Sicherheit bei FW-Mods

Toggle sidebar Toggle sidebar
Upgrade 3CX to v18 and get it hosted free!
B

bolli

Neuer User
Mitglied seit
13 Feb 2007
Beiträge
34
Punkte für Reaktionen
0
Punkte
0
Hallo,

wie steht es eigentlich mit der Sicherheit/Vertrauenswürdigkeit von FW Updates?

Ich meine: irgendwo in den FBFs sind ja die DSL-Zugangsdaten hinterlegt und auch auslesbar.

Wie kann man sicher sein, dass ein FW-Mod nicht diese Daten liest und irgendwohin schickt?

Ein Mod kann wie ein Trojaner eigentlich maches was er will, oder sehe ich das falsch?
 
Richtig, deshalb baut man sich seine Firmwares ja auch selber, und installiert nicht einfach ein Image, das man irgendwo gefunden hat ;-)
 
Hallo,

klar, man muss sein Image selber basteln.

Setzt voraus, man will sich mit dem Linux Zeugels beschäftigen (will ich um ehrlich zu sein nicht, da mir Zeit & Lust fehlen).

Setzt weiterhin voraus, dass man die Quellen hat und sich das Zeugs compilieren läßt.

Daneben müßte man auch die Quellcodes anlysieren, denn: ein Backdoor oder sonstwas läßt sich immer verstecken....

Alles Punkte, die mir nicht gefallen. :-(

Nenn als Beispiel mal den LCR Auto-Updater:
-wer hat die Quellcodes ausser dem Autor (ich will niemand zu nahe treten
und auch nix behaupten, aber solange die Quellcodes nicht offen sind und
alle Einblick nehmen können kann darin alles mögliche versteckt sein, oder
....)

An und für sich spricht auch nichts dagegen Zugangsdaten verschlüsselt auf der Box zu speichern, sofern die Verschlüsselung hinreichend stark ist und der Algorithmus nur AVM bekannt wäre.
Aber da beißt sich die Katze wieder in den Schwanz: ist der Algorithmus nicht bekannt, kann er nicht auf Weaks untersucht werden...

Also, am besten ich nehme nur offizielle AVM Firmware, schade, aber sicher ist sicher-....
 
bolli schrieb:
Hallo,
klar, man muss sein Image selber basteln.
Setzt voraus, man will sich mit dem Linux Zeugels beschäftigen (will ich um ehrlich zu sein nicht, da mir Zeit & Lust fehlen).
Setzt weiterhin voraus, dass man die Quellen hat und sich das Zeugs compilieren läßt.
Daneben müßte man auch die Quellcodes anlysieren, denn: ein Backdoor oder sonstwas läßt sich immer verstecken....
Alles Punkte, die mir nicht gefallen. :-(
Zum Vergrößern anklicken....

Das ist ein generelles Problem von OpenSource, gleichzeitig aber auch seine Stärke.
Sonst könnte beispielsweise auch niemand ohne Bedenken Linux benutzen.
Die Daten für das Image kommen aus der Firmware von AVM, die man selbst bereitstellen muss.
Sämtliche zusätzlichen Sachen sind frei für jedermann einsehbar.
Selbst wenn man nun den Quellcode nicht selbst analysieren kann oder möchte, gibt es immernoch genügend Experten die das können und auch tun.
Die Wahrscheinlichkeit für Backdoors ist damit exakt genausogroß wie eine Verschwörung zwischen allen beteiligten Entwicklern und allen Anderen, die in den Quellcode geguckt haben.
Aus diesem Grund würde ich OpenSource Software in jedem Fall einer nicht-quelloffenen Freeware vorziehen.


bolli schrieb:
Nenn als Beispiel mal den LCR Auto-Updater:
-wer hat die Quellcodes ausser dem Autor (ich will niemand zu nahe treten
und auch nix behaupten, aber solange die Quellcodes nicht offen sind und
alle Einblick nehmen können kann darin alles mögliche versteckt sein, oder
....)
Zum Vergrößern anklicken....

Das ist ein anderes Thema.
Zum einen besteht der Updater nur aus Scripts, die damit lesbar sind und die ich mir auch angesehen habe, zum Anderen kenne ich Harald bereits von einem früheren Projekt und vertraue ihm daher, was seine Absichten angeht.
Das ist ausserdem ein Problem, das du jedesmal hast, wenn du irgendeine Software von irgendjemandem auf deinem Rechner ausführst.


bolli schrieb:
An und für sich spricht auch nichts dagegen Zugangsdaten verschlüsselt auf der Box zu speichern, sofern die Verschlüsselung hinreichend stark ist und der Algorithmus nur AVM bekannt wäre.
Aber da beißt sich die Katze wieder in den Schwanz: ist der Algorithmus nicht bekannt, kann er nicht auf Weaks untersucht werden...
Zum Vergrößern anklicken....

Durch die Natur eines Routers müssen die Zugangsdaten in jedem Fall gespeichert werden.
Ob das nun verschlüsselt oder im Klartext passiert, ist dabei völlig unerheblich.
Eingesehen können sie nur wenn man Zugang auf die Box hat - und dann ist es bereits egal.


bolli schrieb:
Also, am besten ich nehme nur offizielle AVM Firmware, schade, aber sicher ist sicher-....
Zum Vergrößern anklicken....

Ob das nun sicherer ist bezweifle ich. Es dürfte zumindest nicht unsicherer sein.
Wer aber glaubt, dieses kalkulierbare Risiko aus Sicherheitsbedenken nicht eingehen zu können, sollte wahrscheinlich auch seine sonstige Computernutzung grundlegend überdenken.
Was Software angeht, vertraue ich im Zweifelsfall lieber immer der größeren Gruppe an 'Code-Mitwissern'.
 
Hallo shadow000!

Danke für Deine Ausführungen!

Der LCR-Updater ist "nur" Script? Hoppla, so ein komplexes Teil wie der LCR-Updater und dann "nur" Script? Wow!!
 
Das komplexeste am LCR dürften, ohne dass ich es mir selbst jemals angeschaut habe, die zu Grunde liegenden Daten sein. Dazu kommt, dass die ständig aktualisiert und aufbereitet werden müssen.

Grundsätzlich muss ich in allen Punkten shadow000 zustimmen. Aber es geht noch weiter: Es betrifft nicht nur OpenSource: Auch wenn ich mir Freeware oder Shareware herunter lade, weiß ich nicht, ob sie tatsächlich nur das tut, wofür ich sie herunter geladen habe. Selbst bei Windows ist schon häufiger gerätselt worden, welche Daten über den Nutzer nach Redmond gesendet werden. Es ist also ein generelles Software-Problem.
Große Auswahl hat man da nicht: Man kann natürlich dem Anbieter der Software vertrauen. Genauso kann man Dritten, dazu gehören auch Ad-Blocker etc., die von anderen entwickelt wurden, vertrauen, wenn sie sagen, dass die Software OK ist. Oder man schaut sich selbst den Quellcode an, dann weiß man, was die Software macht.

Ich würde es mit einer Portion Grundvertrauen und einem gesunden Mißvertrauen handhaben. Ich lade mir weder ohne irgendwelche Überprüfungen vorher unbekannte EXE-Dateien von irgendwo runter, noch verwende ich Firmware-Images, die von irgendwem fremdes kompiliert wurden. Bei Projekten wie dem LCR oder the-construct vertraue ich auf die vielen Nutzer, die sich das genauer angeschaut haben und nur gutes berichten.
 
dann schau dir mal erstmal den Windows-Quellcode an, selbst wenn man ihn hätte bräuchte man bestimmt einige Jahre, sollen glaube so um die 50 Gb(!) sein!
 
Um antworten zu können musst du eingeloggt sein.
Kostenlos!
Jetzt holen

Neueste Beiträge

Kategorien

Wissenswertes

Zurzeit aktive Besucher

Gesamt: 259 (Mitglieder: 3, Gäste: 256)

Statistik des Forums

Themen
247,933
Beiträge
2,277,127
Mitglieder
377,016
Neuestes Mitglied
M4r

3CX jetzt einen Monat kostenlos testen

Die Verbindung, Zusammenarbeit und Kommunikation mit Ihrem Team und Ihren Kunden war noch nie so einfach. Nutzen Sie unsere kostenlose 30-Tage-Testversion und entdecken Sie die richtige Lösung für Ihr Unternehmen.

3CX start your free trial guy
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten