Sicherheit bei LCR ?

KaStro

Neuer User
Mitglied seit
15 Nov 2005
Beiträge
80
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich frage mich, wie sicher ist mein System bei den automatischen Uptat's des LCR?
Wie ist die allgemeine Meinung hierzu ?
Sind meine Bedenken evt. unbegründet?
 
Wenn wir mal davon absehen, dass Hacker den DNS-Eintrag "telefonsparbuch.de" übernehmen und dadurch automatisch Trojaner auf unsere fritz!box einspielen könnten, besteht zumindest die Gefahr, dass die Tarifdaten nicht aktuell sind und man daher zu teuer telefoniert.

Soweit ich weiss, prüft telefonsparbuch.de die im Internet veröffentlichten Preislisten der Anbieter regelmässig (jede Stunde?) auf Änderungen. Wenn jetzt ein Anbieter - ob absichtlich oder nicht - bei einer Preiserhöhung die Webseite nachranig anpasst, geht der LCR solange noch von alten Tarifen aus. Das ist aber ein allgemeines Problem beim anmeldefreien CbC. Wer sich dagegen absichern will, sollte nur Anbieter nutzen, die eine Tarifansage bieten. (Das auch diese vor Fehlern nicht gefeit ist, dagegen helfen nur CbC-Anbieter mit fester Vertragsbindung.)
 
Wir hatten kürzlich den Effekt, daß ein Anbieter Russland Mobil für 1,39 ct/min auf dem Website auswies und 3,20 ct/min berechnete. Telefonsparbuch verwendet dann natürlich falsche Daten... ob das nun eine Manipulation seitens des Anbieters ist oder einfach Zufall, kann man nicht entscheiden.

Alles ist immer eine Abwägung zwischen Bequemlichkeit und Sicherheit...

--gandalf.
 
Hallo zusammen,

ich verstehe den LCR so, dass er sich wie ein "Client" im Netz "bewegt". Soll heissen, er macht von innen Verbindungen zum Internet auf (TCP establish back), um Aktualisierungen von einem Internet Server (hier telefonsparbuch.de)zu holen. Das bedeutet, der Server schickt die Daten nur auf Anfrage. Da Harald das wahrscheinlich über Port 80 (http) oder vielleicht sogar auf Port 443 (https) tut, bin ich da ganz beruhigt! Harald wird mich sicher korrigieren, wenn das falsch ist.
Das bedeutet, dass man nur über die Fritz.Box interne FW angreifbar ist, wenn ein update ansteht und jemand die Verbindung "abhört". Das passiert aber bei jeder Internet Verbindung, egal ob aldi.de oder ähnliches.
Grüße
Stephan
 
@SHE: Du hast schon Recht, dass der LCR Updater in der fritz!box sich die Daten von telefonsparbuch.de wie ein Client holt. Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen. Dies kann einerseits dazu führen, dass mir jemand teure Vorwahlnummern unterjubeln kann. Zum anderen weiss ich nicht, wie der LCR Updater intern auf manipulierte Daten reagiert (Es soll ja schon Buffer Overflows in Anwendungen gegeben haben, wenn eine manipulierte Bilddatei (bmp?) geöffnet wurde). Dies nur theoretisch, praktisch schätze ich die Gefahr zur Zeit - rein gefühlsmässig - als recht gering ein, sonst würde ich den LCR Updater wohl nicht selber einsetzen.
 
pseudonymer schrieb:
Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen.

Dazu müßte man aber erstmal wissen, wie und in welchem Dateiformat der LCR die Daten einspielt. Eine .image-Datei wird es ja wohl kaum sein. Daher glaube ich nicht an Buffer Overflows der FB. Eher des LCR. Aber höher wird die Gefahr der überteuerten Preise sein.

Aber wie wahrscheinlich ist es denn den DNS zu verbiegen?

Gruß,

redeagle
 
DNS Hijacking ist schwierig (abhängig vom Provider), jedoch nicht ganz unmöglich... allerdings dürften hier Ergebnis und Aufwand in keinem Verhältnis stehen, also traue ich auch der Domain ;-) Ich halte das Risiko falscher Tarife aufgrund falscher Ausgangsdaten für viel höher, wenn nicht autoritativer Quellen benutzt werden, sondern "Preisinformationen" von Websites, während die Echtdaten erst bei der Ansage zu erhalten sind. Das dürfte jedoch gegen einen "Treu und Glauben" Grundsatz verstossen und auch vor Gericht keinen großen Bestand haben.

--gandalf.
 
Harald könnte ja eine Funktion einbauen, dass die Wahltabelle automatisch gelöscht wird, wenn der LCR Updater z.b. 7 Tage kein Update hinbekommen hat.

DNS Hijacking halte ich für "fast" unmöglich und deswegen auch vernachlässigbar.
 

Statistik des Forums

Themen
246,243
Beiträge
2,248,667
Mitglieder
373,818
Neuestes Mitglied
RainerP
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.