Sicherheit bei LCR ?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

KaStro

Neuer User
Mitglied seit
15 Nov 2005
Beiträge
80
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich frage mich, wie sicher ist mein System bei den automatischen Uptat's des LCR?
Wie ist die allgemeine Meinung hierzu ?
Sind meine Bedenken evt. unbegründet?
 
Wenn wir mal davon absehen, dass Hacker den DNS-Eintrag "telefonsparbuch.de" übernehmen und dadurch automatisch Trojaner auf unsere fritz!box einspielen könnten, besteht zumindest die Gefahr, dass die Tarifdaten nicht aktuell sind und man daher zu teuer telefoniert.

Soweit ich weiss, prüft telefonsparbuch.de die im Internet veröffentlichten Preislisten der Anbieter regelmässig (jede Stunde?) auf Änderungen. Wenn jetzt ein Anbieter - ob absichtlich oder nicht - bei einer Preiserhöhung die Webseite nachranig anpasst, geht der LCR solange noch von alten Tarifen aus. Das ist aber ein allgemeines Problem beim anmeldefreien CbC. Wer sich dagegen absichern will, sollte nur Anbieter nutzen, die eine Tarifansage bieten. (Das auch diese vor Fehlern nicht gefeit ist, dagegen helfen nur CbC-Anbieter mit fester Vertragsbindung.)
 
Wir hatten kürzlich den Effekt, daß ein Anbieter Russland Mobil für 1,39 ct/min auf dem Website auswies und 3,20 ct/min berechnete. Telefonsparbuch verwendet dann natürlich falsche Daten... ob das nun eine Manipulation seitens des Anbieters ist oder einfach Zufall, kann man nicht entscheiden.

Alles ist immer eine Abwägung zwischen Bequemlichkeit und Sicherheit...

--gandalf.
 
Hallo zusammen,

ich verstehe den LCR so, dass er sich wie ein "Client" im Netz "bewegt". Soll heissen, er macht von innen Verbindungen zum Internet auf (TCP establish back), um Aktualisierungen von einem Internet Server (hier telefonsparbuch.de)zu holen. Das bedeutet, der Server schickt die Daten nur auf Anfrage. Da Harald das wahrscheinlich über Port 80 (http) oder vielleicht sogar auf Port 443 (https) tut, bin ich da ganz beruhigt! Harald wird mich sicher korrigieren, wenn das falsch ist.
Das bedeutet, dass man nur über die Fritz.Box interne FW angreifbar ist, wenn ein update ansteht und jemand die Verbindung "abhört". Das passiert aber bei jeder Internet Verbindung, egal ob aldi.de oder ähnliches.
Grüße
Stephan
 
@SHE: Du hast schon Recht, dass der LCR Updater in der fritz!box sich die Daten von telefonsparbuch.de wie ein Client holt. Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen. Dies kann einerseits dazu führen, dass mir jemand teure Vorwahlnummern unterjubeln kann. Zum anderen weiss ich nicht, wie der LCR Updater intern auf manipulierte Daten reagiert (Es soll ja schon Buffer Overflows in Anwendungen gegeben haben, wenn eine manipulierte Bilddatei (bmp?) geöffnet wurde). Dies nur theoretisch, praktisch schätze ich die Gefahr zur Zeit - rein gefühlsmässig - als recht gering ein, sonst würde ich den LCR Updater wohl nicht selber einsetzen.
 
pseudonymer schrieb:
Wenn jetzt aber jemand den DNS-Eintrag für telefonsparbuch.de verbiegen würde, dann würde sich der LCR Updater die Daten von einem fremden Server holen.
Zum Vergrößern anklicken....

Dazu müßte man aber erstmal wissen, wie und in welchem Dateiformat der LCR die Daten einspielt. Eine .image-Datei wird es ja wohl kaum sein. Daher glaube ich nicht an Buffer Overflows der FB. Eher des LCR. Aber höher wird die Gefahr der überteuerten Preise sein.

Aber wie wahrscheinlich ist es denn den DNS zu verbiegen?

Gruß,

redeagle
 
DNS Hijacking ist schwierig (abhängig vom Provider), jedoch nicht ganz unmöglich... allerdings dürften hier Ergebnis und Aufwand in keinem Verhältnis stehen, also traue ich auch der Domain ;-) Ich halte das Risiko falscher Tarife aufgrund falscher Ausgangsdaten für viel höher, wenn nicht autoritativer Quellen benutzt werden, sondern "Preisinformationen" von Websites, während die Echtdaten erst bei der Ansage zu erhalten sind. Das dürfte jedoch gegen einen "Treu und Glauben" Grundsatz verstossen und auch vor Gericht keinen großen Bestand haben.

--gandalf.
 
Harald könnte ja eine Funktion einbauen, dass die Wahltabelle automatisch gelöscht wird, wenn der LCR Updater z.b. 7 Tage kein Update hinbekommen hat.

DNS Hijacking halte ich für "fast" unmöglich und deswegen auch vernachlässigbar.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 634 (Mitglieder: 32, Gäste: 602)

Neueste Beiträge

Statistik des Forums

Themen
244,830
Beiträge
2,219,116
Mitglieder
371,532
Neuestes Mitglied
ipeee
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück