.titleBar { margin-bottom: 5px!important; }

Sicherheit von DSL-Routern

Dieses Thema im Forum "FRITZ!Box Fon: Modifikationen" wurde erstellt von haveaniceday, 4 Nov. 2004.

  1. haveaniceday

    haveaniceday Aktives Mitglied

    Registriert seit:
    14 Okt. 2004
    Beiträge:
    1,305
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Ihr,

    mal ein anderes Thema. In der aktuellen ct' wurde das Thema Sicherheit
    und Spyware angesprochen.

    Folgende Gedanken kommen mir dabei in den Kopf:
    - DSL-Router ( bei mir Fritz WLAN ) enthält ein Betriebsystem.
    - Jedes Image könnte eine nicht entdeckbare "Backdoor" enhalten.
    - Durch die direkte Verbindung mit dem Provider habe ich _fast_null_ Chance dieses zu entdecken.
    - Auch mein "Traffic" counter über den Provider könnte ich dahin kaum/nicht kontrollieren.

    Ich leide zwar nicht unter Verfolgungswahn, finde diesen Gedanken aber "komisch".

    Haveaniceday.

    PS: Einzig: ein "tcpdump" auf der Box selber hätte eine Chance. Aber dieser dump ist schwer zu kriegen/auszuwerten.

    :verdaech:
     
  2. Novize

    Novize Moderator
    Forum-Mitarbeiter

    Registriert seit:
    17 Aug. 2004
    Beiträge:
    20,677
    Zustimmungen:
    40
    Punkte für Erfolge:
    48
    Beruf:
    Jepp!
    Ort:
    NRW
    Puh, zwar theoretisch denkbar, aber ich will mal ans Gute im Menschen glauben: Wenn das nämlich rauskommen sollte, daß AVM sowas machen sollte, dann können die sich wohl warm anziehen. Ich denke sogar, daß das rechtlich hier in Deutschland Probleme geben würde.

    Und nen deutschen Hersteller kann man leichter rankriegen, als nen koreanischen Hersteller, der russische Programmierer in Indien das Ding zusammenhacken läßt, um es dann in Thailand über einen auf Virgin Island ansässigen Laden verkaufen läßt... :shock:

    @haveaniceday: p.s. Du hast Post
     
  3. haveaniceday

    haveaniceday Aktives Mitglied

    Registriert seit:
    14 Okt. 2004
    Beiträge:
    1,305
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo Novitze,

    nein ! ich meine absolut nicht AVM ! Ich vertraue dort voll auf die Qualitätskontrolle und die Firma.

    Mein "Einbruchszenario" wäre eher:
    - ich mache mein eigenes Image
    - beziehe dort eine externes Programm mit ein. ( z.B. "spezielles" Busybox)
    => jemand hat sich "besonders" mühe mit dieser Busybox gemacht.

    Dieses ist für mich auch zur Zeit ein rein hypothetisches ( richtig geschrieben nach neuer Reform ? ;-) ) Szenario. Ich gehe davon aus,
    das die "bösen" noch nicht schnell genug für die Fritzbox waren.

    Nur: wie kann ich die "Bösen" in Zukunft daran hindern. Bei meinem
    Netzwerk kann ich entsprechende Überwachungssoftware nutzen...
    Bei einem DSL-Router mit Eigenintelligenz sehe ich dieses als schwer an.

    Haveaniceday.

    Beispiel 1: Habe mir ein eigenes Image gemacht und dort eine externe Busybox eingebunden. Vertraue aber blind ohne diese Quelle zu kennen.
    Beispiel 2: Habe mal selber was schönes gemacht. Wie kann mir jemand trauen.
    Beispiel 3: Ein Firma gibt ein DSL Router Image heraus. Ein "böser" Mitarbeiter baut in dort einen "zeitgesteuerte Backdoor" ein. Z.B. ab "now + 3 Monate": dyndns => Router kontaktiert mit "remoteshell" dyndns-adresse.
    Wieviel Jahre später würde diese Backdoor erst gefunden.
     
  4. Novize

    Novize Moderator
    Forum-Mitarbeiter

    Registriert seit:
    17 Aug. 2004
    Beiträge:
    20,677
    Zustimmungen:
    40
    Punkte für Erfolge:
    48
    Beruf:
    Jepp!
    Ort:
    NRW
    Irgendein Restrisiko hast Du bei Computern doch immer. Bei Linux kenne ich keinen, der einen Überblick über den gesamten Quellcode hat, den er kompiliert. Fertige Distributionen oder auch Windows sind schon fertig kompiliert und damit auch nicht mehr kontrollierbar.
    Das Risiko muß wohl jeder selbst abwägen
    Ach deshalb ist in der neuen Firm ne SNTP-Routine drin 8)
     
  5. GGerrits

    GGerrits Neuer User

    Registriert seit:
    27 Juli 2004
    Beiträge:
    47
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    SW-Entwickler
    Ort:
    Griesheim
    Gefahren Fremdimages

    Hallo allerseits,

    Ich sehe bei gehäckte Firmware-Images u.a. folgende Gefahren:
    * Protokollierung vom Nutzer-Surf/Telefonieverhalten
    * Redirection auf eigene "Diensten" (z.B. ***.meineseite.de geht erst immer auf ***sex***.**)
    * Mitschneiden von Telefongespräche
    * "Man in the middle attack" durch Redirection/Duplication von sämtliche IP-Pakete auf ein Hackerserver
    * Eingriffe im QoS Verhalten (Priorisierung eigene Diensten, Fehler bei der "Konkurrenz")
    * Modifizierte VoIP-Codecs (Telefonieren nur noch mit einer MickyMouse Stimme möglich)
    * VoIP/DSL/ISDN Call-By-Call Autodialer (und das 24h*7)
    * SPAM/SPIT/DoS Client auf dem Router
    * Gateway für illegale/verbotene P2P Angebote
    * Der Router wird unbrauchbar nachdem er den Schaden angerichtet hat (z.B. Flash-Erase)

    Ein gesundes Maß an Paranoia wurde daher bei Fremdimages nicht schaden.

    Bei (mittelständische) Unternehmen wird es schon krimineller:Stichworte Wirtschaftsspionage, DoS, Imageschaden.
    Für den Einsatz in sicherheitsrelevante IT/Behörden-Bereiche dürfen daher oft nur geprüfte/evaluierte Geräte+Firmwares verwendet werden.
    Solche Prüfungen sind dan auch entsprechend aufwendig und teuer, aber leider notwendig.
    (siehe z.B. Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierung)

    Eine bestandene Prüfung ist aber auch ein Werbeargument. AVM hat z.B. die FireWall-Funktion der FritzBox prüfen lassen:
    Zum Teil sind auch die Routerhersteller gefragt. Ein nicht vom Hersteller autorisiertes FirmwareImage müsste erst durch entsprechende Warnhinweise etc. erst mal blockiert werden. Nur nach der Sicherheitsabfrage/Eingabe einer Freischalt-PIN (Lizenzkey) geht es weiter. Klar der Hersteller könnte so auch alle Eigenentwicklungen erst mal unterbinden (wegen Firmenpolicy, Rechtliche Absicherung, Lizenzmodel, usw.) Mit ein gesundes Mittelmaß sind aber beide Seiten gedient.

    Ein Vorteil von OpenSource-Firmware ist Prüfung durch die allgemeine Öffentlichkeit. Nachteil: kaum einer hat den vollen Durchblick, d.h. es dauert lange bis "Fehler" auch auffällig werden. Anderseits gibt es auch schneller Patches für solche Bugs. Das die integerität der bereitgestellte Images/Quelltexte-Archive durch entsprechende md5/sha1 Hashes, bezw. Code-Signing abgesichert und geprüft werden müssen ist eigentlich selbstverständlich.
    Auch könnte der Hersteller federführend auftreten und die OS-Entwicklung in eigenem Interesse begleiten/steuern.

    Viele Grüße,
    Guus Gerrits
     
  6. haveaniceday

    haveaniceday Aktives Mitglied

    Registriert seit:
    14 Okt. 2004
    Beiträge:
    1,305
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo GGerrits,

    Noch jemand mit Phanasie ! Mir macht am meisten die schwere Auffindung der Lücken gedanken.
    Die Bandbreite mit einer DSL-DDOS Attacke könnte auch heftig groß sein.
    Auf jeden Fall sollte man dieses Thema immer im Hinterkopf behalten.

    Wie sieht es mit den Kernellücken von 2.4.17_mvl21-malta-mips_fp_le bis => 2.4.27 aus ?
    Wurden bei dem Kernel _mvl21- diese Sicherheitlücken gepatched.

    Ein kleiner Bufferoverflow, ein MIPS Programm zum Ausnutzen, Oops... *grausen...*
    Na ja, warten wir mal ab.

    Haveaniceday.
     
  7. xlephant

    xlephant Mitglied

    Registriert seit:
    25 Juni 2004
    Beiträge:
    337
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ohh je,
    das kann dir aber alles genauso passieren, wenn du ohne router am netz hängst. je nach os (mal mehr mal weniger) hast du da nämlich auch einige backdoors ;-). also wenn man sich dann ein bestimmtes os installiert, wo sich der hersteller "besonders" mühe gegeben hat (z.b. win xp), kann man natürlich vor attacken nicht gefeit sein *g*

    also ich würde das ganze lockerer sehen, wenn du dich sicherer fühlen möchtest, musst du dir halt den quellcode (der irgendwann anscheinend auch veröffentlicht werden muss, da einige eingesetzte programmteile unter gpl stehen) mal ganz genau ansehen...viel spaß dabei...
     
  8. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Naja, die Gefahr, sich eine Backdoor mit einer fremden Firmware einzufangen ist nicht von der Hand zu weisen.

    Daher installiere ich auch nur Firmwares von dem AVM-FTP-Server.
     
  9. Jofo007

    Jofo007 Neuer User

    Registriert seit:
    21 Okt. 2004
    Beiträge:
    66
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Der beste Router mit Firewall nützt Dir gar nix, wenn Du Dir die Trojaner/Backdoors auf Deinem System installierst.
    Das das funzt, dürfte jedem klar sein, nicht aber das die Einbruchstelle
    schon mit dem System ausgeliefert wird (siehe JPG-Bug unter Microsoft..)

    Also meiner Meinung nach, kann man nicht paranoid genug an die Sache rangehen
    (besser noch das Netzwerkkabel gar nicht erst benutzen ;-)),
    oder das ganze mit einem Augenzwinkern sehen und denken:
    "Ich hab nix was ich verbergen muß".

    Wer es schafft den goldenen Mittelweg zu gehen, dem seien meine Glückwünsche gewiss!
     
  10. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Mal ehrlich, ich habe mir wegen diesem ganzen Mist (Viren, Trojaner, etc.) seiner Zeit Linux auf meinem hochheiliegem Windows-Rechner installiert. Hatte also auch was gutes: Ich bin geheilt. ;)

    Spaß bei Seite, aber ich würde mein Homebanking nicht mehr von einem Windows-Rechner tätigen...

    Letztendlich ist jedes System nur so sicher wie sein Anwender. Solange in Büros tausende jeden Mist öffnen und ausführen, der mit kryptischen Mails in die Mailboxen kommt, wird es Viren, Trojaner und Co. noch sehr sehr lange geben.
    Und deshalb werde ich auch keiner Firmware trauen, die nicht vom Hersteller kommt oder ich selber ge-patcht habe.

    Meine Haustür lasse ich auch nicht von einem Wildfremden (gegen ein Fliegengitter) auswechseln, um dann im Wohnzimmer freudestrahlend die Haustürschlüssel der nicht mehr vorhandenen Tür zu schwingen...
     
  11. GGerrits

    GGerrits Neuer User

    Registriert seit:
    27 Juli 2004
    Beiträge:
    47
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    SW-Entwickler
    Ort:
    Griesheim
    Vieles hängt doch an der Qualitätskontrolle und Vorgabe von klare Richtlinien bei der SW-Entwicklung. Die Entwicklung bei AVM ist bestimmt gut geregelt (ansonsten ist so ein doch komplexes FritzBox-Projekt nicht realisierbar). Weis aber aus Erfahrung das man irgendwan "Blind" für Fehler im eigenen Projektkode wird. Da helfen nur Reviews durch Nicht-Projektmitglieder oder sogar das Einbeziehen von externe Leute. Bei einer OpenSource Variante wird das Review gleich öffentlich durchgeführt (aber das gleich auch von die "Bösen Jungs").
    Kann mir gut vorstellen das ein neues Release zuerst AVM-Intern und danach an ein ausgewählter Kreis von registrierte Testuser (etwa 100) verteilt wird, bevor es in die weite Welt entlassen wird. Danach gibt es nur noch die Zugangskontrolle zum öffentliche CVS-Archiv (d.h. wer darf überhaupt Patches/Erweiterungen einspielen).

    Es wäre nach meiner Meinung jedenfalls schön, wenn unsere "Entwicklungen" von AVM irgendwie mitbetreut werden könnten. AVM wäre damit wieder die zentrale Anlaufstelle. Klar bedeutet alles wieder Aufwand (==Geld), würde aber einiges klarer und kontrollierbar machen (auch für AVM).

    Viele Grüße,
    Guus Gerrits
     
  12. Outlaw

    Outlaw Mitglied

    Registriert seit:
    10 Okt. 2004
    Beiträge:
    790
    Zustimmungen:
    2
    Punkte für Erfolge:
    18
    >>Spaß bei Seite, aber ich würde mein Homebanking nicht mehr von einem Windows-Rechner tätigen...

    Tja, sowas kommt bei Halbwissen mit der Materie dabei raus

    Soll ich jetzt nie wieder vor die Tür gehen, nur weil mich einer überfahren "könnte" ?? Das Risiko ist zumindest auch nicht zu verachten und soll Leuten schon passiert sein ....

    ;):D

    Gruß Outi
     
  13. Elmo

    Elmo Mitglied

    Registriert seit:
    8 Sep. 2004
    Beiträge:
    313
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    Hattingen
    Nix Halbwissen.
    Ich nutze ja auch HBCI weil es sicherer ist. Windows ist nun mal eine Sicherheitslücke, weil der Internetexplorer tief im System vergraben ist. Man bekommt Windows (ohne horende Zusatzausgaben und ohne die Nutzbarkeit extrem einzuschränken) nicht so dicht, wie ein Linux-System. Das ist Fakt.

    Wenn ich die Möglichkeit habe, eine Brücke über eine achtspurige Autobahn zu benutzen oder die acht Spuren direkt zu überqueren, nehme ich garantiert die Brücke. Aber wenn Du meinst, Du weist es besser, darfst Du gerne dein Glück über die acht Spuren versuchen...
     
  14. Integral2

    Integral2 Neuer User

    Registriert seit:
    14 Apr. 2006
    Beiträge:
    9
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Gebrauchte Fritzbox auf eBay -> Sicherheitsrisiko?

    Hallo,
    weiß eigentlich jemand, wie ich die Fritzbox selbst auf Sicherheitslücken durchchecken kann? Mein Problem ist das folgende: ich habe eine 5012 auf ebay geholt - eigentlich neu, aber die OVP war geöffnet, angeblich wurde auf der Fritzbox noch das neueste Update eingespielt (ist auch das aktuelle drauf) - wie kann ich mir aber sicher sein, dass diese FBox nicht irgendwie manipuliert wurde und eine sicherheitslücke beinhaltet? kann ich sowas im nachhinein Feststellen oder die Box irgendwie total resetten bzw. neu flashen?
    Was meint ihr?
    Gruß
    integral2
     
  15. doc456

    doc456 IPPF-Urgestein

    Registriert seit:
    27 Apr. 2006
    Beiträge:
    15,682
    Zustimmungen:
    2
    Punkte für Erfolge:
    38
    Hallo,

    @Elmo:
    Wohl Wahr!
    Das Sicherheitsrisiko sitzt meistens vor dem PC oder vor dem PC in der Firma!
    Die Admins müssen sich dann mit den Folgen auseinandersetzten und sind doch die Bösen, weil es passiert ist (ne, weil kein Geld zur Verfügung gestellt wurde)!
    Da hilft nur eine Erweiterung der Arbeitsvertrages (wie bei mir)! :)
     
  16. wichard

    wichard IPPF-Promi

    Registriert seit:
    16 Juni 2005
    Beiträge:
    6,954
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Ort:
    Aachen
    Mach ein Recover der Fritz!Box mit dem entsprechenden, von AVM bereitgestellten Tool. Dies setzt die Box zuverlässig auf ihre Werkseinstellungen zurück.


    Gruß,
    Wichard

    P.S.: Muss man denn dafür wirklich einen über zwei Jahre alten Thread ausbuddeln? :grab: