AVM streut ... "Sand in die Augen" / neues Fritzbox2Fritz-Projekt ?

frickl

Neuer User
Mitglied seit
9 Jul 2014
Beiträge
54
Punkte für Reaktionen
0
Punkte
0
"Sand in die Augen"? *

Seit einiger Zeit schreibt sich PeterPawn die Finger wund mit (meines Erachtens) sehr deutlichen Hinweisen,
wie AVM die Kunden z.B. mit Backdoors austrickst. *

Mir kommt das wie gefährliche überhebliche Anmaßung von selbsternannten (Markt-) Führern und Dienern fremder Interessen vor.

Ist in diesem Forum noch das KnowHow von Speedport 2 Fritz vorhanden?
Dann könnte eine Know-How-Gemeinschaft mit dem Freetz-Projekt doch sicherlich Abhilfe schaffen.

Was meint Ihr?


---------------------------------------------------------
*) z.B. http://www.ip-phone-forum.de/showthread.php?t=272208&p=2029091#post2029091
oder im debug.cfg-Faden
 
Zuletzt bearbeitet:
Kein "Backdoor"-Vorwurf, eher grundsätzliche Kritik mit dem Versuch einer Begründung

tl;dr:
AVM ist eine Firma wie jede andere auch, die in ihre Firmware auch nur das investiert, was sie muß. Gewinnstreben und -optimierung kann man einer Firma am Markt nicht vorwerfen, aber glorifizieren muß man AVM für das Verhalten gegenüber den Kunden auch nicht.

Auch wenn einige Adepten das sicherlich als Majestätsbeleidigung ansehen werden ...

mit Backdoors austrickst.
Als "Backdoor" würde ich es nicht gleich bezeichnen, auch wenn natürlich die Möglichkeiten per TR-069 schon weitgehend sind. Wie weit das wirklich ist, weiß man ja leider nicht genau ...
Bei TR-069 kommt dann wohl noch hinzu, daß offenbar auch AVM automatisch davon ausgeht, daß der ACS-Server des Providers - wenn er denn per gepinntem Zertifikat authentifiziert ist - schon "nichts Böses" machen wird. Bis zum Vortrag auf der DefCon hatte man ja auch immer nur die Sicherheit der CPEs im Auge, den Server hat jeder - genau wie AVM - als sicheren Hafen angesehen.

Mir persönlich stinkt aber auch einfach die Informationspolitik von AVM an diesen Stellen (es gibt schlicht keine Auskunft) und das - in meinen Augen - generell mangelnde Sicherheitsbewußtsein.

Früher gab es quasi per Ukas keine Sicherheitsprobleme mit der AVM-Firmware (von peinlichen UPnP-Pannen ohne große Auswirkungen mal abgesehen), seit dem Schock am Anfang des Jahres hat man offenbar eingesehen, daß man etwas tun muß und es geht ja auch in die richtige Richtung. Für meinen Geschmack noch zu inkonsequent, aber das ist meine persönliche Meinung ...

Aber AVM ist (wie andere Anbieter auch, aber vom Marktführer in D darf man eben auch etwas mehr Umsicht erwarten) beim Sicherheitsbewußtsein irgendwo auf dem Stand vor 8-10 Jahren geblieben, als man das LAN noch als sicheren Hort ansehen konnte und sich nur gegen Angriffe aus dem bösen Internet abschirmen mußte. Auch die erste Reaktion am Anfang des Jahres (einfach Fernwartung ausschalten und alles ist gut) zeigte deutlich, daß man sich der Probleme, die aus einer veränderten Endgeräte-Landschaft entstehen, gar nicht so richtig bewußt ist.

Heutzutage gibt es aber praktisch in jedem Haushalt (Ausnahmen eingeräumt, es geht um's Prinzip) auch andere Geräte, die sich einer FRITZ!Box eben von der LAN-Seite nähern können und damit wird die Absicherung auf dieser Seite genauso wichtig, wie die Absicherung zum Internet hin. Dabei ist es egal, ob der Angriff aus dem LAN von einem gerooteten Smartphone/Tablet oder von einem gekaperten NAS (der letzte Synology-Coup ist ja noch nicht lange her, auch wenn da wohl die Besitzer geschlafen haben) ausgeht ... die FRITZ!Box könnte (ich behaupte sogar, sie müßte) ihrerseits wesentlich bessere Vorkehrungen gegen Angriffe von innen treffen.

