- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,300
- Punkte für Reaktionen
- 1,760
- Punkte
- 113
Ich finde leider kein passenderes Unterforum, ggf. bitte einfach dahin verschieben.
Nachdem ich innerhalb der letzten 3 Tage wiederholt auf extreme Sturheit beim KDG-Support gestoßen bin und mir - trotz Aussichtslosigkeit dieser Lösung bei meinem konkreten Problem - seitens KDG die Werkseinstellung (auch stur 3x) per Remote-Administration wiederhergestellt wurde, obwohl ich mir das ausdrücklich verbeten hatte, bin ich im Moment dabei, die Möglichkeiten des Fernzugriffs durch den KDG-Support etwas genauer unter die Lupe zu nehmen.
Es geht hier dabei nicht um die - meiner Meinung nach - fragwürdige Rechtslage und auch nicht um physische Eingriffe in die (bei den meisten sicherlich) gemietete Hardware (also JTAG-Anschluß bestücken und MTD auslesen o.ä. fällt aus).
Die Analyse soll ausschließlich durch Interpretation der von der Firmware preisgegebenen Informationen und - soweit möglich - Abklopfen der installierten Firmware auf Lücken erfolgen.
Solange das vom jeweiligen Mieter der Fritz!Box ausgeführt wird, sollten solchen Aktionen eigentlich keine gesetzlichen und/oder vertraglichen (jedenfalls habe ich in den KDG-AGB nichts entsprechendes gefunden) Regelungen entgegenstehen, da die Mietsache dabei ja nicht beschädigt wird (höchsten deren Ansehen bei den Kunden).
Ganz im Gegenteil, ausgehend vom Einsatz von Open Source Software auch auf der Fritz!Box 6360 müßte IMHO eigentlich AVM - oder sogar KDG, wenn sie eigene Veränderungen am Firmware-Image vornehmen - die für eine solche Analyse notwendigen Quellen von sich aus bereitstellen oder sie zumindest auf Verlangen zur Verfügung stellen (bei GPLv1/v2).
Die unter ftp://ftp.avm.de/develper/opensrc/fritzbox6360-source-files-05.29.tar.gz zu findende Version ist jedenfalls sowohl unvollständig (selbst wenn Teile z.B. unter BSD- und Apache-Lizenz nicht als Source veröffentlich werden müssen, ist das geforderte "Nachbauen" einer kompletten Firmware mit den veröffentlichten Teilen unmöglich) als auch nicht aktuell (LG Hamburg, Az. 308 O 10/13, noch nicht rechtskräftig).
Auch wenn ich bisher schon 2 von oder für Kabel Deutschland kastrierte Exemplare der Fritz!Box 6360 untersuchen konnte, ist es nur anhand der ermittelten Daten nicht sicher festzustellen, ob bestimmte Funktionen (bzw. laufende Prozesse) bereits in der von AVM erstellten Firmware vorhanden sind oder erst - auch wenn ich persönlich das eher bezweifele - vom jeweiligen OEM "dazugestrickt" wurden.
Daher suche ich dringend Mitstreiter, die über eine FB6360 eines anderen Anbieters (UM o. KBW) gebieten können und aber auch über grundlegende Kenntnisse (sowohl im Umgang mit Browser und Editor, als idealerweise auch mit der (Linux-)Kommandozeile) verfügen.
Ich möchte zwar die wirklich gesicherten Erkenntnisse dann mit jedem interessierten Leser teilen, aber andererseits will ich auch nicht einfach nur eine weitere Verschwörungstheorie über böse Provider in die Weltgeschichte setzen bzw. irgendeine Sau durchs Dorf treiben. Daher würde ich vorerst den Austausch weiterer Informationen per PN bevorzugen.
Soviel kann ich aber schon einmal feststellen und beweisen:
Es gibt auf der FB6360 (zumindest in der KDG-Version) ein - eher mehr als weniger verstecktes - "DOCSIS management interface", an das im laufenden Betrieb (bei mir !) ein Prozess gebunden ist, dessen Netzwerk-Bindings (UDP 161/162) und dessen Name (snmp_agent_cm in /usr/sbin) zumindest die Vermutung, es handele sich im einen SNMP-Agent (bitte als Anglizismus lesen, dann fehlt auch kein "en"), nicht unwahrscheinlich erscheinen lassen. Lieber immer schön vage formulieren ... :-(
Es mag ja sein, daß das Wissen um diesen SNMP-Zugang schon lange Allgemeingut ist. Ich finde jedenfalls bei einer Suche im Web keine wirklich konkreten Angaben dazu und war eigentlich eher erstaunt, daß nicht nur eine simple TR069-Konfiguration vom ACS möglich ist. So enthält z.B. auch eine über das UI gesicherte Konfiguration bei mir keinen Hinweis auf die für den SNMP-Zugriff notwendigen Firewall-Einstellungen o.ä..
Hier die netstat-Ausgabe, alles außer wartenden Prozessen von mir gelöscht ... eigentlich nichts außergewöhnliches für ein originales Fritz!OS - nur der vermutliche (sic) SNMP-Agent auf UDP 161/162 mit einem zusätzlichen Control-Socket ist auf anderen Modellen meines Wissens nicht vorhanden.
Welche Informationen über den SNMP-Stack nun wirklich zugänglich sind, ist noch nicht eindeutig feststellbar - ich habe jedenfalls bisher nur die "offizielle" DOCSIS-MIB (RFC2670) gefunden. Die Prozessliste und die Reihenfolge der PIDs läßt jedenfalls mit einiger Wahrscheinlichkeit auf eine Erweiterbarkeit eines "Basis"-Agents durch Plugins schließen.
Aber auch aus telefonischen Aussagen von KDG-Support-Mitarbeitern läßt sich verläßlich schließen, daß sensitive Informationen jenseits des DOCSIS-Interfaces zugänglich sind, mindestens die OIDs 1.3.6.1.2.1.1 und 1.3.6.1.2.1.2 sind offensichtlich vorhanden.
Leider verwechseln die KDG-Mitarbeiter die "sysUpTime" gerne mal mit der Aussage "Die Box ist solange schon online.", aber auch ein Zugriff auf das System-Protokoll der FB6360 ist mindestens teilweise (belegbar !) möglich.
Irgendwie muß schließlich ja auch eine "Fern-Einwirkung" realisiert sein (SNMP-SET ist hier sicherlich die logischste Vermutung), denn die Neustarts - ob mit oder ohne Default-Reset - durch KDG-2nd-Level bilde ich mir nicht nur ein.
Was mich jetzt nun aber doch mißtrauisch macht (abgesehen von meiner Wut über das ständige Werks-Reset) ist die Tatsache, daß bei einer Suche auf der AVM- und der KDG-Webpräsenz der Begriff "SNMP" genau gleich oft auftaucht ... es werden nämlich 0 (null) Ergebnisse geliefert.
Wenn der SNMP-Agent von AVM stammen sollte und sie damit auch wenigstens eine - schon oft vorgeschlagene und bei anderen Herstellern lange realisierte - Status-Abfrage (also nur SNMP-GET/GETNEXT) beim ambitionierten Kunden anbieten könnten, wäre das in meinen Augen durchaus ein weiteres werbewirksames Feature und ich kann mir im Moment nicht erklären, warum AVM darauf verzichten sollte. Auch eine Überprüfung durch den Kunden, welche Informationen der Provider über den SNMP-Agent erhält, wäre dann möglich (im Rahmen des Vertrauens auf eine 1:1-Umsetzung).
Dagegen spräche IMHO höchstens die Annahme, daß auch ein Mieter dann schon aus rechtlichen Gründen (Datenschutz, Haftung bei Mißbrauch über WLAN) auch bei einer gemieteten FB6360 dem Zugriff durch den Provider (jedenfalls jenseits der DOCSIS-Schnittstelle) einen Riegel vorschieben können muß, ähnlich wie der TR069-Konfiguration bei anderen Modellen.
Bevor ich aber nun doch noch - entgegen meiner ursprünglichen Absicht - weitere wilde Thesen absondere, würde ich viel lieber erst einmal versuchen, ("read only"-)Zugriff auf den SNMP-Agent zu erlangen und einfach mal die offerierten OIDs selbst abzugrasen. Ich gehe dabei eigentlich nicht von einem echten Zugriffsschutz für den Agent (ab v3) aus, da er ja eigentlich nur an das normalerweise unzugängliche wan0-Interface gebunden wird und gerade viele ältere OSS-Implementierungen (der Kernel meiner FB6360 zeigt immer noch die Version 2.6.28.10) nur SNMP bis v2c unterstützen.
Ein Vergleich, z.B. der laufenden Prozesse, bei verschiedenen Anbietern ist IMHO der erste notwendige Schritt, denn die Wahrscheinlichkeit einer identischen Software-Veränderung durch verschiedene OEMs dürfte gegen Null tendieren und erst dann kann man mit einiger Sicherheit die SNMP-Implementierung einem Verantwortlichen zuordnen und ggf. bei diesem dann dahingehend Druck machen, daß die vom Agent angebotenen OIDs (offizielle und private) und deren jeweilige Endpoints in der Firmware publiziert werden.
[Nix da, Novize]
Es ist mir zumindest schon mal reproduzierbar möglich, meine FB6360 bei Bedarf (ausschließlich durch Änderungen im UI) vor dem SNMP-Management durch KDG zu verstecken und sie trotzdem weiter für den Zugang ins Internet (und bei bereits vorhandener korrekter SIP-Konfiguration auch für Telefonie) zu nutzen.
Also, sollte sich jemand zur Mithilfe berufen fühlen, sollte er diesem Impuls unbedingt nachgeben. ;-)
Nachdem ich innerhalb der letzten 3 Tage wiederholt auf extreme Sturheit beim KDG-Support gestoßen bin und mir - trotz Aussichtslosigkeit dieser Lösung bei meinem konkreten Problem - seitens KDG die Werkseinstellung (auch stur 3x) per Remote-Administration wiederhergestellt wurde, obwohl ich mir das ausdrücklich verbeten hatte, bin ich im Moment dabei, die Möglichkeiten des Fernzugriffs durch den KDG-Support etwas genauer unter die Lupe zu nehmen.
Es geht hier dabei nicht um die - meiner Meinung nach - fragwürdige Rechtslage und auch nicht um physische Eingriffe in die (bei den meisten sicherlich) gemietete Hardware (also JTAG-Anschluß bestücken und MTD auslesen o.ä. fällt aus).
Die Analyse soll ausschließlich durch Interpretation der von der Firmware preisgegebenen Informationen und - soweit möglich - Abklopfen der installierten Firmware auf Lücken erfolgen.
Solange das vom jeweiligen Mieter der Fritz!Box ausgeführt wird, sollten solchen Aktionen eigentlich keine gesetzlichen und/oder vertraglichen (jedenfalls habe ich in den KDG-AGB nichts entsprechendes gefunden) Regelungen entgegenstehen, da die Mietsache dabei ja nicht beschädigt wird (höchsten deren Ansehen bei den Kunden).
Ganz im Gegenteil, ausgehend vom Einsatz von Open Source Software auch auf der Fritz!Box 6360 müßte IMHO eigentlich AVM - oder sogar KDG, wenn sie eigene Veränderungen am Firmware-Image vornehmen - die für eine solche Analyse notwendigen Quellen von sich aus bereitstellen oder sie zumindest auf Verlangen zur Verfügung stellen (bei GPLv1/v2).
Die unter ftp://ftp.avm.de/develper/opensrc/fritzbox6360-source-files-05.29.tar.gz zu findende Version ist jedenfalls sowohl unvollständig (selbst wenn Teile z.B. unter BSD- und Apache-Lizenz nicht als Source veröffentlich werden müssen, ist das geforderte "Nachbauen" einer kompletten Firmware mit den veröffentlichten Teilen unmöglich) als auch nicht aktuell (LG Hamburg, Az. 308 O 10/13, noch nicht rechtskräftig).
Auch wenn ich bisher schon 2 von oder für Kabel Deutschland kastrierte Exemplare der Fritz!Box 6360 untersuchen konnte, ist es nur anhand der ermittelten Daten nicht sicher festzustellen, ob bestimmte Funktionen (bzw. laufende Prozesse) bereits in der von AVM erstellten Firmware vorhanden sind oder erst - auch wenn ich persönlich das eher bezweifele - vom jeweiligen OEM "dazugestrickt" wurden.
Daher suche ich dringend Mitstreiter, die über eine FB6360 eines anderen Anbieters (UM o. KBW) gebieten können und aber auch über grundlegende Kenntnisse (sowohl im Umgang mit Browser und Editor, als idealerweise auch mit der (Linux-)Kommandozeile) verfügen.
Ich möchte zwar die wirklich gesicherten Erkenntnisse dann mit jedem interessierten Leser teilen, aber andererseits will ich auch nicht einfach nur eine weitere Verschwörungstheorie über böse Provider in die Weltgeschichte setzen bzw. irgendeine Sau durchs Dorf treiben. Daher würde ich vorerst den Austausch weiterer Informationen per PN bevorzugen.
Soviel kann ich aber schon einmal feststellen und beweisen:
Es gibt auf der FB6360 (zumindest in der KDG-Version) ein - eher mehr als weniger verstecktes - "DOCSIS management interface", an das im laufenden Betrieb (bei mir !) ein Prozess gebunden ist, dessen Netzwerk-Bindings (UDP 161/162) und dessen Name (snmp_agent_cm in /usr/sbin) zumindest die Vermutung, es handele sich im einen SNMP-Agent (bitte als Anglizismus lesen, dann fehlt auch kein "en"), nicht unwahrscheinlich erscheinen lassen. Lieber immer schön vage formulieren ... :-(
Es mag ja sein, daß das Wissen um diesen SNMP-Zugang schon lange Allgemeingut ist. Ich finde jedenfalls bei einer Suche im Web keine wirklich konkreten Angaben dazu und war eigentlich eher erstaunt, daß nicht nur eine simple TR069-Konfiguration vom ACS möglich ist. So enthält z.B. auch eine über das UI gesicherte Konfiguration bei mir keinen Hinweis auf die für den SNMP-Zugriff notwendigen Firewall-Einstellungen o.ä..
Hier die netstat-Ausgabe, alles außer wartenden Prozessen von mir gelöscht ... eigentlich nichts außergewöhnliches für ein originales Fritz!OS - nur der vermutliche (sic) SNMP-Agent auf UDP 161/162 mit einem zusätzlichen Control-Socket ist auf anderen Modellen meines Wissens nicht vorhanden.
Code:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:51111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:51112 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:2002 0.0.0.0:* LISTEN 1977/aha
tcp 0 0 127.0.0.1:1011 0.0.0.0:* LISTEN 1871/telefon
tcp 0 0 127.0.0.1:8888 0.0.0.0:* LISTEN 1871/telefon
tcp 0 0 :::49443 :::* LISTEN 1682/upnpd
tcp 0 0 :::5060 :::* LISTEN 3127/voipd
tcp 0 0 :::49000 :::* LISTEN 1682/upnpd
tcp 0 0 :::139 :::* LISTEN 1939/inetd
tcp 0 0 :::80 :::* LISTEN 1633/ctlmgr
tcp 0 0 :::49200 :::* LISTEN 1682/upnpd
tcp 0 0 :::499 :::* LISTEN 1633/ctlmgr
tcp 0 0 :::53 :::* LISTEN 3030/multid
tcp 0 0 :::21 :::* LISTEN 1939/inetd
tcp 0 0 :::8182 :::* LISTEN 1633/ctlmgr
tcp 0 0 :::8089 :::* LISTEN 1633/ctlmgr
tcp 0 0 :::445 :::* LISTEN 1939/inetd
udp 486440 0 0.0.0.0:137 0.0.0.0:* 1939/inetd
udp 0 0 0.0.0.0:138 0.0.0.0:* 1939/inetd
udp 0 0 10.xxx.xxx.xxx:161 0.0.0.0:* 1744/snmp_agent_cm
udp 0 0 10.xxx.xxx.xxx:162 0.0.0.0:* 1744/snmp_agent_cm
[...]
unix 2 [ ] DGRAM 3318 1744/snmp_agent_cm /var/tmp/cm_snmp_ctrl
/var/tmp:
drwxrwxr-x 4 root root 1840 Jul 17 20:27 .
drwxrwxrwx 18 root root 1320 Jul 17 20:05 ..
[...]
srwxr-xr-x 1 root root 0 Jul 17 19:23 cm_cfg_snmp_report
srwxr-xr-x 1 root root 0 Jan 1 1970 cm_evmgr_ctrl
srwxr-xr-x 1 root root 0 Jan 1 1970 cm_snmp_ctrl
Welche Informationen über den SNMP-Stack nun wirklich zugänglich sind, ist noch nicht eindeutig feststellbar - ich habe jedenfalls bisher nur die "offizielle" DOCSIS-MIB (RFC2670) gefunden. Die Prozessliste und die Reihenfolge der PIDs läßt jedenfalls mit einiger Wahrscheinlichkeit auf eine Erweiterbarkeit eines "Basis"-Agents durch Plugins schließen.
Aber auch aus telefonischen Aussagen von KDG-Support-Mitarbeitern läßt sich verläßlich schließen, daß sensitive Informationen jenseits des DOCSIS-Interfaces zugänglich sind, mindestens die OIDs 1.3.6.1.2.1.1 und 1.3.6.1.2.1.2 sind offensichtlich vorhanden.
Leider verwechseln die KDG-Mitarbeiter die "sysUpTime" gerne mal mit der Aussage "Die Box ist solange schon online.", aber auch ein Zugriff auf das System-Protokoll der FB6360 ist mindestens teilweise (belegbar !) möglich.
Irgendwie muß schließlich ja auch eine "Fern-Einwirkung" realisiert sein (SNMP-SET ist hier sicherlich die logischste Vermutung), denn die Neustarts - ob mit oder ohne Default-Reset - durch KDG-2nd-Level bilde ich mir nicht nur ein.
Was mich jetzt nun aber doch mißtrauisch macht (abgesehen von meiner Wut über das ständige Werks-Reset) ist die Tatsache, daß bei einer Suche auf der AVM- und der KDG-Webpräsenz der Begriff "SNMP" genau gleich oft auftaucht ... es werden nämlich 0 (null) Ergebnisse geliefert.
Wenn der SNMP-Agent von AVM stammen sollte und sie damit auch wenigstens eine - schon oft vorgeschlagene und bei anderen Herstellern lange realisierte - Status-Abfrage (also nur SNMP-GET/GETNEXT) beim ambitionierten Kunden anbieten könnten, wäre das in meinen Augen durchaus ein weiteres werbewirksames Feature und ich kann mir im Moment nicht erklären, warum AVM darauf verzichten sollte. Auch eine Überprüfung durch den Kunden, welche Informationen der Provider über den SNMP-Agent erhält, wäre dann möglich (im Rahmen des Vertrauens auf eine 1:1-Umsetzung).
Dagegen spräche IMHO höchstens die Annahme, daß auch ein Mieter dann schon aus rechtlichen Gründen (Datenschutz, Haftung bei Mißbrauch über WLAN) auch bei einer gemieteten FB6360 dem Zugriff durch den Provider (jedenfalls jenseits der DOCSIS-Schnittstelle) einen Riegel vorschieben können muß, ähnlich wie der TR069-Konfiguration bei anderen Modellen.
Bevor ich aber nun doch noch - entgegen meiner ursprünglichen Absicht - weitere wilde Thesen absondere, würde ich viel lieber erst einmal versuchen, ("read only"-)Zugriff auf den SNMP-Agent zu erlangen und einfach mal die offerierten OIDs selbst abzugrasen. Ich gehe dabei eigentlich nicht von einem echten Zugriffsschutz für den Agent (ab v3) aus, da er ja eigentlich nur an das normalerweise unzugängliche wan0-Interface gebunden wird und gerade viele ältere OSS-Implementierungen (der Kernel meiner FB6360 zeigt immer noch die Version 2.6.28.10) nur SNMP bis v2c unterstützen.
Ein Vergleich, z.B. der laufenden Prozesse, bei verschiedenen Anbietern ist IMHO der erste notwendige Schritt, denn die Wahrscheinlichkeit einer identischen Software-Veränderung durch verschiedene OEMs dürfte gegen Null tendieren und erst dann kann man mit einiger Sicherheit die SNMP-Implementierung einem Verantwortlichen zuordnen und ggf. bei diesem dann dahingehend Druck machen, daß die vom Agent angebotenen OIDs (offizielle und private) und deren jeweilige Endpoints in der Firmware publiziert werden.
[Nix da, Novize]
Es ist mir zumindest schon mal reproduzierbar möglich, meine FB6360 bei Bedarf (ausschließlich durch Änderungen im UI) vor dem SNMP-Management durch KDG zu verstecken und sie trotzdem weiter für den Zugang ins Internet (und bei bereits vorhandener korrekter SIP-Konfiguration auch für Telefonie) zu nutzen.
Also, sollte sich jemand zur Mithilfe berufen fühlen, sollte er diesem Impuls unbedingt nachgeben. ;-)
Zuletzt bearbeitet: