"Angriffe" auf die FritzBox

....bei mir auch von 45.128.199.230....
 
Ich habe nur wireguard und ipsec Ports offen. Was ist die Anwendung für einen login an der Box?
 
Diese Liste wird ja sicherlich gepflegt/upgedatet werden durch Nutzerdaten, sonst macht sie keinen Sinn. Spätestens da kommt die DSGVO ins Spiel, die eine Zustimmung des Nutzers erfordert, wenn dessen Daten zu AVM gehen.
Und da vielleicht AVM Boxen rumstehen, und deren Daten, von ihren eigene Boxen, sammeln sie ein.

Was wäre ein DGSVO-Verstoß. wenn sie auch Kunden gefragt hätten, ob sie diese Liste haben könnten?
 
  • Like
Reaktionen: 285er
Und da vielleicht AVM Boxen rumstehen, und deren Daten, von ihren eigene Boxen, sammeln sie ein.
Höchst unwahrscheinlich, denn diese Boxen haben andere IPs bekommen und sind daher niemals vergleichbare Angriffsziele wie z.B. meine Boxen.
Was wäre ein DGSVO-Verstoß. wenn sie auch Kunden gefragt hätten, ob sie diese Liste haben könnten?
Ein DSGVO-Verstoß wäre es nicht, wenn das Einverständnis vorher abgefragt und dem zugestimmt wird. Ich kann mir auch sehr lebendig vorstellen, dass der hier nicht lesende Unbedarfte den Haken auch einfach setzt, ohne sich tiefergehende Gedanken über die entstehenden Möglichkeiten und deren möglichen Missbrauch macht.

Ich gehöre jedoch zu der Gruppe, die sich vielleicht auf Grund des Alters und/oder anderer Erfahrungen nicht einfach einen Bypass meines Internetverkehrs zu einem Wettbewerber aufmachen lässt. Solange ich nicht 100%ig weiß, wann/welche Daten abfließen, fällt dieser Weg aus.
Btw: AVM wollte auch die informationen über das unlängst aufgetretene Sicherheitsproblem nachliefern - leider ist mir der Fund dessen bisher nicht gelungen ;)

Zugegeben, dieser Mechanismus klingt wirklich reizvoll, wenn er denn sauber funktioniert und ich bin auch nicht grundsätzlich abgeneigt - jedoch müssen die Randbedingung ganz klar sein. Davon kann aber zurzeit IMO keine Rede sein.

Klar sollte hingegen schon sein, dass wir heutzutage mit ständigen auch nicht unbedingt gutartigen Fremdzugriffen aus dem Internet rechnen müssen - wenn man dann erstmalig bei der Suche nach dem Wort 'Kennwort' in seinem Syslog erkennen muss, dass eine fremde IP Zugriff auf den eigenen Router 'begehrte', bekommt man sicher große Augen und auch Adrenalinstöße; mit der Zeit erkennt man aber, dass lange Benutzer-Passworte und auch (etwas) kryptische Benutzernamen zusammen mit einem sehr hohen (!) https://-Port eine gute, alternative Möglichkeit darstellen, dem Begehr des Anrufenden die Tür vor der Nase zuzuschlagen. Im Extremfall schaltet man den Zugriff von außen ganz ab, sollte sich aber der eigenen Konsequenzen dafür im Klaren sein.

Schönen und sicheren Abend
Jürgen
 
  • Like
Reaktionen: Grisu_
gibt es eine Möglichkeit, dass diese Meldungen nicht in der Ereignisliste angezeigt werden, da sie ja keinerlei Bedeutung haben und nur als Information dienen?
es wäre doch gut eine Funktion zu haben, wo man die Anzeige der Meldungen an-/ausschalten kann - event. gibt es diese auch schon und ich hab sie noch nicht gefunden
 
Ein DSGVO-Verstoß wäre es nicht, wenn das Einverständnis vorher abgefragt und dem zugestimmt wird. Ich kann mir auch sehr lebendig vorstellen, dass der hier nicht lesende Unbedarfte den Haken auch einfach setzt, ohne sich tiefergehende Gedanken über die entstehenden Möglichkeiten und deren möglichen Missbrauch macht.
Bei AVM steht zu diesem Punkt:

* IP-Sperrlisten gegen unerwünschte Verbindungsversuche zu Ihrer FRITZ!Box können nun automatisch von AVM abgerufen und angewendet werden

Weshalb sollte der unbedarfte Nutzer sich Gedanken machen? er übermittelt keine Daten, er bezieht welche, die seine F!B auswertet.
So wie es mit der Anrufer-Sperrliste passiert, die man von verschiedenen Seiten beziehen kann.
 
