.titleBar { margin-bottom: 5px!important; }

Sicherheit bei LCR ?

Dieses Thema im Forum "Least Cost Routing für FBF (LCR)" wurde erstellt von KaStro, 27 Sep. 2006.

  1. KaStro

    KaStro Neuer User

    Registriert seit:
    15 Nov. 2005
    Beiträge:
    80
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    im schönen Ries
    Hallo,
    ich frage mich, wie sicher ist mein System bei den automatischen Uptat's des LCR?
    Wie ist die allgemeine Meinung hierzu ?
    Sind meine Bedenken evt. unbegründet?
     
  2. gandalf94305

    gandalf94305 Guest

    Welche Sicherheitsrisiken von automatischen Updates siehst Du denn? Hast Du Angst, Hacker können www.telefonsparbuch.de übernehmen?

    --gandalf.
     
  3. pseudonymer

    pseudonymer Mitglied

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    400
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Wenn wir mal davon absehen, dass Hacker den DNS-Eintrag "telefonsparbuch.de" übernehmen und dadurch automatisch Trojaner auf unsere fritz!box einspielen könnten, besteht zumindest die Gefahr, dass die Tarifdaten nicht aktuell sind und man daher zu teuer telefoniert.

    Soweit ich weiss, prüft telefonsparbuch.de die im Internet veröffentlichten Preislisten der Anbieter regelmässig (jede Stunde?) auf Änderungen. Wenn jetzt ein Anbieter - ob absichtlich oder nicht - bei einer Preiserhöhung die Webseite nachranig anpasst, geht der LCR solange noch von alten Tarifen aus. Das ist aber ein allgemeines Problem beim anmeldefreien CbC. Wer sich dagegen absichern will, sollte nur Anbieter nutzen, die eine Tarifansage bieten. (Das auch diese vor Fehlern nicht gefeit ist, dagegen helfen nur CbC-Anbieter mit fester Vertragsbindung.)
     
  4. gandalf94305

    gandalf94305 Guest

    Wir hatten kürzlich den Effekt, daß ein Anbieter Russland Mobil für 1,39 ct/min auf dem Website auswies und 3,20 ct/min berechnete. Telefonsparbuch verwendet dann natürlich falsche Daten... ob das nun eine Manipulation seitens des Anbieters ist oder einfach Zufall, kann man nicht entscheiden.

    Alles ist immer eine Abwägung zwischen Bequemlichkeit und Sicherheit...

    --gandalf.
     
  5. SHE

    SHE Neuer User

    Registriert seit:
    30 Sep. 2004
    Beiträge:
    102
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo zusammen,

    ich verstehe den LCR so, dass er sich wie ein "Client" im Netz "bewegt". Soll heissen, er macht von innen Verbindungen zum Internet auf (TCP establish back), um Aktualisierungen von einem Internet Server (hier telefonsparbuch.de)zu holen. Das bedeutet, der Server schickt die Daten nur auf Anfrage. Da Harald das wahrscheinlich über Port 80 (http) oder vielleicht sogar auf Port 443 (https) tut, bin ich da ganz beruhigt! Harald wird mich sicher korrigieren, wenn das falsch ist.
    Das bedeutet, dass man nur über die Fritz.Box interne FW angreifbar ist, wenn ein update ansteht und jemand die Verbindung "abhört". Das passiert aber bei jeder Internet Verbindung, egal ob aldi.de oder ähnliches.
    Grüße
    Stephan
     
  6. pseudonymer

    pseudonymer Mitglied

    Registriert seit:
    4 Jan. 2005
    Beiträge:
    400
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    @SHE: Du hast schon Recht, dass der LCR Updater in der fritz!box sich die Daten von telefonsparbuch.de wie ein Client holt. Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen. Dies kann einerseits dazu führen, dass mir jemand teure Vorwahlnummern unterjubeln kann. Zum anderen weiss ich nicht, wie der LCR Updater intern auf manipulierte Daten reagiert (Es soll ja schon Buffer Overflows in Anwendungen gegeben haben, wenn eine manipulierte Bilddatei (bmp?) geöffnet wurde). Dies nur theoretisch, praktisch schätze ich die Gefahr zur Zeit - rein gefühlsmässig - als recht gering ein, sonst würde ich den LCR Updater wohl nicht selber einsetzen.
     
  7. redeagle1980

    redeagle1980 Neuer User

    Registriert seit:
    29 Juli 2006
    Beiträge:
    38
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dazu müßte man aber erstmal wissen, wie und in welchem Dateiformat der LCR die Daten einspielt. Eine .image-Datei wird es ja wohl kaum sein. Daher glaube ich nicht an Buffer Overflows der FB. Eher des LCR. Aber höher wird die Gefahr der überteuerten Preise sein.

    Aber wie wahrscheinlich ist es denn den DNS zu verbiegen?

    Gruß,

    redeagle
     
  8. gandalf94305

    gandalf94305 Guest

    DNS Hijacking ist schwierig (abhängig vom Provider), jedoch nicht ganz unmöglich... allerdings dürften hier Ergebnis und Aufwand in keinem Verhältnis stehen, also traue ich auch der Domain ;-) Ich halte das Risiko falscher Tarife aufgrund falscher Ausgangsdaten für viel höher, wenn nicht autoritativer Quellen benutzt werden, sondern "Preisinformationen" von Websites, während die Echtdaten erst bei der Ansage zu erhalten sind. Das dürfte jedoch gegen einen "Treu und Glauben" Grundsatz verstossen und auch vor Gericht keinen großen Bestand haben.

    --gandalf.
     
  9. Dulla

    Dulla Neuer User

    Registriert seit:
    25 Dez. 2005
    Beiträge:
    76
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Harald könnte ja eine Funktion einbauen, dass die Wahltabelle automatisch gelöscht wird, wenn der LCR Updater z.b. 7 Tage kein Update hinbekommen hat.

    DNS Hijacking halte ich für "fast" unmöglich und deswegen auch vernachlässigbar.