FRITZ!Box Fon WLAN 7170 Version 29.04.57 online

Checkitout: Warum hast du eigentlich kein Kennwort gesetzt?
Weil bei mir im LAN/WLAN keiner außer ICH rankommt/arbeitet...
 
Hi,

ahja... :spocht:
 
...im LAN/WLAN keiner außer ICH rankommt/arbeitet...
Und was ist mit dem Zugriff über Internet!? Eine feste Adresse (DynDNS) hast du ja immerhin schon konfiguriert. Du hast ja ein wirklich "großes" Vertrauen... :rolleyes:
 
die dyndns kennt 1. niemand
und zugriff gibts ja nur per https
 
Es muss ja nichtmal dein DynDNS-Name sein, da reicht schon deine externe IP.
Und die bekommt ja jeder mit, dessen Webseite du ansurfst oder den du per VoIP antelefonierst.

HTTPS bringt da auch keinen zusätzlichen Schutz, es sorgt nur dafür, dass Daten (und Passwörter :D) verschlüsselt übertragen werden.
 
wiso sollte es eigentlich gefährlich sein, seine Fritzbox-Oberfläche ohne passwort zu betreiben? da kommt von aussen eh niemand dran, solange man nicht über "fremdsoftware" diese oberfläche von aussen zugänglich macht.

dass natürlich ohne passwort keine schnellwahl per anrufliste geht ist, zumindest für mich, der wichtigere grund für das passwort.

mfg
Hans
 
...da kommt von aussen eh niemand dran, solange man nicht über "fremdsoftware" diese oberfläche von aussen zugänglich macht...
Ich gebe zu, dass dies wieder ein richtiges Thema zum Diskutieren ist, doch das will ich nicht... :). Aber zu deiner Aussage und zu der Ansicht von Checkitout möchte ich nur folgendes hinzufügen:

Sicheres Surfen mit FRITZ!Box

Möglich ist alles - auch wenn das Risiko eines Angriffes relativ gering ist - Checkitout fördert diese und andere Vorgehensweisen erst recht durch seine fahrlässige Einstellung. Und damit meinerseits wieder zurück zum eigentlichen Thema... ;)
 
bommel das mit dem CrossSiteScripting ist eine lücke vor der ein passwort in der oberfläche schütz, aber auch nur wenn es kein "einfaches standard passwort" ist, das ist richtig.

allerdings hat das wiederum nichts mit dem dyndns-name bzw der IP von aussen zu tun.

mfg
Hans
 
Doch, weil Checkitout die HTTPS-Fernwartung aktiviert hat.
 
aktuelle 29.04.57 erzeugt unsichere ssl-zertifikate

hab grad bei http://www.heise.de/netze/tools/chksslkey das ssl-zertifikat meiner 7170 mit aktivierter fernwartung gecheckt. ergebnis:

Das Zertifikat von xxx.dyndns.org:443 mit dem SHA1-Fingerprint XX YY ZZ... ist verwundbar. Sie sollten schnellstens handeln: Widerrufen Sie Ihr Zertifikat und lassen Sie sich ein neues ausstellen, wobei Sie darauf achten müssen, einen neuen privaten Schlüssel zu benutzen.

worum es geht wird hier beschrieben: http://www.heise.de/security/Gute-Zahlen-schlechte-Zahlen--/artikel/108272

kurz gesagt ist bei der wartung des programmcodes für openssl etwas schiefgegangen, so dass unter bestimmten umständen zwar funktionierende, aber vorhersehbare schlüssel erzeugt werden und eine https-verbindung übers internet zur box kompromittiert werden kann. wie es aussieht ist die von avm verwendete openssl version davon betroffen. ich habe heute eine support-anfrage an avm gestellt, wann und wie sie gedenken, diesen bug zu fixen.


grüsse

peter
 
Das Zertifikat von xxx.dyndns.org:443 mit dem SHA1-Fingerprint XX YY ZZ... ist verwundbar. Sie sollten schnellstens handeln: Widerrufen Sie Ihr Zertifikat und lassen Sie sich ein neues ausstellen, wobei Sie darauf achten müssen, einen neuen privaten Schlüssel zu benutzen.
Das zeigt, dass die ganze Diskussion über die Sicherheit der Box doch nicht ganz unberechtigt ist.
Auch mit der neuesten Laborfirmware bekommt man das gleiche Ergebnis. Heißt das nun man sollte die Fernwartung besser abschalten?