Und ein Angriff auf die FRITZ!Boxen lohnt sich eben in D richtig ... wenn die publizierten Zahlen zur Marktdurchdringung stimmen. Dank sehr monolithischer Konstruktion der Firmware läßt sich auch fast jede gefundene Lücke dann auf allen aktuellen FRITZ!Box-Modellen ausnutzen. Das ist schon ein wesentlicher Unterschied zu anderen Anbietern, wo erstens der "Gewinn" durch das Kapern eines bestimmten Routermodells nicht so riesig ist und wo auch eine weitaus größere Vielfalt an unterschiedlichen Firmware-Versionen im Einsatz ist. Wenn mal ein Problem in einer Cisco-Firmware (Linksys) auftritt (die das dann allerdings wesentlich langsamer beseitigen als AVM das getan hat), dann sind davon 5-6 Modelle betroffen (aus einer riesigen Produktpalette), die in D vielleicht 1-2 Prozent Marktanteil haben, bei anderen Herstellern ist es sicherlich ähnlich (ich sag nur Port 32764).

Und sorry Leute, wer wirklich denkt, daß AVM die schnellen Fixes für die Sicherheitslücke Anfang des Jahres nur deshalb bereitgestellt hat, weil sie das Wohl ihrer Nutzer im Auge hatten, der glaubt auch an St. Claus und ähnliche Dinge. Ohne den Druck der Provider (spez. 1&1 + Kabelprov., die die Boxen als "ihre" betrachten oder diese dem Kunden "verkauft" haben und damit auch den Ärger hätten) und ohne die immer mehr zunehmende Berichterstattung in der Presse in D hätte sich da auch noch eine Weile nichts getan.
Wer das nicht glauben will, braucht sich bloß die Zeitlinie vom Aufkommen des ersten Verdachts (da waren noch gestohlene Mail-Adressen und Kennwörter im Gespann mit dummen Nutzern, die diese Daten auch in der FB verwendeten, schuld) bis zum Eingeständnis des Problems ansehen. Daß man dann - nachdem das Problem erkannt und behoben war - auch noch ältere Boxen mit Updates versorgt hat, konnte ja nur gut sein für das etwas ramponierte Image. Das ist auch definitiv als Pluspunkt zu verbuchen; daraus aber eine "Heldenverehrung" abzuleiten, ist etwas naiv in meinen Augen. Wenn AVM bei einem der größeren Provider in Ungnade fällt, dürfte die Arbeitsagentur hier in Berlin deutlich mehr Kunden verzeichnen und daß man da dann auch entsprechende Initiative zeigt, ist doch eigentlich logisch.

Mir kommt das wie gefährliche überhebliche Anmaßung von selbsternannten (Markt-) Führern und Dienern fremder Interessen vor.
Auch soweit würde ich nicht gehen wollen ... aber in Anbetracht der neuen Aufgaben, die AVM ihren Geräten auferlegt, würde ich schon von einer gefährlichen Gleichgültigkeit gegenüber neuen Risiken sprechen.

Wenn jemand (ich weiß, daß das selbstverständlich niemand tun würde) das Inhalationsgerät vom Opa über eine DECT-Steckdose von AVM anschließt (wer es weniger plakativ will, nimmt einfach ein anderes Gerät, was auch potentiell gefährlich sein kann) und sich dann wundert, wieso dieses Gerät immer wieder von alleine ein- und/oder ausschaltet, dann kann das eben auch ein fremder Zugriff über das Internet sein, entweder über ein Relay im LAN oder nach dem erneuten Ausspähen von Zugangsdaten.

Ich habe bei diesem Gedanken immer eine Szene aus "The Big Bang Theory" vor Augen, wo sich die Nerds davon begeistern lassen, daß jemand aus China über das Internet bei ihnen das Licht ein- und ausschaltet. Das ist sicherlich spaßig, solange man das so haben will ... ansonsten ist es einfach gefährlich.

Und wer jetzt der Meinung ist, daß potentiell gefährliche Geräte nicht an eine solche steuerbare Stromquelle gehören, der hat meine volle Zustimmung ... allerdings sehen das Industrieanlagen-Hersteller (auch wenn AVM keiner ist) schon anders ... das Läuten der Kirchenglocken über SPS ist ja noch ein harmloses Beispiel.
Und was die Kunden so mit ihrer HA machen wollen, kann AVM auch nicht beeinflussen ... höchstens die Karten deutlich auf den Tisch legen und die potentiellen Risiken auch ihren Kunden klarmachen. Aber da wird eher mit einem per DECT-Steckdose angeschlossenen Kaffeeautomaten geworben ... zumindest auf Fotos in der Produktseite. Und es wird mit der "sicheren Verbindung" geworben, was sicherlich nicht einmal gelogen ist, denn die Verbindung zwischen der FB und der Steckdose ist (wahrscheinlich) wirklich sicher. Der Angriff kommt von einer ganz anderen Stelle.

