Kein "Backdoor"-Vorwurf, eher grundsätzliche Kritik mit dem Versuch einer Begründung
tl;dr:
AVM ist eine Firma wie jede andere auch, die in ihre Firmware auch nur das investiert, was sie muß. Gewinnstreben und -optimierung kann man einer Firma am Markt nicht vorwerfen, aber glorifizieren muß man AVM für das Verhalten gegenüber den Kunden auch nicht.
Auch wenn einige Adepten das sicherlich als Majestätsbeleidigung ansehen werden ...
mit Backdoors austrickst.
Als "Backdoor" würde ich es nicht gleich bezeichnen, auch wenn natürlich die Möglichkeiten per TR-069 schon weitgehend sind. Wie weit das wirklich ist, weiß man ja leider nicht genau ...
Bei TR-069 kommt dann wohl noch hinzu, daß offenbar auch AVM automatisch davon ausgeht, daß der ACS-Server des Providers - wenn er denn per gepinntem Zertifikat authentifiziert ist - schon "nichts Böses" machen wird. Bis zum Vortrag auf der DefCon hatte man ja auch immer nur die Sicherheit der CPEs im Auge, den Server hat jeder - genau wie AVM - als sicheren Hafen angesehen.
Mir persönlich stinkt aber auch einfach die Informationspolitik von AVM an diesen Stellen (es gibt schlicht keine Auskunft) und das - in meinen Augen - generell mangelnde Sicherheitsbewußtsein.
Früher gab es quasi per Ukas keine Sicherheitsprobleme mit der AVM-Firmware (von peinlichen UPnP-Pannen ohne große Auswirkungen mal abgesehen), seit dem Schock am Anfang des Jahres hat man offenbar eingesehen, daß man etwas tun muß und es geht ja auch in die richtige Richtung. Für meinen Geschmack noch zu inkonsequent, aber das ist meine persönliche Meinung ...
Aber AVM ist (wie andere Anbieter auch, aber vom Marktführer in D darf man eben auch etwas mehr Umsicht erwarten) beim Sicherheitsbewußtsein irgendwo auf dem Stand vor 8-10 Jahren geblieben, als man das LAN noch als sicheren Hort ansehen konnte und sich nur gegen Angriffe aus dem bösen Internet abschirmen mußte. Auch die erste Reaktion am Anfang des Jahres (einfach Fernwartung ausschalten und alles ist gut) zeigte deutlich, daß man sich der Probleme, die aus einer veränderten Endgeräte-Landschaft entstehen, gar nicht so richtig bewußt ist.
Heutzutage gibt es aber praktisch in jedem Haushalt (Ausnahmen eingeräumt, es geht um's Prinzip) auch andere Geräte, die sich einer FRITZ!Box eben von der LAN-Seite nähern können und damit wird die Absicherung auf dieser Seite genauso wichtig, wie die Absicherung zum Internet hin. Dabei ist es egal, ob der Angriff aus dem LAN von einem gerooteten Smartphone/Tablet oder von einem gekaperten NAS (der letzte Synology-Coup ist ja noch nicht lange her, auch wenn da wohl die Besitzer geschlafen haben) ausgeht ... die FRITZ!Box könnte (ich behaupte sogar, sie müßte) ihrerseits wesentlich bessere Vorkehrungen gegen Angriffe von innen treffen.
Und ein Angriff auf die FRITZ!Boxen lohnt sich eben in D richtig ... wenn die publizierten Zahlen zur Marktdurchdringung stimmen. Dank sehr monolithischer Konstruktion der Firmware läßt sich auch fast jede gefundene Lücke dann auf allen aktuellen FRITZ!Box-Modellen ausnutzen. Das ist schon ein wesentlicher Unterschied zu anderen Anbietern, wo erstens der "Gewinn" durch das Kapern eines bestimmten Routermodells nicht so riesig ist und wo auch eine weitaus größere Vielfalt an unterschiedlichen Firmware-Versionen im Einsatz ist. Wenn mal ein Problem in einer Cisco-Firmware (Linksys) auftritt (die das dann allerdings wesentlich langsamer beseitigen als AVM das getan hat), dann sind davon 5-6 Modelle betroffen (aus einer riesigen Produktpalette), die in D vielleicht 1-2 Prozent Marktanteil haben, bei anderen Herstellern ist es sicherlich ähnlich (ich sag nur Port 32764).
