FRITZ.Box_Fon_WLAN_7390.AnnexB.84.06.80.image
    Das sind also schon mal 9 verschiedene Modelle in dieser Liste (auf der "Produkte"-Seite sind es 16 oder 15), die bereits das Update erhalten haben und wenn AVM das in dieser Frequenz fortsetzt, sollten die Updates für die verbleibenden 7 oder 6 Modelle in (inzwischen) 12 Tagen sicherlich existieren. Daraus sollte sich also kein Grund für eine weitere Verschiebung ergeben.

    Ob AVM dann generell so "angepisst" ist, daß man mir überhaupt nicht mehr auf Meldungen von Schwachstellen antwortet, werde ich auch in Kürze wissen, da ich in der Mail vom 10.02.2017 03:49 Uhr diese Lücke detaillierter beschrieben habe, da ja nunmehr die nächste Version erschienen ist und die (m.E. schon im Dez. 2014 mitgeteilte) Schwachstelle nach wie vor vorhanden ist.

    Damals war das mehr eine Randnotiz, weil es noch ganz andere Möglichkeiten der Ausführung eigener Kommandos auf einer FRITZ!Box gab (wir erinnern uns alle an den Telnet-Zugang), heute ist es eben eine RCE-Lücke, weil "remote" zur FRITZ!Box eben auch das LAN ist und nicht nur die WAN-Seite (wobei das sogar hier funktionieren würde, aber eben nicht ohne entsprechende Rechte - hoffentlich jedenfalls).

    Jedenfalls werde ich es ja merken, ob AVM es für notwendig erachtet, mir für diese Schwachstelle eine Incident-Nummer zuzuweisen - bisher sind zwei Werktage vergangen, ohne daß ich entsprechende Nachricht von AVM erhalten hätte. Mein "Gang an die Öffentlichkeit" nach der letzten Mail trägt sicherlich auch ein Übriges zum Verdruß bei ... ich lasse mich einfach überraschen und die größte Überraschung wäre es dann, wenn sich AVM tatsächlich öffentlich (hier oder anderswo) äußert oder "Schritte macht".

    [ Ich falle jedesmal fast vom Stuhl vor Schreck, wenn ich bei der "Durchsicht" von "social media activities" (der Gedanke kam mir jetzt bei der Überlegung, wo AVM so etwas machen könnte, ohne daß es nur als "Proklamation" daherkommt, auf die niemand reagieren kann) die immer gleichen Texte bei Facebook lese, mit denen z.B. die "interessanten Vorschläge an die Entwicklungsabteilung weitergegeben" wurden, denn da habe ich immer ein déjà-vu - bis ich dann in alte E-Mails schaue und wieder weiß, daß das gar keine Sinnestäuschung, sondern tatsächlich eine Wiederholung von Geschichte(n) ist - halt in einem anderen Medium.
    So ist jedenfalls mein (auch ab und an mal unvoreingenommener) Eindruck, wenn ich mir das aus reinem Spaß mal antue, wobei die AVM-Facebook-Seite vom "redaktionellen Inhalt" her ja mehr ein Billboard für Links auf Artikel auf avm.de ist und somit die "verschiedenen Kundenströme" dann doch nur wieder irgendwo "abgeholt" werden, um am Ende an derselben Stelle zu landen mit genau derselben "Ansprache" und denselben Inhalten, was irgendwie auch nicht in mein (Marketing-)Weltbild passen will - aber wenigsten muß sich keine Kundengruppe diskriminiert fühlen, da kriegen alle nur dasselbe. ]

    Ich diskutiere da jedenfalls auch in der Zukunft nicht mehr lange - wenn ich nach 28 KT keine zweite Reaktion erhalten habe (das habe ich AVM schon am 04.07.2016 per E-Mail verdeutlicht), sehe ich die Meldung als "abgehakt" an und die Policy mit den 90 (+ 15) Tagen ist dann ebenfalls hinfällig; die gilt nämlich nur für den Fall, daß der Hersteller auch reagiert - das ist genauso Teil von "responsible disclosure" und die "Empfehlungen" zur Reaktionszeit kann jeder wieder in den BSI-Dokumenten nachlesen.

    Da sind 4 Wochen schon wieder sehr langmütig - wenn in dieser Zeit keine Beschäftigung mit der Meldung erfolgte und keine Einschätzung zur Relevanz vorliegt (die darf auch gerne einen CVSS-Wert beinhalten, dann kann man das besser nachempfinden), dann kann das Problem nicht groß genug sein, als daß es weiterer Kommunikation bedarf und kann unter "Randnotizen" in der Grube mit den anderen "Sünden" landen und als (gutes oder schlechtes) Beispiel öffentlich verwurstet werden, wenn es daraus etwas zu lernen geben könnte. Für eine reine "Eingangsbestätigung" halte ich schon eine Woche für sehr lang (und das erlaubte Maximum) ... das geht auch wieder nicht nur mir so, das habe ich irgendwo auch in einer PDF-Datei gelesen.



    Vielleicht OT, aber vielleicht doch nicht so ganz ...

    Ich habe parallel noch einmal nachgesehen, was wirklich jeweils zu behobenen Problemen "verlautbart" wurde ... und siehe da, das waren am Ende alles "Sicherheitsverbesserungen". (EDIT: bei der 06.80, nicht in der gesamten AVM-History.)

    Nun macht es ja einen gewaltigen Unterschied, ob man etwas Gutes noch weiter verbessert oder ob man etwas Kaputtes dadurch "verbessert", daß man es erst einmal repariert.

    Das ist eben ein weiteres Beispiel dafür, wie AVM in Bezug auf Sicherheitsprobleme der Firmware permanent mauert (solche Probleme sind nun mal keine Schande und wer einer Firma wirklich glaubt, ihre Software wäre rundum sicher, dem ist ohnehin nicht zu helfen bzw. der hat halt keine Ahnung) und das nicht nur beim konkreten Benennen von Problemen, sondern schon beim Vermeiden jedes Eindrucks, etwas könnte "schlecht" sein bei AVM ... dort ist alles nur "gut" und alles das, was mit "gut" nicht ausreichend gewürdigt ist, ist dann besser. Das hatten wir letzens erst bei der Gegenüberstellung der Eigenschaften der beiden WLAN-Bänder auch schon.

    Aber bei der Beurteilung des vorhergehenden Zustands ergibt es eben einen erheblichen Unterschied, ob man ein Sicherheitsproblem behoben hat oder etwas zuvor "nicht Problembehaftetes" tatsächlich nur besser machte und schon bei solchen Kleinigkeiten geht es eben bei AVM los. Ich behaupte ja schon seit langer Zeit, daß man sich bei AVM (häufig jedenfalls) sehr genau überlegt, was man da schreibt und das am Ende so lange hin und her schiebt, bis es nie vollkommen falsch ist, aber beim Leser dann doch der falsche Eindruck fast unvermeidlich ist.



    Insofern hast Du vermutlich sogar Recht ... ich hatte bisher immer zuviel Geduld. Jetzt brauche ich halt nur noch einen Mechanismus, wie man sowohl die (vertrauliche) Meldung an den Hersteller als auch die rechtzeitige Veröffentlichung nicht behobener Schwachstellen auf einen Schlag erledigen kann, ohne sich dann erneut mit einer gefundenen Lücke befassen zu müssen (und das ggf. zu vergessen) und für das "responsible" und die eingeräumte Zeit zur Behebung zusätzlichen eigenen Aufwand zu generieren.

    Bei solchen Angeboten wie HackerOne macht AVM ja nicht mit und Open Bug Bounty hat ein Imageproblem und kümmert sich auch in erster Linie um Webseiten, was hier ja nicht der Fall ist. Da gehen mir dann die Ideen auch etwas aus ... vielleicht wäre es ja tatsächlich auch für AVM mal eine Überlegung wert, sich eine "disclosure policy" zuzulegen und diese dann auch so zu veröffentlichen, daß man sie finden kann.

    Aber dazu bräuchte es auf der anderen Seite ja auch wieder das "Eingeständnis", daß man tatsächlich nicht perfekt ist und daß es so viele Probleme geben könnte, daß man diese einer "geordneten Bearbeitung" zuführen muß.

    Im Moment klappt vermutlich nicht einmal die Zuordnung von Incidents zu Findern vernünftig ... bei der Nachfrage von AVM, wie ich denn gerne genannt werden möchte, wenn man derartige Danksagungen dann veröffentlicht, waren von 7 gemeldeten und von AVM schriftlich bestätigten Incidents aus der Zeit seit Juni 2016 gerade einmal 4 als potentielle "Kandidaten" aufgeführt. Einer von diesen sieben wurde zwar bestätigt und seine Behebung angekündigt, das führte aber noch nicht dazu, daß das auch wirklich Eingang in die Firmware fand - den könnte man also noch als "unklar" bei der Zuordnung einstufen.

    Auch die (öffentlich gemachten) Gedanken und Vorkehrungen in so einer "disclosure policy" gehören eben dazu (auch wirklich Große wie Microsoft oder Apple haben das inzwischen begriffen und sogar von Netgear gibt es inzwischen etwas in dieser Richtung) ... genauso wie das Einhalten von Terminen für Wiedervorlage und die (herstellerseitige) Information der Finder, wenn sich zuvor gemachte Zusagen aus irgendwelchen Gründen verschieben. Es kann ja nicht so schwer sein, anhand einer Datenbank mit den zu behebenden Schwachstellen und auf der Basis der E-Mail-Adressen von deren Findern beim Verschieben irgendwelcher Termine entsprechende E-Mails zu generieren ... das machen Spam-Versender jeden Tag millionenfach.

    Wobei die gemachten Angaben bisher ohnehin meist so vage sind, daß man sie in der Pfeife rauchen kann, denn was sagt ein Satz wie "Wir planen das Release ca. Q3/2016." in einer Mail vom 05.07.2016 eigentlich genau aus ... er bringt nur einen (vermutlich unverwüstlichen) Optimismus zum Ausdruck, denn mir kann niemand ernsthaft einreden, daß man in den verbleibenden drei Monaten (davon gehen vermutlich noch die Sommerferien in Berlin ab, wenn ein Großteil der Mitarbeiter Kinder im passenden Alter hat) tatsächlich davon ausging, innerhalb des Q3 eine neue Version an den Start zu kriegen - den "Ist-Stand" am Beginn von Q3 sollte man da ja schon gekannt haben.



    Egal ... ich gerate schon wieder ins Träumen; aber ich wage mal die Hypothese, daß sich AVM in den nächsten zwei bis drei Jahren einiges überlegen muß, denn die "security domain" einer FRITZ!Box ist eben nicht mehr (wie das früher der Fall war) die Box selbst und das LAN, sondern nur noch die Box. Alles andere ist (in Zukunft mit jedem weiteren IoT-Gadget) sogar Feindesland und im Prinzip nicht anders zu behandeln (wenn es um den Zugriff auf die Box selbst geht und nicht um "transit"), als jeder Zugriff auf der WAN-Seite.

    Das beginnt zwar als Erkenntnis um sich zu greifen (einige Verbesserungen wie die 2FA zeigen eben, daß man sich nicht mehr nur auf Benutzername/Kennwort bzw. SID verlassen will, wenn es um den Zugriff auf die Box geht), aber es geht (nicht nur für mich, sondern objektiv) einfach zu langsam (nochmal, andere Hersteller sind noch schlechter, das schützt aber die FRITZ!Boxen noch lange nicht davor, auch angegriffen zu werden und da interessiert es im Erfolgsfall "keine Sau" mehr, daß der Router beim Nachbarn aber viel schlechter abgesichert gewesen wäre) und so wird man von der Entwicklung einfach überrollt.

    Dann kommen eben auch noch "handwerkliche Fehler" dazu, denn mir kann niemand wirklich einreden, daß irgendjemand die Entscheidungen bei der 2FA noch einmal in einem größeren Kreis von Leuten, die sich mit dem FRITZ!OS auskennen, diskutiert hat. Wenn in so einem Kreis tatsächlich nicht aufgefallen wäre, daß zwar der Export der Einstellungen über die 2FA abgesichert ist, aber weder das Setzen des Flags für die "erweiterten Supportdaten" noch das Ausgeben der eigentlichen Support-Datei und daß damit die kompletten Einstellungen genauso gut zu entwenden wären, dann stimmt etwas an der Zusammensetzung dieses Kreises oder an der Intensität der Beschäftigung mit dem Thema nicht. Ich konnte jedenfalls bei meiner 7490 ohne jedes Problem die Einstellungen auf der Support-Seite ändern und die Datei abrufen, obwohl die Sitzung "frisch" war und die Box die 2FA aktiviert hatte. Und so etwas zähle ich dann tatsächlich zu "handwerklichen Fehlern", wenn das weder in der Entwicklung noch in der QS auffällt - auf die (plausible) Erklärung dafür wäre ich einfach auch mal gespannt. Das ist zwar keine "neue" Lücke, aber eine, die neu eingeführte Maßnahmen zu einem guten Teil ad absurdum führt ... außer man war "noch nicht fertig"; dann stellt sich halt die Frage, warum man dann nicht erst "fertig gemacht hat".

