Fritzbox 6490 Cable Firmware Update?

Hat das jetzt einen Bezug zu diesem Thread oder gar seine Ursache in irgendeinem Text, den Du hier in diesem Thread gelesen hast? Oder ist das mehr eine grundsätzliche Überlegung? Ich habe hier irgendwie ein(en) "missing link".
Anhand dieses Threads wird klar, welchen Aufwand AVM (Zertifikate revoken etc.) betreibt, um die ehemaligen Providerboxen (egal ob käuflich erworben und somit Eigentum des Kundens oder noch Providereigentum) auszuschließen. Es sei mal dahingestellt, ob dies durch Vodafone und Co. forciert wurde. Abweichungen von den Spezifikationen der Schnittstellenbeschreibung der Provider hin oder her... Die Boxen der Provider mit der FW 6.50 laufen ja auch.
Diese Vorgensweise hat mich zu der Aussage bewogen. Aber: Back to topic...
 
Zuletzt bearbeitet:
Ich denke der Aufwand wird eher betrieben um ein Sicherheitsproblem zu beheben.
Wenn du eine Box eines Providers mit der 6.50 hast, ist es sehr wahrscheinlich das du auch das neue (oder beide) Zertifikate auf der Box hast.
 
Hallo Aux,
das wichtigste ist, dass Du valide CM-Zertifikate hast;
dies kannst Du im ersten Schritt anhand der Existenz einer Zeile "urladercerts.tar.gz" in Supportdata.txt prüfen;
sollte in etwa so aussehen:
---------x 1 root root 2116 Jan 1 01:00 urladercerts.tar.gz
Für genauere Analyse wäre Telnet erforderlich;

die Artikel-Nr. ist gemäß aktueller Recherche kein Ausschlußkriterium (jedenfalls konnte ich hierzu im IPPF nichts finden) für Provisionierung bei KNB-Provider:
Artikel-Nr.: "2000 2778" Retail-Boxen, Handelsware
Artikel-Nr.: "2000 2657" FB6490 Cable International,
Artikel-Nr.: "2000 2691" KDG Providerbox, VF Homebox 3
Artikel-Nr.: "2000 2689" Unity Media Edition (Weiss),

und dann kann man sich auch noch auf die Schnittstellenbeschreibung berufen.

Gruß
Pokemon20021

Danke dir Pokemon20021,

wo ist die Datei abgelegt? mit "find / | grep urladercerts.tar.gz" ​finde ich sie nicht...
 
wo ist die Datei abgelegt? mit "find / | grep urladercerts.tar.gz" ​finde ich sie nicht...
Hallo Aux,
es handelt sich um Datei /var/tmp/urladercerts.tar.gz

weiteres zu Zertifikate Thema siehe:

http://www.ip-phone-forum.de/showthread.php?t=286994&p=2175791&viewfull=1#post2175791
http://www.ip-phone-forum.de/showthread.php?t=286994&p=2175794&viewfull=1#post2175794
http://www.ip-phone-forum.de/showthread.php?t=286994&p=2175833&viewfull=1#post2175833

Gruß
Pokemon20021
 
Ich habe das File auch nicht. Habe eine KDG 6.26 Box auf AVM Branding und 6.50 aktualisiert (danke @fesc ;) )
 
Auch wenn es immer wieder als "böser Wille" von AVM oder den KNB angesehen wird ... da stehen tatsächlich schon entsprechende Beschränkungen in den derzeit gültigen DOCSIS-Standards. Wenn die jemandem nicht passen, muß er eben versuchen, diese Standards zu ändern.

Nach der "Operations Support System Interface"-Spezifikation (OSSI) für (Euro-)DOCIS 3 ist es per se schon mal vorgeschrieben, daß es keinen "console port" (dazu gehört auch Telnet auf der Box, wenn darüber der Zugang zum CM möglich ist) gibt:
Punkt 9.2 Console Access schrieb:
The CM MUST NOT allow access to the CM functions by a console port. In this specification, a console port is defined as a communication path, either hardware or software, that allows a user to issue commands to modify the configuration or operational status of the CM. The CM MUST only allow access using DOCSIS defined RF interfaces and operator-controlled SNMP access by the CMCI.
(Hervorhebung durch mich)

Wenn also ein (standardkonformes) Gerät einen solchen Zugang (auch zum CM) ermöglicht (das ist bei einem "eDOCSIS"-Gerät meist nicht zu vermeiden, denn dieses kleine "e" steht eben nicht für "Euro", sondern für "embedded"), ist das eigentlich ein Software-Fehler und wenn der dann vom Hersteller beseitigt wird, kann man sicherlich auf die DOCSIS-Spezifikation "schimpfen" ... der Hersteller kommt hier nur seiner Verpflichtung nach, das Gerät (nach bestem Wissen und Gewissen) zum Standard konform zu halten.

Es wäre auch ziemlich widersinnig, wenn einerseits der Standard eine komplette PKI-Architektur zur Absicherung von PACM vorschreibt und auf der anderen Seite dann der (meist ja doch recht ahnungslose) Benutzer/Kunde wieder dort eingreifen kann.

Ich warte noch auf das Gerät, wo die DOCSIS-Funktionen dann tatsächlich als "black box" ausgeführt sind (ist ja bei den WLAN-Treibern auch nicht anders) und man trotzdem noch (mit gutem Gewissen) den Zugriff auf die restlichen Funktionen so eines IAD (und die CM-Funktionalität - selbst MTA und DVA - ist eben nur ein einzelner Aspekt so eines Gerätes) zugänglich machen kann.

Leider gibt es das noch nicht ... der oben zitierte Punkt in der Spezifikation ist auch der Grund, warum ich mich einigermaßen damit zurückhalte, wie man denn nun in so eine (aktuelle) "FRITZ!Box Cable" eindringen könnte bzw. sogar aktiv dagegen arbeite, wenn ich gefundene Lücken an AVM melde.

Ich will zwar auch wissen, was so eine FRITZ!Box (zumindest eben jenseits des "Modem-Teils") in meinem Netz veranstalten kann ... aber solange da diese Trennung nicht umgesetzt ist (es gibt ja inzwischen sogar den Ansatz, die Funktionen so eines IADs in getrennte VMs zu splitten und auch entsprechende Prozessoren), halte ich den Telnet-Zugriff an dieser Stelle auch für ein ernsthaftes Problem - womit ich dann wieder beim "überwiegend ahnungslosen Benutzer" bin und für diesen Standpunkt (auch wenn er überheblich klingen mag), findet man auch hier im IPPF genug Belege.

Sollen die Leute meinetwegen "debranden" bis das Rot der Boxen in ein helles Grau übergeht, weil das (metaphorische) "Feuer" der Box erloschen ist ... das ist alles noch kein Telnet-Zugriff und wenn die Provider diejenigen Boxen aus dem Netz ausschließen, die eine bekanntermaßen angreifbare Firmware enthalten, ist das zunächst mal 100% DOCSIS-Standard.

Wie weit AVM dann für die ehemaligen Provider-Modelle (die sicherlich eine ganz andere Gewinnmarge hatten als die heutigen Retail-Boxen) die Firmware liefern müßte, um diese "graue Ware" jetzt standardkonform zu machen, wage ich nicht einzuschätzen ... aber ich kann es verstehen, wenn man es nicht (freiwillig) macht.

Wer sich eine eigene 6490 vor dem 01.08. besorgt hat, der sollte auch um das Risiko der Inkompatibilität gewußt haben (auch hier im IPPF sollte man dazu genug finden können) ... jetzt "heulen" ist da für mich eine ziemlich unverständliche Reaktion.

BTW ... wer wissen will, was aus einem "CM" (cable modem) "rauskommen" darf/soll, der schaut sich dann einfach mal die Definition des CMCI (cable modem to CPE interface) an.
 
Zuletzt bearbeitet:
Leider gibt es das noch nicht ... der oben zitierte Punkt in der Spezifikation ist auch der Grund, warum ich mich einigermaßen damit zurückhalte, wie man denn nun in so eine (aktuelle) "FRITZ!Box Cable" eindringen könnte bzw. sogar aktiv dagegen arbeite, wenn ich gefundene Lücken an AVM melde.

Das beruhigt mich irgendwie ungemein.
Es ist wirklich genau der Punkt, es geht nicht unbedingt darum telnet auf dem eRouter Part zu sperren, sondern darum jeglichen Zugriff zum CM Teil der Box zu verhindern.
Zwar gibt es noch weitere Sicherheitsmaßnahmen um Manipulationen zu verhindern, aber es stellt nichtsdestotrotz ein Sicherheitsrisiko im DOCSIS Netz dar.

Und das dies nicht ganz aus der Luft gegriffen ist, zeigt ja auch das kurz vor dem Start der Routerfreiheit doch einige Motorola Modems mit spezieller Firmware bei ebay verkauft wurden sind. (Hatte das nebenbei mal beobachtet)
Klar kann man damit versuchen zu spielen, aber die Chancen dürften ,auch bei hoffentlich allen Provider, schlecht aussehen.
 
@scuros und @PeterPawn: Das nennt sich security by obscurity, da muss ich hoffentlich nicht weiter erklären.
Solange Software ein Sicherheitsrisiko darstellen kann, hat der Standard/das Netz ein Problem! Hat man aus der Anfangszeiten von Internet über Kabel nicht gelernt?
 
Wieso der Standard ist doch eindeutig und wenn die Software dagegen verstößt, dann wird sie verbannt.
Daher ist doch alles ok im Netz.

Oder machst du Bankgeschäfte in öffentlichen WLANs oder Netzen wo du nicht weißt wer gerade MAC Spoofing oder whatever betreibt.
Es wird sich immer etwas finden um etwas anzugreifen oder zu manipulieren wenn man lange genug sucht.
 
@thtomate12:
Ich habe den Standard nicht verabschiedet ... schreib' Deinem Wahlkreis-Abgeordneten.

Ich finde solche Geschichten auch nicht immer toll - ist ein solcher Standard vorhanden, muß man sich damit arrangieren. Auch die nicht öffentlich gehandelten Windows-Quellen (oder iOS) halten die Leute ja nicht davon ab, diese Systeme zu benutzen.

Und um auch das noch einmal ganz klar zu schreiben ... das Sicherheitsrisiko ist nicht die Software an sich, es ist der Benutzer, der ohne die notwendigen Kenntnisse einfach irgendetwas ändert (Beispiele kennst auch Du sicherlich genug) oder sich sogar einen monetären Vorteil durch die illegale Benutzung von Diensten verschaffen will. Wenn der Standard hier versucht Abhilfe zu schaffen, ist das legitim.

Das hat hier eigentlich auch gar nichts mit "obscurity" zu tun ... das ist alles nicht "geheim" in dem Sinne, daß es nicht bekannt wäre. Es gibt eine Festlegung, wer die Konfiguration eines CM auf welchem Weg beeinflussen darf und dazu gehört der Besitzer eines Modems beim DOCSIS-Standard mal definitiv nicht. Punkt. Bei einem eDOCSIS-Gerät ist i.d.R. mit dem Zugang zum Gerät auch der Zugriff auf das CM möglich, also ist der zu verhindern.

Da es sich beim BK um ein "shared medium" handelt, ist das in meinen Augen auch vertretbar. Auch das "baseband"-Module eines beliebigen Mobilfunk-Gerätes ist "geheim" (ebenfalls "shared medium", wo nun mal bestimmte Spielregeln eingehalten werden müssen, damit eine Koexistenz überhaupt möglich ist und beim WLAN ist es nebenbei bemerkt auch nicht anders) und spätestens dann, wenn Dein Nachbar Dein eigenes Internet stört (wenn er das auch mit einer kurzgeschlossenen TV-Kabel-Buchse machen kann, stimmt etwas mit dem Verkabelungsstandard im Haus nicht), würdest vermutlich auch Du darauf bestehen, daß man ihm das irgendwie "vermiest".

Wenn das CM tatsächlich ein abgeschlossener Teil in so einem Gerät ist (oder sogar ein gesondertes Gerät), ist das wieder etwas anderes, dann mag da spielen wer will, solange er das Übertragungsmedium (das auch andere "brauchen") dabei nicht stört.

Wenn Dein Nachbar mit einem Jammer Dein WLAN "wegdrückt", ist am Ende sogar die "Hardware" das Problem - bei einem SDR dann wiederum die Software ... diese alten "Kategorien" funktionieren heute ohnehin nicht mehr und so wie es Standards für andere geteilte Übertragungsmedien gibt, gibt es eben auch einen für das Breitband-Kabel. Wenn dieser Standard jemandem nicht zusagt, darf er eben das BK nicht für den Internetzugang nutzen (wollen).

@Aux:
Wie wäre es mit "lesen"? Wann die Datei erstellt wird und woher sie kommt (inkl. der Andeutung, wie man das auch ohne Telnet-Zugang herausfinden kann, was die eigene Box an Zertifikaten hat), habe ich bereits beschrieben - allerdings nicht als "Aufzählung" von Kommandos, sondern in der Schilderung von Zusammenhängen. Manchmal hilft es eben auch nicht, wenn man einen Telnet-Zugang hat ... man muß auch etwas damit anfangen können. ;-)
 
Wieso der Standard ist doch eindeutig und wenn die Software dagegen verstößt, dann wird sie verbannt.

Aber das Netz erkennt nicht, ob man Telnet oÄ hat (weil man das nicht kann), aber es ist ein Sicherheitsrisiko (das hast du oben selber gesagt), deswegen wird es versteckt (und dabei ziemlich schlecht, siehe Vortrag auf letztem C3). Das ist security by obscurity!
 
Ehe jetzt jemand anmerkt, daß der Abgeordnete den Standard auch nicht verabschiedet hat ... das ist ein ETSI-Standard bei EuroDOCSIS und die dort "stimmberechtigten" Mitglieder sind die Mitgliedsstaaten - also in letzter Konsequenz dann wieder "die Politik", auch wenn man solche Gremien "den Fachleuten" überläßt.
 
@scuros und @PeterPawn: Das nennt sich security by obscurity, da muss ich hoffentlich nicht weiter erklären.
Solange Software ein Sicherheitsrisiko darstellen kann, hat der Standard/das Netz ein Problem! Hat man aus der Anfangszeiten von Internet über Kabel nicht gelernt?

Ich denke der Begriff ist hier fehl am Platz.
Denn security in welchem Sinne? "Mitlauschen beim Nachbarn" oder "Stabilitaet des Netzes".
Fuer ersteres brauchst du in jedem Fall tiefegehende DOCSIS Kenntnis, und wenn du die hast dann hindert dich wohl auch ein nicht-provisioniertes Modem nicht daran es zu tun (das ginge dann wohl auch rein passiv). So wie bei WLAN, GSM, etc auch.

Letzteres ist zu begruessen, und du kannst es nur ausschliessen wenn das Modem nicht zugaenglich ist, sei es durch komplettes Abschotten oder das Modem intern unzugaenglich zu machen (siehe aktuelle Diskussion bzgl. WLAN modems, ich denke das waere auch im Sinne des DOCSIS standards).
Ist nicht schoen, aber fuer AVM momentan wohl die einzige Moeglichkeit da die technischen Voraussetzungen fehlen.

Leider haben wir momentan eine Monopol-Situation, es gibt ja nicht einmal einfache (= preiswerte, sparsame) Modems ohne Router (zumindest noch nicht in DE zu kaufen).
 
Zuletzt bearbeitet:
Leider gibt es das noch nicht ... der oben zitierte Punkt in der Spezifikation ist auch der Grund, warum ich mich einigermaßen damit zurückhalte, wie man denn nun in so eine (aktuelle) "FRITZ!Box Cable" eindringen könnte bzw. sogar aktiv dagegen arbeite, wenn ich gefundene Lücken an AVM melde.

[...]

Sollen die Leute meinetwegen "debranden" bis das Rot der Boxen in ein helles Grau übergeht, weil das (metaphorische) "Feuer" der Box erloschen ist ... das ist alles noch kein Telnet-Zugriff und wenn die Provider diejenigen Boxen aus dem Netz ausschließen, die eine bekanntermaßen angreifbare Firmware enthalten, ist das zunächst mal 100% DOCSIS-Standard.

Wie weit AVM dann für die ehemaligen Provider-Modelle (die sicherlich eine ganz andere Gewinnmarge hatten als die heutigen Retail-Boxen) die Firmware liefern müßte, um diese "graue Ware" jetzt standardkonform zu machen, wage ich nicht einzuschätzen ... aber ich kann es verstehen, wenn man es nicht (freiwillig) macht.

Wer sich eine eigene 6490 vor dem 01.08. besorgt hat, der sollte auch um das Risiko der Inkompatibilität gewußt haben (auch hier im IPPF sollte man dazu genug finden können) ... jetzt "heulen" ist da für mich eine ziemlich unverständliche Reaktion.

Ich sehe das etwas anders:
Ich will bzw. brauche keinen telnet-Zugang - ich hätte mich darum gar nicht bemüht, wenn meine in meinem Eigentum befindliche Box funktionieren würde.
Am 31.07. Abends hat sie das auch.
Erst durch Änderungen auf KD Seite ging dies dann nicht mehr.

KD stellt aber kein Firmware-Update bereit, weil es nicht mehr "ihre" Box ist sondern meine eigene. AVM stellt keine Firmware-Updates bereit, weil es eine ursprüngliche Kabelnetzbetreiberbox ist. Dagegen kann man schon einwenden, dass AVM ihr Geld mit dem Verkauf der Box an den Kabelnetzbetreiber gemacht hat und der Kabelnetzbetreiber sein Geld mit dem Entgeltbetrag, den sie dem Kunden oder dem Händler in Rechnung gestellt haben. Im Ergebnis heißt dies, dass jede Menge Elektroschrott herumliegt - mutwillig produziert durch das Verhalten von AVM bzw. KD. Wie beide Unternehmen ihrer Verantwortung gegenüber der Umwelt nachkommen - geschenkt.

Würde einer von beiden - AVM oder KD - ein Firmwareupdate durchführen, würden sich hier wohl die Wenigsten Gedanken machen, wie man ein Update "irgendwie" hinbekommt.

Dass daneben die Leute das KD Branding loswerden wollen und eine brandingfreie Version haben wollen, kann ich auch nachvollziehen.
 
Würde einer von beiden - AVM oder KD - ein Firmwareupdate durchführen, würden sich hier wohl die Wenigsten Gedanken machen, wie man ein Update "irgendwie" hinbekommt.

Wenn kann das wohl nur AVM, da die Kabelnetzbetreiber das signierte CVC Image der 6.60 (wahrscheinlich gar kein Image für Kundenboxen) nicht erhalten um über den Modem Part ein Update zu machen.
Warum erschließt sich mir bisher leider auch nicht.

Du kannst nur versuchen ob AVM deine BOX irgendwie updated. Da die KNB kein Image bekommen, gehe ich davon aus das auch nie eines auf dem FTP von AVM auftaucht oder es eine recovery.exe gibt. (reine Vermutung)
 
@der_Gersthofer
die Unternehmen haben einfach noch nicht verstanden, das Kundenbindung über Leistung und Service erfolgt und nicht über Gängelung
 
Dachte Gängelung und Bevormundung wäre der Service der Anbieter, was andere eben nicht haben als Extra Feature. ;)

Neben diesen Geschichten, gibts ja noch DS Lite, und bei KD nun auch bei über 100Mbit noch 1TB Drossel gratis als Feature dazu. :D
 
Zuletzt bearbeitet von einem Moderator:
Wenn kann das wohl nur AVM, da die Kabelnetzbetreiber das signierte CVC Image der 6.60 (wahrscheinlich gar kein Image für Kundenboxen) nicht erhalten um über den Modem Part ein Update zu machen.
Was spricht gegen wenigstens 6.5x?
 
Was dagegen spricht hmm.
Der KNB DARF nicht auf die Box zugreifen, geschweige denn ein Update machen.
Die 6.50 genausowenig bringt, da es dort keine "offizielle" Möglichkeit des Updates gibt.

Ihr nennt es jetzt Gängelung aber denke die meisten wussten sehr genau das es passieren konnte wenn sie Boxen bei ebay kauften.
Ich würde sagen Schnäppchen machen ging nach hinten los, also warum nicht einfach bis 1.8. gewartet und eine Box gekauft die dafür vorgesehen ist?
Selber schwer machen? Oder vielleicht lieber eine Box haben wo man weiß das telnet noch möglich ist?
Zumal eine KDG Box die mal bei KDG war, wohl nie online gehen wird, wenn sie die MAC noch in dem eigenen Pool finden, da sie theoretisch noch in deren Besitz ist.
 
Zuletzt bearbeitet:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.