Und da stinkt es eben zum Himmel, wenn AVM es auch heute noch durchgehen läßt, daß der Benutzer sich bei der Ersteinrichtung der Box gegen ein Kennwort für das GUI entscheidet. Wenn es wirklich (in Ausnahmefällen) notwendig sein sollte, die Box von innen ohne verschlüsselte Verbindung (einfach durch redirect und per STS-Header zu erzwingen bei jedem modernen Browser) und ohne Eingabe eines Kennworts zu erreichen, dann muß der Aufwand für die Einrichtung dieses unsicheren Szenarios so hoch sein (z.B. durch nachträgliche und umständliche Änderung der sicheren Anfangseinstellungen), daß sich Lieschen Müller gar nicht erst dazu durchringen kann.

Wie gesagt, Absicht unterstelle ich AVM dabei eigentlich in den seltensten Fällen, nur Gedankenlosigkeit und den fehlenden Blick über den Tellerrand, gepaart mit dem Verharren auf den Erkenntnissen/Erfolgen vergangener Zeiten.

Wobei die SSL-Geschichte (nur noch das "geknackte" RC4 in den offiziellen Releases seit der IFA 2013) mich schon nachdenklich gemacht hatte ... aber so konnte man wenigstens die (magere) TLSv1.2-Unterstützung in 06.20 als "neues Feature" feiern, während Versionen < 06.xx sogar richtig AES mit DHE konnten. Daß alle anderen Boxen mit der letzten Release-Version seit einem knappen Jahr nur noch mit der unsichersten SSL-Verschlüsselung arbeiten - die man überhaupt als solche bezeichnen kann, die alten "Export"-Versionen zähle ich da nicht zu - interessiert komischerweise bei AVM offenbar niemanden und auch die Kunden greifen weiter mit ihrem Smartphone-Apps fleißig über das Internet auf ihr NAS zu, ohne sich darüber Gedanken zu machen, wer dabei dank schwächster Verschlüsselung alles mitlesen kann.

Und daß AVM potentielle sowie tatsächlich aufgetretene Sicherheitsprobleme herunterspielt, ist auch vollkommen natürlich ... auch wenn es nicht immer so blamabel und offensichtlich ist, wie in diesem Interview. Wenn da der Produktmanager behauptet: "Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat." und man sich die Natur der Lücke ansieht, dann kann man eigentlich nur noch mit dem Kopf schütteln oder den Mann zu seiner offensichtlichen Ahnungslosigkeit (sicherlich nur wegen mangelnder Information seitens der Programmierer) beglückwünschen. Es reichte bekanntlich vollkommen aus, durch einen simplen Schreibfehler (z.B. bei einem Variablennamen in einer Interpretersprache oder einer Linux-Shell) einen Parameter nicht richtig anzugeben ... und dann mußte man sich nur noch das eher unerwartete Ergebnis eines solchen Aufrufs genau ansehen. Wenn da wirklich jemand die Mühe einer Suche nach dieser Lücke auf sich genommen haben sollte, fresse ich den sprichwörtlichen Besen. Das soll aber nicht heißen, daß sich die Suche nicht auch heute noch lohnen würde ... trotz der vier Sicherheitsfirmen, die laut Interview die Entwicklung ja ständig monitoren.

Zur Projektidee:
Ohne Zusammenarbeit mit AVM wird da gar nichts gehen. Die essentiellen Teile der Firmware, die eine FRITZ!Box von einem OpenWRT-Router unterscheiden, sind nun einmal "closed source" und die dort eingebauten Probleme schleppt man automatisch auch in eigene Firmware-Images mit.

Mit "freetz" gibt es eigentlich schon alles, was geht ... jeder weitere Schritt verliert Funktionen, die die FRITZ!Box erst zu dem machen, was sie ist.

Ich hoffe ja immer noch darauf, daß AVM irgendwann mal richtig ernst macht mit der neuen Sicherheitsphilosophie (und nicht nur die interessierten und kompetenten Anwender aussperrt wie im Moment) und sich generell auf den Hosenboden setzt, um die Architektur zu überdenken und zu überarbeiten. Dann noch eine offene Informationspolitik (mit Ticketsystem und Forum beim Hersteller) und alles wäre in meinen Augen in Ordnung ... ob ich das vor der Rente noch erlebe (sind nur noch 17 Jahre), will ich heute nicht prognostizieren.