    Wenn der Kunde bei sich jedenfalls daheim eine "security cam" installiert (die Dinger gibt es beim Discounter) und die bohrt sich erst einmal einen Tunnel durch die FRITZ!Box zu irgendeinem Server des Herstellers (möglichst noch durch eine eigene Portfreigabe und nicht nur durch die selbst aufgebaute TCP-Verbindung), damit der Kunde die "von überall" per App steuern kann, dann ist zumindest schon mal die Frage nach dem "relay" im LAN für einen Angriff auf die FRITZ!Box beantwortet, wenn man sich einige dieser Gerätschaften so ansieht (und wieviel Ahnung hat der durchschnittliche Benutzer davon, warum das eben nicht nur eine Komfortfrage ist).

    Und so wird das weitergehen ... die (schlecht konfigurierte) Set-Top-Box mit Enigma2 und ins Internet freigegebenem HTTP-Interface ist genauso ein potentielles Ziel wie irgendein FireTV-Stick oder irgendein anderer HDMI-Stick mit entsprechenden Fähigkeiten ... bis hin zum Smart-TV mit Android-System und Zugang zu irgendwelchen "verseuchten" App-Stores. Wenn die Ransomware nicht mehr den Fernseher ins Visier nimmt, sondern eine Schadsoftware den Router angreift, dann muß der sich eben "wehren" können bzw. bereits zu diesem Zeitpunkt so "gehärtet" sein, daß er der Malware keine (bekannte) Angriffsfläche bietet.

    Die "normalen Leute" haben doch heute gar keine Ahnung mehr von den Risiken, die mit neuen Geräten einhergehen (müssen sie auch nicht haben) und so muß man eben auch auf der LAN-Seite eines so zentralen Gerätes, wie es ein Internet-Router im Haushalt nun einmal ist, dafür sorgen, daß da entsprechende Sicherheit vorhanden ist. Das sehe ich eben bei der FRITZ!Box noch lange nicht erreicht ... und das angesichts der Tatsache, daß man ja - immer unter der Annahme, daß die kolportierten Zahlen stimmen - in Deutschland bei den privaten Internetzugängen schon so etwas wie eine "Monokultur" bei den Consumer-Routern hat.

    Wenn ich das richtig in Erinnerung habe, waren das bei der Telekom bei der Speedport-Geschichte weniger als 1 Mio. betroffene Geräte ... man stelle sich jetzt einfach einmal vor, über eine Sicherheitslücke im FRITZ!OS könnten unbemerkt 25% der (als Hausnummer) 20 Mio. FRITZ!Boxen in Deutschland übernommen werden durch die Installation einer eigenen Firmware des Angreifers. Das wären dann 5 Mio. Bots, die auf Zuruf an ihrem Anschlüssen (die im Upstream irgendwas zwischen 1 MBit/s und 40 MBit/s schaffen) Datenverkehr erzeugen könnten, der nicht nur jedes Providernetz hoffnungslos überlastet (da muß man dann noch fast "zum Glück" schreiben, weil so ein Engpass im Providernetz natürlich die weiteren Auswirkungen begrenzt), sondern wohl auch so ziemlich jede öffentliche oder gesellschaftlich relevante Webpräsenz ohne jede Diskussion aus dem Netz wirft. Der (m.W.) bisher heftigste DDoS-Angriff im vergangenen Jahr soll es auf 1,5 TB/s gebracht haben bei ca. 1 bis 1,5 Mio. gekaperten Geräten. Das ist also auch eine richtige "Macht", die so einem Angreifer damit in die Hände geraten kann und ...

    da trägt dann in der heutigen Zeit eben auch ein Router-Hersteller (denn das sind genau die Geräte, die 24/7 in den Privathaushalten ununterbrochen laufen) eine gehörige Portion Verantwortung, der er auch gerecht werden muß. Dazu gehört für mich auch der offene Umgang mit diesem Thema und nicht das "Einschläfern" der Kunden durch ein "Eiapopeia, wir machen das schon alles für Euch und verbessern das auch ständig nur, Probleme gab es erst einmal (oder zweimal, wenn man den UPnP-Bug zuvor dazurechnet) in der Firmengeschichte." - insofern spielt eben sogar das "wording" beim Formulieren einer Pressemitteilung oder einer Ankündigung einer neuen OS-Version auf der eigenen Webseite eine Rolle, ob die Botschaft klar und deutlich ins Bewußtsein der Adressaten gelangt oder nur das übliche Gesäusel ist.

    Wie gesagt ... bisher ist das alles noch Spaß, weil sich niemand wirklich die Mühe macht. Mit einem kabelgebundenen Computer an einer FRITZ!Box (das kann auch der RasPi sein, wenn man es nur demonstrieren will) ist aber die Übernahme einer FRITZ!Box (bei jedem Start dieser FRITZ!Box) kein wirkliches Problem (bei einer DOCSIS-FRITZ!Box vielleicht noch) und auch bei einem WLAN-Angreifer lassen sich noch genug Mittel und Wege finden, Schwachstellen der FRITZ!Box auszunutzen (hier halt nicht so einfach wie beim Start mit dem LAN-Kabel).

    Auch unter diesem Aspekt ist es eben in meinen Augen falsch, wenn AVM den Boxen immer mehr Funktionen aufhalst mit jedem neuen Update und der Kunde muß die "schlucken" (ggf. sogar mit neuen Lücken), anstatt daß man mindestens denselben Aufwand in die Behebung erkannter Schwachstellen investiert und neue Funktionen erst von einer wirklich sicheren Basis aus in Angriff nimmt.

    Es gäbe noch so vieles in puncto Sicherheit auf der LAN-Seite zu tun ... das geht beim nicht mehr optionalen HTTPS-Zugriff auf das GUI los (damit eben niemand eine SID einfach beim "Sniffen" erbeuten kann), zieht sich über die (m)DNS-Implementierung bis zu den APIs und einer ordentlichen Trennung zwischen "System" und "Benutzer" bei den Dateien im NAS-Speicher (womit dann meine aktuellen Lieblingsthemen mal kurz und knackig angerissen wären), da könnte man AVM vermutlich mind. zwei Monate alleine mit den offensichtlichen Problemen beschäftigen und braucht dazu gar keine neuen Funktionen, die auch erst einmal neue Probleme mit sich bringen und dann bei einigen Kunden durch Fehlfunktionen sogar das Update auf eine sichere Version verhindern. Das soll jetzt auch nicht heißen, daß ich genug Schwachstellen für 2 Monate Arbeit kenne, aber für 2 Wochen (bei AVM vermutlich auf mehrere "Zuständigkeiten" verteilt) reicht es vermutlich schon und dann muß man ja nicht immer warten, bis neue Schwachstellen "von außen" gemeldet werden, man kann die ja auch selbst aktiv mit "code reviews" (oder auch dem Überdenken alter Design-Entscheidungen) versuchen zu bekämpfen. Sollte das tatsächlich (auch mit den notwendigen Nachdruck) bereits passieren, stellt sich die Frage, warum man von außen immer wieder so viele (teils auch banale) Probleme finden kann - wenn die "internen" Tester dann (mit dem Vorteil der Kenntnis von vorhandenem Code ausgestattet) auch in entsprechender Frequenz Lücken aufzeigen und schließen lassen, dann ist es um das FRITZ!OS aber noch schlechter bestellt, als ich es als "Schwarzseher" (ich meine meinen Pessimismus, nicht meinen Fernsehkonsum) für wahrscheinlich halte.

    Gibt es irgendwann mal die Sicherheitsupdates gesondert, stellt sich das Problem ungewollter Änderungen auch nicht mehr und vor allem können solche Updates dann auch schon ausgeliefert werden, wenn die neuen Funktionen (ganz unerwartet, das konnte ja niemand ahnen) doch wieder länger brauchen als vorgesehen. So ganz ideal funktioniert ein "agiles" Vorgehen bei einer Firmware ja vielleicht doch nicht ... da, wo bei einem Werksvertrag dann halt der einzelne Kunde mit dem Ergebnis leben kann und muß, wenn Zeit und Budget aufgebraucht sind, da ist ein einzelner "product owner" (auch wenn das vielleicht der Produkt-Manager sein mag, wobei ich da schon wieder "Konflikte" sehen würde, wenn sich der für die 7490 und die 7580 zuständige PM in die Haare kriegen, wessen Produkt denn nun "attraktiver" sein soll, weil ggf. die eigenen Boni davon abhängen) stellvertretend für ca. 20 Mio. Kunden (oder meinetwegen auch nur 10 Mio., wenn der Rest noch ältere Modelle (die dann auch gleich wieder angreifbarer sind) verwenden sollte) dann vielleicht doch etwas überfordert ... wobei natürlich für Security-Fixes sich die Frage "Schaffen wir das bis zum Release noch oder nicht?" gar nicht erst stellen dürfte - nicht mal für "niedrige Dringlichkeit" (entweder es ist ein Problem, dann muß es auch behoben werden oder es ist keines, aber "ja, eigentlich schon, machen wir dann ..." ist in diesem Fragen einfach keine klare Haltung), weil die in Kombination mit der nächsten (weniger wichtigen) Lücke ganz schnell wieder zum Bumerang werden kann und deren genauen Zeitpunkt kann niemand vorhersagen.

    Kein Problem kann ohne passende, eigene Untersuchung als zu klein und irrelevant eingeschätzt werden ... daß sich daraus auch (selbst wenn es nur aus dem LAN und vom berechtigten Admin (vordergründig) ausgenutzt werden kann) ein richtiges Problem ergeben kann (bis hin zur "command injection", die der normale Kunde gar nicht selbst beseitigen könnte), hat ja diese Lücke bereits gezeigt und das könnte schon der Provider bei einen Leihgerät für den Kunden durchziehen oder eben eine Malware, die einfach auf die vorhandenen Einstellungen pfeift und die Box zurücksetzt beim TFFS-Schreiben (gut, das fällt bei massenhafter Verbreitung dann auch wieder auf, wenn jede Menge Boxen genau einmal die Einstellungen total vergessen und dann nicht mehr "auffällig" werden).
    Geändert von PeterPawn (14.02.2017 um 07:44 Uhr)

  3. #63
    IPPF Fünfhunderter
    Registriert seit
    12.09.2008
    Beiträge
    598
    Peter,

    bei allem Respekt - und sei mir bitte nicht böse - aber solch lange Texte lesen vermutlich nur wenige hier.

    Damit geht ein gewisses Risiko einher, dass durch nur noch vereinzelte Rückmeldungen ein nicht mehr repraesentatives Meinungsbild entsteht.

    LG, Goggo
    Provider: T-Home Entertain mit VDSL50-VOIP
    Router: Fritzbox 7490 mit FritzOS 6.80 + Freetz
    Add-On: AVM 450e, AVM 1750e, 3x Netgear GS108E
    Telefone: 2x Fritzfon C4, 3x Eurit 567 (MT-C); ".

  4. #64
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    Da ist etwas dran ... wird auch zu dem Thema nicht mehr vorkommen - es ist alles "gesagt".

    Aber ich kann so wenigstens für mich reklamieren, daß ich es (auch hier) noch einmal niedergeschrieben habe und es die Chance gab, es zu lesen (notfalls auch, es irgendwann bei einer Google-Suche mal zu finden, wenn es im Suchmaschinen-Index gelandet ist); "zwingen" kann (und will) ich ohnehin niemanden dazu.

    Die Umfrage ist ja ohnehin durch, das "Meinungsbild" (mal von anderen Wortmeldungen abgesehen) damit auch geklärt. Wollte halt nur nicht als "der Depp" dastehen, den man am Nasenring per E-Mail weiter durch die Manege zieht.

  5. #65
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    316
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Wollte halt nur nicht als "der Depp" dastehen, den man am Nasenring per E-Mail weiter durch die Manege zieht.
    Spätestens an dieser Stelle könnte man aber auch mal selbstkritisch hinterfragen, ob es einem nun vorrangig um die Sache (also Fritzbox-Nutzern zu einem sicheren/besseren Produkt zu verhelfen) oder um das persönliche Befinden (sich nicht wie ein "Depp" vorkommen) geht. Bei letzterem wird weder AVM noch dieses Forum eine wirklich befriedigende Antwort liefern können.

  6. #66
    IPPF Achttausend-VIP Avatar von koyaanisqatsi
    Registriert seit
    24.01.2013
    Ort
    Berlin (Neukölln)
    Beiträge
    8.742
    Hat er doch schon, und hier lang und breit, seitenweise dargelegt.

    Die blumige Andeutung auf den Ring in der Nase
    Assoziiere ich eher mit: Informationsmittelalter
    Wie "Damals" werden "Wahrheiten" aggressiv gehortet und möglichst auch nicht mehr rausgegeben.
    Wer sich unbeliebt macht wird "exkommuniziert".
    Geändert von koyaanisqatsi (15.02.2017 um 15:17 Uhr)
    Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt (Albert E.) mfg koy
    Anschluss: 1&1 Komplett VDSL 50/10 DS
    Fritz!Box: 7560 FRITZ!OS 6.83 & 6.52 & 1x 7112 (WDS Basis), 3x 7113 (Repeater)
    Telefonie: Rotes Posttelefon, 2x snom320-SIP 8.7.5.44, 2x (billig) DECT, 1x Fax (MuFuG)

    SmartHome: SensorAndSwitch auf Rasperry Pi mit OSMC/KODI (Jessie/Sarge)

  7. #67
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    Der letzte längere Beitrag begann halt als Antwort auf #61 und die dort vermutete Annahme bei AVM: "den kriegen wir schon per E-Mail gemanaged".

    Das mit dem Nasenring ist die bekannte Metapher in Bezug auf den Tanzbären, den man durch die Manege zieht und wegen der schriftlichen "Nähe" zwischen "Manege" und "manage" gewählt worden.

    Ich hoffe mal, es geht hier dann auch wirklich um die Thematik dieses Threads beim "Einwurf von der Seitenlinie" (das wäre m.E. - ungeachtet des ursprünglich von mir gewählten Titels - dann "AVM und die Behandlung von Schwachstellen oder was heißt "responsible disclosure" im Kontakt mit AVM genau und wie sollte oder muß man sich verhalten?") und nicht um eine Fortführung von Auseinandersetzungen an anderen Stellen.

    Ob man mich nun als "Deppen" ansieht oder nicht, kann ich ohnehin nur mit (hoffentlich) vernünftigen Reaktionen und logisch vorgetragenen Argumentationsketten beeinflussen und da gebe ich mir zumindest Mühe. Es muß auch niemand lesen ... bei manchem bin ich sogar dankbar, wenn ich in seiner "Ignorieren"-Liste stehe.

    Hat jemand inhaltliche Fragen/Anmerkungen/Korrekturen, immer her damit ... bei der "Ergründung meiner Motive" kann man aber auch schnell Schiffbruch erleiden (sind mir ja manchmal selbst nicht so ganz klar) und diese Motive sollten ja auch immer noch keine Auswirkungen darauf haben, ob man ein Argument zutreffend und nachvollziehbar findet oder nicht.

    Daß jeder die Argumentation sucht, die seiner Meinung (und meinetwegen auch seinen Motiven) am ehesten dient, ist "natürlich" - aus einem Argument direkt auf ein Motiv zu schließen, ist fragwürdig ... wird aber auch immer wieder gerne zur Diskreditierung des Opponenten angewandt; Beispiel: "Du bist gegen die Einrichtung von Netzsperren? Du findest es also richtig, wenn Kinderpornographie verbreitet wird und hast Angst, damit selbst nicht mehr daran zu gelangen." - ein vollkommen unzulässiger Schluß aus einer Haltung samt ggf. vorgetragener Argumentation an der einen Stelle auf eine Motivlage an einer anderen und auch eine nicht gerade unbekannte Art einer Scheinargumentation: https://de.wikipedia.org/wiki/Typen_...lechter_Motive ... bis hin zum "argumentum ad hominem".

  8. #68
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    316
    Wie bei vielen Dingen kann die Überlegung hilfreich sein, was man denn nun eigentlich erreichen will. Wenn es Dir darum geht, dass AVM Deinen Meldungen mehr Gewicht beimisst, dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein. Oder würdest Du selbst auf solche Mittel im Sinne dessen, der sie anwendet, reagieren?

    Hilfreich könnte ggf. sein, wenn Du Dich in den Kontakten mit AVM kürzer hältst - sofern Du da ähnlich ausschweifend warst wie hier im Forum.

    Aber auch dann musst Du damit rechnen, dass man bei AVM die Dinge anders einschätzt als Du. Und dann kann man sich die Frage stellen, ob es angebracht ist, AVM zu Deiner Sicht der Dinge "zwingen" zu wollen.

    Zitat Zitat von PeterPawn Beitrag anzeigen
    Es muß auch niemand lesen ... bei manchem bin ich sogar dankbar, wenn ich in seiner "Ignorieren"-Liste stehe.
    Wenn das auch für AVM gilt, kannst Du Dir obige Überlegungen freilich sparen.

  9. #69
    IPPF Achttausend-VIP Avatar von koyaanisqatsi
    Registriert seit
    24.01.2013
    Ort
    Berlin (Neukölln)
    Beiträge
    8.742
    Worum es ging?

    Ich will es mal so beschreiben...
    (Movie: Darkstar)
    Astronaut: Bombe, du hattest eine Fehlfunktion, fahre dich bitte wieder ein...
    Phantasie ist wichtiger als Wissen, denn Wissen ist begrenzt (Albert E.) mfg koy
    Anschluss: 1&1 Komplett VDSL 50/10 DS
    Fritz!Box: 7560 FRITZ!OS 6.83 & 6.52 & 1x 7112 (WDS Basis), 3x 7113 (Repeater)
    Telefonie: Rotes Posttelefon, 2x snom320-SIP 8.7.5.44, 2x (billig) DECT, 1x Fax (MuFuG)

    SmartHome: SensorAndSwitch auf Rasperry Pi mit OSMC/KODI (Jessie/Sarge)

  10. #70
    IPPF-Fan
    Registriert seit
    26.05.2011
    Beiträge
    210
    Zitat Zitat von robert_s Beitrag anzeigen
    Wie bei vielen Dingen kann die Überlegung hilfreich sein, was man denn nun eigentlich erreichen will. Wenn es Dir darum geht, dass AVM Deinen Meldungen mehr Gewicht beimisst, dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein. Oder würdest Du selbst auf solche Mittel im Sinne dessen, der sie anwendet, reagieren?

    Hilfreich könnte ggf. sein, wenn Du Dich in den Kontakten mit AVM kürzer hältst - sofern Du da ähnlich ausschweifend warst wie hier im Forum.

    Aber auch dann musst Du damit rechnen, dass man bei AVM die Dinge anders einschätzt als Du. Und dann kann man sich die Frage stellen, ob es angebracht ist, AVM zu Deiner Sicht der Dinge "zwingen" zu wollen.
    So sieht's aus. Keine langen Texte. Einfach melden mit Ankündigung "Veröffentlichung Datum X" und dann durchziehen. Keine Diskussionen, die sich nicht auf rein technische Aspekte der Lücke beziehen.

  11. #71
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    @sneaker2:
    Ich bin mir nicht sicher, ob das die Quintessenz dessen ist, was @robert_s in seinem Beitrag zum Ausdruck bringen wollte.

    @robert_s:
    Ich will AVM nicht zu meiner (ausschließlich persönlichen) "Sicht der Dinge" zwingen ... das wäre in der Tat unangebracht.

    Ich mache auf das "übliche Vorgehen" aufmerksam (die "best practices" des BSI richten sich auch nicht nur an AVM oder speisen sich nur aus meinen Ansichten) und habe tatsächlich das Ziel, ein Umdenken herbeizuführen - aber auch das nicht als "Selbstzweck", sondern weil ich die damit dann sicherlich einhergehenden Änderungen als vorteilhaft (sogar für beide Seiten, auch wenn das vordergründig vielleicht nicht so einfach einzusehen ist) ansehen würde (auch das geht eben wieder nicht nur mir so). Auch das also nicht nur, weil ich das generell für "richtig" und "angebracht" halte (nur deshalb, weil es irgendwo so niedergeschrieben wurde), sondern weil ich darin erhebliche Vorteile (für alle) sehe, die die Nachteile deutlich überwiegen.

    Entsprechende Argumentationen meinerseits gehen auch nicht erst mit diesem Thread los - solche Ansichten vertrete ich (seit mind. drei Jahren mehr oder weniger regelmäßig) auch in anderen Threads und Beiträgen und das würde ich bei Bedarf auch ggü. anderen Herstellern so machen, das richtet sich nicht gegen AVM "im Speziellen".

    Lediglich die umfangreiche Beschäftigung mit der AVM-Firmware und damit verbunden der häufiger erforderliche Kontakt zur "AVM-Security" lassen diesen Eindruck entstehen, wobei man mir vermutlich auch den Vorwurf eines eindimensionalen "AVM-Bashings" eher nicht machen kann.

    Ich versuche schon auch bei meiner Kritik (die sich auch immer gegen bestimmte Punkte richtet und (hoffentlich) auch immer versucht, eine Begründung zu liefern) noch einen halbwegs vernünftigen Standpunkt einzunehmen (zumindest aus meiner Warte) und nicht einfach "in blinder Wut" auf alles loszugehen, was von AVM kommt.

    Und falls die Überlegungen in #68 sich immer noch um meine Motive drehen sollten (ich gebe zu, daß ich da "gebranntes Kind" bin) ... die Frage nach den Zielen (was soll erreicht werden) hat immer noch nichts mit dem Motiv (warum soll es erreicht werden) zu tun. Mag sein, daß ich da Deine Beiträge seit einer anderen Diskussion "mit Vorbehalten" lese und etwas hineininterpretiere, was Du gar nicht meinst ... aber auch dann kann diese Klarstellung ja nicht wirklich schädlich sein.

    - - - Aktualisiert - - -

    Zu früh auf "Antworten" gedrückt ... bei der Aufzählung Deinerseits
    Zitat Zitat von robert_s
    [...] dann dürften häufiges Nachfragen, Ankündigungen von Veröffentlichungen, Ultimaten und Veröffentlichen von Exploits in dieser Reihenfolge zunehmend kontraproduktiv sein.
    hätte ich noch die Frage, was denn aus Deiner Sicht die denkbaren Alternativen wären?

    Gleich "full disclosure" (das braucht dann auch keine weitere Kommunikation) oder doch "laß die doch machen, wie sie selbst es für richtig halten" und nach der einmaligen(?) Meldung dann das Thema komplett abhaken? Wenn letzteres, wie lange dann genau? Bis zum Ablauf einer (ebenfalls einmalig) angekündigten Frist (welcher genau?) oder "auf ewig"?

    Ich will nur verstehen, welche Alternativen Du Dir genau vorstellst und das möglichst konkret.

  12. #72
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    316
    Zitat Zitat von PeterPawn Beitrag anzeigen
    hätte ich noch die Frage, was denn aus Deiner Sicht die denkbaren Alternativen wären?
    Da man als "Outsider" per se nur sehr begrenzte Wirkung haben kann: Eine Bewerbung bei AVM, um dann als Mitarbeiter die Dinge zu bewegen. Von außen weiß man ja nicht woran es hakt: Mangelnde Fachkompetenz, betriebswirtschaftliche Zwänge, schlecht optimierte Prozesse oder Strukturen, etc. Wenn man das alles mal sieht, kann man sehen, wo man ansetzen kann.

    Ansonsten kann ich aus meiner Erfahrung als "Outsider" bei einem grossen Softwarekonzern, der diesem bei einem Produkt schon früh sagte, dass die Idee zwar gut ist, aber der Entwicklungsansatz in die falsche Richtung geht, und nach Jahren dann hören durfte, dass Erhebungen ergeben hätten, dass das Nutzerverhalten tatsächlich nicht das von ihnen erwartete ist - sagen, dass es wenig bringt, es nur besser zu wissen oder auch zu können. Man muss es machen. Oder eben ganz bleiben lassen. Das Produkt wurde nach dieser Erkenntnis übrigens nicht etwa nach meinen Vorschlägen verbessert, sondern eingestellt...

  13. #73
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    Na ja, daraus kann ich jetzt zugegebenermaßen nicht ableiten, was Du in meinem Falle nun konkret für besser halten würdest ... das mit der Bewerbung bei AVM ist ja mehr "ein Scherz" (abgesehen davon, ist das Leben als "Angestellter" auch nicht jedermanns Sache und als "Externer" wird man in solchen Fragen ohnehin nichts bewegen können, wenn man nicht genau für eine solche "Beratung" engagiert wurde - das stelle ich mal als kühne These in den Raum) und irgendwo ist es am Ende für die Berechtigung zur Kritik eines Ergebnisses auch vollkommen egal, wo nun die Ursachen für dieses Ergebnis liegen mögen (solange es sich nicht um "objektive Unmöglichkeiten" handelt).

    Das wäre dann wieder Sache des Kritisierten, sich seinerseits zu überlegen, wie er (bei vorhandenem Interesse) die kritisierten Punkte am besten abstellt oder ändert.

    Auch ein "mach' es erst einmal besser, dann kannst Du mitreden" ist ja am Ende noch kein wirkliches Argument dafür, warum man sich selbst mit dem Erreichten zufrieden gibt (das kann sogar die Stellung der "prima inter pares" sein) und einer berechtigten Kritik damit zu begegnen, der Kritiker solle es erst einmal besser machen, gibt ja indirekt mehr oder weniger sogar zu, daß die Kritik berechtigt ist (oder es zumindest sein könnte), sonst könnte/würde/müßte man ihr ja anders begegnen.

    Das gilt am Ende auch für die Annahme (auch wenn das so nicht explizit im zweiten Absatz in #72 steht, könnte man ja beim "Weiterdenken" auf diese Idee kommen), ich könnte (oder wollte auch nur) nun meinerseits selbst ein Gerät wie die FRITZ!Box entwickeln und anbieten. Das disqualifiziert mich aber auch noch nicht automatisch, wenn es um die Kritik von Schwachstellen (in der Firmware und auch im Handling von Schwachstellen selbst) geht.

    Wobei ich bei einer FRITZ!Box mit einer komplett unter einer OpenSource-Lizenz stehenden Firmware tatsächlich schwach werden könnte und an einigen Stellen meinerseits Verbesserungen (zumindest aus meiner Sicht) dann auch konkret vorschlagen würde ... das geht bei der automatischen Verwendung einer TLS-Verschlüsselung beim Zugriff auf das GUI (auch von intern) los und setzt aber den Zugriff auf die Quellen des "ctlmgr" von AVM voraus, denn der ist (über ein paar Bibliotheken inzwischen, denn das hat AVM tatsächlich in den letzten 3-4 Jahren etwas "entflochten") für die Bedienung des HTTP-Interfaces zuständig.

    Kleines Update am Rande ... AVM "redet" zumindest soweit noch mit mir (das habe ich im letzten längeren Beitrag erwähnt, daß da noch etwas "aussteht"), daß ich heute um 16:00 Uhr eine E-Mail mit der der Bestätigung und der Zuweisung einer Incident-Nummer für eine am 10.02.2017 gemeldete RCE-Schwachstelle erhalten habe - ich habe das GitHub-Repository entsprechend geändert (unterhalb von "reported_threats").
    Geändert von PeterPawn (17.02.2017 um 15:45 Uhr) Grund: Stottern beseitigt

  14. #74
    IPPF-Fan
    Registriert seit
    01.06.2006
    Beiträge
    316
    Zitat Zitat von PeterPawn Beitrag anzeigen
    Auch ein "mach' es erst einmal besser, dann kannst Du mitreden" ist ja am Ende noch kein wirkliches Argument dafür,
    So war das aber überhaupt nicht gemeint. Ich habe selbst die Stufen "externer Hobbyist", "externer Berater", "interner Berater" bis "interner Entwickler" (bei teilweise unterschiedlichen Unternehmen) durchlaufen und kann sagen, dass direkt selbst anzulegen nach meiner Erfahrung am wenigsten frustrierend ist.

    Also das mit der Bewerbung war durchaus ernst gemeint. Du kennst die Software-Interna ja schon gut genug, dass Du da sofort produktiv mitarbeiten könntest. Sofern Du Dich mit denen auf eine geeignete Rolle und Bezahlung einigen, sowie Dich in das bestehende Team einfügen könntest, wäre das IMHO die ideale Lösung.

  15. #75
    IPPF-Aufsteiger
    Registriert seit
    11.09.2008
    Beiträge
    49
    Zitat Zitat von koyaanisqatsi Beitrag anzeigen
    Worum es ging?

    Ich will es mal so beschreiben...
    (Movie: Darkstar)
    Astronaut: Bombe, du hattest eine Fehlfunktion, fahre dich bitte wieder ein...
    Okay - ist ein wenig OT, aber: Dass Klassiker wie Darkstar noch Erwähnung finden ist bemerkenswert!

  16. #76
    IPPF Siebentausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    7.844
    Den Fall einfach hier hinzufügen (lassen).
    Da fühlt er sich garantiert nicht einsam

    http://insecure.org/search.html?q=avm
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.241 +++ 3xSL750H/116.063.00 +++ GR/2.0

  17. #77
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    @robert_s:
    Denkt man das einfach mal weiter ... mit einem unterschriebenen Arbeitsvertrag geht man gleichzeitig auch Verpflichtungen zur Geheimhaltung von Interna des Arbeitgebers ein - ebenso mit einem NDA als "Externer".

    Wenn sich dann aber auch noch nichts ändert (wenn der Wille dazu gar nicht vorhanden ist, gäbe es dafür auch erst einmal keinen Anlaß) und man damit nur einen "Maulkorb" hat (bei einem Angestellten würde auch keine AG-seitige Kündigung innerhalb einer Probezeit den Anspruch auf Vertraulichkeit aufheben), was hat man damit gewonnen?

    Das mit dem NDA habe ich ja genau aus solchen Gründen abgelehnt ... ich habe es (anderswo) auch schon erlebt, daß damit Kritiker generell "mundtot" gemacht wurden (mit einem klitzekleinen Beratungsauftrag und einem allgemeinen NDA, das mit dem Auftrag praktisch nichts zu tun hatte) und wollte es bei AVM gar nicht erst auf einen Versuch ankommen lassen.

    Ich behaupte also ausdrücklich nicht, daß man es bei AVM tatsächlich auch so gemacht hätte; aber es gab Formulierungen ("... tritt mit ihrer ordnungsgemäßen Unterzeichnung durch beide Parteien in Kraft ..."), die - selbst wenn es nie zu irgendeinem Auftrag oder irgendeiner "Preisgabe" von wirklich wichtigen Informationen (schon die Personalstärke einer Entwicklungsabteilung kann so ein Internum sein) gekommen wäre, weil man sich nicht einigen konnte über andere Konditionen - für die nächsten acht Jahre (3 + 5) bei jedem Beitrag hier das Damoklesschwert einer vereinbarten Vertragsstrafe (i.H.v. 100 TEUR) hätten über mir schweben lassen und das wollte/will ich nicht.

    Auch aus dieser Weigerung speist sich sicherlich zu einem gewissen Teil der Eindruck bei AVM, der "fame" hier wäre für mich das alles andere Überlagernde - weil ich auch weiterhin hier schreiben wollte und zwar ohne mir bei jedem Wort überlegen zu müssen, ob ich auch in der Lage wäre, die Zuordnung zu einem der fünf "Ausnahmepunkte" in der Gliederung "Geheimhaltung" nachzuweisen, denn diese Beweislast sollte nach dem Text dieses Entwurfs dann derjenige tragen, der sich auf eine dieser Ausnahmeklauseln berufen wollte und nicht etwa derjenige, der in einer "Veröffentlichung" den Bruch der Vereinbarung sehen würde.

    Schon zu diesem Zeitpunkt wäre es mir vermutlich schwergefallen, im Vorfeld sämtliche bereits bestehenden (Er-)Kenntnisse in einer Form zusammenzufassen (dann könnte ich auch gleich ein Buch "Die FRITZ!Box aus meiner Sicht und Erfahrung" schreiben und würde sicherlich immer noch etwas auslassen müssen), die mir im Nachhinein den Nachweis ermöglicht hätte, daß diese Kenntnisse schon zuvor bestanden (und mal richtig, aber durchaus auch mal falsch waren) - das war einer der "Ausnahmetatbestände".

    [ Inzwischen weiß ich, daß aus meinen ersten Telefonaten mit jemandem bei AVM ein "Zettel" mit 13 Punkten für mögliche (eher konkrete, denn bei "möglich" teste ich normalerweise lieber erst noch einmal, bevor ich mich sehenden Auges lächerlich mache mit einer unwahren Behauptung) Schwachstellen entstanden ist ... ich weiß bis heute nicht, was konkret auf diesem Zettel stand (das waren längere "Plaudereien" am Telefon und was genau mein Gegenüber davon einer Notiz für wert hielt, kann ich nicht einschätzen) und ob überhaupt etwas davon bzw. was dann genau nun wegen meiner "Meldung" behoben wurde oder was ohnehin schon bekannt und für eine Änderung vorgesehen war. Damals habe ich auch auf Nachfrage nur die Auskunft erhalten, ich könne ja meinerseits die mir bekannten Stellen nun regelmäßig prüfen, dann würde ich es schon merken, wenn etwas behoben wurde. Ich kann also auch nicht einschätzen, ob das "vollständig" war o.ä. ... selbst wenn ich mich in der Regel an solche Gespräche recht gut erinnern kann, fasse auch ich in meinen nachträglich angefertigten Notizen (das erste Telefonat dauerte 3:19 h, die nächsten drei (14 Wochen später) dann: 2:44 h, 0:41 h, 2:43 h) das dann schon einmal etwas zusammen und da mag dann der eine oder andere Punkt meinerseits vergessen worden sein - aber eher bei meinem eigenen Notieren, als beim "Erzählen" (13 Punkte in 199 Minuten sind auch nicht gerade viel (angenommen, es war alles aus dem ersten Telefonat), selbst wenn man den Austausch von "Weltanschauungen" noch dazurechnet). ]

    Das "erst einmal besser machen" habe ich erst kürzlich an anderer Stelle (von jemand anderem) wieder gelesen und das schwang so ein wenig in dem "Man muss es machen. Oder eben ganz bleiben lassen." für mich auch mit - deshalb trotzdem mein expliziter Verweis darauf (#73, Abs. 4), daß es bei Dir so direkt nicht stand und sich erst beim "Weiterdenken" als Folgerung ergeben würde oder zumindest könnte.

    @MuP:
    Wieviele Kunden von AVM oder auch "FRITZ!Box-Kenner" lesen denn bei "insecure.org" (wo ja auch die "full disclosure"-ML dazugehört)? Abgesehen davon ruft das ggf. (sogar in meinen Augen) wirklich wieder die Falschen auf den Plan bzw. weckt bei Leuten ein Interesse an der Sache, die ich nicht unbedingt mit der Nase darauf stoßen will.

    Insofern ist so eine Diskussion in einem deutschen Internet-Forum immer noch etwas anderes und sicherlich "unterschwelliger" - außerdem dürfte das die Entscheidung für ein Gerät außerhalb des D/A/CH-Gebietes (meinetwegen noch die nicht deutschsprachigen Nachbarn in B oder NL dazugerechnet, schon in F ist damit wenig Staat zu machen, (süd-)östlich von D weiß ich nicht genau) nur unwesentlich beeinflussen, da gehört AVM sicherlich nicht unbedingt zu den zuerst in Erwägung gezogenen Alternativen (ich will damit AVM auch nicht zu nahe treten, aber man muß ja auch realistisch bleiben). Trotzdem findet sie hier m.E. die richtige Zielgruppe - hätte AVM selbst ein User-/Kunden-Forum, wäre das ggf. ein besserer Ort.

  18. #78
    IPPF Siebentausend-VIP Avatar von MuP
    Registriert seit
    27.03.2009
    Ort
    §9 Satz 1 AO
    Beiträge
    7.844
    Das war 1 Vorschlag, keine "Weisung"


    Die Streuung muss natürlich größer sein.
    Aber da kennst du dich sicherlich besser aus.

    Und ... die "bösen Buben" lesen hier garantiert auch mit, nachdem der Thread bereits die Google-Suchworte lieferte.
    1u1/DF50k +++ VDSL2/BC147.159
    FB3490/140.06.51/1.100.133.42 +++ FR1750E/6.51
    N510IP/42.241 +++ 3xSL750H/116.063.00 +++ GR/2.0

  19. #79
    IPPF Siebentausend-VIP Avatar von PeterPawn
    Registriert seit
    10.05.2006
    Ort
    Berlin
    Beiträge
    7.755
    Zitat Zitat von MuP Beitrag anzeigen
    Und ... die "bösen Buben" lesen hier garantiert auch mit, nachdem der Thread bereits die Google-Suchworte lieferte.
    Ich meinte ja eigentlich auch nicht "unbemerkt" ... dann käme sicherlich als Attribut auch noch "umsonst" hinzu - trotzdem garantiert mit weniger "Aufsehen", als wenn das heise.de oder Golem oder teltarif.de (die haben aber exzellente Kontakte zu AVM, afaik) diskutiert würde (zumindest bei heise.de käme es dann wohl früher oder später, wenn es auf "full disclosure" auch nachzulesen wäre).

    Ist auch ein Grund, warum ich bisher nur belle und nicht beiße ... solange es vorwärts geht (angesichts der Firmware-Veröffentlichungen in dieser Woche bin ich aber durchaus skeptisch, ob das in der nächsten Woche noch etwas wird für die verbleibenden Modelle), muß man ja nicht auf "Teufel komm' raus" versuchen, den größtmöglichen "Schaden" zu ermöglichen. In dieser Woche kamen nach meiner (vollkommen freiwillig geführten ) Liste nur zwei Versionen heraus, einmal die für die 7581 und einmal für die 7430.

  20. #80
    IPPF-Fan Avatar von HarryHase
    Registriert seit
    16.02.2006
    Ort
    Belgien
    Beiträge
    481
    Ich habe jetzt den ganzen thread gelesen und habe viele Berührungspunkte zur Softwareentwicklung. Für die Reaktion von AVM gibt es für mich nur zwei Interpretationen:
    1) Sie nehmen @Peter nicht ernst
    2) Es ist nicht an der richtigen Stelle angekommen
    Wie ich aber gelesen habe hat Peter schon für AVM gearbeitet daher dürfte 2) ausscheiden.

    Ich male mal einen anderen Fall:
    Was würde man(wir, die Presse) Peter vorwerfen wenn jemand Drittes Morgen mit diesem exploit / dieser Lücke einen ernsthaften Schaden oder Kosten anrichtet?
    AVM - 7490 / 7360- freetz trunk; AP & int. FW an Belgacom VDSL2, div. VoIP Provider
    RaspberryPI2 B+ mit Wheezy-Raspbian (2015-01-31), apache2 (www-data sudo), php5, curl, samba mit SensorAndSwitch

Seite 4 von 5 ErsteErste 12345 LetzteLetzte

Ähnliche Themen

  1. [Info] GrandStream GXV3275 ist Thema auf "full disclosure"
    Von PeterPawn im Forum GS-Allgemein
    Antworten: 1
    Letzter Beitrag: 08.07.2015, 06:51
  2. Umfrage zu BS v8
    Von gismotro im Forum SOT / Streaming Client
    Antworten: 6
    Letzter Beitrag: 01.06.2009, 15:18
  3. Umfrage: Gigaset.NET
    Von VoIPMaster im Forum Gigaset
    Antworten: 8
    Letzter Beitrag: 09.04.2007, 11:20
  4. [SOT] Umfrage: Wer hat welche Box mit SOT
    Von karl2100 im Forum SOT / Streaming Client
    Antworten: 19
    Letzter Beitrag: 25.02.2007, 23:10

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •