[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)

Eindruck hin oder her, ist doch Wurst, Hauptsache Lücke ist gefixt.

Finde es nur unnötig hier zu Diskutieren in welcher Reihenfolge ganze gemacht wurde oder ob man Update machen soll oder nicht.
 
Zuletzt bearbeitet von einem Moderator:
@ Novize: Kann im Eifer des Gefechts ja passieren... ;)

@pfax: Die Angriffe von Außen sind ja dokumentiert (nur deshalb hat AVM doch intensiv nach der Lücke gesucht). Berichte über die von Hanno beschriebenen möglichen Innenangriffe über verseuchte Websites liegen nach meiner Kenntnis nicht vor. Daher sind User, die keinen Fernzugriff auf die Box zugelassen hatten wahrscheinlich schon nach einem Update wieder sicher...
 
Zuletzt bearbeitet von einem Moderator:
essex_man schrieb:
Da koennte man fast den Eindruck bekommen, es wurde erst ein Loch gestopft und dann ein anderes.
Auch das ist im Nachhinein belanglos.

G., -#####o:
 
Dann würde heise aber nicht die neue Firmware als sicher empfehlen, denn zumindest seit dem 16.2. abends sind sie ja in Besitz der Lücke und haben dies ja auch nachstellen können.

Und genau das ist es ja, was man Heise vorwerfen muss. Die machen ein Trara-Trara um eine Sicherheislücke die zu dem Zeitpunkt eigentlich schon vom Hersteller gefixt ist und verunsichern damit mehr User als das sie aufklären. Aber wie war das in der Wochenshow bei RTL? „Komm ich jetzt im Fernsehen?”

Es fehlt halt an seröser Berichterstattung und vor allem Hintergrundinformation. Das erinnert mich eher an eine große Deutsche Tageszeitung mit vier Buchstaben. Aber wahrscheinlich ist der Druck in dem schreibenden Gewerbe auch hoch, wenn man als Fachmagazin gegen Blätter wie Spiegel oder Stern anstinken muss... stellt sich die Frage wer da wo wilderd... :D
 
Jetzt brat mir einer nen Storch.
Die Sicherheitslücke wurde mit Firmwareupdate also gefixt.
Schön, dass ich das jetzt auch mal mitkriege.
Dann muss ich mir um meine (Daten) Sicherheit ja überhaupt keinen Kopf mehr machen.
Und dieser Thread kann dann wohl auch geschlossen werden. Oder was gibt es noch?
 
Bitte beachtet, dass ich folgende Zeilen als Privatperson schreibe und keineswegs im Namen von Heise o. Ä.
Zuerst wurde die Lücke von Kriminellen zum Telefonmissbrauch ausgenutzt. Dann hat AVM die Lücke entdeckt und auf den ersten Routern gefixed. Und zwar mit dem Hinweis, dass nur Nutzer der Fernwartungsfunktion (Vektor 1) betroffen seien.
Ich hab dann am 15. und 16.2. das Sicherheits-Update einer FB mit der verwundwaren Version verglichen und so ebenfalls Erkenntnis über die Lücke erlangt. Die Details der Sicherheitslücke und Möglichkeiten, diese auszunutzen habe ich dann Heise Security mitgeteilt. Die neu gewonnene Erkenntnis war: Es sind eben _nicht_ nur User der Fernwartungsfunktion (Vektor 1) betroffen, sondern prinzipiell alle User, die eine anfällige FW auf ihrer FB haben. Aus dieser Information ist der Artikel vom Montag entstanden und dort wurde Angriffsvektor 2 vorgestellt. Inwiefern es vor dem Monatgsartikel zw. AVM und Heise Korrespondenz bzgl. Vektor 2 gab, kann ich nur mutmaßen. Ich würde aber stark davon ausgehen, dass AVM bereits über die Erkenntnisse von Heise und mir informiert war, bevor diese veröffentlicht wurden. Als Reaktion auf diesen Artikel ist sternTV aufmerksam geworden und daher die Sendung vom Mittwoch.

