Fritzbox 7412 mod als 7430 mit OS 7.01 läuft, brauche aber noch eine alte Recovery

[PeterPawn]

Wer die 7412 ohnehin nur als "Einzelgerät" einsetzt, braucht aber auch nicht unbedingt die FRITZ!OS-Version 07.0x auf dem Gerät und das ist dann für diese Zwecke immer noch top (solange man auch beim "DSL-Modem" die WLAN-Funktion aktiviert hat).

Wenn es tatsächlich wieder sicherheitsrelevante Probleme geben sollte, wird AVM wohl oder übel auch für die 7412 einen Fix bereitstellen müssen, denn die ist ja noch nicht "abgekündigt". Der größte Teil der anderen Änderungen seit zwei Jahren bringt ja nur dann etwas, wenn man mehr als eine Box im LAN hat und mit "Mesh" irgendetwas anfangen kann.

LE ließe sich ja auch ohne AVM für die Boxen nachrüsten ... ja, das wäre am Ende sogar die sicherere Variante, weil man sich dafür dann nicht freiwillig an den MyFRITZ!-Service von AVM fesseln muß - da geht ja seit einiger Zeit auch das große Datensammeln um.

Und warum man so etwas besser von Beginn an vermeidet - zumindest solange es keine sinnvolle und plausible Anwendung für die Datenhalde gibt -, kann man gerade in sämtlichen Medien nachlesen ... nicht gesammelte und aggregierte Daten kann auch der pöseste Hacker nicht abgreifen.

Schon die Tatsache, daß die LE-Zertifikate für AVM-Boxen alle unter der "myfritz.net"-Domain versammelt sind, macht die Abfrage und Auswahl potentieller Angriffsziele bei einem neuerlichen Sicherheitsproblem (und das kommt früher oder später genauso sicher, wie das Amen in der Kirche am Ende des Gottesdienstes) zur reinen Fingerübung. Hier erweist AVM dem Kunden also (zumindest nach meiner Ansicht) mit der zwangsweisen Beschränkung dieser LE-Zertifikate auf die myfritz.net-Domain eher einen Bärendienst ... das wird sich in der Zukunft rächen, wenn man nichts dagegen unternimmt.

Genau den Schutz, den AVM mit dem nicht vorhersagbaren Host-Teil des Domain-Namens erreicht hatte (die kryptische Zeichenfolge mag zwar irgendeinem Algorithmus entspringen, aber der ist m.W. derzeit noch nicht bekannt), reißt man mit den LE-Zertifikaten für die myfritz.net-Adressen gleich wieder ein und verschlimmert die Situation praktisch noch, weil die LE-Zertifikate (zumindest in der "stock firmware" und das ist für die meisten FRITZ!Box-Besitzer sicherlich das Maß der Dinge) gerade für die myfritz.net-Domain höhere Sicherheit suggerieren, die aber mit geringerer Anonymität und der Möglichkeit gezielterer Angriffe einhergeht.

 

[DDD]

"LE ohne AVM" wird aber nicht einfach nur ein Haken setzen sein wie das aktuell bei AVM implementiert ist?!

 

[PeterPawn]

Nein, das ist es tatsächlich nicht. Das hat halt Vor- und Nachteile - ich wollte ja mehr darauf hinaus, daß der AVM-Weg bei LE-Zertifikaten nicht so ganz "das Gelbe vom Ei" ist und man traurig sein darf, weil er der 7412 bisher vorenthalten ist, das aber - bei etwas genauerer Betrachtung - nicht zwangsläufig ein Nachteil sein muß.

Man kann damit auch das "Risiko" nicht (ungewollt) vergrößern, daß man von extern angegriffen wird ... denn so ein LE-Zertifikat "beweist" ja gleich zwei wichtige Punkte: Einmal, daß es eine FRITZ!Box ist, weil der MyFRITZ!-Service nicht für andere Geräte verfügbar ist und zum zweiten, daß diese Box auch noch von extern erreichbar ist - da lohnt sich dann sogar die Ermittlung (und zwar eine einmalige, mit anschließender Speicherung) der zugehörigen Port-Nummer wieder, womit deren "Zufälligkeit" auch kein halbwegs wirksamer Schutz mehr ist.

Schon der ständige Versuch, eine (bzw. mehrere unabhängige) TLS-Verbindung(en) mit einer auf diesem Weg identifizierten FRITZ!Box aufzubauen, bindet einiges an Ressourcen (und zwar ohne daß der Benutzer es feststellen kann) und wenn man dann noch Login-Versuche startet (von mehr als einer Adresse), kann man damit auch das Event-Log noch ausreichend stressen, weil nur unmittelbar aufeinanderfolgende, bis auf Datum/Uhrzeit identische Messages dort zusammengefaßt werden.

