[Erledigt] Disclosure or no disclosure?

Soll der komplette Exploit (Shell-Code oder HTML-Seite mit JS) veröffentlich werden?


  • Anzahl der Umfrageteilnehmer
    90
  • Umfrage geschlossen .
Daran würde ich doch stark zweifeln. Es wird doch lieber mit Klatschschaltern rum experiemntiert als das auf Sicherheit und Stabilität wert gelegt wird.
Selbstverständlich, AVM ist ein gewinnorientiertes Unternehmen und Sicherheit kostet Geld.
 
@rst-cologne,

so gesehen hast Du natuerlich recht. Wenn die Zeit fuer sowas wie Klatschschalter haben, dann kann der Druck nicht so hoch sein.


@maSpro,

da bin ich auch voll bei Dir.

Sicherheit einzubauen ist Mehraufwand. Dessen Funktionalität macht das Produkt im besten Fall nicht langsamer. Auf jeden Fall nicht schneller.

Auf der anderen Seite sind Käufer inzwischen dabei, mehr und mehr auch auf Sicherheitsaspekte zu achten. Da kauft man eher mal was mit so einem Label wie "Geprüfte Sicherheit" anstatt "schnell, billig, und fragwürdige Sicherheit". Daher kann es sich fuer AVM schon lohnen, auch bei Sicherheitsfunktionen nicht zu geizig zu sein.

LG, Goggo
 
Öffentlich bekannt gewordene Unsicherheit bringt auch immer kostenlose Publicity mit sich.
Das ist auch immer ein von Marketingstrategen vorsätzlich berücksichtigter unternehmensinterner Minder-Kostenfaktor.
Die Boni-Zahlungen am Jahresende richten sich auch nach dem Verhältnis Kosten/Unkosten.
 
Wobei die erwartete Minderung durch "Erwähnung in der Presse" nur dann eintritt, wenn die Kunden sich beim Eintritt von Schäden aufgrund solcher Mängel nicht in der Kette über den Verkäufer (der im - für AVM - schlechtesten Falle dann noch ein Provider mit einer recht langen Geschäftsbeziehung zum Hersteller ist und seinerseits dem Hersteller entsprechenden Druck machen will - und kann, was sicherlich entscheidender ist als der reine Wille dazu) und den ggf. vorhandenen Großhändler dann doch noch beim Hersteller melden. Der zusätzliche Support-Aufwand i.V.m. eintretendem Image-Schaden kann solche Überlegungen im Vorfeld in der Endabrechnung schon mal zur berüchtigten "Milchmädchenrechnung" werden lassen.

Ich denke mal, beim "webcm"-Bug hätte man auf die Publicity liebend gerne verzichtet und die These, daß es lediglich der (für den Kunden) günstigen Lage zu verdanken war, daß die Ansprüche (aus der Abrechnung der nicht-autorisierten Telefonate) in aller Regel genauso vom Provider kamen, wie die eingesetzten FRITZ!Boxen (sei es nun als Leihe, Miete oder Kauf) und damit schon seitens der Provider ein entsprechender Druck auf AVM ausgeübt wurde, weil die ihre Kunden nun nicht von Pontius zu Pilatus schicken konnten, wenn es um die Frage der Verantwortung ging, ist auch nicht wirklich neu. Auch da hat es zwar eine Weile gebraucht, bis AVM überhaupt zur "Anerkennung" eines bestehenden Problems bereit war, aber nachdem das dann kaum noch glaubhaft in Zweifel zu ziehen war (falls sich jemand nicht mehr erinnern kann: zuerst wurden die Kunden "verdächtigt", unsichere Anmeldungen zu verwenden, weil das auch noch mit einem größeren "Datenreichtum" - durch irgendeine geleakte Liste von (deutschen) Accounts aus allem möglichen Ecken des Internets - zusammenfiel), darf man dann sicherlich entsprechenden Druck seitens der "guten Kunden" (und das sind eher nicht diejenigen, die ihre FRITZ!Box im Einzelhandel erworben haben - die dürften deutlich in der Minderheit sein) unterstellen, der bei AVM dann wirklich "Druck im Kessel" verursacht haben mag.

Wobei ich eben auch beim damaligen Problem sehr, sehr skeptisch bin, wenn mir jemand ein "vorbildliches Update-Verhalten" von AVM in diesem Falle "unterjubeln" will. Das geht eben damit schon los, daß ich - auf der Basis zuvor gemachter Erfahrungen beim "Melden" von Sicherheitsproblemen (und seien es auch nur "vermeintliche") - sogar mal die These (mehr als Bonmot) gewagt habe, daß es AVM vermutlich auch nicht aufgefallen wäre, wenn ihnen jemand um Weihnachten 2013 herum (da ging das in etwa los) dieses Problem auf den damals vom Hersteller angebotenen Wegen gemeldet hätte. Die "üblichen Fristen" lagen damals irgendwo bei 14 Tagen nach meinen Erfahrungen (die ich nicht alle in eigenem Namen gemacht habe, da waren auch Meldungen im Auftrag von bzw. in Unterstützung von Kunden dabei) und wenn man das mit dem Auftreten der ersten Meldungen in regionaler Presse abgleicht, dann erscheint diese These nicht so vollkommen an den Haaren herbeigezogen ... wobei sich das in der Folge dann tatsächlich besserte. Rechnet man dann aber noch die anfängliche Ablehnung der Annahme, es könne ein Problem der Firmware sein, hinzu (sicherlich begleitet von verzweifelten Versuchen, die tatsächliche Ursache zu finden - man "hörte" da so einiges) und bezieht man das wohl unstrittige Interesse der Provider an einer schnellstmöglichen Lösung in diese Rechnung mit ein, dann würde ich das eher noch als den Jagdhund ansehen, der zur Jagd getragen werden wollte ... und nicht primär als einen Hersteller, der von sich aus jede Anstrengung unternahm, das Problem von Beginn an im Interesse seiner (End-)Kunden zu erkennen und zu lösen.

Ohne entsprechende Schäden und daraus resultierendem Druck (der sich schon aus der Anzahl der installierten Geräte ergibt - das hat man dann halt davon, wenn man zuviel "Marktmacht" verkörpert in einem Segment, das ist die Kehrseite der Medaille) ist AVM (nach meiner Meinung, die ich gerne anhand von Beispielen begründe) beim Anbieten von (Sicherheits-)Updates weder besser noch schlechter als andere Hersteller und es gibt weder Grund sie über den grünen Klee zu loben noch sie zu verdammen, wenn sie bei DOCSIS-Geräten genauso verfahren, wie alle anderen Hersteller solcher Geräte auch und das Update über den CVC-Mechanismus in die Hände der (Kabel-)Provider legen (müssen).
 
Zuletzt bearbeitet:
@PeterPawn: Wann gibt es eine Entscheidung?
 
Ich habe 14 Tage Laufzeit für die Umfrage gesetzt ... wenn eine Entscheidung dafür (demokratisch, selbst wenn das hier nicht repräsentativ sein mag) gefallen ist und sich AVM tatsächlich bis dahin immer noch nicht rührt und damit eigenständig neue Fakten schafft, wird das am 12.02. der Fall sein.

Vielleicht nimmt man aber auch dort (also bei AVM) die Tendenz zur Kenntnis und rückt von dem "O Gott, o Gott ... das wollen unsere Kunden ganz bestimmt nicht." irgendwann einmal ab. Selbst wenn das hier sicherlich eine "besondere Klientel" im IPPF ist, sind doch viele auch "Multiplikatoren" und verbreiten ihrerseits sowohl erhaltene Informationen als auch ihre eigenen Meinungen im Familien-, Bekannten- bis Freundes- und auch im Kundenkreis weiter.

Gleichzeitig können sicherlich die hier versammelten "Kunden" auch entsprechend einschätzen, wie "gefährlich" solche Informationen wirklich sind und wenn dann das (bisherige) Votum zu 2/3 "für Veröffentlichung" lautet und nur 1/5 dagegen ist (die Differenz ist dann eher für "full disclosure" und ein "weiß nicht" habe ich absichtlich weggelassen in der Hoffnung, daß so jemand dann nicht abstimmen wird), dann ist es ja vielleicht doch keine so schlechte Idee, wenn AVM als Hersteller tatsächlich selbst entsprechende "Advisories" veröffentlicht (s. BSI-Empfehlungen bei Unklarheiten, was das sein soll bzw. was da enthalten sein sollte und das Veröffentlichen eines PoC zum "Nachstellen" ist dann eben tatsächlich erst der letzte Abschnitt im Leben so einer Schwachstelle, wenn man es richtig macht) und es irgendwann in ferner Zukunft vielleicht sogar mal ein öffentlich einsehbares "Tracking" für Probleme (und das meint dann nicht nur Sicherheitslücken) gibt, damit dieses "Davon haben wir ja noch nie etwas gehört." irgendwann der Vergangenheit angehört und die Kunden sich nicht mehr an anderer Stelle (z.B. hier im IPPF) austauschen und händeringend nach jemandem mit ähnlichen Erfahrungen suchen müssen, weil ihnen vom Hersteller eingeredet wird, sie wären tatsächlich die Einzigen mit irgendeinem Problem.

Ein Firmware-Problem (auch ein "Sicherheitsleck") ist an sich erst einmal nichts Ehrenrühriges ... am Image kratzt das erst dann, wenn man es (ohne Nachweis oder passende Begründung) nicht eingestehen will oder es auf einen anderen schiebt oder man es nicht (innerhalb akzeptabler und "üblicher" Zeiträume) beheben will oder kann.
#
Mit irgendwelchen Trollen a la "Na ja, AVM ... was will man da anderes erwarten?" müssen andere Hersteller genauso klarkommen - das kann also auch kein Grund für besondere "Verschwiegenheit" in dieser Hinsicht sein und ein Hersteller, der sich nicht selbst als "unfehlbar" darzustellen versucht, ist allemal glaubwürdiger (zumindest für mich) als einer, der nie irgendwelche relevanten Probleme in seinen Produkten findet.

Der sucht entweder nicht richtig oder will es nicht wahrhaben ... frei nach dem alten Motto: "Es gibt nur zwei Arten von Netzwerken ... die, die gehackt wurden und die, wo die Besitzer noch nicht wissen, daß sie gehackt wurden.". Ersetzt man hier "Netzwerke" durch "Firmware", ergibt das immer noch einen Sinn und daß in einer hinreichend komplexen Firmware auch Probleme existieren ((theoretisch) fehlerfreie Software (mission critical) kostet i.d.R. mind. eine Zehnerpotenz mehr), ist vollkommen natürlich ... der Unterschied besteht halt darin, wie man mit solchen Problemen umgeht.
 
Wenn du da nicht mal eine absichtliche Sicherheitslücke gefunden hast ...
 
@Daniel Lücking: auf genau diese Antwort habe ich noch gewartet denn bisher habe ich mich nicht getraut sie selber zu schreiben...
 
Absicht?

Eher nicht ... andere Probleme sind da wesentlich "verdächtiger".
 
Gibt es Hinweise zu Vectoring-fähigen All-In-One-Geräten, die als hinreichend sicher gelten und noch bezahlbar (bis 200,- €) sind? Konkret, wie ist AVM hier am Markt im Vergleich aufgestellt?
 
TAE Dose mit Silikon abdichten wäre hinreichend sicher. Hier geht es nicht um Hardware Beratung. ;)
 
Entscheidet wer? Die Frage habe ich aus dem diskutierten Zusammenhang gestellt.
 
Ich entscheide das auch nicht ... aber es wäre trotzdem nett, wenn wir diese Diskussion aus dem Thread heraushalten könnten.

Es gibt genug andere, wo das Thema immer wieder diskutiert wird und da weder (allgemeingültig) zu entscheiden ist, welche Funktionen so ein Gerät haben muß oder gar, ob eine Firmware nun sicher ist oder nicht, bringt das in diesem Zusammenhang auch nicht wirklich etwas.

Am Ende kann auch ein "dummes" DSL-Modem, das auf der WAN-Seite fälschlicherweise das (eigentlich interne) GUI (oder auch nur ein CLI) "anbietet" (alles schon dagewesen), genauso angreifbar sein wie ein "voll ausgestattetes" AIO-Gerät - z.B. dann, wenn über ein solches Interface eine manipulierte Firmware installiert werden kann. Und irgendeine Art von netzwerkbasiertem Interface haben neuere Geräte eigentlich immer ... die Zeiten der (sicheren) Konfiguration mit dem Terminalprogramm über eine serielle Schnittstelle sind vorbei (und ich will sie auch nicht zurückhaben).
 
Ich hatte mich gefragt ob es, auch unter dem Aspekt der Sicherheit, zu den aktuellen AVM-Geräten überhaupt brauchbare Alternativen gibt. Aber ihr habt natürlich beide recht, sprengt hier den Rahmen. Back to topic.
 
@PeterPawn

Ich persönlich bin ein großer Fan der AVM Geräte. Denn welcher Hersteller bringt schon Firmwareupdates für ältere Geräte?

Allerdings finde ich es in der heutigen Zeit auch mehr als bedenklich, das auf gemeldete Sicherheitslücken so schleppend, bzw. gar nicht reagiert wird.

Hier stimme ich mit Dir vollkommen überein=
Eine Orientierung an Google's "Project Zero" ist sicherlich nicht vollkommen falsch und 90 Tage sind in der heutigen Zeit eine Frist, innerhalb der man sich einiges an Gedanken machen kann.

Wenn keine vernünftige Reaktion stattfindet, muss eben der Druck erhöht werden und die Sicherheitslücke veröffentlicht werden.
Schließlich sollte AVM ein großes Interesse daran haben, hier nicht eine Armee von Zombie-Fritzboxen auftreten zu lassen!
 
Dieser Bug sollte auf jeden Fall zeitnah veröffentlicht werden. AVM hatte genug Zeitvorlauf um das zu fixen. Und wenn zur Veröffentlichung kein Fix vorhanden ist, ist es auch nicht allzu schlimm. Denn grundsätzlich steckt die Fehlervermeidung bereits in jeder bisherigen Firmware, nämlich indem man den Fernzugriff abschaltet. Ich habe sowieso noch nie verstanden, warum man das ins Internet exponiert und so Angriffsfläche bietet. Obwohl ich auch schon seit vielen Jahren diverse Fritzboxen einsetze habe ich das noch nie eingeschaltet. Wenn man wirklich Zugriff braucht, dann stellt man vorher eine gesicherte VPN Verbindung her.
 
Schließlich sollte AVM ein großes Interesse daran haben, hier nicht eine Armee von Zombie-Fritzboxen auftreten zu lassen!

Stimme Dir zu.

Allerdings hätten wir dann hier die Zündschnur angesteckt. Nicht das so was dann auf uns hier zurueckschlaegt. (... nur so ein Gedanke ...)

Was mich hier im Forum immer wieder wundert ist, dass von AVM keine offizielle Stimme dabei ist, die dann auch mal ein Statement abgibt. Das würde Druck vom Kessel nehmen.

LG, Goggo
 
Sehe das nicht so wild, nen Grund mehr VPN anzuwenden statt Telefonie, Fernwartung ect. alles im Netz freizugeben.
 
Ja klar. Das ist der Grund, für die ganze Diskussion.
 
@Goggo16

Allerdings hätten wir dann hier die Zündschnur angesteckt. Nicht das so was dann auf uns hier zurueckschlaegt. (... nur so ein Gedanke ...)
Guter Einwand, allerdings zieht Google die Veröffentlichung nach 90 Tagen auch knallhart durch...

Was mich hier im Forum immer wieder wundert ist, dass von AVM keine offizielle Stimme dabei ist, die dann auch mal ein Statement abgibt.
Das könnte für alle Beteiligten hilfreich sein.

Bisher hatte ich als Anwender eigentlich immer ein recht positives Bild von AVM, es wäre schön wenn das so bleiben würde und AVM nun wirklich mal reagiert!!!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.