Sicherheit von DSL-Routern

haveaniceday

Aktives Mitglied
Mitglied seit
14 Okt 2004
Beiträge
1,305
Punkte für Reaktionen
0
Punkte
36
Hallo Ihr,

mal ein anderes Thema. In der aktuellen ct' wurde das Thema Sicherheit
und Spyware angesprochen.

Folgende Gedanken kommen mir dabei in den Kopf:
- DSL-Router ( bei mir Fritz WLAN ) enthält ein Betriebsystem.
- Jedes Image könnte eine nicht entdeckbare "Backdoor" enhalten.
- Durch die direkte Verbindung mit dem Provider habe ich _fast_null_ Chance dieses zu entdecken.
- Auch mein "Traffic" counter über den Provider könnte ich dahin kaum/nicht kontrollieren.

Ich leide zwar nicht unter Verfolgungswahn, finde diesen Gedanken aber "komisch".

Haveaniceday.

PS: Einzig: ein "tcpdump" auf der Box selber hätte eine Chance. Aber dieser dump ist schwer zu kriegen/auszuwerten.

:verdaech:
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
20,917
Punkte für Reaktionen
81
Punkte
48
Puh, zwar theoretisch denkbar, aber ich will mal ans Gute im Menschen glauben: Wenn das nämlich rauskommen sollte, daß AVM sowas machen sollte, dann können die sich wohl warm anziehen. Ich denke sogar, daß das rechtlich hier in Deutschland Probleme geben würde.

Und nen deutschen Hersteller kann man leichter rankriegen, als nen koreanischen Hersteller, der russische Programmierer in Indien das Ding zusammenhacken läßt, um es dann in Thailand über einen auf Virgin Island ansässigen Laden verkaufen läßt... :shock:

@haveaniceday: p.s. Du hast Post
 

haveaniceday

Aktives Mitglied
Mitglied seit
14 Okt 2004
Beiträge
1,305
Punkte für Reaktionen
0
Punkte
36
Hallo Novitze,

nein ! ich meine absolut nicht AVM ! Ich vertraue dort voll auf die Qualitätskontrolle und die Firma.

Mein "Einbruchszenario" wäre eher:
- ich mache mein eigenes Image
- beziehe dort eine externes Programm mit ein. ( z.B. "spezielles" Busybox)
=> jemand hat sich "besonders" mühe mit dieser Busybox gemacht.

Dieses ist für mich auch zur Zeit ein rein hypothetisches ( richtig geschrieben nach neuer Reform ? ;-) ) Szenario. Ich gehe davon aus,
das die "bösen" noch nicht schnell genug für die Fritzbox waren.

Nur: wie kann ich die "Bösen" in Zukunft daran hindern. Bei meinem
Netzwerk kann ich entsprechende Überwachungssoftware nutzen...
Bei einem DSL-Router mit Eigenintelligenz sehe ich dieses als schwer an.

Haveaniceday.

Beispiel 1: Habe mir ein eigenes Image gemacht und dort eine externe Busybox eingebunden. Vertraue aber blind ohne diese Quelle zu kennen.
Beispiel 2: Habe mal selber was schönes gemacht. Wie kann mir jemand trauen.
Beispiel 3: Ein Firma gibt ein DSL Router Image heraus. Ein "böser" Mitarbeiter baut in dort einen "zeitgesteuerte Backdoor" ein. Z.B. ab "now + 3 Monate": dyndns => Router kontaktiert mit "remoteshell" dyndns-adresse.
Wieviel Jahre später würde diese Backdoor erst gefunden.
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
20,917
Punkte für Reaktionen
81
Punkte
48
haveaniceday schrieb:
Beispiel 1: Habe mir ein eigenes Image gemacht und dort eine externe Busybox eingebunden. Vertraue aber blind ohne diese Quelle zu kennen.
Irgendein Restrisiko hast Du bei Computern doch immer. Bei Linux kenne ich keinen, der einen Überblick über den gesamten Quellcode hat, den er kompiliert. Fertige Distributionen oder auch Windows sind schon fertig kompiliert und damit auch nicht mehr kontrollierbar.
haveaniceday schrieb:
Beispiel 2: Habe mal selber was schönes gemacht. Wie kann mir jemand trauen.
Das Risiko muß wohl jeder selbst abwägen
haveaniceday schrieb:
Beispiel 3: Ein Firma gibt ein DSL Router Image heraus. Ein "böser" Mitarbeiter baut in dort einen "zeitgesteuerte Backdoor" ein. Z.B. ab "now + 3 Monate": dyndns => Router kontaktiert mit "remoteshell" dyndns-adresse.
Wieviel Jahre später würde diese Backdoor erst gefunden.
Ach deshalb ist in der neuen Firm ne SNTP-Routine drin 8)
 

GGerrits

Neuer User
Mitglied seit
27 Jul 2004
Beiträge
47
Punkte für Reaktionen
0
Punkte
0
Gefahren Fremdimages

Hallo allerseits,

Ich sehe bei gehäckte Firmware-Images u.a. folgende Gefahren:
* Protokollierung vom Nutzer-Surf/Telefonieverhalten
* Redirection auf eigene "Diensten" (z.B. ***.meineseite.de geht erst immer auf ***sex***.**)
* Mitschneiden von Telefongespräche
* "Man in the middle attack" durch Redirection/Duplication von sämtliche IP-Pakete auf ein Hackerserver
* Eingriffe im QoS Verhalten (Priorisierung eigene Diensten, Fehler bei der "Konkurrenz")
* Modifizierte VoIP-Codecs (Telefonieren nur noch mit einer MickyMouse Stimme möglich)
* VoIP/DSL/ISDN Call-By-Call Autodialer (und das 24h*7)
* SPAM/SPIT/DoS Client auf dem Router
* Gateway für illegale/verbotene P2P Angebote
* Der Router wird unbrauchbar nachdem er den Schaden angerichtet hat (z.B. Flash-Erase)

Ein gesundes Maß an Paranoia wurde daher bei Fremdimages nicht schaden.

Bei (mittelständische) Unternehmen wird es schon krimineller:Stichworte Wirtschaftsspionage, DoS, Imageschaden.
Für den Einsatz in sicherheitsrelevante IT/Behörden-Bereiche dürfen daher oft nur geprüfte/evaluierte Geräte+Firmwares verwendet werden.
Solche Prüfungen sind dan auch entsprechend aufwendig und teuer, aber leider notwendig.
(siehe z.B. Bundesamt für Sicherheit in der Informationstechnik (BSI) Zertifizierung)

Eine bestandene Prüfung ist aber auch ein Werbeargument. AVM hat z.B. die FireWall-Funktion der FritzBox prüfen lassen:
Die AVM FRITZ!Box gewährleistet einen zuverlässigen Schutz vor Angriffen aus dem Internet. Zu diesem Ergebnis kommt die TÜV Rheinland Group nach einer eingehenden Untersuchung.
http://www.avm.de/de/Presse/Informationen/2004/2004_10_08.php3
http://www.avm.de/FRITZdsl/tuv/index.html
Zum Teil sind auch die Routerhersteller gefragt. Ein nicht vom Hersteller autorisiertes FirmwareImage müsste erst durch entsprechende Warnhinweise etc. erst mal blockiert werden. Nur nach der Sicherheitsabfrage/Eingabe einer Freischalt-PIN (Lizenzkey) geht es weiter. Klar der Hersteller könnte so auch alle Eigenentwicklungen erst mal unterbinden (wegen Firmenpolicy, Rechtliche Absicherung, Lizenzmodel, usw.) Mit ein gesundes Mittelmaß sind aber beide Seiten gedient.

Ein Vorteil von OpenSource-Firmware ist Prüfung durch die allgemeine Öffentlichkeit. Nachteil: kaum einer hat den vollen Durchblick, d.h. es dauert lange bis "Fehler" auch auffällig werden. Anderseits gibt es auch schneller Patches für solche Bugs. Das die integerität der bereitgestellte Images/Quelltexte-Archive durch entsprechende md5/sha1 Hashes, bezw. Code-Signing abgesichert und geprüft werden müssen ist eigentlich selbstverständlich.
Auch könnte der Hersteller federführend auftreten und die OS-Entwicklung in eigenem Interesse begleiten/steuern.

Viele Grüße,
Guus Gerrits
 

haveaniceday

Aktives Mitglied
Mitglied seit
14 Okt 2004
Beiträge
1,305
Punkte für Reaktionen
0
Punkte
36
Hallo GGerrits,

Noch jemand mit Phanasie ! Mir macht am meisten die schwere Auffindung der Lücken gedanken.
Die Bandbreite mit einer DSL-DDOS Attacke könnte auch heftig groß sein.
Auf jeden Fall sollte man dieses Thema immer im Hinterkopf behalten.

Wie sieht es mit den Kernellücken von 2.4.17_mvl21-malta-mips_fp_le bis => 2.4.27 aus ?
Wurden bei dem Kernel _mvl21- diese Sicherheitlücken gepatched.

Ein kleiner Bufferoverflow, ein MIPS Programm zum Ausnutzen, Oops... *grausen...*
Na ja, warten wir mal ab.

Haveaniceday.
 

xlephant

Mitglied
Mitglied seit
25 Jun 2004
Beiträge
337
Punkte für Reaktionen
0
Punkte
0
ohh je,
das kann dir aber alles genauso passieren, wenn du ohne router am netz hängst. je nach os (mal mehr mal weniger) hast du da nämlich auch einige backdoors ;-). also wenn man sich dann ein bestimmtes os installiert, wo sich der hersteller "besonders" mühe gegeben hat (z.b. win xp), kann man natürlich vor attacken nicht gefeit sein *g*

also ich würde das ganze lockerer sehen, wenn du dich sicherer fühlen möchtest, musst du dir halt den quellcode (der irgendwann anscheinend auch veröffentlicht werden muss, da einige eingesetzte programmteile unter gpl stehen) mal ganz genau ansehen...viel spaß dabei...
 

Elmo

Mitglied
Mitglied seit
8 Sep 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Naja, die Gefahr, sich eine Backdoor mit einer fremden Firmware einzufangen ist nicht von der Hand zu weisen.

Daher installiere ich auch nur Firmwares von dem AVM-FTP-Server.
 

Jofo007

Neuer User
Mitglied seit
21 Okt 2004
Beiträge
66
Punkte für Reaktionen
0
Punkte
0
Der beste Router mit Firewall nützt Dir gar nix, wenn Du Dir die Trojaner/Backdoors auf Deinem System installierst.
Das das funzt, dürfte jedem klar sein, nicht aber das die Einbruchstelle
schon mit dem System ausgeliefert wird (siehe JPG-Bug unter Microsoft..)

Also meiner Meinung nach, kann man nicht paranoid genug an die Sache rangehen
(besser noch das Netzwerkkabel gar nicht erst benutzen ;-)),
oder das ganze mit einem Augenzwinkern sehen und denken:
"Ich hab nix was ich verbergen muß".

Wer es schafft den goldenen Mittelweg zu gehen, dem seien meine Glückwünsche gewiss!
 

Elmo

Mitglied
Mitglied seit
8 Sep 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Mal ehrlich, ich habe mir wegen diesem ganzen Mist (Viren, Trojaner, etc.) seiner Zeit Linux auf meinem hochheiliegem Windows-Rechner installiert. Hatte also auch was gutes: Ich bin geheilt. ;)

Spaß bei Seite, aber ich würde mein Homebanking nicht mehr von einem Windows-Rechner tätigen...

Letztendlich ist jedes System nur so sicher wie sein Anwender. Solange in Büros tausende jeden Mist öffnen und ausführen, der mit kryptischen Mails in die Mailboxen kommt, wird es Viren, Trojaner und Co. noch sehr sehr lange geben.
Und deshalb werde ich auch keiner Firmware trauen, die nicht vom Hersteller kommt oder ich selber ge-patcht habe.

Meine Haustür lasse ich auch nicht von einem Wildfremden (gegen ein Fliegengitter) auswechseln, um dann im Wohnzimmer freudestrahlend die Haustürschlüssel der nicht mehr vorhandenen Tür zu schwingen...
 

GGerrits

Neuer User
Mitglied seit
27 Jul 2004
Beiträge
47
Punkte für Reaktionen
0
Punkte
0
Vieles hängt doch an der Qualitätskontrolle und Vorgabe von klare Richtlinien bei der SW-Entwicklung. Die Entwicklung bei AVM ist bestimmt gut geregelt (ansonsten ist so ein doch komplexes FritzBox-Projekt nicht realisierbar). Weis aber aus Erfahrung das man irgendwan "Blind" für Fehler im eigenen Projektkode wird. Da helfen nur Reviews durch Nicht-Projektmitglieder oder sogar das Einbeziehen von externe Leute. Bei einer OpenSource Variante wird das Review gleich öffentlich durchgeführt (aber das gleich auch von die "Bösen Jungs").
Kann mir gut vorstellen das ein neues Release zuerst AVM-Intern und danach an ein ausgewählter Kreis von registrierte Testuser (etwa 100) verteilt wird, bevor es in die weite Welt entlassen wird. Danach gibt es nur noch die Zugangskontrolle zum öffentliche CVS-Archiv (d.h. wer darf überhaupt Patches/Erweiterungen einspielen).