Es braucht also nicht mal eine bekannte Sicherheitslücke, um eine FRITZ!Box einem (plausiblen) Risiko eines Angriffs auszusetzen - anders als bei anderen DynDNS-Diensten, "verschwinden" die FRITZ!Boxen beim MyFRITZ!-Service eben nicht in der Masse der anderen Geräte, denn hier ist es von Beginn an klar, daß es sich um eine FRITZ!Box handelt und alle anderen Schritte, die bei einer "unbekannten IP-Adresse" (beim eher ziellosen Scannen ganzer Segmente) erst einmal notwendig wären, um die pure Existenz eines Routers und seinen Hersteller zu ermitteln, sind hier gar nicht mehr erforderlich - damit beschränkt sich das eben auf die Suche des richtigen Ports und der ändert sich im Nachhinein auch nicht mehr, solange der Benutzer nicht eingreift.

Das macht diese Namen (und für ausgestellte Zertifikate gibt es öffentlich abfragbare Verzeichnisdienste, die auch mit Wildcards beharkt werden können) eben zu prädestinierten Zielen, wenn sich ein Angreifer auf FRITZ!Boxen an sich und vielleicht sogar eine ihm bekannte Unsicherheit im Speziellen einschießen will.

Ich überlege z.B. schon lange, mal meine Neugierde zu befriedigen und eine Datenbank der tatsächlich angebotenen, öffentlichen Schlüssel für den TLS-Zugriff auf FRITZ!Boxen anzulegen (dafür reicht dann allerdings ein einziger Zugriff (auf dem richtigen Port) auf eine solche Box) ... ich hänge ja hier der Theorie nach, daß eine (fabrikneue) FRITZ!Box zum Zeitpunkt der Generierung dieses Keys noch gar nicht genug Entropie beisammen hat, um wirklich einen zufälligen Key zu erzeugen und es sich wohl eher um eine "überschaubare" Menge an Schlüsseln handeln wird, die von den FRITZ!Boxen automatisch generiert werden.

Zwar verwendet AVM hier einen eigenen Key für das LE-Zertifikat, aber beim direkten HTTPS-Zugriff auf die IP-Adresse, auf welche der MyFRITZ!-Name aufgelöst wird, präsentiert die FRITZ!Box ja ihr anderes Zertifikat und seitdem das sogar noch bei jedem Wechsel der IP-Adresse erneuert wird (bei unverändertem Schlüssel), kann man schon am Inhalt des CN im präsentierten X.509-Zertifikats erkennen, ob die Box ein eigenes verwendet oder ein selbstgeneriertes - bis hin zu einer groben Einordnung, welche FRITZ!OS-Version dort arbeiten könnte (denn dieses Zertifikat für die Adresse gibt es ja noch nicht soo lange und ältere Versionen präsentieren dann ein Zertifikat ohne die IP-Adresse, aber immer noch mit "fritz.box" (iirc)).

 

[ds77]

Es gibt jetzt aktuelle neue Sourcen:

• 7430 -> 7.12

  http://osp.avm.de/fritzbox/fritzbox-7430/

• 7412 -> 6.86

  http://osp.avm.de/fritzbox/fritzbox-7412/

Vielleicht bringt es die Idee des Threads in Bezug auf Realisierung voran

 

[Paumuel]

Ich wollte mal hören, ob sich bzgl. der Firmware 7 für die FRITZ!Box 7412 etwas getan hat? Die FRITZ!Box 7412 ist ja noch voll im Support bei AVM.

Weiß jemand, warum diese bisher noch kein 7er Update bekommen hat oder wie weit die Umsetzung der Adaption FRITZ!OS von der FB7430 als "inoffizielle Firmware" für die 7412 vorangeschritten ist?

 

[Paumuel]

upps, da hatte ich wohl was verdoppelt ohne es zu merken Danke für die Info @KunterBunter So, korrigiert aber der Lösung leider keinen Schritt näher gekommen

LG Pauline

 

[Paumuel]

upps, wo ist denn der Beitrag von @KunterBunter hin, auf den ich in Beitrag #46 geantwortet habe??? Habe ich mir das nur eingebildet oder ist da was gelöscht worden?

 

[KunterBunter]

Hat sich doch inzwischen erledigt, oder etwa nicht?