Bisher sehe ich - aus meinem beschränkten Blickwinkel heraus - leider meist nur Änderungen/Verbesserungen, die der "Markt" (in Gestalt der OEM-Kunden) diktiert oder die die Einführung neuer AVM-Produkte unterstützen. Insofern verstehe ich das bei vielen AVM-Anwendern auftretende Phänomen der "Anbetung" des Herstellers (nur Apple-Kunden sind ähnlich schlimm) auch nicht. Niemand kann AVM einen Vorwurf machen, wenn sie eine Produkt-/Update-Politik betreiben, die ihren Verkaufszahlen zugute kommt ... aber das dann auch noch als "einzigartig" und "bewundernswert" zu feiern, dafür fehlt mir wieder das Verständnis.

Die netten Gimmicks, die hier im "Verbesserungen"-Thread aufgeführt werden und teilweise von AVM auch umgesetzt wurden, waren (m.E.) immer auch mit einer Verbesserung der Verkaufschancen für die Boxen an Provider verbunden. Ein prominentes Beispiel wäre z.B. die Unterstützung der UMTS-Sticks. Hier aufgekommen und - mit OSS - umgesetzt in freetz, wurde es von AVM (in closed source) übernommen und damit bot sich den Providern dann bei einer FRITZ!Box die Möglichkeit, bis zur Schaltung des DSL-Anschlusses diese "Sofort-Start"-Pakete anzubieten. Wenn die Provider es nicht wollen (oder sogar aktiv dagegen sind, bestes Beispiel ist wohl die 6490), wird es auch nicht umgesetzt. Ein Beispiel dafür wäre wieder die SMS-Funktion bei angeschlossenem Mobilfunk-Stick. Oder man nehme das WebDAV-Laufwerk (1&1-Onlinespeicher läßt grüßen, der ist auch älter als die Funktion im FRITZ!OS) oder irgend eine andere Funktion.

SIP-Integration -> hier wird wohl niemand bestreiten, daß da AVM nicht nur den ISDN-Nutzer im Sinn hatte, der zusätzlich einen SIP-Account nutzen wollte; ohne SIP würde AVM heute wohl nicht eine Box mehr verkaufen
WLAN-Repeater -> N/G, 300E, usw.
DECT-Basis -> FRITZ!Fon, FRITZ!DECT 200
KiSi -> CyBits rausgedrängt aus dem Geschäft
(ich würde die Liste fortsetzen, aber mir fällt kein "großer Wurf" mehr ein)

Und wenn man dann zurückblickt, bis zu welchen Modellen es die "neuen Funktionen" jeweils gibt ... dann ergibt sich eigentlich immer eine Korrelation zwischen dem EOS eines Produktes und seiner Fähigkeit, die neuen Geräte in ihren Verkaufschancen zu fördern.

Selbst wenn eine 7270v2 (die ist schon EOS) eigentlich - bei den heutigen Life-Cycles elektronischer Geräte - schon Asbach ist: Solange die Anschaffung eines neuen Routers im preislichen Bereich von 3 DECT-Steckdosen beginnt, werden sicherlich einige Leute für ihre 7270v2 auch heute noch Steckdosen anschaffen (der Router ist ja ohnehin schon da) und sich dann beim Ersatz des Routers in der "Update-Falle" wiederfinden, weil DECT-HA außer AVM wohl eigentlich niemand betreibt.

Was passiert, wenn eine Funktion AVM nichts mehr bringt, können einem die FHEM-Benutzer auch erzählen ... und der "Sicherheitsaspekt" (sprich die ausgebaute debug.cfg) kann nur ein Grund sein, daß es nicht mehr unterstützt wird. Diesen Teil (bei Vorhandensein) von einem anderen Skript starten zu lassen und ggf. in eine chroot-Umgebung zu sperren, damit der Rest der Firmware von dort laufenden Skripten nicht beeinflußt werden kann, ist nun wirklich kein Hexenwerk ... man muß es nur seitens der Produktpolitik auch wollen. Jede nicht bedienbare FS20-Steckdose ist eben auch eine potentiell verkaufte FRITZ!DECT 200 ... und nun sage mir niemand, es gibt da keinen Zusammenhang.

Auch die Verfahrensweise, wenn irgendwann die alte Technik keinen Platz mehr für die neuen Ideen bietet, kann man leider an der 7390i bewundern. Da wurde wegen Speichermangels im Flash dann eben bei der 06.xx nicht etwa auf AHA verzichtet, um dem Nutzer trotzdem die Vorteile der neuen Benutzerverwaltung zugute kommen zu lassen ... nein, es wurde einfach der Samba-Server (die einzige "native" Möglichkeit zum Speichern von Dateien auf dem NAS von einem Windows-Client aus) rausgeworfen.
Ich möchte nicht wissen, wieviele internationale Boxen die Home-Automatisierung wirklich benutzen ... das Fehlen des Samba-Servers (der dank Benutzerverwaltung endlich sinnvoll wurde) bemerkten dann aber doch so viele Anwender, daß AVM sich offenbar genötigt sah, das Sicherheitsupdate für eine alte Firmware (ohne Benutzerverwaltung, aber mit SMB-Server) für die 7390i dann doch noch irgendwann (mehrere Wochen später) anzubieten. Aber auch heute noch ist diese Version auf dem FTP-Server auf normalem Weg nicht zu finden und wird wohl nur von AVM bei Bedarf an den Kunden herausgegeben (wenn der genug Ärger macht).

Mal wieder zum großen Teil OT, aber bekanntlich ist ja der Vortrag des Redners Glück ...
 
@PeterPawn
Danke, für die sehr lesenswerte Darstellung aus deiner Sicht.

@frickl
Auf was genau willst du denn raus? Aus deinem Beitrag geht für mich kein konkretes Ziel einer Know-How-Gemeinschaft hervor. Wobei das sammeln von Know-How natürlich nie verkehrt ist... :mrgreen:

Gruß
Oliver
 
@frickl
Auf was genau willst du denn raus?
Gruß
Oliver


Gedacht war an ein abspeckendes Image, welches die Entfernung von Zwangsfunktionen und die Aktivierung sicherheitsrelevanter Funktionen dem User an die Hand gibt, wie PeterPawn es nannte, eine Art AntiFreez. Zwischenzeitlich habe ich mich darüber belehren lassen, dass "Remove-Patches" aus Freetz bereits viele solche Möglichkeiten bietet.

Außerdem teile ich berechtigte Zweifel von Nutzern, dass Zuspruch vom Normalo-Anwender eher nicht zu erwarten ist, da Sicherheitsdenken den meisten Normalos immer noch fremd, weil zu komplex, ist. Das sieht man ja sehr gut an der Akzeptanz der User-initiierten Februar-Updates in diesem Jahr.
 
Hallo,
[persönlich und freundlich]
Erklärt die von Euch gemeinten Lücken, Zwangswasauchimmer, Probleme, ... so, dass normale User, die nicht wissen, wie sie etwas daran ändern können, erahnen, was Ihr damit meint.
Ich bin selber technisch nicht so bewandert, wie Ihr. Aber das würde sicherlich mehr bringen, als mit technischen Begriffen um sich zu hauen, die kaum ein normaler Mensch verstehe.
Bitte nicht persönlich auffassen.
[/persönlich und freundlich]
 
Ich schließe mich dem Bewandniss von SF1975 an :) Obwohl ich vermute, dass man als normaler User wenig dagegen machen kann, als von einem sicheren Router zum anderen zu Springen
 
Aber das würde sicherlich mehr bringen, als mit technischen Begriffen um sich zu hauen, die kaum ein normaler Mensch verstehe.
Die TR-069-Sau muß man gar nicht erneut durch's Dorf treiben, wobei die heutige Nachricht auf heise.de dazu - immer in meinen Augen - auch ein echter Witz ist (keine unmittelbare Bedrohung) ... aber das ist ein anderer Thread.

Ich versuche es mal kurz, zumindest für den klarsten Punkt, wo AVM nach meinen Begriffen "Mist baut". Das LAN, von AVM automatisch als "sicher" eingestuft, ist es heute eben nicht mehr in jedem Fall.

Wenn man sich heute die Geräte so ansieht, die in fast jedem Haushalt hinter einer FRITZ!Box zu finden sind, ist es einfach nur fahrlässig, wenn man nicht schon als Hersteller bestimmte Sicherheitsvorkehrungen durchsetzt und sie nicht nur - wie AVM es macht - empfiehlt.

Wenn Fr. Müller (bei mir heißt sie Lieschen) ihren Router einrichtet und dabei vor die Wahl gestellt wird, sich noch ein weiteres Kennwort zu merken oder einfach zwei Haken in einer Maske entsprechend zu setzen, dann wird nun einmal bei einem Großteil der Nutzer eher der zweite Weg beschritten.