Und sorry Leute, wer wirklich denkt, daß AVM die schnellen Fixes für die Sicherheitslücke Anfang des Jahres nur deshalb bereitgestellt hat, weil sie das Wohl ihrer Nutzer im Auge hatten, der glaubt auch an St. Claus und ähnliche Dinge. Ohne den Druck der Provider (spez. 1&1 + Kabelprov., die die Boxen als "ihre" betrachten oder diese dem Kunden "verkauft" haben und damit auch den Ärger hätten) und ohne die immer mehr zunehmende Berichterstattung in der Presse in D hätte sich da auch noch eine Weile nichts getan.
Wer das nicht glauben will, braucht sich bloß die Zeitlinie vom Aufkommen des ersten Verdachts (da waren noch gestohlene Mail-Adressen und Kennwörter im Gespann mit dummen Nutzern, die diese Daten auch in der FB verwendeten, schuld) bis zum Eingeständnis des Problems ansehen. Daß man dann - nachdem das Problem erkannt und behoben war - auch noch ältere Boxen mit Updates versorgt hat, konnte ja nur gut sein für das etwas ramponierte Image. Das ist auch definitiv als Pluspunkt zu verbuchen; daraus aber eine "Heldenverehrung" abzuleiten, ist etwas naiv in meinen Augen. Wenn AVM bei einem der größeren Provider in Ungnade fällt, dürfte die Arbeitsagentur hier in Berlin deutlich mehr Kunden verzeichnen und daß man da dann auch entsprechende Initiative zeigt, ist doch eigentlich logisch.
Mir kommt das wie gefährliche überhebliche Anmaßung von selbsternannten (Markt-) Führern und Dienern fremder Interessen vor.
Auch soweit würde ich nicht gehen wollen ... aber in Anbetracht der neuen Aufgaben, die AVM ihren Geräten auferlegt, würde ich schon von einer gefährlichen Gleichgültigkeit gegenüber neuen Risiken sprechen.
Wenn jemand (ich weiß, daß das selbstverständlich niemand tun würde) das Inhalationsgerät vom Opa über eine DECT-Steckdose von AVM anschließt (wer es weniger plakativ will, nimmt einfach ein anderes Gerät, was auch potentiell gefährlich sein kann) und sich dann wundert, wieso dieses Gerät immer wieder von alleine ein- und/oder ausschaltet, dann kann das eben auch ein fremder Zugriff über das Internet sein, entweder über ein Relay im LAN oder nach dem erneuten Ausspähen von Zugangsdaten.
Ich habe bei diesem Gedanken immer eine Szene aus "The Big Bang Theory" vor Augen, wo sich die Nerds davon begeistern lassen, daß jemand aus China über das Internet bei ihnen das Licht ein- und ausschaltet. Das ist sicherlich spaßig, solange man das so haben will ... ansonsten ist es einfach gefährlich.
Und wer jetzt der Meinung ist, daß potentiell gefährliche Geräte nicht an eine solche steuerbare Stromquelle gehören, der hat meine volle Zustimmung ... allerdings sehen das Industrieanlagen-Hersteller (auch wenn AVM keiner ist) schon anders ... das Läuten der Kirchenglocken über SPS ist ja noch ein harmloses Beispiel.
Und was die Kunden so mit ihrer HA machen wollen, kann AVM auch nicht beeinflussen ... höchstens die Karten deutlich auf den Tisch legen und die potentiellen Risiken auch ihren Kunden klarmachen. Aber da wird eher mit einem per DECT-Steckdose angeschlossenen Kaffeeautomaten geworben ... zumindest auf Fotos in der Produktseite. Und es wird mit der "sicheren Verbindung" geworben, was sicherlich nicht einmal gelogen ist, denn die Verbindung zwischen der FB und der Steckdose ist (wahrscheinlich) wirklich sicher. Der Angriff kommt von einer ganz anderen Stelle.
Und da stinkt es eben zum Himmel, wenn AVM es auch heute noch durchgehen läßt, daß der Benutzer sich bei der Ersteinrichtung der Box gegen ein Kennwort für das GUI entscheidet. Wenn es wirklich (in Ausnahmefällen) notwendig sein sollte, die Box von innen ohne verschlüsselte Verbindung (einfach durch redirect und per STS-Header zu erzwingen bei jedem modernen Browser) und ohne Eingabe eines Kennworts zu erreichen, dann muß der Aufwand für die Einrichtung dieses unsicheren Szenarios so hoch sein (z.B. durch nachträgliche und umständliche Änderung der sicheren Anfangseinstellungen), daß sich Lieschen Müller gar nicht erst dazu durchringen kann.
Wie gesagt, Absicht unterstelle ich AVM dabei eigentlich in den seltensten Fällen, nur Gedankenlosigkeit und den fehlenden Blick über den Tellerrand, gepaart mit dem Verharren auf den Erkenntnissen/Erfolgen vergangener Zeiten.
Wobei die SSL-Geschichte (nur noch das "geknackte" RC4 in den offiziellen Releases seit der IFA 2013) mich schon nachdenklich gemacht hatte ... aber so konnte man wenigstens die (magere) TLSv1.2-Unterstützung in 06.20 als "neues Feature" feiern, während Versionen < 06.xx sogar richtig AES mit DHE konnten. Daß alle anderen Boxen mit der letzten Release-Version seit einem knappen Jahr nur noch mit der unsichersten SSL-Verschlüsselung arbeiten - die man überhaupt als solche bezeichnen kann, die alten "Export"-Versionen zähle ich da nicht zu - interessiert komischerweise bei AVM offenbar niemanden und auch die Kunden greifen weiter mit ihrem Smartphone-Apps fleißig über das Internet auf ihr NAS zu, ohne sich darüber Gedanken zu machen, wer dabei dank schwächster Verschlüsselung alles mitlesen kann.
Und daß AVM potentielle sowie tatsächlich aufgetretene Sicherheitsprobleme herunterspielt, ist auch vollkommen natürlich ... auch wenn es nicht immer so blamabel und offensichtlich ist, wie in
diesem Interview. Wenn da der Produktmanager behauptet: "Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat." und man sich die Natur der Lücke ansieht, dann kann man eigentlich nur noch mit dem Kopf schütteln oder den Mann zu seiner offensichtlichen Ahnungslosigkeit (sicherlich nur wegen mangelnder Information seitens der Programmierer) beglückwünschen. Es reichte bekanntlich vollkommen aus, durch einen simplen Schreibfehler (z.B. bei einem Variablennamen in einer Interpretersprache oder einer Linux-Shell) einen Parameter
nicht richtig anzugeben ... und dann mußte man sich nur noch das eher unerwartete Ergebnis eines solchen Aufrufs genau ansehen. Wenn da wirklich jemand die Mühe einer Suche nach dieser Lücke auf sich genommen haben sollte, fresse ich den sprichwörtlichen Besen. Das soll aber nicht heißen, daß sich die Suche nicht auch heute noch lohnen würde ... trotz der vier Sicherheitsfirmen, die laut Interview die Entwicklung ja ständig monitoren.
Zur Projektidee:
Ohne Zusammenarbeit mit AVM wird da gar nichts gehen. Die essentiellen Teile der Firmware, die eine FRITZ!Box von einem OpenWRT-Router unterscheiden, sind nun einmal "closed source" und die dort eingebauten Probleme schleppt man automatisch auch in eigene Firmware-Images mit.
Mit "freetz" gibt es eigentlich schon alles, was geht ... jeder weitere Schritt verliert Funktionen, die die FRITZ!Box erst zu dem machen, was sie ist.
Ich hoffe ja immer noch darauf, daß AVM irgendwann mal richtig ernst macht mit der neuen Sicherheitsphilosophie (und nicht nur die interessierten und kompetenten Anwender aussperrt wie im Moment) und sich generell auf den Hosenboden setzt, um die Architektur zu überdenken und zu überarbeiten. Dann noch eine offene Informationspolitik (mit Ticketsystem und Forum beim Hersteller) und alles wäre in meinen Augen in Ordnung ... ob ich das vor der Rente noch erlebe (sind nur noch 17 Jahre), will ich heute nicht prognostizieren.
Bisher sehe ich - aus meinem beschränkten Blickwinkel heraus - leider meist nur Änderungen/Verbesserungen, die der "Markt" (in Gestalt der OEM-Kunden) diktiert oder die die Einführung neuer AVM-Produkte unterstützen. Insofern verstehe ich das bei vielen AVM-Anwendern auftretende Phänomen der "Anbetung" des Herstellers (nur Apple-Kunden sind ähnlich schlimm) auch nicht. Niemand kann AVM einen Vorwurf machen, wenn sie eine Produkt-/Update-Politik betreiben, die ihren Verkaufszahlen zugute kommt ... aber das dann auch noch als "einzigartig" und "bewundernswert" zu feiern, dafür fehlt mir wieder das Verständnis.
Die netten Gimmicks, die hier im "Verbesserungen"-Thread aufgeführt werden und teilweise von AVM auch umgesetzt wurden, waren (m.E.) immer auch mit einer Verbesserung der Verkaufschancen für die Boxen an Provider verbunden. Ein prominentes Beispiel wäre z.B. die Unterstützung der UMTS-Sticks. Hier aufgekommen und - mit OSS - umgesetzt in freetz, wurde es von AVM (in closed source) übernommen und damit bot sich den Providern dann bei einer FRITZ!Box die Möglichkeit, bis zur Schaltung des DSL-Anschlusses diese "Sofort-Start"-Pakete anzubieten. Wenn die Provider es nicht wollen (oder sogar aktiv dagegen sind, bestes Beispiel ist wohl die 6490), wird es auch nicht umgesetzt. Ein Beispiel dafür wäre wieder die SMS-Funktion bei angeschlossenem Mobilfunk-Stick. Oder man nehme das WebDAV-Laufwerk (1&1-Onlinespeicher läßt grüßen, der ist auch älter als die Funktion im FRITZ!OS) oder irgend eine andere Funktion.
SIP-Integration -> hier wird wohl niemand bestreiten, daß da AVM nicht nur den ISDN-Nutzer im Sinn hatte, der zusätzlich einen SIP-Account nutzen wollte; ohne SIP würde AVM heute wohl nicht eine Box mehr verkaufen
WLAN-Repeater -> N/G, 300E, usw.
DECT-Basis -> FRITZ!Fon, FRITZ!DECT 200
KiSi -> CyBits rausgedrängt aus dem Geschäft
(ich würde die Liste fortsetzen, aber mir fällt kein "großer Wurf" mehr ein)
Und wenn man dann zurückblickt, bis zu welchen Modellen es die "neuen Funktionen" jeweils gibt ... dann ergibt sich eigentlich immer eine Korrelation zwischen dem EOS eines Produktes und seiner Fähigkeit, die neuen Geräte in ihren Verkaufschancen zu fördern.
Selbst wenn eine 7270v2 (die ist schon EOS) eigentlich - bei den heutigen Life-Cycles elektronischer Geräte - schon Asbach ist: Solange die Anschaffung eines neuen Routers im preislichen Bereich von 3 DECT-Steckdosen beginnt, werden sicherlich einige Leute für ihre 7270v2 auch heute noch Steckdosen anschaffen (der Router ist ja ohnehin schon da) und sich dann beim Ersatz des Routers in der "Update-Falle" wiederfinden, weil DECT-HA außer AVM wohl eigentlich niemand betreibt.
Was passiert, wenn eine Funktion AVM nichts mehr bringt, können einem die FHEM-Benutzer auch erzählen ... und der "Sicherheitsaspekt" (sprich die ausgebaute debug.cfg) kann nur ein Grund sein, daß es nicht mehr unterstützt wird. Diesen Teil (bei Vorhandensein) von einem anderen Skript starten zu lassen und ggf. in eine chroot-Umgebung zu sperren, damit der Rest der Firmware von dort laufenden Skripten nicht beeinflußt werden kann, ist nun wirklich kein Hexenwerk ... man muß es nur seitens der Produktpolitik auch wollen. Jede nicht bedienbare FS20-Steckdose ist eben auch eine potentiell verkaufte FRITZ!DECT 200 ... und nun sage mir niemand, es gibt da keinen Zusammenhang.
Auch die Verfahrensweise, wenn irgendwann die alte Technik keinen Platz mehr für die neuen Ideen bietet, kann man leider an der 7390i bewundern. Da wurde wegen Speichermangels im Flash dann eben bei der 06.xx nicht etwa auf AHA verzichtet, um dem Nutzer trotzdem die Vorteile der neuen Benutzerverwaltung zugute kommen zu lassen ... nein, es wurde einfach der Samba-Server (die einzige "native" Möglichkeit zum Speichern von Dateien auf dem NAS von einem Windows-Client aus) rausgeworfen.
Ich möchte nicht wissen, wieviele internationale Boxen die Home-Automatisierung wirklich benutzen ... das Fehlen des Samba-Servers (der dank Benutzerverwaltung endlich sinnvoll wurde) bemerkten dann aber doch so viele Anwender, daß AVM sich offenbar genötigt sah, das Sicherheitsupdate für eine alte Firmware (ohne Benutzerverwaltung, aber mit SMB-Server) für die 7390i dann doch noch irgendwann (mehrere Wochen später) anzubieten. Aber auch heute noch ist diese Version auf dem FTP-Server auf normalem Weg nicht zu finden und wird wohl nur von AVM bei Bedarf an den Kunden herausgegeben (wenn der genug Ärger macht).
Mal wieder zum großen Teil OT, aber bekanntlich ist ja der Vortrag des Redners Glück ...
Obwohl ich vermute, dass man als normaler User wenig dagegen machen kann, als von einem sicheren Router zum anderen zu Springen
