[Info] 17.2.2014 Hack gegen AVM-Router auch ohne Fernzugang (heise.de)
- Ersteller voipd
- Erstellt am
Hallo,
Tja, das solltest Du besser mit AVM diskutieren. Von Stillstand sehe ich da nichts ...
[EDIT]
@KunterBunter: Jipp und damit btt :mrgreen:
Tja, das solltest Du besser mit AVM diskutieren. Von Stillstand sehe ich da nichts ...
[EDIT]
@KunterBunter: Jipp und damit btt :mrgreen:
Zuletzt bearbeitet von einem Moderator:
Allenfalls in diesem Thread hier in den letzten vier Beiträgen. 
Eure Plattitüden könnt ihr auch weglassen.
Eure Plattitüden könnt ihr auch weglassen.Ein Flickenteppich und das wars.
Ich denke aber schon, daß Dein AVM schon was im Ärmel bereit hat.
Mein posting ganz weiter oben hatte ich schon ein 7.0 angedeutet.
Ich denke aber schon, daß Dein AVM schon was im Ärmel bereit hat.
Mein posting ganz weiter oben hatte ich schon ein 7.0 angedeutet.
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
@derneueFritz
Glaubst du ernsthaft nur weil z.B. bei Mozilla die Versionsnummer schneller größer wird als bei AVM dies Rückschlüsse auf die Sicherheit zulässt?
Wenn überhaupt ist eher das Gegenteil der Fall, viele neue Änderungen bringen schneller mal ein neues Sicherheitsleck. Sorry, aber deiner Argumentation kann ich nicht folgen...
Glaubst du ernsthaft nur weil z.B. bei Mozilla die Versionsnummer schneller größer wird als bei AVM dies Rückschlüsse auf die Sicherheit zulässt?
Wenn überhaupt ist eher das Gegenteil der Fall, viele neue Änderungen bringen schneller mal ein neues Sicherheitsleck. Sorry, aber deiner Argumentation kann ich nicht folgen...
@ derneueFritz
auf welchen Router möchtest du dich den verlassen. Kurz nach der Fritzbox waren die von O² an der Reihe.
Jede Software ist mit Fehlern behaftet. Löcher werden immer wieder gefunden - ob im Firefox oder sonst wo. Und Versionssprünge um x.00 sind für eine Bereinigung vollkommen uninteressant. Jede Firma kann das so wählen, wie Sie es gerne hätten. Mozilla macht dies eben jetzt bei fast jeden Update, AVM nur bei richtigen Neuerungen.
auf welchen Router möchtest du dich den verlassen. Kurz nach der Fritzbox waren die von O² an der Reihe.
Jede Software ist mit Fehlern behaftet. Löcher werden immer wieder gefunden - ob im Firefox oder sonst wo. Und Versionssprünge um x.00 sind für eine Bereinigung vollkommen uninteressant. Jede Firma kann das so wählen, wie Sie es gerne hätten. Mozilla macht dies eben jetzt bei fast jeden Update, AVM nur bei richtigen Neuerungen.
Auf einen Versionsstand von alle 2 Jahren können sich Hacker gut einschießen, umsonst wird ja nicht vor veralteter Software gewarnt. Mozilla habe ich als Beispiel gebracht, um zu zeigen daß sowie die 'guten' und weniger gutenProgrammier abgeschüttelt werden können.
Nichts für ungut hier, ich möchte nur wieder eine FB haben, der man wieder vertrauen kann.
Nichts für ungut hier, ich möchte nur wieder eine FB haben, der man wieder vertrauen kann.
Eigentlich wollte ich mich ja zu diesem leidigen Thema nicht mehr äußern .... insbesondere, weil es, zumindest nach meinem Kenntnisstand, bis dato keine neuen konkreten Erkenntnisse zu der Problematik gibt.
Allerdings sehe ich in diesem konkreten Fall auch eine fahrlässige kleine Mitverantwortung bei AVM - zumindest die neueren FW-Versionen ab *.05.* betreffend.
Hätte man die Netfilter-Funktionalität zu Gunsten von Netzfeatures, die durch schnellere Anbindung erst ermöglicht werden (IP-TV etc.), nicht soweit "kastriert" bzw. es anderen Entwicklern fast unmöglich gemacht, einen funktionierenden Schutz vor unerlaubtem Zugriff auf die Box aufzubauen, wäre das bekannte Ausmaß möglicherweise kleiner ausgefallen. Selbstverständlich hätte man sich auch direkt bei AVM um einen etwas weitergehenden Schutz für die Box bemühen können ... ich möchte kurz aus einem Wiki zitieren:
Grüße,
JD.
Allerdings sehe ich in diesem konkreten Fall auch eine fahrlässige kleine Mitverantwortung bei AVM - zumindest die neueren FW-Versionen ab *.05.* betreffend.
Hätte man die Netfilter-Funktionalität zu Gunsten von Netzfeatures, die durch schnellere Anbindung erst ermöglicht werden (IP-TV etc.), nicht soweit "kastriert" bzw. es anderen Entwicklern fast unmöglich gemacht, einen funktionierenden Schutz vor unerlaubtem Zugriff auf die Box aufzubauen, wäre das bekannte Ausmaß möglicherweise kleiner ausgefallen. Selbstverständlich hätte man sich auch direkt bei AVM um einen etwas weitergehenden Schutz für die Box bemühen können ... ich möchte kurz aus einem Wiki zitieren:
Ich weiß, daß das ein wenig viel hätte, wäre, und könnte ist. Wenn allerdings die oben beschrieben Technik (Stichwort: Packet accelerator) nicht existieren würde bzw. durch AVM korrekte Kernel-Konfigurationen veröffentlicht würden, gäbe es wieder mehr Möglichkeiten zum Schutz der Boxen. Und zwar aller Boxen.
Grüße,
JD.
qwertz.asdfgh
IPPF-Promi
- Mitglied seit
- 18 Feb 2011
- Beiträge
- 4,467
- Punkte für Reaktionen
- 65
- Punkte
- 48
@derneueFritz
Interessant, du lässt dich doch tatsächlich von schnell wachsenden Zahlen vor dem ersten Punkt beeindrucken... Sorry dir diesen Zahn ziehen zu müssen aber das lässt keinerlei Rückschlüsse auf die Sicherheit zu und irgendwelche Programmierer, ob gut oder schlecht, werden davon keineswegs abgeschüttelt. Wie auch oben schon erwähnt kann dies sogar einen negativen Einfluss auf die Sichheit nehmen.
Abgesehen davon würde das gefühlte Vertrauen bei mir persönlich eher durch eine komplette OSS-Firmware gestärkt werden (SbO) anstatt duch (sinnlos) schnell wachsende Versionsnummern.
Interessant, du lässt dich doch tatsächlich von schnell wachsenden Zahlen vor dem ersten Punkt beeindrucken... Sorry dir diesen Zahn ziehen zu müssen aber das lässt keinerlei Rückschlüsse auf die Sicherheit zu und irgendwelche Programmierer, ob gut oder schlecht, werden davon keineswegs abgeschüttelt. Wie auch oben schon erwähnt kann dies sogar einen negativen Einfluss auf die Sichheit nehmen.
Es wird im allgemeinen vor veralteter Software gewarnt die nicht aktualisiert wurde, wenn sie aber aktualisiert wird bzw. aktuell ist ist es egal ob sich die Versionsnummer vor dem 1. Punkt oder hinter dem 2. verändert.
Nichts für ungut, aber das wirst du nie zu 100% bei irgendeinem Router tun können (und hast du hoffentlich auch nie getan), egal wie sich die Firmwareversionen verändern.
Abgesehen davon würde das gefühlte Vertrauen bei mir persönlich eher durch eine komplette OSS-Firmware gestärkt werden (SbO) anstatt duch (sinnlos) schnell wachsende Versionsnummern.
Es war ein Anfängerfehler, der so nie hätte passieren dürfen. Und wenn laut AVM vier verschiedene externe Firmen das tatsächlich sich angeschaut haben und es nicht entdeckt haben, dann waren die wohl auch nicht sorgfältig genug.
Ich fände es zwar auch gut, wenn die volle Netfilter-Funktionalität nutzbar wäre, aber es hätte überhaupt keinen Unterschied gemacht.
Ich weiß nicht, wer das da rein geschrieben hat, aber die Formulierung ist zumindest irreführend, um nicht zu sagen falsch. Zugriff auf Geräte im LAN ist nur möglich, wenn man eine Port Weiterleitung in der Box konfiguriert hat, und die Box selbst reagiert auch nur auf den Ports, die freigegeben sind. Man kann der Meinung sein, dass die Box zu viele Dienste anbietet, die man selbst nicht braucht, aber dann liegt das Problem bei diesen Diensten und nicht bei der AVM Firewall als solcher.
Was denn?
Z.B. per default nur einige unbedingt nötige Ports (80,443, ggfs.21) für den Zugriff auf die Box selbst freigeben und den Rest von der Erlaubnis des Users abhängig machen ?
Dieses unterschieden nach Zugriff aus dem (lokalen) Netz der Box und/oder für Zugriff aus dem Internet, konkret aus bestimmten Bereichen und/oder IPs ? Stichwort: Funktionierendes VPN z.B. zu einem Mobiltelefon ? Desweiteren sehe ich bei einer Kaufbox, also keiner Providerbox, keine absolute Notwendigkeit für ein funktionierendes TR069. Wenn die Box zu viele Dienste anbietet, die man selbst nicht braucht, und einer oder mehrere dieser Dienste (oder der verwendeten Ports) eine Sicherheitslücke aufweist: An wen anders könnte ich mich mit Kritik wenden als an den Hersteller ?
Nochmal aus dem Wiki:
Was stimmt denn nun ?
Zuletzt bearbeitet:
Das kann man jetzt schon mit der AVM Firewall. Schon jetzt reagiert sie nicht, wenn man Port 80, 443, 21 aus dem WAN anspricht und sie nicht dafür konfiguriert ist.
Aus dem internen Netz ist die Box erreichbar. Wenn man einen Dienst aktiviert hat, will man das vermutlich aus.
Wenn Du kein TR-069 willst, schalte es aus.
Wenn Du den Zugriff auf verschiedene Ports für einige interne Adressen erlauben willst und für andere nicht, erstelle entsprechende Regeln mit iptables
Wenn Du eine original Box hast, wendest Du Dich an den Hersteller. Wenn Du selbst etwas daran geändert hast, wendest Du Dich an Dich selbst.
Ich habe schon geschrieben, dass ich die Formulierung im Wiki nicht gut finde.
"Nach dem Firewall-Modul landen die Pakete auf die FritzBox" heißt, die Pakete, die von der Firewall durchgelassen wurden, wurden durchgelassen. Was soll denn sonst passieren? Eine zweite Firewall, die genau die gleichen Regeln abarbeitet wie die erste auch?
Wenn ich eine fabrikneue Box über fritz.box80) anspreche, reagiert sie in Form ihres WebIFs.
Bei einer fabrikneuen Box kann ich als Standard-User kein TR069 ausschalten.
Die von Dir beschriebene Limitierung via iptables klappt für den Standard-User ebenso wenig wie ohne funktionierendes iptables/netfilter.
Nochmal: Ich gehe von keinerlei Erweiterung einer Fritzbox á la Freetz aus, da die breite Masse der im Einsatz befindlichen und gehackten Boxen eine solche nicht haben dürfte.
Ich dachte an einen "Grundschutz" (und besser dokumentierten Schutz) via iptables seitens AVM für die Box, der durch den Standard-User via AVM-WebIF konfigurierbar ist.
Zum Wiki: Dort steht, daß Pakete, die nicht am NAT scheitern, auf der Box landen. Ich verstehe das so, das auch Pakete von irgendwo aus dem Internet an Port 443 auf der Box landen.
80) anspreche, reagiert sie in Form ihres WebIFs.Bei einer fabrikneuen Box kann ich als Standard-User kein TR069 ausschalten.
Die von Dir beschriebene Limitierung via iptables klappt für den Standard-User ebenso wenig wie ohne funktionierendes iptables/netfilter.
Nochmal: Ich gehe von keinerlei Erweiterung einer Fritzbox á la Freetz aus, da die breite Masse der im Einsatz befindlichen und gehackten Boxen eine solche nicht haben dürfte.
Ich dachte an einen "Grundschutz" (und besser dokumentierten Schutz) via iptables seitens AVM für die Box, der durch den Standard-User via AVM-WebIF konfigurierbar ist.
Zum Wiki: Dort steht, daß Pakete, die nicht am NAT scheitern, auf der Box landen. Ich verstehe das so, das auch Pakete von irgendwo aus dem Internet an Port 443 auf der Box landen.
@qwertz.asdfgh
eine 5.xx und 6.xx bedeute für mich keine Sicherheit mehr. Weil der Einstieg hier jederzeit modifieziert stattfinden kann.
Ich weiß nicht mehr ab welcher Vers. der Anrufmoinitor nicht mehr lief. Ob es eine sicherheitsrelevante Änderung diesbezüglich war, kann ich nicht beurteilen, wenn ja fände ich das richtig.
Meine laienhafte Vorstellung wäre dann:Konsequenterweise müßte dann der Quellcode ganz offengelegt werden, damit nicht nur 4 Sicherheitsfirmen draufschauen, sonder eine ganze Gemeinde.
Oder aber das ganze System abschotten, kein Telnet oder sonstiger Zugang.
eine 5.xx und 6.xx bedeute für mich keine Sicherheit mehr. Weil der Einstieg hier jederzeit modifieziert stattfinden kann.
Ich weiß nicht mehr ab welcher Vers. der Anrufmoinitor nicht mehr lief. Ob es eine sicherheitsrelevante Änderung diesbezüglich war, kann ich nicht beurteilen, wenn ja fände ich das richtig.
Meine laienhafte Vorstellung wäre dann:Konsequenterweise müßte dann der Quellcode ganz offengelegt werden, damit nicht nur 4 Sicherheitsfirmen draufschauen, sonder eine ganze Gemeinde.
Oder aber das ganze System abschotten, kein Telnet oder sonstiger Zugang.
Der von Dir beschriebene Standard-User wird an den Firewall Einstellungen in den meisten Fällen nichts verändern, von denen, die es doch tun, wird vermutlich die Mehrzahl etwas blockieren, was sie selbst nutzen wollen und sich dann bei AVM melden, weil es nicht funktioniert. Ich hatte mal jemandem mit einem Windows Firewall, der bei jeder ausgehenden Verbindung gefragt hat, ob man sie zulassen will. Der Anwender hat dann irgendwann bei Firefox gesagt "Nein, nicht mehr fragen". Zu mir kam er dann, weil sein Internet nicht mehr ging.
Im Wiki steht "Ungebetener ankommender Verkehr ins LAN scheitert nur am NAT". Dort steht (hoffentlich) nicht, dass eingehender Verkehr für die Box am NAT scheitert, der scheitert an der Firewall. Was aber im Ergebnis keinen Unterschied macht.
Ich habe Port 80, 443 und 21 per WAN auf einer Fritz Box ausprobiert, es kam keine Reaktion darauf. Ob Deine Box auf diese Ports reagiert, kannst Du selbst testen.
Im Wiki steht "Ungebetener ankommender Verkehr ins LAN scheitert nur am NAT". Dort steht (hoffentlich) nicht, dass eingehender Verkehr für die Box am NAT scheitert, der scheitert an der Firewall. Was aber im Ergebnis keinen Unterschied macht.
Ich habe Port 80, 443 und 21 per WAN auf einer Fritz Box ausprobiert, es kam keine Reaktion darauf. Ob Deine Box auf diese Ports reagiert, kannst Du selbst testen.
koyaanisqatsi
IPPF-Urgestein
- Mitglied seit
- 24 Jan 2013
- Beiträge
- 14,210
- Punkte für Reaktionen
- 590
- Punkte
- 113
Ich hab TR-069 im Webinterface deaktiviert, aber Port 8089 ist immer noch fürs Internet freigegeben.
(/internet/providerservices.lua)
Das schafft nicht gerade Vertrauen.
(/internet/providerservices.lua)
Das schafft nicht gerade Vertrauen.
Zuletzt bearbeitet:
Das keine Reaktion darauf kam, bedeutete möglicherweise bei älteren FWs nicht, das sie nicht über Port 443 kompromittiert werden konnten (siehe Bezug zum Thread-Titel).
Und der für mich interessante Teil des Wiki-Zitates ist:
Zuletzt bearbeitet:
Ich glaube, die Diskussion dreht sich im Moment im Kreis. Was nützt die beste Firewall, wenn das Einfallstor das Webinterface ist, was ich aber zum Konfigurieren benötige. Ich rede jetzt nicht von der Fernwartung, sondern ganz normal aus dem Heimnetz heraus.
Genau darum geht es - wenn ich den gesamten Zugriff auf die Box selber, also abhängig von IPs (lokale oder Inet), Ports, Protokollen, ggfs. MACs, Tageszeiten usw. stark beschränken könnte bzw. ein Teil dieser Einschränkungen seitens AVM schon via iptables im Auslieferungszustand eingebaut wäre, hätte sich das Problem evtl. nicht so weit verbreitet. Mir ist klar, daß sich hier die Katze irgendwann in den Schwanz beißt - irgendeinen Zugriff auf die Box sollte der "gute" User ja noch haben.
Allerdings scheint der Schutz der Boxen in den alten FWs eben nicht so weitreichend gewesen zu sein.
Allerdings scheint der Schutz der Boxen in den alten FWs eben nicht so weitreichend gewesen zu sein.
Dass keine Reaktion kam, bedeutete gar sicher, das sie nicht über Port 443 von außen kompromittiert werden konnten. Wohl aber über Port 80 von Innen.
Ich habe schon mehrfach geschrieben, was ich von den Aussagen in dem Wiki Artikel halte. Ich habe es heute selbst überprüft, wenn Du also nicht eine konkrete Firmware hast, wo Du zu anderen Ergebnissen kommst, brauchst Du mir nicht mit irgend einem Wiki Artikel zu kommen, selbst wenn er auf der Freetz Seite steht. Übrigens implementiert dsld die AVM Firewall, von daher kann man die Aussage umformulieren als "AVM Firewall als einzige Hürde".
Neueste Beiträge
-
[Frage] Freetz-ng auf 7590 AX oder 7690?- Letzte: BenGurion_
-
[Sammlung] FRITZ!Smart Gateway - Labor/Inhaus 7.90 (Zyklus 'Smart24P1')- Letzte: Ralf-Fritz
-
[Sammlung] AVM-Gateway-kompatible Zigbee-Geräte
- Letzte: zorro neu