Damit steht dann die Box aber so ziemlich jedem offen, der irgendwie auf das LAN Zugriff erhält. Das kann über einen vorhandenen PC oder über ein angreifbares NAS oder etwas ähnliches sein, wo L. Müller den Zusammenhang gar nicht erkennen kann.

Mit entsprechendem Zugriff auf das GUI läßt sich - einfach durch Aufruf einiger URLs - auch der Telnet-Daemon einer FB aktivieren.

Hat man dort erst einmal Zugriff, steht einem die ganze Box offen und es ist auch kein Problem, sich mit eigener Software dann so in der Box zu verstecken, daß man selbst bei einer Analyse der Support-Daten durch AVM nur schwer zu entdecken ist ... quasi ein Root-Kit auf einem Router.

Und auch wenn AVM immer wieder versichert, das wäre bei ihrer Firmware vollkommen unmöglich ... Leute mit entsprechenden Kenntnissen werden mir sicherlich zustimmen. Wie es z.B. auf einer 7490 (theoretisch) auch möglich sein müßte, als Fremder eine andere Firmware zu installieren, habe ich (allerdings mit einem anderen Ziel, nämlich nicht als "Fremder") gerade versucht in einem "nebenläufigen" Thread zu schildern.

Aber selbst bei aktivierter Authentifizierung an der Box steht es einem Angreifer im lokalen Netz immer noch frei, sich per Proxy-ARP als Box auszugegeben und einfach eine GUI-Session (es reicht ja schon ein einzelner Ajax-Request, den die Box ständig in der Übersichtsseite im Hintergrund ausführt, das kriegt keiner mit, selbst wenn da mal eine Antwort ausfallen sollte) mitzulesen und daraus eine gültige Session-ID (sid-Parameter) zu extrahieren, mit der man dann (anstelle des berechtigten Benutzers und durch Spoofing seiner IP-Adresse ggü. der Box) die Sitzung fortführen kann. Wer bitte meldet sich denn in seinem Browser nach dem Zugriff auf die FRITZ!Box schon "ordentlich" ab ?

Ein möglicher Weg, solche Vektoren (also das Sniffen von SIDs) im LAN zu vermeiden, wäre es ja, die Kommunikation mit dem GUI der Box nur noch mit SSL-Verschlüsselung zuzulassen. Das ist - nach außen ist es ja auch so - auch überhaupt kein technisches Problem. Die Box müßte nur bei HTTP-Requests auf Port 80 mit einem Redirect antworten und dann möglichst noch auf Port 443 einen "Strict Transport Security"-Header einbauen, dann wird jeder moderne Browser künftig die Box automatisch mit HTTPS kontaktieren, egal ob der Benutzer es vor die URL setzt oder nicht.

Aber sogar die AVM-eigenen Smartphone-Apps patzen an dieser Stelle gehörig, zumindest die iOS-Version der FRITZ!App Fon. Zwar werden große Teile der Kommunikation mit der FRITZ!Box von dieser App per TR-064 und mit Verschlüsselung auf Port 49443 abgewickelt, aber beim Lesen des Telefonbuchs der Anrufliste erfolgt dann eben doch ein HTTP-Zugriff offener Zugriff auf Port 49000 auf die Box und dieser Request enthält dann praktischerweise auch gleich wieder eine SID.

Über die anderen denkbaren Angriffsmöglichkeiten von innen kann man auch noch genug philosophieren, bei einigen kann AVM auch nichts machen und man muß sich auch als Besitzer der Box in die Pflicht nehmen lassen. Aber es gibt eben genug Stellen, wo sich - meines Erachtens - bei AVM die Erkenntnis noch nicht durchgesetzt hat, daß das LAN nicht mehr automatisch als "gut" angesehen werden darf.

Nur mal noch so als Beispiel:
Gesetzt den Fall, ich habe ein NAS in Deinem Heimnetz unter Kontrolle, das mit der FRITZ!Box über ein LAN-Kabel verbunden ist. Als erstes ermittele ich mal mit einem Aufruf von http://169.254.1.1/jason_boxinfo.xml, mit was für einer FRITZ!Box ich es überhaupt zu tun habe. Die Diskussion zu APIPA-Adressen und dem "Finden" der FRITZ!Box erspare ich uns, das NAS kennst die Adresse mit einiger Wahrscheinlichkeit (als sein eigenes Gateway), sonst wäre ich wohl auch nicht auf dem NAS. Nachdem ich dann weiß, um welches Modell es sich handelt, brauche ich nur eine Möglichkeit, die Box meinerseits neu zu starten oder ein wenig Geduld und das regelmäßige Aussenden von (ganz ganz kleinen) UDP-Paketen, um den nächsten Neustart der FRITZ!Box abzupassen. Dann hält mich keinerlei Vorkehrung davon ab, die Box bei diesem Start mit einem neuen Firmware-Image zu flashen (etwas anderes macht das Recovery-Programm von AVM oder das ruKT ja auch nicht), das ich bereits "ab Werk" mit meinen Änderungen versehen habe.