Was ist die Anwendung für einen login an der Box?
Diverse AVM-Apps "von unterwegs", die ihrerseits Zugriff auf das TR-064-API benötigen?

Welche das bei einem selbst sind, kann man sich unter "System -> FRITZ!Box-Benutzer -> Apps" ansehen.

Und nein, das ist NICHT per se schon unsicherer als irgendwelche VPN-Verbindungen … denn die Gefahren sind exakt dieselben, denen eine Box auch bei einem TLS-gesicherten Zugriff auf das GUI aus dem LAN ausgesetzt wäre und dort würden (bei den allermeisten Boxen) sogar noch die Benutzernamen frei Haus geliefert, was von der WAN-Seite nicht der Fall sein sollte. Von ungesicherten HTTP-Verbindungen im LAN ganz zu schweigen …

Nur weil für andere Zugänge zur Box von AVM (noch?) keine weiteren Benachrichtigungen für potentielle "Angriffe" angezeigt werden, heißt das auch noch lange nicht, daß es keine gäbe - gerade dann, wenn diese Zugänge mit standardisierten Portnummern arbeiten. Und das trifft üblicherweise auch für AVM-Geräte bei diversen anderen Diensten (u.a. auch SIP, wo die umfangreichere Protokollierung die meisten Benutzer aber wohl verunsichern würde) zu, nur wurden diese im Laufe der Zeit auch immer weiter gehärtet, wobei der Umfang der Protokollierung eben immer eine Frage des Abwägens ist.

Erfolgreich abgewehrte Zugriffsversuche MÜSSTEN eigentlich nicht (für den durchschnittlichen Benutzer sichtbar) protokolliert werden, aber massive(!) (vergebliche) Zugriffsversuche SOLLTEN eben irgendwo vermerkt werden, auch wenn das dann bei ängstlicheren Naturen ein "unwohles" Gefühl auslösen mag.

Das gilt aber nicht nur für Geräte von AVM, wie man auch in der TR-03148 des BSI nachlesen kann: https://www.bsi.bund.de/SharedDocs/...R03148/TR03148.pdf?__blob=publicationFile&v=4 in Tabelle 6 auf Seite 21.
 
  • Like
Reaktionen: syncron
können nun automatisch von AVM abgerufen ... werden
Merkst du nicht die Zweideutigkeit?
Glaubst du ernsthaft, AVM hätte einen Wissensvorsprung über 'unfreundliche' Verbindungsversuche, wenn man die Masse der im Internet surfenden Fritzboxen dagegenhält? Und das 'Schwarmwissen' eben besagter Masse wird einfach unberücksichtigt gehalten?
er übermittelt keine Daten, er bezieht welche, die seine F!B auswertet.
Die Quelle für diese Aussage wüsste ich gerne
 
Irgendwo muss AVM ja die IP´s herbekommen, da ist es natürlich naheliegend, wenn die Daten von den eigenen Produkten gesammelt werden.

Bei der Einrichtung der Box wird man am Anfang abgefragt, ob Diagnosedaten an AVM gesendet werden dürfen. Evtl. werden hier diese erfolglosen Einlogversuche übermittelt, aufbereitet und für die Sperrliste verwendet, wenn man den Haken drin lässt.

Bei den Release FW kann man das deaktivieren, bei Labor oder Inhausversionen kann diese Funktion nicht abgeschaltet werden und ist immer aktiv!


1srhtjkuliöuitzlrukjzrther.jpg

Wenn man also bei der Einrichtung der Box den Haken drin lässt, gibt man seine Zustimmung, dass Daten übermittelt werden.
Ebenfalls stimmt man den Nutzungsbedingungen und Datenschutzerklärung bei der Laborversion zu, bevor man diese offiziell herunterladen kann.

2sdfhgjhjköläkö#.jpg

Somit sollte die DSGVO Vorgabe auch erfüllt sein.

Im Übrigen ist nach dem Einspielen der Laborversion diese besagte Sperrliste automatisch aktiviert...

Interessant wäre zu wissen, wenn man von der letzten Laborversion wieder zum neuen Release wechselt, ob diese Optionen dann aktiviert bleiben oder wie ursprünglich abgeschaltet werden.

Bei der Einrichtung habe ich generell den Haken dafür rausgenommen...
 
Glaubst du ernsthaft, AVM hätte einen Wissensvorsprung über 'unfreundliche' Verbindungsversuche,
Ja.
Wobei diese Nummern von AVM ja nicht bedeutet, dass sie diese aus anderen IP-Angriffsnummern-List nicht entnehmen.

Der Witz ist doch, dass du dort als IP-Adresse 0.0.0.0/0 eintragen könntest.
Wenn du keine Zugriff von Au0en zulässt, kann auch niemand mehr zugreifen, weil alle IPv4-Adressengeblockt würden.

Weshalb sollte sich AVM den Aufwand machen, diese nummern von jeder F!B, bei der das eingetragen ist, bei sich abfragen zu lassen? Da ist es einfacher, regelmäßig eine Datei bereit zu stellen, so wie es die Leute bei ihren SPAM-Listen machen.

Und zur DGSVO: glaubt du wirklich, es wird sich jemand beschweren, wenn seine IP auf der Liste steht?
"Herr Richter, meine Zugriff waren berechtigt, dass die meine persönliche IP, ohne mich zu fragen sperren, ist verboten"

Es wird nicht der Zugriff von der F!B auf die IP gesperrt, sondern von der IP auf die F!B
 
Außerdem bräuchten die FBen ja nur eine Liste der Absender-IPs an AVM übermitteln, die erfolglos einzuloggen versucht haben.
Dazu braucht es keinerlei Daten des FB-Nutzers (es genügt dabei zu wissen die Daten kommen von irgendeiner FB).
Und wenn sie eine Häufung einer IP an verschiedensten Boxen erkennen gemäß ihres Algorithmus, dann kommt die IP eben auf ihre Sperrliste.

Insofern stellt sich mir die Frage, inwieweit die DSGVO hier überhaupt zur Anwendung käme.

Da kommen jetzt sicher unzählige Gegenargumente, ist halt meine naive oder pragmatische Sichtweise dazu ...
 
Heute kein einziger "Angriff" ... die "Angreifer" sind wohl schon im WoE :D
 
Nachdem jetzt ein paar Tage Ruhe herrschte, kam seit heute Früh ein neuer Mitspieler mit der IP 91.217.249.9 und 85.203.45.17.

Der Versuch erfolgte mehrmals mit dem Benutzernamen Sabrina und/oder sabrina... Ging ins leere.
 
Dann gib ihm halt mal eine Chance und richte einen User Sabrina ein. :cool:
 
  • Haha
Reaktionen: rerhafnhabu
Passwort-Vorschlag: 1#H75b[kbz";g&4_!=4W*Eh6eKLjd_CuQ5fYLFz)-)Y4I*k;db

Dann hat Sabrina was zu tun :p
 
Dann hoffe ich mal ...

... dass jetzt nicht Hunderte Millionen Betreiber eines im Internet erreichbaren beliebigen Servers jetzt hier ihre Erfahrungen über das ganz normale "Rauschen des Internets" posten.

Das, was hier überhaupt bemerkt wird, sind die Aktionen von Scriptkiddies, welche sich aus dem Netz eines der vielen Tools heruntergeladen haben, welche die Erreichbarkeit bestimmter Ports über eine bestimmte IP-Range automatisch abklopfen. Antwortet einer der Ziele, werden Listen der "beliebtesten" Benutzernamen angewendet und sollte dann ein Treffer erfolgen und das Passwort abgefragt werden, dann kommt zuerst eines nach dem anderen aus einer der vielen Passwortlisten und möglicherweise auch ein Passwortgenerator zur Anwendung.
Das ist leider "ganz normal" und für uns als private Nutzer auch kaum zu vermeiden.

Das einzige, was wir dagegen tun können, ist die Anwendung von Passwörtern, welche diesen Namen wirklich verdienen.
Und es ist auch keinesfalls verboten, dieses (IMHO wichtigste Passwort eines privaten Netzes) ab und an mal zu wechseln.
Und es ist auch kaum zu erwarten, dass die Hersteller dieser Router moderne Auth.-Verfahren wie 2FA gleich beim Login oder gar Passkey usw. zur Anwendung bringen. Das würde den bequemen Otto-Normal-User abschrecken und zu ökonomischen Verlusten führen.

Selbstverständlich hat ein "Plastikrouter" garantiert irgendwelche Schwachstellen, welche für einen Angriff ausgenutzt werden können. Aber allein die eingebaute immer länger werdende Verzögerung bei Fehlversuchen und auch die rudimentäre 2FA sind schon gute Möglichkeiten, diese Spielmatzen auszubremsen.

BTW: Einen von erfahrenen und gut ausgebildeten Angreifern durchgeführten Angriff (der mit hoher Wahrscheinlichkeit nicht auf eine private F!B erfolgt), dürften die wenigsten von uns überhaupt bemerken.

vy 73 de Peter

(sorry für eine, nicht dem Mainstream entsprechende Meinung)
 
  • Like
Reaktionen: zorro0369 und stoney
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.