Gruß
Thomas
 
hi thomas,

wenn du zu paranoia neigst, dann auf jeden fall. ansonsten gilt: es ist unwahrscheinlich, dass ausgerechnet du mit deiner dyndns-adresse opfer eines angriffs wirst. zur sicherheit hab ich aber meine dyndns-adresse im beitrag anonymisiert. es ist einiges an aufwand nötig um die verbindung abzuhören und die frage ist, wo ein angreifer einen nutzen sieht, also warum er es genau auf dich (oder vielleicht mich) abgesehen hat. es gibt sicher attraktiviere ziele z.b. webshops, die auf unsichere ssl-zertifikate setzen. trotzdem muss avm das loch schnellstens stopfen, wenn sie weiter mit dem feature "sichere" fernwartung werben wollen.


grüsse

peter
 
es ist unwahrscheinlich, dass ausgerechnet du mit deiner dyndns-adresse opfer eines angriffs wirst. zur sicherheit hab ich aber meine dyndns-adresse im beitrag anonymisiert.
Okay, da ist was dran.

Nur möchte ich nicht durch Nachlässigkeit dazu beitragen, dass irgendwer Fritz!Boxen hackt und wiederum andere schädigt.

Gruß
Thomas
 
Zu glauben, dass man selbst nicht Ziel von Angriffen wird ist sehr blauäugig. Genauso sind die riesigen Bot-Netze entstanden, die uns alle mit Spam überhäufen. Deswegen ist auch JEDER Rechner im Netz ein attraktives Angriffsziel.

Es laufen ständig Port-Scans auf ganzen IP Subnetzen. Bestes Beispiel: man schließe ein original Windows XP ohne Patches und Firewall ans Internet an und warte wie schnell es dauert, bis es von Außen übernommen wurde. Ihr wärt überrascht wie schnell das geht ;)

Was hat jemand davon wenn er vollen Zugriff auf die Fritz!Box Oberfläche von Außen bekommt ? Ganz einfach: man hat direkt sämtlichen DSL Zugangsdaten, Daten von VOIP-Accounts - besonders schön, wenn man auf Kosten anderer telefonieren/surfen will. Dann kann man den Netz-Traffic des LANs mitschneiden, praktisch um Benutzernamen/Passwörter von E-Mail-Konten, ebay usw. abzugreifen.

Deswegen: Fernzugriff nicht auf dem Standard-Port laufen lassen und UNBEDINGT mit einem guten Passwort sichern.
 
Zu glauben, dass man selbst nicht Ziel von Angriffen wird ist sehr blauäugig.
So sehe ich das auch.

@Checkitout

Einmal das hier. Und dann hab ich noch einen, ein bißchen härter. Wer sowas immer noch ignoriert, dem ist nicht zu helfen.
Sicher ist, dass nichts sicher ist. Selbst das nicht.
 
Folgendes habe ich als Antwort zu dem unsicheren SSL Cert von AVM bekommen:

Ihre Ticket-ID CID1856225

vielen Dank für Ihre Anfrage.

Wir verfolgen sehr aufmerksam die Berichterstattung zum Fehler im
Zufallsgenerator bestimmter Distributionen des OpenSSL-Pakets und haben
daraufhin sämtliche unserer Produkte auf mögliche Auswirkungen hin
überprüft.

Dabei haben wir festgestellt, dass das in der FRITZ!Box enthaltene
Zertifikat zur HTTPS-Fernwartung mit einer betroffenen OpenSSL-Version
erstellt wurde. Das genannte Zertifikat wird jedoch weder zur
Benutzerauthentifizierung (Zugang zur Benutzeroberfläche) noch für die
Verschlüsselung der Verbindung genutzt. Es dient lediglich dazu, den
HTTPS-Verbindungsaufbau zu erleichtern und hat darüber hinaus keine
Funktion.

Wir konnten keine Bedrohung für die Sicherheit Ihres FRITZ!Box-Netzwerkes
feststellen und haben deshalb entschieden, keine unmittelbaren Maßnahmen zu
ergreifen.
Die FRITZ!Box benutzt weitere Funktionen von OpenSSL (z.B. im Rahmen der
VPN-Aushandlung oder um Zufallszahlen für die Session-Key-Aushandlung zu
erzeugen). Die dazu verwendete OpenSSL-Version ist nicht von o.g. Fehler
betroffen.

Nachfolgend haben wir die aktuelle Situation für Sie zusammengefasst:

- Der Zugang zur Benutzeroberfläche der FRITZ!Box ist ohne Kenntnis des
Kennworts in keinem Fall möglich.

- Das HTTPS-Zertifikat der FRITZ!Box wird nicht zur Authentisierung
(Nachweis der Identität des Benutzers) verwendet.

- Das Abhören einer HTTPS-Verbindung zur FRITZ!Box ist in keinem Fall
möglich.

- Innerhalb der FRITZ!Box wird eine OpenSSL-Version verwendet, die nicht
vom o.g. Fehler betroffenen ist.


Mit freundlichen Grüßen aus Berlin

xxx xxx (AVM Support)

Mir ist nicht ganz klar wie ohne Benutzung des Zertifikats eine sichere Verschlüsselung der Passworteingabe und des restlichen Transfers möglich ist.

Ich könnt euch ja an das Ticket mit dran hängen, hab die Nummer deswegen extra mit angegeben.
 