Bislang, und ich kann hier auch nur das wiedergeben, was die Presseberichte hergeben, sind keine Angriffe über Vektor 2 bekannt.

PS: Und um es nochmal klarzustellen: Die Sicherheitsupdates fixen eine Lücke und damit werden beide Vektoren blockiert.
 
Interessant, was ich aber irgenwie überhaupt nicht verstehe, warum Du dich an Heise und nicht an AVM gewendet hast? Das ist für mich nicht gerade seriös.
 
warum Du dich an Heise und nicht an AVM gewendet hast?

Ich habe vor gut einem Jahr AVM bereits in einer anderen, technischen und sicherheitsrelevanten Angelegenheit kleinerer Größenordnung kontaktiert. Da kam nur eine Standard-Mail aus Textbausteinen zurück. Scheinbar hatten sie kein Interesse an dem, was ich ihnen mitteilen wollte.
Da ich Heise vertraue und sie als IT-Portal ganz andere Möglcihkeiten haben, mit Herstellern etc. zu kommunizieren, habe ich mich an sie gewandt.
 
Hut ab Hanno. Für meine Begriffe war das genau der richtige Kanal. Letztlich geht es ja um ein massives Sicherheitsproblem, dass die Öffentlichkeit betrifft. Wer jetzt nicht in Zugzwang kommt, endlich ein Update zu machen und die Passwörter zu ändern, ist wahrscheinlich eingefroren trotz des milden Winters. Es geht ja um eine schnellstmögliche Verbreitung der Updates und so kann eine Firma unangenehme Dinge nicht halbwegs unter den Teppich kehren.

Nochmal. Super Leistung. Hut ab.
 
@hph

Du bist aber ganz schön nachtragend. Ich denke in diesem Fall wäre dennoch der Erstkontakt zu AVM angebracht gewesen. Nachher kannst du immer andere Wege gehen. Wenn es doch mal jemand hinterfragen sollte, wärst du wenigstens auf der sicheren Seite und keiner kann dir AVM-bashing unterstellen. Ich bezweifle das heise diesbezüglich AVM kontaktiert hat, denn nach den Aussagen bezüglich der Informationspolitik bei sternTV klang das eher nach Mutmaßungen. Man hätte auch jemanden von AVM einladen können. Dein Vertrauen in allen Ehren, aber bei Medien und allen Bereichen wo brisante Infos die Kasse klingeln lassen würde ich vorsichtig sein.

Auch mir ist es mit AVM so geschehen.

Wie oft?
 
Zuletzt bearbeitet von einem Moderator:
Ist doch leider oft so bei vielen Firmen, dass ersten Antworten eher Standardtexte sind aus der Datenbank, egal ob Ebay, Amazon, AVM oder ähnliches.

Selbst einer vom AVM Support hat mir schonmal in einem Ticket geschrieben, dass Erstanfragen mit Text aus der Datenbank beantwortet wird i.d.R.
 
Ich bin Aussendienstler und fahre sehr viel. Einem Kollegen sind einmal die Bremssättel gebrochen an einem Wagen. Die Herstellerfirma hat das zwar registriert, aber nicht unbedingt alle Autos der Serie nachgebessert. AVM bessert nach und zwar richtig. Ich bin seit Fritzcard Zeiten zufrieden mit den Produkten. Und wenn so viele Kunden AVM Produkte kaufen, werden das schon ordentliche Produkte sein. Das da dann auch mal ein Bock geschossen wird, ist doch menschlich.

Wenn ein großer Bock geschossen wird, kommt der Bock im Stern TV. Das bedeutet doch aber nicht, dass das Portfolio von AVM nichts taugt. So wild ist das nun auch nicht.
 
@ Freetz!Box: Nun ja, wer die PM von AVM am 17.2. liest kann das aber nachvollziehen:
In Medien- und Forenberichten wird aktuell über weitere mögliche Angriffswege auf die FRITZ!Box spekuliert. Aufgrund der laufenden Ermittlungen und um Nachahmungen zu vermeiden, kann AVM diese Berichte nicht kommentieren.
Hier hätte eine klare Aussage mehr gebracht, insbesondere die Aussage, dass mit den bekannten Sicherheitsupdates auch dieser Weg inzwischen nicht mehr offen sei. Dann wäre Ruhe gewesen.
So ist das eher als Abwiegeln zu lesen...
Erst am 19.2. dann dieses:
Detaillierte Analysen des Angriffs haben ergeben, dass auch FRITZ!Box-Modelle angegriffen werden könnten, bei denen der Fernzugriff nicht freigeschaltet ist. Hierzu ist allerdings eine völlig andere Art des Angriffs notwendig. Denn um den Angriff durchzuführen, müssten Anwender beispielsweise auf speziell präparierte Internetseiten mit Schadcode gelockt werden oder einen entsprechend präparierten Mailanhang öffnen. Ein solcher Angriff ist bis heute nicht bekannt. Mit dem installierten aktuellen Update ist dieses inzwischen auch in den Medien veröffentlichte Angriffsszenario nicht möglich.

Aber für koy war das noch nicht verständlich genug... :-Ö
 
Zuletzt bearbeitet von einem Moderator:
Nach deiner Logik dürfte es bei dir nur Experten geben die exploit- und bugfreie Software entwickeln oder Amateure mit gefährlichem Halbwissen. Und wenn dann doch mal Experten eine Lücke in ihrer Software hinterlassen dann müssen sie was verschwiegen haben oder sogar gemeinsame Sache mit Hackern machen, denn Experten beherrschen ja ihr Einmaleins.
Auch gute Programmierer produzieren gelegentlich Sicherheitslücken, aber das passiert (hoffentlich) nicht bewusst. Wir reden hier von einer komplett anderen Situation, in der nämlich AVM das Problem absolut bewusst war – schließlich hatten sie den Fehler schon identifiziert und behoben. Und in dieser Situation müssen sie die Schwachstellle einfach sofort auch daraufhin untersuchen, welche (weiteren) Angriffsmöglichkeiten diese im Einzelnen bietet.

Vielleicht haben die Entwickler auch an das 2. Angriffsszenario gedacht. Nur werden sie als fachkundige Menschen davon ausgegangen sein das eine zum Angriff präparierte Webseite nicht ungefragt auf Dienste im lokalen Netzwerk zugreifen darf.
Das spräche allerdings nicht gerade für große Fachkunde in Sicherheitsfragen.

Offensichtlich ist trotz Quellcode der Umfang der Lücke in allen Details nicht sofort so ersichtlich gewesen, dass sich diese Lücke über einen wie auch immer gearteten Workaround auch von innen heraus ausnutzen lässt.
Das ist gar nicht offensichtlich, sondern das ist jetzt Spekulation von dir. Ich halte das Gegenteil für naheliegender und habe das ja oben auch schon erläutert.

Wäre dieser Fehler so offensichtlich, wie hier manche suggerieren, dann wäre schon bei der ersten Meldung über einen gehackten VoIP-Account der zuständige Sicherheits-Experte von AVM über diese Lücke gestolpert und hätte diese schon viel früher abgedichtet.
Ich habe nicht behauptet, der Fehler an sich wäre schon früher offensichtlich gewesen, und ich wollte das auch nicht suggerieren. Ich rede nur von der Zeit ab dem 07.02.2014, als AVM das Problem schon kannte und auch behoben hatte.
 
Fertig mit jammern über AVM?

Sind halt nicht überall nur Geek´s mit Master Abschluss vom MIT. Und Fehler können passieren, und Problem wurde doch behoben relativ zügig. Und informiert wurde auch.

Du erwartest einfach zu viel, komm mal zurück ins reale Leben.
 