Ich behaupte also nicht, daß es ohne großen Aufwand möglich ist, eine FRITZ!Box von innen heraus "zu kapern", aber die von AVM postulierte "Sicherheit" ist schlichter Blödsinn, solange das alles rein durch Software zu lösen ist. Hier wäre eine mögliche Abhilfe z.B., wenn das Flashen eines Images über EVA nur möglich ist, wenn man entweder einen Taster drückt (das wird für das NAS etwas kompliziert) oder meinetwegen auch - wie es einige HP-Switches für ein Reset erfordern - ein "Loop-Kabel" an zwei LAN-Ports anschließen muß oder irgendeine andere - auch für Otto Normaluser (das ist der Onkel von L. Müller) lösbare - Aufgabe, die keinen zusätzlichen technischen Sachverstand erfordert.

Sorry, ist wieder sehr lang ...
Ich habe mich aber bemüht, nicht nur abstrakt von "möglichen Problemen" zu reden und einfach mal einige plausible Szenarien mit möglichst einfachen Worten zu erläutern. Es bringt ja auch nichts, immer nur zu behaupten, es geht schon irgendwie ... manchmal muß man eben auch konkrete Vorschläge machen, die hoffentlich niemand hier als Anleitung zum Handeln mißversteht.
 
Zuletzt bearbeitet:
Schöner Beitrag, sehr nachvollziehbare Schilderung(-en).
Hierzu noch zwei kleine Anmerkungen:

...
Die Box müßte nur bei HTTP-Requests auf Port 80 mit einem Redirect antworten

Leider hat AVM die NAT-Funktionalität soweit beschnitten (und dazu als closed-source eingestuft, was seit einiger Zeit im Zusammenhang mit Freetz sehr lästig ist), daß dieser REDIRECT, zumindest nach meinem Kenntnisstand, aktuell so nicht möglich ist. Lediglich FW aus der *.02.*-Zeit könnten da noch funktionieren.

Als erstes ermittele ich mal mit einem Aufruf von http://169.254.1.1/jason_boxinfo.xml, mit was für einer FRITZ!Box ich es überhaupt zu tun habe...

Wenn ich per iptables/netfilter den Zugang zur Box aus 169.254.0.0/16 gesperrt habe, wird das ins Leere laufen ... aber leider führt das zurück zu meiner ersten Anmerkung ...
Aber nochmal: Sehr informativer Beitrag, danke !
Grüße,

JD.
 
Schöner Beitrag, sehr nachvollziehbare Schilderung(-en).
Danke.

Leider hat AVM die NAT-Funktionalität soweit beschnitten ... aktuell so nicht möglich ist.
Da hast Du mich wahrscheinlich mißverstanden, ich meinte kein Redirect für die TCP-Connection, ich meinte ein "echtes" HTTP-Redirect (302 glaube ich).

Wenn ich per iptables/netfilter den Zugang zur Box aus 169.254.0.0/16 gesperrt habe
Na ja, wie schon geschrieben ... wenn das NAS auch nur irgendwie auf die FRITZ!Box zugreifen darf (und ich gehe natürlich immer von einer AVM-Firmware aus), dann kommt man da auch auf die FRITZ!Box (bei erfüllten Rahmenbedingungen).

Es geht mir ja auch gar nicht um die Leute, die wissen, daß man eine FB nicht ohne Kennwort betreibt und zwar schon aus Prinzip.

Auch hat selbstverständlich noch lange nicht jeder Haushalt so ein bequemes Relay wie ein NAS hinter der Box. Aber die Zeiten ändern sich eben und wenn ich nicht über das Smartphone oder das NAS kommen kann, klappt es vielleicht über den Smart-TV oder den DVB-Receiver oder die Steckdosenleiste mit eingebautem Webserver oder den HDMI-PC im Stick von Pearl. Die Möglichkeiten sind unendlich und niemand weiß, was da alles noch dazukommt. Irgendwann vielleicht ja auch Waschmaschine und Kühlschrank ... ;)
 
