Fritzbox 7412 mod als 7430 mit OS 7.01 läuft, brauche aber noch eine alte Recovery

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,258
Punkte für Reaktionen
780
Punkte
113
Wer die 7412 ohnehin nur als "Einzelgerät" einsetzt, braucht aber auch nicht unbedingt die FRITZ!OS-Version 07.0x auf dem Gerät und das ist dann für diese Zwecke immer noch top (solange man auch beim "DSL-Modem" die WLAN-Funktion aktiviert hat).

Wenn es tatsächlich wieder sicherheitsrelevante Probleme geben sollte, wird AVM wohl oder übel auch für die 7412 einen Fix bereitstellen müssen, denn die ist ja noch nicht "abgekündigt". Der größte Teil der anderen Änderungen seit zwei Jahren bringt ja nur dann etwas, wenn man mehr als eine Box im LAN hat und mit "Mesh" irgendetwas anfangen kann.

LE ließe sich ja auch ohne AVM für die Boxen nachrüsten ... ja, das wäre am Ende sogar die sicherere Variante, weil man sich dafür dann nicht freiwillig an den MyFRITZ!-Service von AVM fesseln muß - da geht ja seit einiger Zeit auch das große Datensammeln um.

Und warum man so etwas besser von Beginn an vermeidet - zumindest solange es keine sinnvolle und plausible Anwendung für die Datenhalde gibt -, kann man gerade in sämtlichen Medien nachlesen ... nicht gesammelte und aggregierte Daten kann auch der pöseste Hacker nicht abgreifen.

Schon die Tatsache, daß die LE-Zertifikate für AVM-Boxen alle unter der "myfritz.net"-Domain versammelt sind, macht die Abfrage und Auswahl potentieller Angriffsziele bei einem neuerlichen Sicherheitsproblem (und das kommt früher oder später genauso sicher, wie das Amen in der Kirche am Ende des Gottesdienstes) zur reinen Fingerübung. Hier erweist AVM dem Kunden also (zumindest nach meiner Ansicht) mit der zwangsweisen Beschränkung dieser LE-Zertifikate auf die myfritz.net-Domain eher einen Bärendienst ... das wird sich in der Zukunft rächen, wenn man nichts dagegen unternimmt.

Genau den Schutz, den AVM mit dem nicht vorhersagbaren Host-Teil des Domain-Namens erreicht hatte (die kryptische Zeichenfolge mag zwar irgendeinem Algorithmus entspringen, aber der ist m.W. derzeit noch nicht bekannt), reißt man mit den LE-Zertifikaten für die myfritz.net-Adressen gleich wieder ein und verschlimmert die Situation praktisch noch, weil die LE-Zertifikate (zumindest in der "stock firmware" und das ist für die meisten FRITZ!Box-Besitzer sicherlich das Maß der Dinge) gerade für die myfritz.net-Domain höhere Sicherheit suggerieren, die aber mit geringerer Anonymität und der Möglichkeit gezielterer Angriffe einhergeht.
 

DDD

Aktives Mitglied
Mitglied seit
26 Feb 2005
Beiträge
2,336
Punkte für Reaktionen
16
Punkte
38
"LE ohne AVM" wird aber nicht einfach nur ein Haken setzen sein wie das aktuell bei AVM implementiert ist?!
 

PeterPawn

IPPF-Urgestein
Mitglied seit
10 Mai 2006
Beiträge
12,258
Punkte für Reaktionen
780
Punkte
113
Nein, das ist es tatsächlich nicht. Das hat halt Vor- und Nachteile - ich wollte ja mehr darauf hinaus, daß der AVM-Weg bei LE-Zertifikaten nicht so ganz "das Gelbe vom Ei" ist und man traurig sein darf, weil er der 7412 bisher vorenthalten ist, das aber - bei etwas genauerer Betrachtung - nicht zwangsläufig ein Nachteil sein muß.

Man kann damit auch das "Risiko" nicht (ungewollt) vergrößern, daß man von extern angegriffen wird ... denn so ein LE-Zertifikat "beweist" ja gleich zwei wichtige Punkte: Einmal, daß es eine FRITZ!Box ist, weil der MyFRITZ!-Service nicht für andere Geräte verfügbar ist und zum zweiten, daß diese Box auch noch von extern erreichbar ist - da lohnt sich dann sogar die Ermittlung (und zwar eine einmalige, mit anschließender Speicherung) der zugehörigen Port-Nummer wieder, womit deren "Zufälligkeit" auch kein halbwegs wirksamer Schutz mehr ist.

Schon der ständige Versuch, eine (bzw. mehrere unabhängige) TLS-Verbindung(en) mit einer auf diesem Weg identifizierten FRITZ!Box aufzubauen, bindet einiges an Ressourcen (und zwar ohne daß der Benutzer es feststellen kann) und wenn man dann noch Login-Versuche startet (von mehr als einer Adresse), kann man damit auch das Event-Log noch ausreichend stressen, weil nur unmittelbar aufeinanderfolgende, bis auf Datum/Uhrzeit identische Messages dort zusammengefaßt werden.

Es braucht also nicht mal eine bekannte Sicherheitslücke, um eine FRITZ!Box einem (plausiblen) Risiko eines Angriffs auszusetzen - anders als bei anderen DynDNS-Diensten, "verschwinden" die FRITZ!Boxen beim MyFRITZ!-Service eben nicht in der Masse der anderen Geräte, denn hier ist es von Beginn an klar, daß es sich um eine FRITZ!Box handelt und alle anderen Schritte, die bei einer "unbekannten IP-Adresse" (beim eher ziellosen Scannen ganzer Segmente) erst einmal notwendig wären, um die pure Existenz eines Routers und seinen Hersteller zu ermitteln, sind hier gar nicht mehr erforderlich - damit beschränkt sich das eben auf die Suche des richtigen Ports und der ändert sich im Nachhinein auch nicht mehr, solange der Benutzer nicht eingreift.

Das macht diese Namen (und für ausgestellte Zertifikate gibt es öffentlich abfragbare Verzeichnisdienste, die auch mit Wildcards beharkt werden können) eben zu prädestinierten Zielen, wenn sich ein Angreifer auf FRITZ!Boxen an sich und vielleicht sogar eine ihm bekannte Unsicherheit im Speziellen einschießen will.

Ich überlege z.B. schon lange, mal meine Neugierde zu befriedigen und eine Datenbank der tatsächlich angebotenen, öffentlichen Schlüssel für den TLS-Zugriff auf FRITZ!Boxen anzulegen (dafür reicht dann allerdings ein einziger Zugriff (auf dem richtigen Port) auf eine solche Box) ... ich hänge ja hier der Theorie nach, daß eine (fabrikneue) FRITZ!Box zum Zeitpunkt der Generierung dieses Keys noch gar nicht genug Entropie beisammen hat, um wirklich einen zufälligen Key zu erzeugen und es sich wohl eher um eine "überschaubare" Menge an Schlüsseln handeln wird, die von den FRITZ!Boxen automatisch generiert werden.

Zwar verwendet AVM hier einen eigenen Key für das LE-Zertifikat, aber beim direkten HTTPS-Zugriff auf die IP-Adresse, auf welche der MyFRITZ!-Name aufgelöst wird, präsentiert die FRITZ!Box ja ihr anderes Zertifikat und seitdem das sogar noch bei jedem Wechsel der IP-Adresse erneuert wird (bei unverändertem Schlüssel), kann man schon am Inhalt des CN im präsentierten X.509-Zertifikats erkennen, ob die Box ein eigenes verwendet oder ein selbstgeneriertes - bis hin zu einer groben Einordnung, welche FRITZ!OS-Version dort arbeiten könnte (denn dieses Zertifikat für die Adresse gibt es ja noch nicht soo lange und ältere Versionen präsentieren dann ein Zertifikat ohne die IP-Adresse, aber immer noch mit "fritz.box" (iirc)).
 

ds77

Neuer User
Mitglied seit
2 Jul 2007
Beiträge
44
Punkte für Reaktionen
0
Punkte
6
Es gibt jetzt aktuelle neue Sourcen:
  • 7430 -> 7.12
    Code:
    http://osp.avm.de/fritzbox/fritzbox-7430/
  • 7412 -> 6.86
    Code:
    http://osp.avm.de/fritzbox/fritzbox-7412/
Vielleicht bringt es die Idee des Threads in Bezug auf Realisierung voran :)
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
22,959
Punkte für Reaktionen
131
Punkte
63
Aber sicher doch. :) Man beachte den Versionsunterschied bei major.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
233,177
Beiträge
2,030,988
Mitglieder
351,584
Neuestes Mitglied
rabbit19102