Hier hätte eine klare Aussage mehr gebracht, insbesondere die Aussage, dass mit den bekannten Sicherheitsupdates auch dieser Weg inzwischen nicht mehr offen sei. Dann wäre Ruhe gewesen.
So ist das eher als Abwiegeln zu lesen...

Nach den Statements zu urteilen hat AVM davon aus der Presse und den Foren erfahren. Eine klare Aussage kann man nicht treffen wenn man nicht weiß ob es eine weitere Lücke gibt oder nicht. Man kann doch nicht als seriöse Firma Forenkommentare und Medienberichte ungeprüft kommentieren. Und wie du ja selbst lesen konntest hat sich Hanno und heise über Details bedeckt gehalten. Wenn da steht der Angriff geht auch ohne Fernzugang aber ich erzähl euch nix genaues schauen die AVM-Leute genauso doof aus der Wäsche wie alle anderen. Oder gehörst du auch zu den Verschwörungstheoretikern die glauben AVM hätte über alles bescheid gewusst und das Problem verschwiegen?
 
Wir reden hier von einer komplett anderen Situation, in der nämlich AVM das Problem absolut bewusst war – schließlich hatten sie den Fehler schon identifiziert und behoben. Und in dieser Situation müssen sie die Schwachstellle einfach sofort auch daraufhin untersuchen, welche (weiteren) Angriffsmöglichkeiten diese im Einzelnen bietet.
Offensichtlich ja nicht...
Wer behauptet, er würde in dieser Situation sofort alle eventuellen neuen Angriffsszenarien sehen und daraufhin untersuchen können, wer also keinen noch so kleinen Fehler in der weiteren Analyse macht, der hat für mich nur ein Problem:
Er ist fehlerfrei. Aber wer arbeitet, macht Fehler, nur wer nicht arbeitet, macht keine Fehler!
sondern das ist jetzt Spekulation von dir
Ja klar, das ist Spekulation von mir, deswegen enthalte ich mich auch irgendwelchen Vorurteilen und Vorwürfen. Es ist Spekulation von mir, wie Deine Sicht der Dinge auch eine Spekulation Deinerseits darstellt. ;)

Pardon, Du kennst das exakte Angriffsszenario ebenso wenig, wie wir, also solltest Du Dir nicht anmaßen, besser zu sein.
 
Und in dieser Situation müssen sie die Schwachstellle einfach sofort auch daraufhin untersuchen, welche (weiteren) Angriffsmöglichkeiten diese im Einzelnen bietet.

Wieso müssen sie das? Die Entwickler werden nicht dafür bezahlt sich über Schwachstellen im Browser den Kopf zu zerbrechen.

Das spräche allerdings nicht gerade für große Fachkunde in Sicherheitsfragen.

Das spräche ehern dafür das sie alle anderen Entwickler für Amateure halten. Und in dem Fall wie gesagt müsste AVM den Router vor seinen legitimierten Besitzern schützen.


Ich halte das Gegenteil für naheliegender und habe das ja oben auch schon erläutert.

In dem Fall hältst du die Browserentwickler für Inkompetent in Sachen Sicherheitsfragen
 
Hanno und Heise werden die neuen Erkenntnisse ala Christopher Columbus an AVM kanalisiert haben. Jetzt muss so eine Firma ja wenigstens mal 10 ruhige Atemzüge machen und in der Birne ehemalig stark vorhandenes Wissen durch Futter und Botenstoffe erneut ins operative Tagesgeschäft zurückholen. Das Alles dauert ein paar Tage und muss auch analysiert, geändert und approved werden.

Die ganze Sache geht aus wie das Honberger Schießen, glaubts mir. Die Geschädigten müssen ja die Anrufe nicht einmal selbst bezahlen. Wenn dennoch im Vektor 2 jemand meine Zugangsdaten abgefischt hat und ich habe dadurch neue Brieffreunde, sage ich zum Richter: "Also wenn RA X auf meine Kosten seiner Schnalle neue Schuhe kaufen will, gehe ich sofort nach Hause. Sie sind AVM mässig nämlich gar nicht aufm Stand !."
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.