... wenn das NAS auch nur irgendwie auf die FRITZ!Box zugreifen darf
Darf Sie nicht ....
... und wenn ich nicht über das Smartphone oder das NAS kommen kann, klappt es vielleicht über den Smart-TV oder den DVB-Receiver oder die Steckdosenleiste mit eingebautem Webserver oder den HDMI-PC im Stick von Pearl.
Da hast Du vollkommen Recht, in Zeiten des "Internets der Dinge" steigen diese Risiken potenziell an. Umso wichtiger (für meinen Geschmack), daß AVM da die gesamten Quellen (nebst Kernel-Konfigs) zur Verfügung stellt, damit man sich zumindest selbst helfen kann
Und noch kurz am Rande: Da der "Kommunikationsdrang" all dieser Geräte (TV, BlueRay, HD-Receiver usw.) aus der Presse bekannt ist, dürfen die bei mir maximal übers DSL-Device ins Internet. Der Zugang zur Box (INPUT) ist auf einige ganz wenige Ausnahmen beschränkt.
Grüße,

JD.
 
Da hast Du vollkommen Recht, in Zeiten des "Internets der Dinge" steigen diese Risiken potenziell an. Umso wichtiger (für meinen Geschmack), daß AVM da die gesamten Quellen (nebst Kernel-Konfigs) zur Verfügung stellt, damit man sich zumindest selbst helfen kann
Das können die Experten,wie Du , @PeterPawn und noch einige andere.
Aber was machen die "Normalnutzer"?
 
Ehrlich gesagt: Keine Ahnung. :(
Aber ich dachte/hoffte, daß die "Normalnutzer" auch kein ausreichend großes Attraktionspotential für Angriffe gegen die Box selber waren ... bis ich zu Anfang des Jahres eines Besseren belehrt wurde.
Kurzum: Ein Restrisiko wird immer bleiben. Und wenn dieses durch die Mithilfe von AVM gemindert werden kann, wäre dies schon nett und würde sicherlich auch, sofern substantiell gemacht, zur Reputation (und damit zum Verkauf) beitragen.
Aber ich sehe da den Normalnutzer auch ein wenig in der Pflicht: Natürlich weiß er aus den Medien, daß Risiken bestehen bzw. schon "genutzt" wurden. Ab hier ist es eine Abwägung: Kosten im Falle des "Schiefgehens" gegen den Aufwand, selbst abseits der "Normalnutzerwege" tätig zu werden. Und da AVM im Falle einer Sicherheitslücke nur schwerlich habhaft zu machen sein dürfte (entsprechende Klausel irgendwo in den AGBs), muß man sich selbst helfen.
 
Hallo,
Außer Frage steht, dass jeder sich auf dem Laufenden halten soll / muss. Darum meine Frage nach der Verständlichkeit.

@Peter: Aber meinen Respekt vor der Mühe und der Sachlichkeit. Da bin ich schon auf andere Posts gestoßen :)
 
OT:
1. Ich bin old school, so nehme ich mir auch einige Freiheiten beim ss vs. sz und an vielen anderen Stellen, da bin ich dann einfach Legastheniker. Solange ich es lesen kann ...
2. Die neue Rechtschreibung läßt auch beide Varianten zu. Ätsch ... :)
3. Ich bin mehr am Potential neuer Möglichkeiten interessiert, als an deren Potenz.

SF1975 schrieb:
Da bin ich schon auf andere Posts gestoßen
Sicherlich auch von mir ... wir sind ja schon bei einigen Gelegenheiten aneinander geraten.
Aber es ist bei mir mit der Aufregung wie mit dem Wellengang der See: Nach einem hohem Kamm kommt auch wieder ein Wellental. Ist wohl langsam auch die Altersmilde ... ;)

Also Frieden meinerseits, jedenfalls bis zur nächsten Meinungsverschiedenheit : :fecht:

:)
 
Sehr informativer Beitrag Peter! Wenn man sich so den Beitrag durchliest, merkt man, dass du weißt wovon du sprichst :)
In naher Zukunft belege ich einige Kurse in Sachen Sicherheit, Verschlüsselung, GSM Hacking etc.
Werde dann auch etwas schlauer aus all dem hier :)
 
Mit potenziell war die Zunahme über die Zeit gemeint ... also z.B. nicht linear .... mit Potential sollte das nichts zu tun haben ...
Das war dann zu subtil für mein Verständnis, ich habe das nur auf die neue Rechtschreibung bezogen.

Und ich hatte das nicht als "exponenziell" begriffen mit der Zunahme ... ;) - inzwischen würde ich es dann als "potenziert" interpretieren und da sind wir uns über die Schreibweise dann auch wider (kleiner Gag am Rande) einig.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.