.titleBar { margin-bottom: 5px!important; }

Scheinbar ist 6.30 für fritzbox.7362_sl manipuliert gegen Update-Datei Upload

Dieses Thema im Forum "Freetz" wurde erstellt von Vizva, 4 Aug. 2017.

  1. PeterPawn

    PeterPawn IPPF-Promi

    Registriert seit:
    10 Mai 2006
    Beiträge:
    9,713
    Zustimmungen:
    257
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    @stoney0815:
    Zum wiederholten Male ... das ruKernelTool kann (m.W. immer noch) keine VR9-Boxen mit NAND-Flash mit einer neuen Firmware versehen und ich müßte mich schon sehr irren, wenn die 7362SL nicht auch dazu gehört. Selbst die 7360 hat einen VR9-Prozessor, aber die hat tatsächlich noch (je nach Version unterschiedlich großen) NOR-Flash und da klappt das dann auch noch mit dem Schreiben nach "mtd1".
     
  2. stoney

    stoney Moderator
    Forum-Mitarbeiter

    Registriert seit:
    7 Okt. 2015
    Beiträge:
    2,478
    Zustimmungen:
    117
    Punkte für Erfolge:
    63
    Ort:
    Bayern
    Sorry about this mistake
     
  3. PeterPawn

    PeterPawn IPPF-Promi

    Registriert seit:
    10 Mai 2006
    Beiträge:
    9,713
    Zustimmungen:
    257
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Don't worry about this ... ich will nur verhindern, daß jemand mit dem Tool auf seine NAND-Box losgeht und sich wundert.
     
  4. Vizva

    Vizva Neuer User

    Registriert seit:
    4 Aug. 2017
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    #24 Vizva, 15 Aug. 2017
    Zuletzt bearbeitet: 15 Aug. 2017
    Indem z.B. das Filesystem, das ja sehr statisch zu sein scheint, teilweise mit einem Hash geprüft wird.Ist ja sehr modern jetzt in den Bitcoin Zeiten.
    Der Warnungs-Hinweis, das Modifikationen vorliegen, scheint ja so etwas ähnliches zu sein.
    Da die Box sowieso vorwiegend dazu gedacht ist ins Internet zu gehen, könnte das ja auch ein Abgleich mit AVM Servern sein.Freetz würde dann wiederum einen Warnhinweis erzeugen.

    Dann einen Dialog zu starten um die Box wieder Original werden zu lassen.Sie hat ja Zugang(Internet) zu AVM Servern, wäre ja schön.

    Ich bin jetzt z.B. wieder zurück zu Original 6.83, da die meisten Packages, außer z.B. Tor nicht für mich funktionierten.

    Aber gerade Tor(was ein sicherheitskritisches Tool ist) zeigt, das Packages eigentlich immer möglichst sehr aktuell sein müssten.

    Was passiert z.B. wenn ein Package theoretisch eine Backdoor hätte oder eine Vulnerability, die weil mit alter Source noch nicht geschlossen.

    Bei Tor als Beispiel geht es dabei um Leben und Tod, je nachdem in welchem Land man lebt und welche Internet Aktivitäten man tätigt.

    Die Tor Spezialisten in irc.oftc.net Kanal #Tor haben davon abgeraten und ihren Tor-Browser(der immer aktuell sein sollte) als mandatorisch bezeichnet(oder ihr standalone Tor).
     
  5. PeterPawn

    PeterPawn IPPF-Promi

    Registriert seit:
    10 Mai 2006
    Beiträge:
    9,713
    Zustimmungen:
    257
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Sorry, aber das ist schon in der Theorie unsicher bis unsinnig.

    Erstens könnte (und würde) ein Angreifer auch gleich noch diese Warnung unterdrücken und zweitens kann man aus einem bereits kompromittierten System heraus auch keine "Selbstreparatur" starten.

    Man muß schon von Beginn an eine Infektion verhindern ... wie sich ein Angreifer ansonsten "im System festkrallen" kann, indem er entweder ein Update komplett verhindert oder vor/während/nach einer solchen Aktualisierung (auch das Wiederherstellen einer originalen Firmware wäre in diesem Kontext eine Aktualisierung des Flash-Speichers) einfach seine Änderungen erneut vornimmt, habe ich bereits ein paar Mal angeschnitten.

    Das ist in etwa dasselbe wie ein "automatisches 'modfs'", was da ablaufen muß (und bei mir teilweise abläuft) - alles keine Hexerei und schon mit Shell-Code und ein paar Binärdateien (in erster Linie für die Handhabung des SquashFS-Images) problemlos zu realisieren. Erst recht dann, wenn die Box zu diesem Zeitpunkt auch noch Internet-Zugang haben sollte - dann lädt sich einfach ein Angreifer auch die notwendigen Zutaten aus dem Internet und braucht lokal gar keine (sichtbaren) Spuren im Dateisystem hinterlassen.

    Zwar ist es theoretisch möglich, daß der Hersteller Hashes der originalen Firmware bei sich vorhält und diese über das Internet auch abrufbar macht ... aber die Auswertung/Anzeige einer Diskrepanz zwischen dem aktuellen Wert und dem vom Hersteller angegebenen müßte ja immer noch in lokalem Code (also auf der FRITZ!Box selbst) erfolgen und kann dann dort entsprechend vom Angreifer gepatcht werden - im Prinzip dasselbe, was ein (einfacher) Kopierschutz auch zur Umgehung erfordern würde.

    Ich bin sicherlich der Letzte, der gegen Verbesserungen der Sicherheit bei der Firmware ist ... aber die Vorschläge müssen (a) praktikabel und (b) halbwegs durchdacht sein. Schon die Annahme, daß der Warnhinweis auf "Vom Hersteller nicht unterstützte Änderungen" irgendwie mit der Modifikation der Firmware an sich zu tun haben würde, zeigt aber deutlich, daß Du Dich damit gar nicht wirklich befaßt hast. Das ist ja nun lange geklärt: http://freetz.org/wiki/help/howtos/development/manipulation_detection

    Von den drei möglichen Quellen (ar7login (Flag TELNET), nicht signierte Firmware (Flag NOT_SIGNED) und Import von Einstellungen mit "NoChecks=yes" (Flag IMPORT,. iirc - hier bin ich nicht sicher, könnte auch NOT_SIGNED sein) ist zwar nur noch eine wirklich relevant (und auch das nur mit einer angepaßten Firmware mit Shell-Zugangsmöglichkeiten), aber daraus läßt sich noch lange keine Anzeige von "Manipulationen" der Firmware ableiten - dafür sind die abgedeckten Fälle deutlich zu wenig.

    Allerdings hast Du insofern recht, als eine bessere Absicherung einer FRITZ!Box (so, wie jedes beliebigen anderen SOHO-Routers auch) direkt am Bootloader ansetzen müßte ... wenn der die Installation neuer Firmware (ohne Signaturprüfungen) erlaubt, muß er (im Rahmen des Möglichen) gegen unbefugten Zugriff abgesichert sein. Das hatten wir aber auch schon, was man gegen "adam2/adam2" unternehmen könnte ... und das auch, ohne übermäßigen Aufwand und/oder unangemessene "Belästigung" des Besitzers einer FRITZ!Box.
     
  6. Vizva

    Vizva Neuer User

    Registriert seit:
    4 Aug. 2017
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    #26 Vizva, 15 Aug. 2017
    Zuletzt bearbeitet: 15 Aug. 2017
    Die Box hat ja schon zwei Betriebssysteme theoretisch.Anstatt nun beschreibbare Teilstücke einzubauen wie vorhanden, baut man eine Art BIOS ein, das mit normalen Mitteln nicht beschrieben werden kann.Das wiederum checkt von Zeit zu Zeit ob die Box noch Origiginal ist.Es gibt ja noch Nachrichtenkanäle wie Email wo man eine Kompromitierung anzeigen könnte.

    So wie die Box momentan dasteht, könnte sie alles mögliche sein.In Zeiten wo die Überwachung ansteigt sollte man zumindestens seinen persönlichen Datenverkehr möglichst verschlüsselt durchführen, weil man weiß ja nie was da in der Box ist oder auch auf dem Weg zum Ziel.
    Da die Box aber eine Schlüsselfunktion hat sollte sie eigentlich schon von vorn herein sicherer sein.

    Zuguterletzt muß ich festellen das du sehr dünnhäutig bist.Deine Argumtation, die teilweise persönliche Angriffe sind, zeugen davon das du glaubst hier eine Majorität im Wissen über die Box zu besitzen.Andere Leute haben sich auch schon mit Computern beschäftigt, nicht nur du.
    Und wir Besitzer müssen immerhin damit leben so eine Box gekauft zu haben.Das gibt uns per se schon mal ein Mitspracherecht und man darf auch eine Meinung haben, wobei man nicht gleich im Aufsichtsrat bei AVM sitzen mußß oder auch im Labor wo man die Box auf Herz und Nieren geprüft hat.
     
  7. PeterPawn

    PeterPawn IPPF-Promi

    Registriert seit:
    10 Mai 2006
    Beiträge:
    9,713
    Zustimmungen:
    257
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Wo bitte genau?

    Weil ich eine - nicht bis zum Ende durchdachte oder zumindest hier nicht bis zum Ende erläuterte - Idee als das bezeichnet habe, was sie (in meinen Augen und die Begründung dafür habe ich bereits oben niedergeschrieben) auch ist?

    Wenn Du "Unsinn" schon für einen "persönlichen Angriff" hältst, kann ich Dir nicht helfen und meine Annahme der fehlenden Beschäftigung mit den Ursachen der "Warnung" zu den Modifikationen ist auch nicht wirklich "ehrenrührig". Wenn Du Dich damit befaßt hättest, hättest Du hoffentlich(?) diesen Zusammenhang selbst erkannt und den "Unsinn" auch in diesem Fall nicht geschrieben - es könnte ja jemand lesen und für bare Münze nehmen, daher braucht es auch den (unmittelbaren) Widerspruch (samt Begründung und nicht nur als (wirre) Theorie ohne jeden Beleg).

    Da auch schon die Idee, ein infiziertes System aus genau diesem infizierten System heraus (konkret bei einer FRITZ!Box mit dem derzeitigen Aufbau) wiederherzustellen, einfach ein Albtraum ist (erst recht dann, wenn man sich wirklich Gedanken über die Sicherheit seiner Geräte/seines Routers macht), konnte auch das nicht unwidersprochen stehenbleiben.

    (D)Eine Meinung darfst Du natürlich gerne haben ... auch ohne den Platz im Aufsichtsrat von AVM.

    [ Wobei das/der/die(?) ohnehin eine GmbH ist und auch wenn das per se noch nicht gegen die Existenz eines Aufsichtsrats nach §52 GmbHG spricht, fehlt doch wohl uns allen der tiefere Einblick in die Strukturen - ich weiß nicht, ob sie (bei 660 Beschäftigten könnte auch das MitbestG u/o DrittelbG schon wieder Bedeutung erlangen) tatsächlich einen Aufsichtsrat haben ... der Gesellschaftervertrag ist (m.W.) nicht öffentlich einsehbar und die letzte Register-Änderung im März 2017 betraf die Aufgabe der Zweigniederlassung in FFM. Da Registerauskünfte kostenpflichtig sind, ist das aber auch nicht wirklich wichtig (genug). ]


    Wenn so eine eigene Menung dann aber in "ist doch ganz einfach, man muß nur das und das machen" ausartet/gipfelt und die skizzierten Ideen hinter "das und das" erkennbare(!) Lücken aufweisen, muß man auch mit Widerworten leben können.

    Wenn Du tatsächlich eine technische Lösung dafür hast, die nicht bereits beim ersten Windhauch in sich zusammenfällt, schreib' sie einfach auf und erkläre sie. Das oben erwähnte "BIOS" ist am Ende auch nichts anderes als der "Urlader" und daß eine solche Absicherung dort ansetzen muß (wo es aber noch keine Möglichkeit zur Internet-Kommunikation gibt, was dann den Vergleich mit den "originalen Werten" wieder etwas schwierig macht - da bliebe dann nur noch Kryptographie/Signatur auch im Bootloader übrig), habe ich ebenfalls oben bereits geschrieben (letzter Absatz).

    Da ich aber nach dieser Reaktion nicht mehr annehme, daß Du tatsächlich über die Sicherheit der Firmware und mögliche Absicherungen gegen Manipulationen (für bereits existierende Modelle(!) - natürlich hätte man mit einer geänderten Hardware (e.g. einem TPM) auch mehr Möglichkeiten) diskutieren willst, spare ich mir auch jede Erwiderung auf die "E-Mail-Theorie" in #28 - die "Unsicherheit" dieses Weges ist einfach zu offensichtlich, auch wenn die "Push-Services" und die erweiterte Protokollierung gegenüber den "stillen Problemen" in früherer Firmware an sich schon ein Fortschritt sind.
     
  8. Vizva

    Vizva Neuer User

    Registriert seit:
    4 Aug. 2017
    Beiträge:
    21
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Man kann schreiben :man liest schon das du dich gar nicht damit befaßt hast
    oder : das stimmt nicht so ganz -es ist nur ****

    Kommt drauf an welche Reaktion man beim Gegenüber erzeugen will.
    Wirre Theorie und bla bla bla.

    Mag sein das irgendjemand mag so angesprochen zu werden.Ich halte dagegen das deine Argumente zu 50 Prozent keine sind wenn du dich so aufführst.
    Nicht entdeckbar wo der Mensch da kompromissfähig ist.Nun kannst du dir nochmal überlegen verbal auszuholen und deine Kunst dahingehend zu zeigen.
    Mir ist die Lust darauf vergangen und ich werde nicht mehr antworten, da ich einfach solche Unfreundlichkeiten gegenüber Unbekannten, als Flame-Hysterie abtue.Nichts wirklich wichtig noch weiter darauf zu antworten, wenn die Hälfte hysterisch ist.
     
  9. PeterPawn

    PeterPawn IPPF-Promi

    Registriert seit:
    10 Mai 2006
    Beiträge:
    9,713
    Zustimmungen:
    257
    Punkte für Erfolge:
    83
    Beruf:
    IT-Freelancer
    Ort:
    Berlin
    Vielleicht fängst Du ja noch mal am Beginn dieses Threads an zu lesen und schätzt Deine eigenen Äußerungen dann mal im Lichte des von Dir nun erhobenen "Anspruchs" auf Freundlichkeit beim Gegenüber ein.

    Es hat schon seine Gründe, warum die ersten Reaktionen in Richtung "Layer 8"-Problem gingen ... und da habe ich mich noch rausgehalten, weil es "nur wirr" war. Inzwischen ging es aber in Richtung "falsch" und da war die Korrektur/der Gegenpol für Deine falschen Darstellungen angesagt/notwendig.

    Es ist schon ziemlich abwegig, sich bei seinem Gegenüber bzgl. "unfreundlicher Korrekturen" zu beschweren (das ist hier kein Streichelzoo) ... der einfachste Weg, solchen Antworten/Repliken aus dem Weg zu gehen, ist die Beschränkung beim Schreiben auf solche Aussagen, von denen man etwas verstanden oder selbst genug Ahnung hat oder die man (nachvollziehbar) begründen kann.

    Ansonsten stellt man (schon aus Fairness gegenüber späteren Lesern) seine eigenen Thesen auch klar als solche heraus - das hast Du sogar getan. Aber da diese Vermutungen (übrigens als Antwort auf eine Frage, die gar nicht ich Dir gestellt hatte) eben (bekanntermaßen) falsch waren, gab es gar keinen Grund, diese unwidersprochen so stehen zu lassen.

    Hättest Du Dir vor Deiner Antwort auf die Nachfrage von @stoney0815 einfach überlegt, was Du da eigentlich schreibst (schon der Beginn mit einem Thread-Titel mit "manipuliert" im Text spricht Bände), hättest Du Dich vielleicht nicht (noch weiter) verrannt.

    Wo da eine "Unfreundlichkeit gegenüber Unbekannten" vorhanden ist, wenn man ggü. jemandem, der mit einem Thread-Titel "Scheinbar ist 6.30 für fritzbox.7362_sl manipuliert gegen Update-Datei Upload" aufläuft, skeptisch ist (und bleibt), wird nun (da Du ja nicht mehr antwortest) auch auf ewig Dein Geheimnis bleiben ... etwas mehr "Zurückhaltung" ist eben durchaus angebracht (auch für "Neue"), wenn man (eigentlich keine oder nur) wenig Ahnung hat. Ansonsten ist die Blamage eigentlich unausweichlich und sie ist - entgegen Deiner Annahme - eben "hausgemacht".

    Das ist auch kein neues Phänomen oder gar "Flame-Hysterie" (einen auch heute noch gültigen "Ratgeber", wie man sich verhalten sollte, findest Du hier: Wie man Fragen richtig stellt: eine Anleitung wie man Fragen erfolgreich in Usenet, Mailinglisten und Webforen stellt.) - bis Du dann begonnen hast, von wirren "Verdächtigungen" auf falsche Informationen umzuschalten, habe ich Dich einfach ignoriert.

    Da aber spätere Leser nicht ohne weiteres unterscheiden können, ob das nun Kohl ist oder nicht, was da steht, kann/darf/soll man das auch nicht unwidersprochen stehen lassen - das ist quasi eine "gesellschaftliche Verpflichtung", für "technische Hygiene" in einem technischen Forum zu sorgen. Schon so gibt es genug Leute, die auf die erste Erwähnung irgendwelcher Vermutungen hereinfallen, das als Fakt mißverstehen und es dann ihrerseits als (belastbare) Quelle zitieren (und zwar ohne Verweis auf die eigentliche Quelle und damit auch ohne die Möglichkeit zum Vergleich mit dort ggf. zu findenen Gegenstimmen), weil sie die Gegenrede in späteren Repliken gar nicht mehr wahrnehmen.
     
    HarryHase und Kostenlos gefällt das.
  10. Kostenlos

    Kostenlos Aktives Mitglied

    Registriert seit:
    12 März 2017
    Beiträge:
    1,084
    Zustimmungen:
    41
    Punkte für Erfolge:
    48
    @PeterPawn!

    Reg Dich bitte nicht weiter auf, schade um die Zeit.
    Für viele TE's, sind manche gutgemeinten Ratschläge, auch schon Schläge.

    LG.