Es wäre nach meiner Meinung jedenfalls schön, wenn unsere "Entwicklungen" von AVM irgendwie mitbetreut werden könnten. AVM wäre damit wieder die zentrale Anlaufstelle. Klar bedeutet alles wieder Aufwand (==Geld), würde aber einiges klarer und kontrollierbar machen (auch für AVM).

Viele Grüße,
Guus Gerrits
 

Outlaw

Aktives Mitglied
Mitglied seit
10 Okt 2004
Beiträge
826
Punkte für Reaktionen
3
Punkte
18
>>Spaß bei Seite, aber ich würde mein Homebanking nicht mehr von einem Windows-Rechner tätigen...

Tja, sowas kommt bei Halbwissen mit der Materie dabei raus

Soll ich jetzt nie wieder vor die Tür gehen, nur weil mich einer überfahren "könnte" ?? Das Risiko ist zumindest auch nicht zu verachten und soll Leuten schon passiert sein ....

;):D

Gruß Outi
 

Elmo

Mitglied
Mitglied seit
8 Sep 2004
Beiträge
313
Punkte für Reaktionen
0
Punkte
16
Nix Halbwissen.
Ich nutze ja auch HBCI weil es sicherer ist. Windows ist nun mal eine Sicherheitslücke, weil der Internetexplorer tief im System vergraben ist. Man bekommt Windows (ohne horende Zusatzausgaben und ohne die Nutzbarkeit extrem einzuschränken) nicht so dicht, wie ein Linux-System. Das ist Fakt.

Wenn ich die Möglichkeit habe, eine Brücke über eine achtspurige Autobahn zu benutzen oder die acht Spuren direkt zu überqueren, nehme ich garantiert die Brücke. Aber wenn Du meinst, Du weist es besser, darfst Du gerne dein Glück über die acht Spuren versuchen...
 

Integral2

Neuer User
Mitglied seit
14 Apr 2006
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Gebrauchte Fritzbox auf eBay -> Sicherheitsrisiko?

Hallo,
weiß eigentlich jemand, wie ich die Fritzbox selbst auf Sicherheitslücken durchchecken kann? Mein Problem ist das folgende: ich habe eine 5012 auf ebay geholt - eigentlich neu, aber die OVP war geöffnet, angeblich wurde auf der Fritzbox noch das neueste Update eingespielt (ist auch das aktuelle drauf) - wie kann ich mir aber sicher sein, dass diese FBox nicht irgendwie manipuliert wurde und eine sicherheitslücke beinhaltet? kann ich sowas im nachhinein Feststellen oder die Box irgendwie total resetten bzw. neu flashen?
Was meint ihr?
Gruß
integral2
 

doc456

IPPF-Urgestein
Mitglied seit
27 Apr 2006
Beiträge
15,683
Punkte für Reaktionen
4
Punkte
38
Hallo,

@Elmo:
Wohl Wahr!
Das Sicherheitsrisiko sitzt meistens vor dem PC oder vor dem PC in der Firma!
Die Admins müssen sich dann mit den Folgen auseinandersetzten und sind doch die Bösen, weil es passiert ist (ne, weil kein Geld zur Verfügung gestellt wurde)!
Da hilft nur eine Erweiterung der Arbeitsvertrages (wie bei mir)! :)
 

wichard

IPPF-Promi
Mitglied seit
16 Jun 2005
Beiträge
6,954
Punkte für Reaktionen
0
Punkte
36
Mach ein Recover der Fritz!Box mit dem entsprechenden, von AVM bereitgestellten Tool. Dies setzt die Box zuverlässig auf ihre Werkseinstellungen zurück.


Gruß,
Wichard

P.S.: Muss man denn dafür wirklich einen über zwei Jahre alten Thread ausbuddeln? :grab:
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
232,827
Beiträge
2,027,130
Mitglieder
350,900
Neuestes Mitglied
naidrog