[Problem] TR-069 in FRITZ!OS 7 und die Aufklärung der Kunden

[koyaanisqatsi]

Moins


Dann erstelle mal die "erweiterten" Supportdaten und such in der über 3MB grossen Textdatei nach tr069, dann wird dir schwindelig...

Eine 1&1 7590 mit 7.00 und "abgeschalteten" TR-069 meldet sich fleissig beim ACS.

 

[meierchen006]

Hallo,

hatte ich gerade gemacht bin noch am lesen, du hast rech t

 

[PeterPawn]

@koyaanisqatsi:
Ist zwar hier im Thread OT, aber sicherlich auch alles 1:1 auf die (kommende) 7490 übertragbar ...

Wenn Du eine Box mit 07.00 hast, die vom Provider konfiguriert wurde, müßte bei Dir ja auch schon sichtbar sein, ob die Checkbox "Automatische Einrichtung durch den Dienstanbieter zulassen" in der Seite "Anbieter-Dienste", die in meinen Screenshot irgendwo weiter vorne noch deaktiviert (also nicht änderbar, aber eingeschaltet) ist, sich auch weiterhin wenigstens zum Schein ändern läßt, nachdem 1&1 die Einstellungen in die Box gebracht hat oder ob man jetzt auch "offziell" und "für immer" mit dem eingeschalteten TR-069 bei 1&1 ("litemode" hin oder her, AVM hat ohnehin m.W. nie öffentlich gemacht, was hier eigentlich der Unterschied sein soll) leben muß, wenn man "1&1 Internet" als Provider konfiguriert hat (was ich persönlich die ehrlichere "Anzeige" fände).

Wobei ich die "Erläuterung" von AVM zu diesem Punkt im GUI auch schon wieder bzw. immer noch "putzig" finde ... da steht ja etwas von:

Diese Einstellung ermöglicht dem Dienstanbieter die sichere (verschlüsselte) Übertragung der Internetzugangsdaten und Anmeldedaten für Internettelefonie auf diese FRITZ!Box. Diese Funktion wird nicht von allen Internet- und Internettelefonieanbietern unterstützt.

Und jetzt darf der geneigte Kunde wieder mal raten, ob das "ermöglicht" im Satz die ganze Konstruktion (auch hinsichtlich des Attributs "verschlüsselt") in den Konjunktiv befördern soll oder ob dem "Textdichter" bei AVM tatsächlich niemand mitteilen wollte, daß selbstverständlich auch AVM schon in der Firmware Anbieter hinterlegt hat, bei denen das eben genau nicht verschlüsselt abläuft.

Wer will, kann sich einfach die "providers-049.tar" ansehen:

vidar:/tmp/providers # grep -r "http://"
ewetel_smart/tr069.cfg:                        url = "http://80.228.251.206/init/avm";
ewetel_lan1/tr069.cfg:                        url = "http://80.228.251.206/init/avm";
netcologne_netaachen_dsl1/tr069.cfg:                        url = "http://trixi.netcologne.de/initial";
ewetel_smart_vdsl/tr069.cfg:                        url = "http://80.228.251.206/init/avm";
netcologne_netaachen_dsl2/tr069.cfg:                        url = "http://trixi.netcologne.de/initial";
telefonica/tr069.cfg:                   url = "http://acs.be-converged.com:9675";
netcologne_netaachen_vdsl2/tr069.cfg:                        url = "http://trixi.netcologne.de/initial";
telefonica_fttx/tr069.cfg:                      url = "http://acs.be-converged.com:9675";
telefonica_fttb/tr069.cfg:                url = "http://acs.be-converged.com:9675";
vidar:/tmp/providers #

Für diese Anbieter ist das also schon mal "ohne Verschlüsselung" von AVM vorkonfiguriert und jeder weitere Anbieter, der über einen der anderen Wege seinen Kunden den eigenen ACS nahebringen möchte (von der "provideradditive.tar" im TFFS bis zur Konfigurationsdatei auf dem USB-Stick) kann das ebenso ohne Verschlüsselung konfigurieren, wie er es mit einer solchen benutzen könnte.

Zwar kann AVM nichts für die Entscheidungen des jeweiligen Providers ... aber wenn irgendetwas das Attribut "schwammig bis glatt gelogen" in meinen Augen verdient, dann sind das solche Sätze in der AVM-Firmware, deren Sinn sich mir auch nicht wirklich erschließt.

Soll hier vielleicht doch nur dem Kunden etwas vorgemacht werden, damit der sich über das Thema keine Gedanken macht? Selbst wenn das in der Vorkonfiguration vielleicht nur Provider mit eigenem Netz sind (wo das Sniffen von Daten dann auch "intern" erfolgen müßte), wurden und werden die Möglichkeiten zur unsicheren Konfiguration von TR-069 ja zweifellos von AVM in die Firmware eingebaut und können damit auch von jedem anderen Provider verwendet werden. Der Standard fordert diese Option keineswegs ... man DARF auch gerne (korrekter wäre: man SOLLTE) nur verschlüsseltes TR-069 implementieren.

Wenn man wirklich (als Mindeststandard) daran interessiert wäre, daß die Kommunikation zwischen ACS und CPE wenigstens verschlüsselt ablaufen muß, dann entfernt man eben die Option, das auch ohne TLS zu nutzen und hat wieder (s)einen Beitrag geleistet, daß es tatsächlich sicherer wird.

Der Provider kann sich dann aussuchen, ob er lieber auf TR-069 komplett verzichtet oder ob er doch mal das Gesäß anhebt und bei sich die Voraussetzungen für TR-069 mit TLS schafft. Das hier wieder nur zu "empfehlen" und trotzdem die anderen Wege weiterhin offenzuhalten, macht AVM nach meiner Meinung zum "Mittäter", wenn mal wieder ein Provider TR-069 ohne TLS verwendet.

 

[deoroller]

TCP-Port 8089 ist auf der FRITZ!Box geöffnet, wenn der Internetanbieter TR-069 unterstützt und eine oder beide der folgenden Aktionen erlaubt sind:

• die automatische Einrichtung durch den Internetanbieter
• das automatische Durchführen von Updates

FRITZ!Boxen, die von Internetanbieteren zur Verfügung gestellt werden, sind so eingestellt, damit der Anbieter die Erstkonfiguration vornehmen und Updates von FRITZ!OS einspielen und Ferndiagnosen durchführen kann.

https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/016/hilfe_port_tr069

Das selbe steht auch bei der 7390.

Der Port wird bei mir als gefiltert angezeigt.
https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

 

[meierchen006]

Hallo,

bei mir keine Probleme:

 

[koyaanisqatsi]

Da ist aber die Seite "Diagnose/Sicherheit" in der Fritz!Box aussagekräftiger

...denn: Es muss eben nicht unbedingt der Port 8089 sein

 

[Hans Juergen]

Ich habe alles ausgeschaltet und da ist auch kein offener Port... Hast du irgendetwas angelassen?

​

 

[koyaanisqatsi]

Nein, für den Screenshot musste ich es nur mal kurz aktivieren.
Nach der Deaktivierung ( kein Neustart notwendig ), siehts so aus wie bei dir.
( Mit zusätzlichen UDP Ports für VPN )

 

[PeterPawn]

Ich fasse es irgendwie echt nicht mehr ... nachdem ich schon aufatmen und "Entwarnung" geben wollte hinsichtlich der "Sonderrechte" zum Update, die sich AVM bis vor kurzem noch in der Datenschutzerklärung und dem Text im GUI unter "AVM-Dienste" einräumen wollte (siehe hier), habe ich beim intensiveren "Studium" der AVM-Texte (auch der Texte in der Online-Hilfe) die betreffende Stelle dann doch auch in der 153.07.00 erneut gefunden, selbst wenn AVM sie hier noch einmal deutlich besser versteckt hat, als das früher der Fall war: https://www.ip-phone-forum.de/threads/alles-neu-macht-der-mai-avm-telemetrie-und-die-dsgvo-wem-gehört-meine-fritz-box-wirklich.299295/

Anders als ein "Verstecken" kann man das schon kaum noch bezeichnen, denn wieviele Kunden werden überhaupt jemals auf dieser Seite in der Online-Hilfe landen und sie dann auch noch so genau lesen, daß sie den Pferdefuß tatsächlich entdecken?

Denn ruft man in der Seite "AVM-Dienste" diese Online-Hilfe auf (oder arbeitet sich sequentiell durch die Online-Hilfe - aber normalerweise ist diese Online-Hilfe ja "kontextsensitiv"), findet sich da auch wieder das folgende Bild (hier einfach einmal als Screenshot, falls es weitere "stille Änderungen" seitens AVM geben sollte, wie es bei der Datenschutzerklärung schon mehrfach geschehen ist - was (nur nebenbei) auch ein paar Links in dem oben verlinkten Beitrag auf der neuen Version des AVM-Textes landen läßt, aber ich habe hier auch die älteren Versionen noch als Mirror vorliegen für entsprechende Vergleiche und Auswertungen):

Wer also als AVM-Kunde die Funktion "Diagnose und Wartung" aktiviert hat, der muß gleichzeitig auch eine Kröte schlucken ... welche AVM so wunderschön "tarnen" möchte, daß sie weder in der Datenschutzerklärung erwähnt wird (wie es in der vorhergehenden Version noch der Fall war) und auch im "normalen Text" im GUI, findet sich keine Spur mehr (früher stand da wenigstens noch der Satz:

Ihre FRITZ!Box ist für AVM erreichbar, um ausgewählte Diagnosedaten oder eine Diagnosezusammenfassung abzurufen oder ein Softwareupdate durchzuführen.

, aber der hat es nicht mehr in die 07.00 geschafft), die ein "durchschnittlicher Kunde" als Information zu diesem Punkt ansehen könnte:

AVM kann im Bedarfsfall ein Software-Update unabhängig von den sonstigen Update-Einstellungen Ihrer FRITZ!Box vornehmen, etwa um den störungsfreien Betrieb zu sichern.

Hervorhebung natürlich meinerseits hinzugefügt, denn wie schon ein paar Male zuvor, möchte ich auch hier noch einmal betont wissen, daß dieses Recht zum Update auf die ansonsten vom Besitzer vorgenommenen Einstellungen zum Firmware-Update keinerlei Rücksicht nehmen soll - vielleicht kann mir ja irgendjemand erklären, warum AVM das zwingend so machen muß?

Daß die Möglichkeit dieses Updates über TR-069 durch AVM nicht bereits zusammen mit dem Text aus der Datenschutzerklärung auch wirklich verschwunden war, war bereits (zumindest mit hoher Wahrscheinlichkeit) klar, denn es gab zunächst mal keine solchen Änderungen in der "libtr069.so" - damit war auch die Vermutung, daß es weiterhin implementiert wäre, legitim und daraus resultierte meine Skepsis in einem früheren Beitrag, ob AVM nun nur die Information des Kunden oder auch die eigenen Absichten für solche Updates beerdigt hat.

---------------------------------------------------------------------------------------

Damit kann man eigentlich jedem Kunden, der sich nicht vollkommen an AVM ausliefern will, nur davon abraten, "Diagnose und Wartung" aktiviert zu lassen. Wer kann schon genau wissen, was in der Zukunft in den Augen von AVM unter einem "störungsfreien Betrieb" zu verstehen ist und außerdem handelt es sich dabei ja - dank des Zusatzes "etwa" - auch nur um ein einzelnes Beispiel aus einem bunten Strauß an möglichen Fällen, auf dessen Präzisierung AVM dankenswerterweise verzichtet hat.

Auch gibt es - offensichtlich - keinerlei Festlegungen oder "Selbstverpflichtungen", was AVM parallel zu einem solchen Update ansonsten noch machen würde, damit der Besitzer der Box über das erfolgte Update und die Ursachen, die ein solches Vorgehen erforderlich machten, wenigstens im Nachhinein informiert wird.

Spätestens die Benutzer einer modifizierten Firmware sollten sich dann die "Genehmigung" für die doch so harmlos und nett klingende Funktion "Diagnose und Wartung" schon sehr (x3) gründlich überlegen: „Traut nicht dem Pferde, Trojaner! Was immer es ist, ich fürchte die Danaer, auch wenn sie Geschenke tragen.“ - es hat schon seine Gründe, warum bestimmte Software- und Geräte-Kategorien nach dieser Überlieferung benannt sind.

Oder diese allzu vertrauensseligen Kunden finden sich vielleicht eines schönen Tages erneut in der Situation wieder, die hier schon einige ereilt hat, nachdem AVM die "Auto-Update"-Implementierung entweder nicht richtig im Griff hatte (weil Updates auch entgegen getroffener Einstellungen automatisch installiert wurden - da gibt es ja mehr als einen Bericht und die kann man nicht "pauschal" als Hirngespinst abtun) oder versehentlich bzw. absichtlich an der "Dringlichkeit" von Updates gedreht wurde, die schon längere Zeit verfügbar waren, ohne zuvor bereits oder auch danach weiterhin als "sicherheitskritisch" eingestuft zu sein.

In Kombination mit der neuen Angewohnheit von AVM, immer nur noch die letzte Firmware-Version zum Download anzubieten (auch wenn man Gründe dafür sogar teilweise nachvollziehen kann), ergibt das jedenfalls auch ganz schnell eine "Falle" für den Kunden - der vielleicht sogar absichtlich auf einer älteren Version verweilt, weil ihm AVM (a) sicherheitskritische Änderungen in der neuen Version gar nicht ehrlich offenlegt und er damit gar nicht wissen kann, daß/ob es tatsächlich konkrete Angriffsmöglichkeiten in der älteren Firmware gibt und er (b) irgendeine Funktion nutzen will, die AVM mal wieder beim Update auf die Schnelle zerschossen hat und wo er für die Behebung des Problems ein weiteres Jahr warten müßte.

Mein Fazit: Hallo AVM ... ihr habt irgendwie echt den Schuß nicht gehört. Dieses "Ansinnen" ist - selbst für den normalen Kunden - eine solche Zumutung hinsichtlich seiner Sicherheit vor der Schnüffelsucht, die inzwischen bei AVM ausgebrochen ist, daß man schon mit dem Klammerbeutel gepudert sein müßte, um diesem Quatsch auch noch seine Zustimmung zu erteilen.

Angesichts dieser ganzen Ungereimtheiten und jeglichen Fehlens eines offenen(!) Umgangs mit diesem Punkt, halte ich inzwischen nicht einmal mehr das "unabsichtliche Reaktivieren" dieser Funktionen durch den Einrichtungsassistenten, nachdem der Kunde bereits sehr deutlich die Verwendung der Funktion abgelehnt hatte (siehe meine Beschreibung hier), für eine echte Fehlfunktion.

Man sollte immerhin annehmen können, daß entweder bei AVM oder bei 1&1 jemand diese neue Version auch ein paar Mal auf einer "frischen Box" und mit verschiedenen Abläufen getestet hat, bevor es ans Veröffentlichen ging ... und da müßte man schon sehr blind (oder auch einigermaßen unfähig als Tester) sein, damit einem dieses Problem nicht ins Auge springt bei der Kontrolle des Ergebnisses.

Andererseits kann man auf diesem Weg das natürlich auch ganz gut als "Unfall" verkaufen, wenn die Firmware die Vorgaben des Kunden einfach ignoriert (und die meisten neuen Kunden von 1&1 würden das sicherlich nicht einmal bemerken, daß da "avm_acs" klammheimlich wieder aktiviert wurde) - angesichts dessen, was man seit einiger Zeit an neuen Entwicklungen bei AVM sehen kann (das geht ja immer mehr in Richtung "Datenkrake", denn offensichtlich versucht man bei AVM jetzt den falschen "Vorbildern" nachzueifern), halte ich es tatsächlich nicht mehr für absurd, daß man auch solche Überlegungen (auch bei AVM) anstellt und dann die entsprechenden Funktionen implementiert, um sie hinterher als Versehen zu verkaufen (wer wüßte nicht, daß Software nie fehlerfrei ist).

Das klingt vielleicht nach "Aluhut" ... aber entweder man ist bei AVM inzwischen in einem Maße "schlampig" beim Testen, daß die Kunden schon deshalb besser Zurückhaltung ggü. neuen Versionen üben sollten oder es gibt noch irgendeine andere, mir leider verborgene Erklärung für solche "Merkwürdigkeiten", die einen "Vorsatz" unwahrscheinlich erscheinen läßt.

 

[Fireball3]

Wunderbar, doch Zeter und Mordio, was ist zu tun?

Sollen wir alle AVM ein Brieflein schreiben oder gleich zur BILD? (kennt ihr die Kinowerbung - geil!)

Und dann warten bis der nächste Datenskandal kommt, der dann vielleicht wirklich was bewirkt?

Was kann man in der Zwischenzeit seiner Box Gutes tun um sich Big-AVM da zu entziehen?

Eines ist auf jeden Fall klar: Daten sind das neue Gold
Freiwillig weniger sammeln wird wohl kaum jemand. Auch wenn AVM hier vorerst vielleicht nur den "Fuß in der Tür" hält.

 

[PeterPawn]

(1) kann man machen ...

(2) sollte man nur machen, wenn man sich aller Konsequenzen bewußt ist und es hängt auch davon ab, was man unter "tr069 auch grundsätzlich rauswerfen" tatsächlich versteht.

Ist es die Verwendung des "remove patches" aus Freetz, sollte man sich bewußt sein, daß damit (weil "tr069fwupdate" entfernt wird, sofern man nicht aufpaßt: https://github.com/Freetz/freetz/blob/master/patches/scripts/260-remove_tr069.sh#L29) auch alle anderen Updates (auch für jedes andere AVM-Gerät an dieser Box) nicht mehr funktionieren - selbst wenn die Keys dafür noch existieren. Ja, man kann dann eigentlich auch gleich alle Keys rauswerfen, weil es kein Programm mehr gibt (sofern "tr069fwupdate" entfernt ist), was diese Dateien noch verwenden würde.

Wenn man "tr069fwupdate" entfernen läßt, funktioniert also auch kein Firmware-Update über das AVM-GUI mehr (das Online-Update will man mit eigener Firmware vermutlich ohnehin nicht) ... das gilt ebenso für ein Update mit einer selbst-signierten Firmware.

Das will also gut überlegt sein und ich würde vom Entfernen von TR-069 durchaus abraten ... zumindest dann, wenn man sich nicht zuvor über die Zusammenhänge informiert und sich genau darüber im Klaren ist, was man von der Firmware erwartet.

Wer kein Freetz-GUI auf der Box hat und irgendwie die TR-069-Dateien auch noch entfernt (meinetwegen über "modfs", notfalls von Hand in der Pause vor dem Einpacken), der muß sich auch darüber klar sein, daß er die Box nur noch über den Bootloader aktualisieren kann (oder über die Shell "von Hand").

 

[Fireball3]

1) den AVM Signatur key1 aus dem Image zu werfen

Der Gedanke kam mir auch schon, aber ist es nicht möglich über tr069 die Signatur wieder nachzuladen?
Ohne (2) wäre das dann nicht besonders wirkungsvoll.

(meinetwegen über "modfs", notfalls von Hand in der Pause vor dem Einpacken), der muß sich auch darüber klar sein, daß er die Box nur noch über den Bootloader aktualisieren kann (oder über die Shell "von Hand")

Wenn modfs verfügbar ist, dann ist üblicherweise auch der Shell-Zugang eingerichtet. Das Update über die Shell ist dann kein Problem.
Wenn man das Spielchen mit dem Bootloader einmal gemacht hat, ist selbst das nicht mehr so tragisch.

 

[PeterPawn]

Solange Du weißt, wie Du die Firmware für HKR auch "von Hand" entpacken und installieren kannst, ist das alles kein Problem ... oder solange Du keine entsprechende Hardware hast. Das Update für DECT und PLC ist nicht einfach, denn das dort enthaltene "install"-Skript installiert gar nichts wirklich, es stellt nur die enthaltene Firmware-Datei unter einem passenden Namen bereit, nachdem es von anderen Komponenten (für DECT-Updates dann vom "dect_manager") für genau diesen Zweck aufgerufen wurde. Man kann also auch hier durchaus von Hand eingreifen (so man Shell-Zugriff hat, wobei ich die Ansicht "modfs == Shell-Zugang" definitiv nicht teile und meinerseits sogar von ungenutzten Shell-Zugängen deutlich abrate), wenn man denn weiß, wie es funktioniert.

Warum sollte man über TR-069 eine Signatur-Datei "nachladen" können?`

Ich bleibe dabei ... man sollte die Zusammenhänge in der Firmware schon einigermaßen durchschauen, BEVOR man sich an das Entfernen von Komponenten macht, die von anderen Teilen dann (auch wenn es auf den ersten Blick nicht offensichtlich sein mag) noch benötigt werden. Da AVM hier auch ändert (wer wollte es ihnen verübeln, zumal das alles "undokumentiert" ist und es dafür gar keine APIs gibt), lassen sich alte Erkenntnisse auch nicht - zumindest nicht ohne erneute Tests - auf neue Firmware-Versionen übertragen.

Der Kardinalfehler wäre es jedenfalls (solange man irgendwie mit signierten Dateien umgehen muß, sei es für das Update von anderen Komponenten oder auch für die Box selbst - bis hin zu dem Plugins bei der 7390), wenn man "tr069fwupdate" aus der Firmware entfernen läßt. Kann man machen ... dann muß/darf/soll man sich aber auch nicht wundern, wenn andere Funktionen nicht mehr wie erwartet reagieren.

Sorgt lieber dafür, daß die TR-069-Einstellungen tatsächlich dafür sorgen, daß TR-069 nicht verwendet werden kann ... wenn das bei 1&1-Branding (bzw. 1&1 als Provider) wirklich nicht mehr abschaltbar sein sollte (auch nicht durch Auswahl von "Anderer Anbieter" bei den Zugangsdaten), DANN sollte man auf den Einsatz von AVM-Routern an 1&1-Anschlüssen einfach verzichten.

1&1 "verkauft" die Geräte an die Kunden ... hier kann also von "Leihe" oder "Miete" nicht die Rede sein (und damit auch nicht von einem Eigentum von 1&1) und eine Zugriffsmöglichkeit für den Provider (was wohl auch für Retail-Geräte zutreffen würde, wenn AVM das tatsächlich so eingebaut hat) oder auch nur die "unerwünschte Datenübermittlung" (denn mindestens ein INFORM-Request muß ja auch im "litemode" stattfinden, das ist einfach in den Anlagen des Protokolls schon enthalten, weil es ansonsten gar keine Kommunikation geben kann) ohne Zustimmung des Kunden ist nicht nur ein "no-go" für security-bewußte Besitzer, sondern wohl auch ein Gesetzesverstoß (zumindest in meinen Augen, denn Art. 12/13 DSGVO sind da eindeutig und einschlägig).

Ich kann es - mangels 1&1-Anschluß - nicht mehr selbst testen, ob die Berichte (die man ab und an hier lesen kann) tatsächlich zutreffend sind und es überhaupt keine Möglichkeit mehr gibt, TR-069 bei 1&1 in Gänze zu deaktivieren (ich kann's mir nur kaum vorstellen, aus den oben genannten Gründen). Ich habe aber (wenn es einem erst einmal gelungen ist, auch "avm_acs" wirksam zu deaktivieren, was ja nicht so ganz einfach ist bzw. bei der 7580 mit 07.00 und 1&1-Branding nicht so einfach war, wie ich irgendwo mal festgehalten habe in einem Thread oder Beitrag) bisher keinen Beweis gefunden, daß die Firmware versteckten Kontakt mit AVM aufnehmen würde, sofern die Einstellungen alle so sind, daß solche Verbindungen verboten werden. DAS wäre die einzige Stelle, wo ich offensichtliche Bauchschmerzen hätte, weil hier die Daten zum ACS tatsächlich fest verdrahtet sind im Code und nicht über die "tr069.cfg" konfiguriert werden, wie beim ACS für den Provider.

Die Artefakte im Code, die auf eine "Sonderbehandlung" einiger ACS schließen lassen könnten (man muß das halt so spekulativ formulieren, wie es die Interpretation, rein basierend auf dem Vorhandensein entsprechender Zeichenketten, auch nur gestattet), sind eben noch kein Beweis dafür, daß AVM hier irgendwelche Sonderbehandlungen ausführen würde ... auch wenn die pure Existenz solcher Namen im Code schon etwas "fragwürdig" (im Wortsinne, also zu hinter"fragen") ist. Es verbaut ja nur die Wege (für beide Seiten, den Hersteller und den Provider) zu mehr Flexibililtät, wenn solche Namen irgendwo "fest vorgegeben" werden und es muß schon gewichtige Gründe geben (bzw. es SOLLTE diese zumindest geben, wenn AVM nicht einfach nur "aus Spaß" mal ein paar Servernamen in den Code packt), wenn man sich trotzdem dafür entscheidet.

Daß der "litemode" beim TR-069 Beschiß von AVM am Kunden war, dabei bleibe ich ... wenn ich etwas abschalte, dann erwarte ich auch, daß es abgeschaltet ist und nicht "heimlich" im Hintergrund weiterwerkelt. Hier hat AVM der eigenen Glaubwürdigkeit in meinen Augen einen echten Bärendienst erwiesen und das ist auch der Hauptgrund, warum ich da immer ganz genau hinschaue und den Beteuerungen des Herstellers nicht mehr einfach blinden Glauben schenke.

Ansonsten bin ich aber gar nicht generell gegen TR-069 - auch das habe ich oft genug betont. Das ist kein wirklich schlechtes Protokoll und es bietet in jedem Falle auch die Möglichkeiten, solche Schnittstellen sicher zu implementieren ... man muß es nur wolen (und dann auch machen) und aus dem "MAY" (zumindest für sich selbst) bei sicherheitsrelevanten Optionen einfach ein "SHOULD" machen. Gefährlich wird das Ganze (jenseits von Verschwörungstheorien) erst dann, wenn der Hersteller hier mauert und sich - parallel zur Implementierung unsicherer Funktionen, denn (als Beispiel) ein Download ALLER Einstellungen für den Provider wäre überhaupt nicht erforderlich, wenn man das sauber von den Benutzereinstellungen trennen würde - einfach weigert, der Öffentlichkeit (also auch den Kunden und nicht nur den Providern) die entsprechenden API (bzw. hier die tatsächlich implementierten Funktionen im Framework, das von TR-069 angeboten wird) auch offenzulegen.

Insofern kann ich es sogar verstehen, wenn AVM die Telemetrie über TR-069 aufgezogen hat ... das Protokoll bietet sich dafür an. Nur die Tatsache, daß AVM bei den Beschreibungen dann am Ende auch wieder nur "halboffen" ist, stößt mir halt sauer auf - erinnert mich fatal an Haltungen in der Richtung: "Die Wahrheit könnte die Kunden verunsichern.".

Ich erwarte nicht, daß man die Funktionen direkt auf der Webseite bis ins Detail erklärt und die "durchschnittlichen Benutzer" damit verwirrt, aber ich erwarte die Offenlegung der Details auf Anfrage und für diejenigen, die es genauer wissen wollen - wobei mir gerade auffällt, daß ich das tatsächlich für die neuen Funktionen im Zusammenhang mit dem AVM-ACS noch gar nicht explizit versucht habe und mich nur auf vergangene Erfahrungen beziehe, wo mir auf entsprechende Anfrage dann beschieden wurde, daß von der "Freigabe" einer ausführlichen TR-069-Dokumentation auch "Betriebsgeheimnisse" bei Providern betroffen wären und man deshalb keinen Einblick gewähren würde. Vielleicht sollte ich tatsächlich noch einmal eine entsprechende Mail an den AVM-Support senden ... eventuell gibt es zu Weihnachten ja doch noch Wunder (oder irgendwann im neuen Jahr).

Wobei ich auch noch mal explizit feststellen will, daß so eine "Veröffentlichung" tatsächlich nur dann wirklich gegeben ist, wenn man da nicht gleich wieder mit einem NDA gegensteuern will ... anders als bei der anlaßlosen Überwachung gilt hier nämlich tatsächlich mal: Wer nichts zu verbergen hat bei der Implementierung seiner Schnittstellen, muß sich auch beim Veröffentlichen der Informationen nicht zurückhalten.

 

[Fireball3]

Solange Du weißt, wie Du die Firmware für HKR auch "von Hand" entpacken und installieren kannst, ist das alles kein Problem ...

Das lernen wir hier, Stück für Stück, von Dir!

Warum sollte man über TR-069 eine Signatur-Datei "nachladen" können?`

Danke. Wußte ich nicht besser.

(1) kann man machen ...

Ist damit schonmal ein gangbarer Weg. Man muss sich dann für ein Update "nur" die nächste Firmware mit der eigenen Signatur ausstatten und die restlichen entfernen.

Sorgt lieber dafür, daß die TR-069-Einstellungen tatsächlich dafür sorgen, daß TR-069 nicht verwendet werden kann ...

Ich schätze, selbst wenn alle Mitglieder des ippf ihre Fritz!Box, so denn sie eine besitzen, vom Netz nehmen, juckt das AVM recht wenig.
Und dann kommt hinzu, dass die wenigsten die Skills haben und gleichzeitig dafür Zeit aufwenden können/wollen um nachzuforschen, was die Anderen da draußen so auf den Markt werfen. Dann vielleicht doch lieber wissen wo das Loch im Zaun ist und selbst ein Brett davor nageln.

Daß der "litemode" beim TR-069 Beschiß von AVM am Kunden war, dabei bleibe ich ...

"Wer einmal lügt..." deshalb
"Vertrauen ist gut, Kontrolle ist besser!"

An dieser Stelle mein Dank an Dich, für Deine Mühe und Zeit, die Du in die Analyse der Software steckst und für die Aufklärung!
Das ist eine dieser unangenehmen Situationen, wo ich mir die Frage stelle, was wäre passiert, wenn da niemand so genau hingesehen hätte?

"Die Wahrheit könnte die Kunden verunsichern."

Schätze der Plan ist diesmal nicht aufgegangen sondern, dank Deiner, zum "Schuß ins Knie" geworden. Aber wie schon gesagt, das ippf ist nur eine "Filterblase" und ob da xyz Leute mit den Mistgabeln winken, juckt AVM vermutlich wenig.

 

[PeterPawn]

Jaa, wenn man nicht weiss was man macht: Finger weglassen und jemand fragen der sich auskennt

Genau diese Feststellung fehlt(e) aber in #31 ... und da es eben nicht zur Nachahmung zu empfehlen ist, das TR-069 einfach durch den (kompletten) Remove-Patch im Freetz zu entfernen, ist es einigermaßen leichtsinnig, das einfach so zu schreiben, ohne es genauer zu erklären. Zumindest dann, wenn die Gefahr besteht, daß irgendjemand auf Dich hören könnte ... wie groß diese nun wieder ist, mußt Du selbst einschätzen.

Denn im Freetz steht eben bei der entsprechenden Einstellung zum Entfernen von "tr069fwupdate" immer noch:

Removes the file /usr/bin/tr069fwupdate, needed for │
updating the firmware in MT-D devices.

und dem wird der durchschnittliche Freetz-Benutzer jetzt sicherlich nicht entnehmen, daß das auch für ihn und alle anderen DECT-Updates (und wohl auch PLC-Firmware, soweit ich das sehen konnte) zutrifft und er diesen Punkt tunlichst nicht aktivieren sollte.

Auch das "httpsdl", was man bei Auswahl der Option zum Entfernen von "tr069fwupdate" dann noch zusätzlich entfernen lassen kann, könnte problemlos noch an anderen Stellen in der Firmware verwendet werden - z.B. beim Laden von Bildern für das Telefonbuch aus einem Online-Adressbuch - und hat mit TR-069 nur insofern etwas zu tun, als es dort zum Download von HTTPS-Quellen verwendet wird.

Man muß auch mal beim Schreiben schon überlegen, welche Konsequenzen das für andere haben könnte, was man da schreibt bzw. wie andere das Gelesene (miß-)verstehen könnten, wenn es zu lapidar daherkommt.

 

[Tom01]

Hallo,

für den Fall das das bei dem Thema von Interesse sein sollte: In der Firmware FRITZ.Box_7590.154.07.10 taucht unter:
"2019-04-17, Fritzbox 7590\Branding, Firmwareupdate\FRITZ.Box_7590.154.07.10\var\tmp\filesystem\filesystem~\providers"

in diversen Verzeichnissnamen, Dateinamen und Dateiinhalten TR069 drin auf und das nicht nur bei 1&1, sondern auch bei Vodafone, der Telekom und vlt auch noch mehr Providern.

Als Beispiel mal folgende Textstelle aus der Datei providermap.txt :
Einrichtung mit Modem-Installations-Code (Empfohlen)
{
ID=vodafone_bytr069_adsl;BOX=7490;MEDIUM=ADSL;
ID=vodafone_bytr069_adsl;BOX=3490;MEDIUM=ADSL;
ID=vodafone_bytr069_adsl;BOX=7430;MEDIUM=ADSL;
ID=vodafone_bytr069_adsl;BOX=7590;MEDIUM=ADSL;
ID=vodafone_bytr069_adsl;BOX=7530;MEDIUM=ADSL;
ID=vodafone_bytr069_vdsl;BOX=7490;MEDIUM=VDSL;
ID=vodafone_bytr069_vdsl;BOX=3490;MEDIUM=VDSL;
ID=vodafone_bytr069_vdsl;BOX=7430;MEDIUM=VDSL;
ID=vodafone_bytr069_vdsl;BOX=7590;MEDIUM=VDSL;
ID=vodafone_bytr069_vdsl;BOX=7530;MEDIUM=VDSL;
}
NAME=Vodafone$Vodafone DSL-Anschluss: Einrichtung mit Eingabe der Zugangsdaten
{
ID=vodafone2_adsl;MEDIUM=ADSL;
ID=vodafone2_vdsl;MEDIUM=VDSL;
}
NAME=Vodafone$Vodafone Glasfaser-Anschluss: Einrichtung mit Modem-Installations-Code (Empfohlen)
{
ID=vodafone_bytr069_ftth;BOX=7590;
ID=vodafone_bytr069_ftth;BOX=7530;
ID=vodafone_bytr069_ftth;BOX=7490;
}

NAME=Vodafone$Vodafone Glasfaser-Anschluss: Einrichtung mit Eingabe der Zugangsdaten
{
ID=vodafone2_ftth;MEDIUM=ATA;
}

Bin über obiges gestolpert, als ich nach etwas anderem gesucht habe.

Bei der Gelegenheit meine Frage:
Ist es aus der Sicht der TR069 Hintertürvermeidung oder Abschaltbarkeit besser eine 1&1 gebrandete oder eine ungebrandete weiße 7590 zu haben ?

Gruß

 

[PeterPawn]

Ist es aus der Sicht der TR069 Hintertürvermeidung oder Abschaltbarkeit besser eine 1&1 gebrandete oder eine ungebrandete weiße 7590 zu haben ?

Hier müßte man tatsächlich für die Retail-Version plädieren, denn bei der 7590 läßt sich das Branding nicht ohne weiteres ändern und wenn AVM in der Firmware weitere Abfragen des Brandings implementiert und am Ende bei Boxen mit 1und1-Branding auch bei Auswahl von "Anderer Anbieter" (und 1&1 als tatsächlichem Provider) weitere "Sonderbehandlungen" ausführt (und diese gibt es zweifellos, der Präfix beim Login-Namen für PPP wäre ein bekanntes Beispiel für solche Extrawürste), dann könnte man dem tatsächlich nur noch dadurch entgegenwirken, daß man sich eine eigene Firmware baut oder - sehr viel gefährlicher - den Bootloader ändert, damit das Branding am Ende doch "avm" lautet.

Letzteres (also das Anpassen des Bootloaders) wurde m.W. noch von niemandem (außerhalb von AVM) bei den GRX-Boxen erfolgreich ausgeführt oder zumindest nicht mit einem Bericht hier im IPPF (oder ein paar anderen einschlägigen Boards) verbunden - denn bei diesen Modellen liegt der Loader auch im NAND-Flash und ist deshalb besonders gesichert bzw. "in Kopie" (also doppelt) vorhanden.

 

[Tom01]

Hier müßte man tatsächlich für die Retail-Version plädieren,

Ist mit dem Begriff "Retail" die weiß / rote, im Einzelhandel verkaufte, non OEM Version gemeint ? Mir ist der Begriff leider nicht so geläufig. Mein Maschinenübersetzer, klärte mir die Frage auch nicht ganz unzweifelhaft.

Bei der Gelegenheit, man kann möglicher Weise das TR069 ein klein wenig zusätzlich an einer Kommunikation mit der Außenwelt hindern, wenn man die verwendeten Ports sperrt. Das TR069 verwendet möglicher Weise das Port TCP 7547.
Quelle: https://de.wikipedia.org/wiki/Diskussion:TR-069#Verwendete_Ports

 

[PeterPawn]

Ja, gemeinhin wird die Version für den Einzelhandel (bzw. den "Endverbraucher") als Retail-Version bezeichnet.

Die Boxen mit "Branding" sind zwar bei AVM auch oft mit einem bunten Karton (zumindest bei 1&1, bei den Kabel-Boxen sieht das bei VF schon mal anders aus, da sind die Kartons nicht bunt) versehen und enthalten natürlich auch das komplette Zubehör, um die sofort in Betrieb nehmen zu können (was häufig als Unterscheidungsmerkmal, z.B. bei CPUs oder HDD oder ähnlichem Computerzubehör angeführt wird), aber sie werden von AVM eben nicht direkt an die Endverbraucher verkauft (auch nicht über weitere Zwischenhändler), sondern an die Provider - jedenfalls wenn es sich um die providerspezifischen Versionen handelt, bis hin zu denen, wo schon vom Hersteller eine "provider_additive"-Konfiguration für TR-069 hinterlegt wird.

 

[edgecrusher]

Bei der Gelegenheit, man kann möglicher Weise das TR069 ein klein wenig zusätzlich an einer Kommunikation mit der Außenwelt hindern, wenn man die verwendeten Ports sperrt. Das TR069 verwendet möglicher Weise das Port TCP 7547

Wieso? Die FRITZ!Box nutzt Port 8089. Warum ist TR-069 eigentlich für Dich eine Hintertür? Was denkst Du kann ein Provider damit machen?

Gruß,
Edge