Sicherheit bei LCR ?

KaStro

Neuer User
Mitglied seit
15 Nov 2005
Beiträge
80
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich frage mich, wie sicher ist mein System bei den automatischen Uptat's des LCR?
Wie ist die allgemeine Meinung hierzu ?
Sind meine Bedenken evt. unbegründet?
 

pseudonymer

Mitglied
Mitglied seit
4 Jan 2005
Beiträge
400
Punkte für Reaktionen
0
Punkte
16
Wenn wir mal davon absehen, dass Hacker den DNS-Eintrag "telefonsparbuch.de" übernehmen und dadurch automatisch Trojaner auf unsere fritz!box einspielen könnten, besteht zumindest die Gefahr, dass die Tarifdaten nicht aktuell sind und man daher zu teuer telefoniert.

Soweit ich weiss, prüft telefonsparbuch.de die im Internet veröffentlichten Preislisten der Anbieter regelmässig (jede Stunde?) auf Änderungen. Wenn jetzt ein Anbieter - ob absichtlich oder nicht - bei einer Preiserhöhung die Webseite nachranig anpasst, geht der LCR solange noch von alten Tarifen aus. Das ist aber ein allgemeines Problem beim anmeldefreien CbC. Wer sich dagegen absichern will, sollte nur Anbieter nutzen, die eine Tarifansage bieten. (Das auch diese vor Fehlern nicht gefeit ist, dagegen helfen nur CbC-Anbieter mit fester Vertragsbindung.)
 
G

gandalf94305

Guest
Wir hatten kürzlich den Effekt, daß ein Anbieter Russland Mobil für 1,39 ct/min auf dem Website auswies und 3,20 ct/min berechnete. Telefonsparbuch verwendet dann natürlich falsche Daten... ob das nun eine Manipulation seitens des Anbieters ist oder einfach Zufall, kann man nicht entscheiden.

Alles ist immer eine Abwägung zwischen Bequemlichkeit und Sicherheit...

--gandalf.
 

SHE

Neuer User
Mitglied seit
30 Sep 2004
Beiträge
102
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

ich verstehe den LCR so, dass er sich wie ein "Client" im Netz "bewegt". Soll heissen, er macht von innen Verbindungen zum Internet auf (TCP establish back), um Aktualisierungen von einem Internet Server (hier telefonsparbuch.de)zu holen. Das bedeutet, der Server schickt die Daten nur auf Anfrage. Da Harald das wahrscheinlich über Port 80 (http) oder vielleicht sogar auf Port 443 (https) tut, bin ich da ganz beruhigt! Harald wird mich sicher korrigieren, wenn das falsch ist.
Das bedeutet, dass man nur über die Fritz.Box interne FW angreifbar ist, wenn ein update ansteht und jemand die Verbindung "abhört". Das passiert aber bei jeder Internet Verbindung, egal ob aldi.de oder ähnliches.
Grüße
Stephan
 

pseudonymer

Mitglied
Mitglied seit
4 Jan 2005
Beiträge
400
Punkte für Reaktionen
0
Punkte
16
@SHE: Du hast schon Recht, dass der LCR Updater in der fritz!box sich die Daten von telefonsparbuch.de wie ein Client holt. Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen. Dies kann einerseits dazu führen, dass mir jemand teure Vorwahlnummern unterjubeln kann. Zum anderen weiss ich nicht, wie der LCR Updater intern auf manipulierte Daten reagiert (Es soll ja schon Buffer Overflows in Anwendungen gegeben haben, wenn eine manipulierte Bilddatei (bmp?) geöffnet wurde). Dies nur theoretisch, praktisch schätze ich die Gefahr zur Zeit - rein gefühlsmässig - als recht gering ein, sonst würde ich den LCR Updater wohl nicht selber einsetzen.
 

redeagle1980

Neuer User
Mitglied seit
29 Jul 2006
Beiträge
38
Punkte für Reaktionen
0
Punkte
0
pseudonymer schrieb:
Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen.
Dazu müßte man aber erstmal wissen, wie und in welchem Dateiformat der LCR die Daten einspielt. Eine .image-Datei wird es ja wohl kaum sein. Daher glaube ich nicht an Buffer Overflows der FB. Eher des LCR. Aber höher wird die Gefahr der überteuerten Preise sein.

Aber wie wahrscheinlich ist es denn den DNS zu verbiegen?

Gruß,

redeagle
 
G

gandalf94305

Guest
DNS Hijacking ist schwierig (abhängig vom Provider), jedoch nicht ganz unmöglich... allerdings dürften hier Ergebnis und Aufwand in keinem Verhältnis stehen, also traue ich auch der Domain ;-) Ich halte das Risiko falscher Tarife aufgrund falscher Ausgangsdaten für viel höher, wenn nicht autoritativer Quellen benutzt werden, sondern "Preisinformationen" von Websites, während die Echtdaten erst bei der Ansage zu erhalten sind. Das dürfte jedoch gegen einen "Treu und Glauben" Grundsatz verstossen und auch vor Gericht keinen großen Bestand haben.

--gandalf.
 

Dulla

Neuer User
Mitglied seit
25 Dez 2005
Beiträge
76
Punkte für Reaktionen
0
Punkte
0
Harald könnte ja eine Funktion einbauen, dass die Wahltabelle automatisch gelöscht wird, wenn der LCR Updater z.b. 7 Tage kein Update hinbekommen hat.

DNS Hijacking halte ich für "fast" unmöglich und deswegen auch vernachlässigbar.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,287
Beiträge
2,032,416
Mitglieder
351,813
Neuestes Mitglied
heute051219