Zuletzt bearbeitet:
Bei mir lag die Meldung bezüglich der nicht aktuellen FW an der Mini-Unterstützung. Ich habe einen Mini-Simulator an beiden Boxen angemeldet, dadurch hat die Box heute nach dem Starten des Simulators das Update gemacht. Bei der zweiten Box musste ich das Update manuell fahren, aber danach war auch hier Ruhe...;-)
 
Soweit ich mich erinnere, ist das Debian-OpenSSL-Loch hauptsächlich aus dem Grund gefährlich, dass das Zertifikat leicht zu fälschen ist (z.B. kann sich dann eine Phishing-Seite als echte Bank-Seite ausgeben).

Laut Heise ist die Verbindung nur abhörbar, wenn sich Server und Browser auf den RSA-Schlüsselaustausch (der Client generiert einen gemeinsamen Schlüssel, verschlüsselt ihn mit dem Public Key des Servers, und schickt ihn an den Server, der ihn dann mit seinem Private Key entschlüsselt) einigen. Wenn sich Server und Browser auf den Diffie-Hellman-Exhange einigen, ist der Schlüsseltausch komplizierter und nicht davon betroffen.


Hier war vorher ein Post, in dem jemand eine AVM-Support-Mail zitierte, ihn aber dann wohl wieder gelöscht hat.
Prof. Dr. YoMan schrieb:
Folgendes habe ich als Antwort zu dem unsicheren SSL Cert von AVM bekommen:


Ihre Ticket-ID CIDxxxxxxx

vielen Dank für Ihre Anfrage.

Wir verfolgen sehr aufmerksam die Berichterstattung zum Fehler im
Zufallsgenerator bestimmter Distributionen des OpenSSL-Pakets und haben
daraufhin sämtliche unserer Produkte auf mögliche Auswirkungen hin
überprüft.

Dabei haben wir festgestellt, dass das in der FRITZ!Box enthaltene
Zertifikat zur HTTPS-Fernwartung mit einer betroffenen OpenSSL-Version
erstellt wurde. Das genannte Zertifikat wird jedoch weder zur
Benutzerauthentifizierung (Zugang zur Benutzeroberfläche) noch für die
Verschlüsselung der Verbindung genutzt. Es dient lediglich dazu, den
HTTPS-Verbindungsaufbau zu erleichtern und hat darüber hinaus keine
Funktion.

Wir konnten keine Bedrohung für die Sicherheit Ihres FRITZ!Box-Netzwerkes
feststellen und haben deshalb entschieden, keine unmittelbaren Maßnahmen zu
ergreifen.
Die FRITZ!Box benutzt weitere Funktionen von OpenSSL (z.B. im Rahmen der
VPN-Aushandlung oder um Zufallszahlen für die Session-Key-Aushandlung zu
erzeugen). Die dazu verwendete OpenSSL-Version ist nicht von o.g. Fehler
betroffen.

Nachfolgend haben wir die aktuelle Situation für Sie zusammengefasst:

- Der Zugang zur Benutzeroberfläche der FRITZ!Box ist ohne Kenntnis des
Kennworts in keinem Fall möglich.

- Das HTTPS-Zertifikat der FRITZ!Box wird nicht zur Authentisierung
(Nachweis der Identität des Benutzers) verwendet.

- Das Abhören einer HTTPS-Verbindung zur FRITZ!Box ist in keinem Fall
möglich.

- Innerhalb der FRITZ!Box wird eine OpenSSL-Version verwendet, die nicht
vom o.g. Fehler betroffenen ist.


Mit freundlichen Grüßen aus Berlin

Xxxxxx Xxxxxx (AVM Support)
Mir ist nicht ganz klar wie ohne Benutzung des Zertifikats eine sichere Verschlüsselung der Passworteingabe und des restlichen Transfers möglich ist.

Ich könnt euch ja an das Ticket mit dran hängen, hab die Nummer deswegen extra mit angegeben.


Hmm, dann müssten aber alle FBFs dasselbe HTTPS-Zertifikat verwenden (ansonsten müsste es ja auf der Box generiert werden) und damit sowieso jeder FBF-Besitzer sich die nötigen Keys von der Box holen kann, um z.B. eine per RSA-Schlüsselaustausch gesicherte Verbindung zu entschlüsseln.
 
Zuletzt bearbeitet:
Test hier:
http://www.heise.de/netze/tools/chksslkey

Auf meinen Ferzugang ergibt:
Das Zertifikat von xxxx.dyndns.org:443 mit dem SHA1-Fingerprint
4D 8D 76 96 AC DD 41 5B 6A 56 BF B5 84 96 84 B0 60 89 F8 43
ist verwundbar.

Habt ihr den gleichen Fingerprint und damit wohl das gleiche Zertifikat?
 
Nein. Noch dazu ändert sich der Fingerprint nach jedem reboot.

Tschö, Jojo
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.