Wenn man sowas nicht knallhart durchzieht, passiert auch überhaupt nichts. Und wenn einer einen Exploit finden kann, kann man davon ausgehen, dass es andere genauso können. Eine Nichtveröffentlichung verschafft also auch "unliebsamen" Nutzern der Lücke die Gelegenheit sie zu nutzen.
[Erledigt] Disclosure or no disclosure?
- Ersteller PeterPawn
- Erstellt am
Blackace
Mitglied
- Mitglied seit
- 27 Aug 2008
- Beiträge
- 430
- Punkte für Reaktionen
- 54
- Punkte
- 28
Alles andere als veröffentlichen macht nun eh keinen sinn mehr, da hier sicherlich auch leute mit lesen die nun darauf gebracht wurden und selbst schon ordentlich am suchen sind, ist also eh nur eine frage der zeit bis die richtigen es rausbekommen durch den ganzen wirbel hier...
Blackace
Mitglied
- Mitglied seit
- 27 Aug 2008
- Beiträge
- 430
- Punkte für Reaktionen
- 54
- Punkte
- 28
So wars es nicht gemeint, verstehe das "gelaber" darüber nur net. avm gehört einfach mal ordentlich vors haus geschissen mit den mistigen firmwares, die sie zur zeit abliefern. (auch wenn ich die probleme nicht habe)
bei anderen firmen gehts doch auch
bei anderen firmen gehts doch auch
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Um es deutlich zu schreiben ... das ist "nur" eine Möglichkeit für DoS (also das "Außerbetriebnehmen" einer fremden Box). Damit ist keine Ausführung fremder Befehle oder gar fremder Programme auf einer FRITZ!Box möglich - eine derartige Lücke hätte ich bereits nach den erwähnten 90 Tagen offengelegt, wobei es dazu meiner Ansicht nach gar nicht erst kommen dürfte. Bei so einer Lücke würde ich dann nämlich tatsächlich davon ausgehen, daß sie von AVM (schon im eigenen Interesse) umgehend geschlossen wird, bevor der Nächste sie entdeckt und sie dann ausgenutzt wird.
Einen Aspekt habe ich vielleicht auch noch nicht aufgezeigt, der für mich allerdings ebenfalls eine Rolle spielt ... was passiert eigentlich, wenn man eine derartige Lücke an AVM meldet, sich auf die "übliche Vorgehensweise" vertrösten läßt und dann kommt tatsächlich der nächste Sicherheitsforscher (ich tue mich mit dieser Bezeichnung immer etwas schwer, aber im Deutschen gibt es wohl nichts anderes für "security researcher", weil "Sicherheitsuntersucher" eher unüblich bis falsch ist und "Sicherheitsinspektor" eher einen "amtlichen" Charakter hat) daher, entdeckt dieselbe Lücke und macht sie (über das Darknet, also nicht zurückverfolgbar) bei einem Broker zu Geld. Dann sähe man sich sicherlich als der erste "Finder" auch dem Verdacht ausgesetzt, man wäre nun auch dieser "Unbekannte", der das an anderer Stelle ausnutzt und schon unter diesem (zusätzlichen) Aspekt ist es eben "nicht in Ordnung" von AVM, wenn man das Beheben gemeldeter Sicherheitsprobleme auf die lange Bank schiebt und damit den (ehrlichen) Finder, der seinerseits tatsächlich verantwortungsvoll handeln will (und handelt, denn er nutzt die weder selbst aus noch "verkauft" er sie an andere), dieser "Gefahr" (in einen solchen Verdacht zu geraten) aussetzt.
Die Diskussion, wie weit man mit einer Veröffentlichung - durch die Information auch von "bad guys" - zum Ausnutzen solcher Probleme beiträgt oder nicht (die wird ja dann in erster Linie von Herstellern wie AVM gerne geführt in dem Bestreben, eine Veröffentlichung so weit wie möglich hinauszuschieben, am besten bis zum jüngsten Gericht), die führe ich auch nicht mehr ... gäbe es die Lücke gar nicht erst (der primäre Fehler ist deren bloße Existenz und schon der fällt i.d.R. nicht in den Verantwortungsbereich des Finders) oder wäre sie rechtzeitig durch den Hersteller geschlossen worden und die Kunden hätten dank passender Information so ein Update auch installiert (auch MS kann die Kunden nicht "zwingen", ein Update zu installieren), dann müßte man auch keine Diskussion darüber führen, weil so ein "bad guy" sie dann gar nicht mehr ausnutzen könnte.
Der umgekehrte Fall, daß ein "bad guy" so ein Problemnicht auch alleine entdecken könnte, ist eben gerade nicht ausgeschlossen und damit ist es schon ein sehr fragwürdiger "Schachzug" eines jeden Herstellers, wenn er die Verantwortung für ggf. entstehende Schäden (sogar bei "full disclosure" ist das für mich fragwürdig, erst recht bei einem Angebot für "coordinated disclosure" seitens eines Finders) dann dem Finder "unterschieben" will. Meines Wissens ist die Praxis, den Überbringer einer schlechten Nachricht zu hängen, nicht mehr so üblich, wie das in früheren Zeiten der Fall gewesen sein mag und anstatt die Schuld auf jemand anderen zu schieben, sollte man lieber über den eigenen Anteil an dem Problem (es ist ein eigener Fehler und der wird durch "Aussitzen" nicht ungeschehen gemacht) nachdenken.
Einen Aspekt habe ich vielleicht auch noch nicht aufgezeigt, der für mich allerdings ebenfalls eine Rolle spielt ... was passiert eigentlich, wenn man eine derartige Lücke an AVM meldet, sich auf die "übliche Vorgehensweise" vertrösten läßt und dann kommt tatsächlich der nächste Sicherheitsforscher (ich tue mich mit dieser Bezeichnung immer etwas schwer, aber im Deutschen gibt es wohl nichts anderes für "security researcher", weil "Sicherheitsuntersucher" eher unüblich bis falsch ist und "Sicherheitsinspektor" eher einen "amtlichen" Charakter hat) daher, entdeckt dieselbe Lücke und macht sie (über das Darknet, also nicht zurückverfolgbar) bei einem Broker zu Geld. Dann sähe man sich sicherlich als der erste "Finder" auch dem Verdacht ausgesetzt, man wäre nun auch dieser "Unbekannte", der das an anderer Stelle ausnutzt und schon unter diesem (zusätzlichen) Aspekt ist es eben "nicht in Ordnung" von AVM, wenn man das Beheben gemeldeter Sicherheitsprobleme auf die lange Bank schiebt und damit den (ehrlichen) Finder, der seinerseits tatsächlich verantwortungsvoll handeln will (und handelt, denn er nutzt die weder selbst aus noch "verkauft" er sie an andere), dieser "Gefahr" (in einen solchen Verdacht zu geraten) aussetzt.
Die Diskussion, wie weit man mit einer Veröffentlichung - durch die Information auch von "bad guys" - zum Ausnutzen solcher Probleme beiträgt oder nicht (die wird ja dann in erster Linie von Herstellern wie AVM gerne geführt in dem Bestreben, eine Veröffentlichung so weit wie möglich hinauszuschieben, am besten bis zum jüngsten Gericht), die führe ich auch nicht mehr ... gäbe es die Lücke gar nicht erst (der primäre Fehler ist deren bloße Existenz und schon der fällt i.d.R. nicht in den Verantwortungsbereich des Finders) oder wäre sie rechtzeitig durch den Hersteller geschlossen worden und die Kunden hätten dank passender Information so ein Update auch installiert (auch MS kann die Kunden nicht "zwingen", ein Update zu installieren), dann müßte man auch keine Diskussion darüber führen, weil so ein "bad guy" sie dann gar nicht mehr ausnutzen könnte.
Der umgekehrte Fall, daß ein "bad guy" so ein Problem
Zuletzt bearbeitet:
Peter, Asche auf mein Haupt. Ich haette nur Beitrag #1 noch genauer lesen muessen.
Wenn das so ist, dann raus damit. Meine abgegebene Stimme ist hinfaellig.
Sollte doch irgendwo ein DoS-Angriff einschlagen, dann trifft es nur AVM-Kunden ohne aktuellste Firmware auf der Fritzbox. Deren Klagelied wird nur in Richtung AVM gehen. Also genau das richtige Ziel.
LG, Goggo
Da muss ich als Admin des Forums die Frage stellen, warum Du das als "Sicherheitsberater" hier ausdiskutierst, und das Forum für Deine Zwecke benutzt?
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
@foschi:
Wenn meine Beweggründe dafür aus den bisher geschriebenen Beiträgen nicht ersichtlich sind oder es konkrete Fragen geben sollte (#49 sehe ich nicht als eine solche) und ich diese nicht beantworten kann, dann ist es vielleicht erforderlich, diesen Thread zu schließen, vielleicht gar zu löschen.
Wenn das tatsächlich als "Mißbrauch" des Forums angesehen wird, eine solche Diskussion hier zu führen oder deren Notwendigkeit oder gar deren Legitimität in Frage zu stellen ist, dann liegt es in der Verantwortung der Administration (und selbstverständlich auch in deren Belieben), dieses zu unterbinden.
Wenn es gar nicht um die Frage geht, ob man das überhaupt diskutieren muß und der Kern sich auf das "muß das hier sein" reduzieren läßt, bin ich für Vorschläge bzgl. alternativer Plattformen, die sich ähnlich intensiv mit den betroffenen Geräten befassen, durchaus offen. Hier dürfte sich im deutschsprachigen Raum das Gros der betroffenen Kunden versammeln, die sich überhaupt mit dem Thema "FRITZ!Box" befassen, daher erscheint mir die Wahl des IPPF als Plattform für eine solche Diskussion jetzt nicht so unüberlegt.
Alternativen in Form von Mailing-Listen wie "full disclosure" sind mir durchaus bekannt ... aber in meinen Augen nicht das richtige Forum und dort stellt sich die Frage dann gar nicht erst, "wie weit" man gehen sollte - da gehört der PoC zur Meldung dazu.
Wenn Du Deinerseits nur eine (von mir erbetene) Meinung zum Thema beisteuern wolltest, hätte ich den Passus "als Admin dieses Forums" vermutlich mißinterpretiert - wobei ich aus #49 auch Deinen eigenen Standpunkt zur aufgeworfenen Frage nicht entnehmen könnte (EDIT: dem Ergebnis der (namentlichen) Abstimmung nunmehr schon).
Wenn meine Beweggründe dafür aus den bisher geschriebenen Beiträgen nicht ersichtlich sind oder es konkrete Fragen geben sollte (#49 sehe ich nicht als eine solche) und ich diese nicht beantworten kann, dann ist es vielleicht erforderlich, diesen Thread zu schließen, vielleicht gar zu löschen.
Wenn das tatsächlich als "Mißbrauch" des Forums angesehen wird, eine solche Diskussion hier zu führen oder deren Notwendigkeit oder gar deren Legitimität in Frage zu stellen ist, dann liegt es in der Verantwortung der Administration (und selbstverständlich auch in deren Belieben), dieses zu unterbinden.
Wenn es gar nicht um die Frage geht, ob man das überhaupt diskutieren muß und der Kern sich auf das "muß das hier sein" reduzieren läßt, bin ich für Vorschläge bzgl. alternativer Plattformen, die sich ähnlich intensiv mit den betroffenen Geräten befassen, durchaus offen. Hier dürfte sich im deutschsprachigen Raum das Gros der betroffenen Kunden versammeln, die sich überhaupt mit dem Thema "FRITZ!Box" befassen, daher erscheint mir die Wahl des IPPF als Plattform für eine solche Diskussion jetzt nicht so unüberlegt.
Alternativen in Form von Mailing-Listen wie "full disclosure" sind mir durchaus bekannt ... aber in meinen Augen nicht das richtige Forum und dort stellt sich die Frage dann gar nicht erst, "wie weit" man gehen sollte - da gehört der PoC zur Meldung dazu.
Wenn Du Deinerseits nur eine (von mir erbetene) Meinung zum Thema beisteuern wolltest, hätte ich den Passus "als Admin dieses Forums" vermutlich mißinterpretiert - wobei ich aus #49 auch Deinen eigenen Standpunkt zur aufgeworfenen Frage nicht entnehmen könnte (EDIT: dem Ergebnis der (namentlichen) Abstimmung nunmehr schon).
Zuletzt bearbeitet:
Nomax2000
Mitglied
- Mitglied seit
- 15 Jun 2008
- Beiträge
- 542
- Punkte für Reaktionen
- 16
- Punkte
- 18
Veröffentlichen.
Fehler passieren. Aber sobald ich Kenntnis davon habe, dann muss der Fehler beseitigt werden, oder eine gute Begründung geliefert werden warum es länger dauert.
Alles andere ist Bequemlichkeit.
Fehler passieren. Aber sobald ich Kenntnis davon habe, dann muss der Fehler beseitigt werden, oder eine gute Begründung geliefert werden warum es länger dauert.
Alles andere ist Bequemlichkeit.
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Nun weiß man ja nicht so 100%ig, wann AVM die Angaben dort für die 06.50 "nachgereicht" hat ... bemerkt wurde es m.W. das erste Mal hier: http://www.ip-phone-forum.de/showthread.php?t=280007&p=2197028
Vermutlich ist der neue Eintrag nun irgendwie auf das Erscheinungsdatum der 06.80 für die 7580 und 7560 "projiziert" (auch wenn es erst am 19.12.2016 "durch die Medien" ging) ... da wird man sich als 7490-Besitzer nun dran gewöhnen müssen, daß man nur noch "das alte Modell" besitzt und nicht mehr die Eckdaten dieser Firmware das Maß der Dinge sind.
Ich weiß (mangels Test) auch nicht, ob die 7580 und die 7560 mit der Auslieferungsfirmware noch anfällig waren ... rein zeitlich hätte das Problem - so es jemals bestand, ich werde mir nun gleich mal über 1&1 eine 7580 bestellen lassen, dort sollte sie lieferbar sein - tatsächlich auch in der 06.51 für die 7560 (Release-Firmware der ersten Boxen irgendwann gg. Ende Juli 2016, soweit ich das ermitteln konnte) und in der 06.51 der 7580 (irgendwann Mitte Juli, aber bereits in Form von Geräten, also wohl eher nicht mehr "in time" zu korrigieren) bereits gefixt sein können - zumindest spätestens in der 06.53 für die beiden Modelle, die Ende Sept. 2016 erschien.
Damit wäre das vermutlich noch etwas "diffus" bei der Einordnung bzgl. dieses Problems (#515119) gewesen und man hätte den Standpunkt vertreten können, daß diese beiden neuen Geräte nun nicht in die Kategorie derjenigen mit "reparierter Firmware" fallen und damit im Zusammenhang mit diesem "incident" auch nicht zu betrachten waren - zumindest dann, wenn das Problem bis zur 06.53 (rd. 2,5 Monate nach der Meldung an AVM) dann auch schon behoben war.
Erst durch das von Dir "entdeckte" Datum bin ich jetzt noch einmal so richtig darauf aufmerksam geworden, daß es gar nicht klar ist, ob die 75x0-Modelle von derselben Lücke betroffen gewesen wären (die Information von AVM über den Fix in der Labor-Reihe bei der 7490 kam am 21.10.2016 per E-Mail, die Meldung meinerseits stammte vom 02.07.2016) und daß tatsächlich bereits anstelle der 7490 die 06.80-Version für die beiden 75x0-Modelle die erste gewesen sein könnte, bei der das Problem dann auch offiziell behoben war (dafür muß es natürlich erst einmal bestanden haben bei diesen Modellen, damit es behoben werden konnte und das gilt es nun zu überprüfen).
Wäre das tatsächlich der Fall, dann hätte man bei AVM nicht die Benachrichtigung für das erste Modell mit dem Fix der Lücke an mich gesendet, sondern erst fünf Wochen später für das dritte - zwei Tage nach dem Erscheinen der Version für die 7490.
Ich hatte zwar Ende November im Zusammenhang mit diesem Problem vielleicht explizit die 7490 erwähnt (obwohl es auch für 7390 und 7412 von mir getestet und entsprechend an AVM gemeldet wurde) in meiner Nachfrage, wie es denn nun weitergeht bei dieser "Nummer" 515119 ... denn die 7490 war ja zumindest in den offiziellen Laborreihen immer noch das Modell, für welches zuerst eine 06.80 zu erwarten gewesen wäre.
Aber der Zusammenhang zu diesem Incident war sicherlich eher nicht zu verkennen (stand schon im Betreff der Nachfrage und ging auch aus dem Text eindeutig hervor) und anstatt der Mitteilung, daß die 7580 und die 7560 im Dezember wohl schon mit der 06.80 versorgt werden (die "Medien" berichteten wie gesagt über die 06.80 am 19.12.2016, da kam also offenbar etwas von AVM als Presseinformation) erhielt ich dann noch am 08.12.2016 die Information, daß ein Erscheinen im Dezember 2016 "für unwahrscheinlich gehalten wird" (wobei auch hier sehr genau auf die 7490 "geachtet" wurde in der Antwort und diese damit nicht einmal falsch war, was angesichts der vagen Angaben aber sicherlich auch beim Erscheinen der 06.80 für die 7490 am 10. oder 11.12.2016 gegolten hätte, selbst wenn das allen zuvor bei AVM angenommenen Wahrscheinlichkeiten vollkommen unerwartet zuwider gelaufen wäre).
Bisher ging ich noch davon aus (und tue das bis zur definitiven Feststellung, daß die 7580 ebenfalls betroffen war (bis einschl. 06.53) und das auch dort in der 06.80 bereits abgestellt ist (was man anhand der Timeline (Fix Ende Okt., Release Mitte Dez.) nunmehr annehmen muß), auch noch weiterhin), daß AVM wirklich korrekt und ehrlich, über die "Termine" und die "Änderungen" im Zusammenhang mit dieser Meldung meinerseits, informierte - das war praktisch der "Minimalstandard", den man erwarten durfte bzw. den ich erwartet hatte anhand der ausgetauschten E-Mails.
Nun bin ich ja doppelt neugierig geworden ... mal sehen, wie lange die 7580 braucht bis zu mir, die originale Firmware habe ich (als Recovery-Version) noch von der ersten Durchsicht im Juli des vergangenen Jahres und auch die 06.53 habe ich mir gut weggelegt.
Vermutlich ist der neue Eintrag nun irgendwie auf das Erscheinungsdatum der 06.80 für die 7580 und 7560 "projiziert" (auch wenn es erst am 19.12.2016 "durch die Medien" ging) ... da wird man sich als 7490-Besitzer nun dran gewöhnen müssen, daß man nur noch "das alte Modell" besitzt und nicht mehr die Eckdaten dieser Firmware das Maß der Dinge sind.
Ich weiß (mangels Test) auch nicht, ob die 7580 und die 7560 mit der Auslieferungsfirmware noch anfällig waren ... rein zeitlich hätte das Problem - so es jemals bestand, ich werde mir nun gleich mal über 1&1 eine 7580 bestellen lassen, dort sollte sie lieferbar sein - tatsächlich auch in der 06.51 für die 7560 (Release-Firmware der ersten Boxen irgendwann gg. Ende Juli 2016, soweit ich das ermitteln konnte) und in der 06.51 der 7580 (irgendwann Mitte Juli, aber bereits in Form von Geräten, also wohl eher nicht mehr "in time" zu korrigieren) bereits gefixt sein können - zumindest spätestens in der 06.53 für die beiden Modelle, die Ende Sept. 2016 erschien.
Damit wäre das vermutlich noch etwas "diffus" bei der Einordnung bzgl. dieses Problems (#515119) gewesen und man hätte den Standpunkt vertreten können, daß diese beiden neuen Geräte nun nicht in die Kategorie derjenigen mit "reparierter Firmware" fallen und damit im Zusammenhang mit diesem "incident" auch nicht zu betrachten waren - zumindest dann, wenn das Problem bis zur 06.53 (rd. 2,5 Monate nach der Meldung an AVM) dann auch schon behoben war.
Erst durch das von Dir "entdeckte" Datum bin ich jetzt noch einmal so richtig darauf aufmerksam geworden, daß es gar nicht klar ist, ob die 75x0-Modelle von derselben Lücke betroffen gewesen wären (die Information von AVM über den Fix in der Labor-Reihe bei der 7490 kam am 21.10.2016 per E-Mail, die Meldung meinerseits stammte vom 02.07.2016) und daß tatsächlich bereits anstelle der 7490 die 06.80-Version für die beiden 75x0-Modelle die erste gewesen sein könnte, bei der das Problem dann auch offiziell behoben war (dafür muß es natürlich erst einmal bestanden haben bei diesen Modellen, damit es behoben werden konnte und das gilt es nun zu überprüfen).
Wäre das tatsächlich der Fall, dann hätte man bei AVM nicht die Benachrichtigung für das erste Modell mit dem Fix der Lücke an mich gesendet, sondern erst fünf Wochen später für das dritte - zwei Tage nach dem Erscheinen der Version für die 7490.
Ich hatte zwar Ende November im Zusammenhang mit diesem Problem vielleicht explizit die 7490 erwähnt (obwohl es auch für 7390 und 7412 von mir getestet und entsprechend an AVM gemeldet wurde) in meiner Nachfrage, wie es denn nun weitergeht bei dieser "Nummer" 515119 ... denn die 7490 war ja zumindest in den offiziellen Laborreihen immer noch das Modell, für welches zuerst eine 06.80 zu erwarten gewesen wäre.
Aber der Zusammenhang zu diesem Incident war sicherlich eher nicht zu verkennen (stand schon im Betreff der Nachfrage und ging auch aus dem Text eindeutig hervor) und anstatt der Mitteilung, daß die 7580 und die 7560 im Dezember wohl schon mit der 06.80 versorgt werden (die "Medien" berichteten wie gesagt über die 06.80 am 19.12.2016, da kam also offenbar etwas von AVM als Presseinformation) erhielt ich dann noch am 08.12.2016 die Information, daß ein Erscheinen im Dezember 2016 "für unwahrscheinlich gehalten wird" (wobei auch hier sehr genau auf die 7490 "geachtet" wurde in der Antwort und diese damit nicht einmal falsch war, was angesichts der vagen Angaben aber sicherlich auch beim Erscheinen der 06.80 für die 7490 am 10. oder 11.12.2016 gegolten hätte, selbst wenn das allen zuvor bei AVM angenommenen Wahrscheinlichkeiten vollkommen unerwartet zuwider gelaufen wäre).
Bisher ging ich noch davon aus (und tue das bis zur definitiven Feststellung, daß die 7580 ebenfalls betroffen war (bis einschl. 06.53) und das auch dort in der 06.80 bereits abgestellt ist (was man anhand der Timeline (Fix Ende Okt., Release Mitte Dez.) nunmehr annehmen muß), auch noch weiterhin), daß AVM wirklich korrekt und ehrlich, über die "Termine" und die "Änderungen" im Zusammenhang mit dieser Meldung meinerseits, informierte - das war praktisch der "Minimalstandard", den man erwarten durfte bzw. den ich erwartet hatte anhand der ausgetauschten E-Mails.
Nun bin ich ja doppelt neugierig geworden ... mal sehen, wie lange die 7580 braucht bis zu mir, die originale Firmware habe ich (als Recovery-Version) noch von der ersten Durchsicht im Juli des vergangenen Jahres und auch die 06.53 habe ich mir gut weggelegt.
Zuletzt bearbeitet:
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Bekannt. ;-)
Aber "intern" ist ja noch nicht wirklich "Release" und ich habe AVM geglaubt (steht vermutlich auch irgendwo im Thread zur internen Version, wenn auch ohne "Quellenangabe" und nur als "wartet doch erst mal ab", als die ersten das schon für's nächste Wochenende einplanen wollten) - was die 7490 anbelangt ohnehin, das liegt aber u.a. auch daran, daß ich mir eine "spontane Freigabe" aus bereits anderswo angeführten Gründen (das geht beim sicherlich etwas erhöhten Supportaufkommen nach den ersten automatischen Updates schon los, auch so etwas will ja geplant sein) nicht so richtig vorstellen kann, wenn man die Konsequenzen zuvor durchdacht hat - und glaube bis zum Beweis des Gegenteils auch immer noch, daß es bei den 75x0-Modellen bereits in der 06.53 gefixt war und somit die Nachricht zur 7490 am 25.01.2017 auch in Ordnung war.
Aber "intern" ist ja noch nicht wirklich "Release" und ich habe AVM geglaubt (steht vermutlich auch irgendwo im Thread zur internen Version, wenn auch ohne "Quellenangabe" und nur als "wartet doch erst mal ab", als die ersten das schon für's nächste Wochenende einplanen wollten) - was die 7490 anbelangt ohnehin, das liegt aber u.a. auch daran, daß ich mir eine "spontane Freigabe" aus bereits anderswo angeführten Gründen (das geht beim sicherlich etwas erhöhten Supportaufkommen nach den ersten automatischen Updates schon los, auch so etwas will ja geplant sein) nicht so richtig vorstellen kann, wenn man die Konsequenzen zuvor durchdacht hat - und glaube bis zum Beweis des Gegenteils auch immer noch, daß es bei den 75x0-Modellen bereits in der 06.53 gefixt war und somit die Nachricht zur 7490 am 25.01.2017 auch in Ordnung war.
Dann halt nicht mehr
IPPF-Promi
- Mitglied seit
- 18 Apr 2008
- Beiträge
- 5,167
- Punkte für Reaktionen
- 948
- Punkte
- 113
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
@Daniel Lücking:
In meinem GitHub-Repo findet sich ein öffentlicher PGP-Schlüssel für dieses Pseudonym (allerdings - absichtlich - ohne Cross-Zertifizierungen durch Dritte), der mehrere denkbare E-Mail-Adressen enthält und bei Bedarf (oder auch generell) auch gleich zur Verschlüsselung einer Nachricht genutzt werden kann.
Seitdem das bei GitHub funktioniert, signiere ich damit zwar auch Commits, aber der "tiefere Sinn" ist eigentlich die Publikation dieses Schlüssels für die E-Mail-Kommunikation (bzw. auch alles andere, was verschlüsselt werden kann), inkl. Signaturen über Texte oder Zeitstempel, wenn es mal um "Urheberschaft" und den Zeitpunkt einer Publikation gehen sollte.
Da auf Key-Servern immer wieder mal auch Spam auftaucht, gibt es so wenigstens keine Verwechselungsmöglichkeiten und der Fingerabdruck (0DF4F707AC58AA38B35AAA0BC04FCE5230311D96) steht auch irgendwo hier im IPPF, so daß auch ein Austausch bei GitHub auffallen sollte.
Direktnachrichten im IPPF habe ich - bis auf ein paar wenige Teilnehmer - irgendwann abgestellt, da die dann mehr Aufwand mit sich brachten als die öffentlich einsehbaren Beiträge - das ist wohl auch anderen so gegangen, die dann ihrerseits in ihren Signaturen immer explizit darauf hinweisen, daß Support ins Forum gehört. Außerdem ist E-Mail auch viel besser zu archivieren ...
In meinem GitHub-Repo findet sich ein öffentlicher PGP-Schlüssel für dieses Pseudonym (allerdings - absichtlich - ohne Cross-Zertifizierungen durch Dritte), der mehrere denkbare E-Mail-Adressen enthält und bei Bedarf (oder auch generell) auch gleich zur Verschlüsselung einer Nachricht genutzt werden kann.
Seitdem das bei GitHub funktioniert, signiere ich damit zwar auch Commits, aber der "tiefere Sinn" ist eigentlich die Publikation dieses Schlüssels für die E-Mail-Kommunikation (bzw. auch alles andere, was verschlüsselt werden kann), inkl. Signaturen über Texte oder Zeitstempel, wenn es mal um "Urheberschaft" und den Zeitpunkt einer Publikation gehen sollte.
Da auf Key-Servern immer wieder mal auch Spam auftaucht, gibt es so wenigstens keine Verwechselungsmöglichkeiten und der Fingerabdruck (0DF4F707AC58AA38B35AAA0BC04FCE5230311D96) steht auch irgendwo hier im IPPF, so daß auch ein Austausch bei GitHub auffallen sollte.
Direktnachrichten im IPPF habe ich - bis auf ein paar wenige Teilnehmer - irgendwann abgestellt, da die dann mehr Aufwand mit sich brachten als die öffentlich einsehbaren Beiträge - das ist wohl auch anderen so gegangen, die dann ihrerseits in ihren Signaturen immer explizit darauf hinweisen, daß Support ins Forum gehört. Außerdem ist E-Mail auch viel besser zu archivieren ...
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Ich habe am 09.02.2017 um 16:29 Uhr dann doch noch eine E-Mail von AVM erhalten, die wohl als Antwort auf meine E-Mail vom 25.01.2017 um 17:14 Uhr zu interpretieren ist.
Der Grundtenor war der Vorwurf, ich würde die Schwächen bei AVM in der generellen Handhabung von Schwachstellen aus purer Sucht nach eigenem "Ruhm" kritisieren. Das schönste Zitat wäre folgendes:
Um das noch einmal ganz deutlich klarzustellen ... diese "credits" sind ein ganz normaler Vorgang in diesem Zusammenhang und meine Argumentation stützt sich auch nicht vorwiegend auf diese dankende Erwähnung eines Finders.
Das ist nur der "Zuckerguß", der in ein entsprechendes Advisory gehört, mit dem der Hersteller selbst die Kunden auf potentielle Schwachstellen aufmerksam macht (das soll gar keinen Exploit-Code beinhalten) oder in ein Bulletin nach dem Schließen der Schwachstelle, wo der Hersteller ebenfalls wieder explizit die Kunden darauf hinweist, daß Schwachstellen behoben wurden.
Und dafür reicht eben kein allgemeines "Wischi-Waschi" der Art "Wir empfehlen die Installation jedes Updates." - hallo, AVM, dann sorgt auch dafür, daß man sich nicht mit jedem neuen Update auch neue Probleme einhandelt und überdenkt einfach mal die Strategie, Schwachstellen-Behebung und neue Firmware-Feature direkt aneinander zu koppeln. Dann stellt sich vielleicht auch die Frage des "Aussitzens" nicht mehr, wenn man Security-Fixes unabhängig von - gewünschten oder unerwünschten, funktionierenden oder plötzlich wieder ganz andere Probleme bereitenden - Feature-Updates installieren kann.
Geradezu wahnwitzig finde ich aber die Argumentation, mit der Veröffentlichung des konkreten Exploits würde ich jetzt die Verantwortung auf mein Gewissen laden, wenn in der Folge die Besitzer von FRITZ!Boxen angegriffen werden. Ich weiß nicht, ob man bei AVM wirklich so naiv und kurzsichtig ist, aber ich würde die Schuld für die immer noch fortbestehende Gefährdung der Kunden zunächst mal darin suchen, daß AVM sieben Monate von der Meldung bis zur Veröffentlichung eines Updates gebraucht hat.
Da wirkt die Betonung, daß es sich beim "responsible" in "responsible disclosure" um einen Ausdruck der Verantwortung handelt, schon fast putzig ... diese "responsibility" gilt nämlich nicht nur für den Finder einer Schwachstelle (wie AVM das wohl gerne sehen möchte), sie beinhaltet auch eine Verantwortung des Herstellers, sich dann wirklich um die Beseitigung von Sicherheitsproblemen zu kümmern.
Ansonsten tritt nämlich genau das wieder ein, was das BSI hier (Seite 4 oben) mit
Hier habe ich letztens den Passus "[...] industry-standard disclosure policy adopted by Google's Project Zero: 90 days with 15 days of grace period if a fix is due to be released." gelesen ... das kann man nur unterstreichen.
Ohne eine halbwegs rigide Haltung an dieser Stelle verkommt nämlich die eigentlich gute und nachvollziehbare, für beide Seiten von Nutzen seiende, "responsible disclosure" zu dem, was man hier bis ins Detail "vorexerziert" bekommt: Der Hersteller legt sich in die Hängematte, entscheidet alleine, wie relevant ein Problem ist (das Recht will ich ihm gar nicht absprechen, aber dann soll er sich auch seiner Verantwortung für die Verzögerung stellen und auch nicht "rumheulen", wenn jemand (lange angekündigte) Konsequenzen im Angesicht dieser Haltung zieht und eigentlich nur das macht, was ebenfalls im oben verlinkten BSI-Papier zu lesen ist:
Dem ist wenig hinzuzufügen und was nun eine "bestimmte [oder angemessene] Zeitspanne" sein mag, kann man sicherlich auch kontrovers sehen ... die Frage, ob und warum AVM mit dem Verschieben der Behebung des Problems nun selbst entsprechende Verantwortung auf sich genommen hat, muß man dann aber eben auch stellen. Diese 90 Tage (+ 14 Tage, wenn der Hersteller wirklich die (in dieser Zeit liegende) Veröffentlichung eines Updates zusagt, was hier deutlich nicht der Fall war) waren jedenfalls mehr als um, als ich das erste Mal etwas in dieser Richtung verlauten ließ und die detailliertere Beschreibung hier in #1 habe ich sogar bis zum Erscheinen der 06.80 für die 7490 zurückgehalten.
Ich weiß allerdings auch, wie AVM auf den Trichter kommt, ich würde mich über fehlende "credits" von dort aufregen ... ein entscheidender Teil meiner Argumentation war es nämlich, daß man aufgrund der fehlenden Kooperation von AVM bei einer Veröffentlichung und wegen des vollständigen Fehlens jeglicher belastbarer Informationen zu gefixten Lüclen sich als Finder selbst darum kümmern muß, weil von AVM nicht einmal diese "credits" zu erwarten sind.
Das ist aber ein komplett anderer Zusammenhang und das eigentliche Ziel sind nicht diese "credits" (die sind eigentlich eine Selbstverständlichkeit), sondern eine ehrliche und ausführliche Information der Kunden. Wenn AVM das mit den "Advisories" selbst in die Hand nimmt (diese Seite kann das allerdings nicht sein, die ist nicht mal ein guter Witz und entgegen aller Hoffnungen will man bei AVM wohl an diesem Punkt stehenbleiben bzw. das sogar wieder zurückdrehen), dann stellt sich auch für den Finder nicht mehr die Frage, ob und wie genau er seinerseits irgendetwas veröffentlichen muß, wenn AVM solche Texte dann (wie es ebenfalls üblich ist) vor der Veröffentlichung abstimmt.
Dann muß man sich auch nicht mehr um seinen "fame" sorgen, wenn AVM selbst das Rückgrat entwickelt und sich so verhält, wie man es heutzutage von einem Hersteller erwarten darf - dazu gehören dann auch die "credits", auf die ich ja aus AVM-Sicht so scharf bin.
Das wäre allerdings in meinen Augen tatsächlich das Mindeste (und das sehe eben nicht nur ich so, ich verweise gerne noch einmal auf die "Handhabung von Schwachstellen"), wenn jemand Arbeit für AVM übernimmt (selbst wenn das AVM am Ende gar nicht passen mag und man lieber schiedlich, friedlich weiterwursteln will) und dann noch jede Menge zusätzliche Zeit in die vertrauliche Meldung solcher Schwachstellen investiert, während es der Hersteller nicht einmal für notwendig erachtet, abseits von Textbausteinen (und die Eingangsbestätigungen haben praktisch immer denselben Wortlaut) in halbwegs angemessenen Zeiträumen zu reagieren (und die Timelines der verschiedenen Meldungen kann sich jeder im GitHub-Repository ansehen).
Unabhängig von dieser Frechheit seitens AVM, die für mich in der E-Mail bei der (bewußt?) falschen Darstellung meiner Motive zum Ausdruck kam, werde ich - trotz Ablauf der Umfrage - nicht sofort den Exploit veröffentlichen, sondern das noch einmal um 14 Tage nach hinten schieben. Man kann ja auch nicht ganz übersehen, daß AVM es diesmal tatsächlich schafft, die Modelle recht zügig nacheinander mit der neuen Version zu versorgen ... entweder man hält #515119 doch für folgenreicher, als es die schleppende Reaktion vermuten ließ oder es gibt noch ganz andere Lücken, die nun schnellstens auch bei den anderen Modellen in freier Wildbahn zu schließen sind.
Auf den erneut angeführten Aspekt, ich könne mich ja selbst darum kümmern:
1. eine Liste aller existierenden FRITZ!Box-Modelle zu erstellen
2. diese um die Geräte zu kürzen, die bereits EOS sind und dann
3. für den verbleibenden Rest selbst überwachen, ob und wann da nun ein Update herauskommt oder nicht
will ich erst recht nicht weiter eingehen, das zeigt nur ein weiteres Mal, daß AVM hier irgendwo die Frage stellen will, wer Koch und wer Kellner ist und daß man dort an einer wirklichen Zusammenarbeit gar nicht interessiert ist. Das ist jedenfalls definitiv auch kein Ansatz, der einen dazu motivieren kann, auch in der Zukunft den Weg der "responsible disclosure" zu beschreiten - das Ergebnis ist dann nur noch mehr Arbeit und Aufwand, der einem von AVM aufgehalst wird ... vielleicht ja auch in der Hoffnung, man gäbe es dann eher auf (das habe ich in der Vergangenheit auch oft genug getan) und überlasse AVM einfach, ob und wann das behoben und kommuniziert wird. (Noch einmal: Das Recht der Entscheidung zum Zeitpunkt der Behebung hat AVM zweifellos - wer wollte dem Hersteller da Vorschriften machen -, aber die Entscheidungshoheit, wann ein Finder dann seinerseits veröffentlicht, haben sie dort nicht. Punkt. Auch wenn man dort immer wieder diese Behauptung aufstellen möchte ...).
Wie auch immer ... die Argumentation seitens AVM, daß es nach der eigenen Erfahrung nicht lange dauert, bis solche Updates "rum" sind:
Auch sehe ich für die FRITZ!Box-Besitzer kein echte Gefahr, die von einem Ausnutzen der Lücke hinter #515119 ausgeht ... damit ist (nach meiner Kenntnis, wenn das anders wäre, hätte AVM es mir mitteilen können) keine Übernahme der FRITZ!Box und auch kein Auslesen irgendwelcher Daten möglich.
Der angegriffene Benutzer würde also im Fall der Fälle nur das sehr deutlich vor Augen geführt bekommen, was AVM sich weigert, in unmißverständlicher Form zum Ausdruck zu bringen: Es gibt in der 06.80 behobene Sicherheitsprobleme, die einen DoS-Angriff auf eine FRITZ!Box (von extern oder über einen Browser im LAN, auf dem Javascript ausgeführt werden kann) ermöglichen.
Wenn ein Kunde Probleme mit der 06.80 hat (und so richtig "rund" ist die ja wohl tatsächlich noch nicht, auch wenn ich selbst WLAN, DECT und SmartHome bei Tests gar nicht erst beachte), dann sollte er sich ganz genau überlegen, ob er zu einer früheren Version zurückkehrt. Ich kenne (von Relevanz, also mit einem Base-Score > 7) nur diese eine Lücke und kann damit auch nur hier die Aufgabe von AVM wahrnehmen und über diese eine Lücke aufklären.
Sollte es tatsächlich weitere geben, wäre es ohne jede Diskussion die Aufgabe von AVM, auch über diese aufzuklären. Die Frage von AVM:
zielt jedenfalls wohl in diese Richtung und hier kann ich ganz klar sagen: Solange AVM der eigenen Verantwortung nicht gerecht wird und die Kunden über (behobene und ggf. noch offene, man muß die Details ja nicht ausufern lassen) Sicherheitsprobleme offen und ehrlich aufklärt, glaube ich persönlich dieser "Herstellerempfehlung" gar nichts mehr ... nicht zuletzt ist daran auch die Tatsache schuld, daß AVM dem Kunden gar keine Wahl läßt zwischen einer sicheren und einer funktionierenden FRITZ!Box.
Wie soll denn ein Kunde ohne Kenntnis der Risiken für sich nun entscheiden, ob er lieber bei der 06.80 bleibt und irgendwelche "Kröten" bei der Funktion schluckt (manchmal ist da ja tatsächlich der Kauf eines anderen Gerätes zu überlegen) oder ob er lieber wieder auf eine frühere Version der Firmware wechselt, die aber wenigstens funktioniert. Die Antwort auf diese "Frage" hat mir AVM bisher noch nie gegeben, egal wie oft ich die Frage schon gestellt habe.
Ich verschiebe also die Veröffentlichung des Exploit-Codes um weitere 14 Tage, solange man nicht jetzt umgehend wieder den Eindruck gewinnen muß, der Hersteller sinkt nun wieder in die Hängematte.
Wenn AVM selbst dazu nichts "sagen" will, muß man halt den äußeren Anschein bewerten, auch auf die Gefahr hin, daß der falsch sein könnte - auch hier gibt es doch für den "gesunden Menschenverstand" gar keine Diskussion, wer die Verantwortung für Mißinterpretationen am Ende tatsächlich trägt, wenn der Hersteller sich hinstellt, die Arme verschränkt und "Ich sag' nichts." für eine sinnvolle Zusammenarbeit hält.
Den Punkt mit der "Durchdringung" sehe ich absolut nicht und damit leite ich daraus auch keine zusätzliche "grace period" ab - das ist ohnehin vollkommen unüblich, daß man nun auch noch wartet, bis das Update im letzten Kuhkaff angekommen ist, vor allem dann, wenn es doch dem Anschein nach gar keinen wirklichen Grund gibt, es überhaupt zu installieren. Es ist ja u.a. auch eine Frage, wie ehrlich AVM das alles ggü. den Providern kommuniziert hat, die ihrerseits die Verwaltung der Updates für die Kunden machen .. das geht von DSL-Anbietern bis zu den KNB.
Angesichts der wohl eher mangelhaften Kommunikation beim Problem der DOCSIS-Zertifikate traue ich AVM an dieser Stelle zugegebenermaßen auch nicht über den Weg, zumal ich einen weiteren Satz aus der E-Mail:
- https://www.heise.de/newsticker/mel...Firmware-fuer-Topmodelle-von-AVM-3576216.html
- https://www.heise.de/newsticker/mel...er-die-Fritzbox-7490-erhaeltlich-3605362.html
- http://www.chip.de/news/FritzOS-6.8...n-des-Fritzbox-Betriebssystems_105616901.html
- http://www.chip.de/news/FritzOS-6.80-ist-da-Fritzbox-7490-erhaelt-das-grosse-Update_107773427.html
- http://www.computerbild.de/artikel/cb-Tipps-Software-Fritz-OS-6.80-Update-17026265.html
steht von behobenen Sicherheitsproblemen nichts im Teaser ... ja, es ist sogar im ganzen Artikel jeweils (als "behobenes Sicherheitsproblem") nichts zu finden.
Liest man sich diese nur einmal durch, gewinnt man den Eindruck, die 2FA und die SIP-Kennworte wären die wichtigsten sicherheitsrelevanten Änderungen (so viel mehr gibt die jeweils von den Publikationen verlinkte "info.txt" bei AVM auch nicht her an Informationen) und wer bereits sinnvolle SIP-Kennwörter verwendet (das geht ja auch ohne Zwang) oder die 2FA ohnehin abschaltet, weil sie ihn nervt (s. entsprechende Thread auch hier im IPPF), der könnte ganz blauäugig auf die Idee kommen, daß er ja problemlos wieder auf die 06.60 oder so zurück könne.
Das liegt zu einem guten Teil eben auch daran, daß AVM einige absolut notwendige Änderungen (z.B. am NAS bei der Protokollierung) gar nicht als ein behobenes Sicherheitsproblem einstuft, das wird als "Verbesserung" gefeiert. Das ist sicherlich auch eine Verbesserung, aber kann daraus jemand erkennen, daß es vorher ein Sicherheitsproblem gab? Wer das kann, hat meinen vollsten Respekt.
Um auch der Frage zuvorzukommen, warum ich das hier so "öffentlich" austrage ... ich habe das jetzt fast 2,5 Jahre mit AVM wieder und wieder "hinter verschlossenen Türen" diskutiert und habe inzwischen einfach die Nase voll. Dann noch die oben zitierten Motive, die man mir unterstellt, und ich bin es wirklich leid, das immer weiter so fortzuführen, zumal man nicht einmal den Anschein des Überdenkens der eigenen Position bei AVM entdecken kann, ebensowenig wie eine Gegenargumentation, die dann auch mal bei der Wahrheit bleibt - sofern man eben überhaupt einer Antwort gewürdigt wird.
Also bleibt mir nur, AVM "ans Licht der Öffentlichkeit" zu zerren und meinerseits zu verdeutlichen, wo ich Fehler sehe. Die muß man bei AVM nicht zwangsläufig ebenso einschätzen, aber ich stelle ja auch nicht nur irgendwelche wilden Behauptungen auf, ich begründe das ja (hoffentlich) auch jeweils nachvollziehbar und die (von mir immer wieder gerne zitierten) BSI-Dokumente (von denen das letztere zur Handhabung von Schwachstellen auch erst erschien, nachdem ich schon erbitterte Diskussionen genau in dieser Richtung mit AVM geführt hatte) sollten ein Übriges tun, wenn es darum geht, daß sich auch AVM-Kunden einen Eindruck davon verschaffen können, ob das wirklich alles Gold ist, was da glänzt.
Das muß oder soll es auch nicht immer sein, aber die Argumentation, daß AVM immer noch der Einäugige unter den Blinden ist, nutzt dem angegriffenen Kunden am Ende auch nichts mehr, wenn die Bekundungen von AVM-Seite, wie wichtig man die Sicherheit doch nähme, nicht mit entsprechenden Taten auch untermauert werden. Am Schluß sind es ohnehin die AVM-Kunden, die einerseits mit ihrem Kaufverhalten darüber abstimmen, was sie von AVM halten und die dann aber im Fall der Fälle auch wieder den Ärger an der Backe haben, wenn es das nächste Problem vom "webcm"-Kaliber gibt und AVM auch dort dann den Fix lieber auf das nächste Feature-Update schiebt, immer in der Hoffnung, es würde schon niemand anderes die Lücke finden und mißbrauchen.
Ich kann das Geschilderte alles mit E-Mails belegen (die Timelines stehen wie gesagt bei den Threats im Repository), es wird also auch kaum etwas von mir zu lesen geben, was "justiziabel" wäre. Vielleicht müßte das nicht im IPPF sein und ich könnte tatsächlich ein eigenes Blog zum Thema "FRITZ!Box-Sicherheit" aufmachen ... solange das aber nicht seitens der Administration hier tatsächlich als "Mißbrauch" gesehen wird, finde ich die hier hergestellte "Öffentlichkeit" sogar noch "human" - abgesehen davon, daß ich mich nun nicht auch noch zur eigenen Administration einer WordPress-Installation berufen fühle, die Dinger haben im Monatsrhythmus auch Sicherheitsprobleme.
Und falls noch jemand wissen will, warum ich das überhaupt mache und mich so intensiv mit AVM-Firmware befasse ... wenn die Zahlen stimmen, werkelt mind. in jedem zweiten Privathaushalt eine FRITZ!Box (die unterschiedlichsten Modelle) und wenn es da tatsächlich Schwachstellen gibt, die angegriffen werden können, dann trifft das neben den Kunden, die sich dann auch gegen AVM oder ihren Provider wehren können, auch diejenigen, die von der Materie praktisch keine Ahnung haben und dann trotzdem vollkommen unverhofft mit einem Problem konfrontiert werden können, wenn ihre FRITZ!Box einem Fremden "in die Hände fällt".
Nicht jeder Angreifer muß so geldgeil sein und sich so auffällig verhalten, wie es bei der "webcm"-Lücke praktiziert wurde. Wenn die FRITZ!Box plötzlich über den "Online-Speicher" die Fotos des Besitzers verschlüsselt (egal, ob das die bereits dort lagernden oder neu zu übertragende sind), dann ist das "Ransomware" reinsten Wassers.
Wie schwer mag es wohl sein, eine FRITZ!Box mit einer "eigenen Firmware mit Sonderfunktionen" auszustatten, ohne daß der Besitzer das mitbekommt? Es gibt sicherlich immer Randbedingungen, die erfüllt sein müssen, damit so ein Schaden eintreten kann ... aber ich kann tatsächlich versichern, daß es (zumindest bisher) immer noch möglich ist (auch im "durchschnittlichen Haushalt") und wenn jemand daheim die neue FRITZ!Box auspackt, mit dem Ethernet-Kabel mit seinem (bereits infizierten) PC verbindet und sich an ihre Einrichtung macht, dann kann es bei einem Modell mit einem voreingestellten GUI-Passwort (die anderen sind auch keine wirkliche Hürde) schon längst wieder zu spät sein.
Bisher sind die FRITZ!Box-Besitzer noch überwiegend glimpflich davongekommen, weil außerhalb Deutschlands eine FRITZ!Box immer noch ein Exot ist (auch das Speedport-Debakel war ja nun wohl nur ein "Versehen" und zielte eigentlich auf andere Geräte) ... das muß keinesfalls auf ewig so bleiben, wie uns die "webcm"-Lücke gelehrt hat und da ist es einfach "smarter", wenn man die Probleme schon dann beseitigt, wenn sie bekannt werden und nicht erst dann, wenn sie entweder ausgenutzt werden oder ohnehin wieder mal ein "Feature-Update" fällig ist.
Dafür braucht es aber eben auch Sicherheitsupdates, die nicht erst irgendwelche (teils vom konkreten Kunden gar nicht gewollten) Funktionen nachrüsten, sondern ganz einfach bekannte Sicherheitsprobleme zeitnah beheben. Nichts anderes erwarte ich von AVM - neben einer "ordentlichen Kommunikation", wenn es um Sicherheitsprobleme (behoben oder nicht, man braucht sich nur bei anderen Herstellern umschauen, wie das geht) geht. Wenn ich das erreichen sollte (oder zumindest Fortschritte auf dem Weg zu diesem Fernziel), sind mir sämtliche "credits" seitens AVM auch egal, dann "klappere" ich schon selbst.
Der Grundtenor war der Vorwurf, ich würde die Schwächen bei AVM in der generellen Handhabung von Schwachstellen aus purer Sucht nach eigenem "Ruhm" kritisieren. Das schönste Zitat wäre folgendes:
AVM-Security schrieb:
Um das noch einmal ganz deutlich klarzustellen ... diese "credits" sind ein ganz normaler Vorgang in diesem Zusammenhang und meine Argumentation stützt sich auch nicht vorwiegend auf diese dankende Erwähnung eines Finders.
Das ist nur der "Zuckerguß", der in ein entsprechendes Advisory gehört, mit dem der Hersteller selbst die Kunden auf potentielle Schwachstellen aufmerksam macht (das soll gar keinen Exploit-Code beinhalten) oder in ein Bulletin nach dem Schließen der Schwachstelle, wo der Hersteller ebenfalls wieder explizit die Kunden darauf hinweist, daß Schwachstellen behoben wurden.
Und dafür reicht eben kein allgemeines "Wischi-Waschi" der Art "Wir empfehlen die Installation jedes Updates." - hallo, AVM, dann sorgt auch dafür, daß man sich nicht mit jedem neuen Update auch neue Probleme einhandelt und überdenkt einfach mal die Strategie, Schwachstellen-Behebung und neue Firmware-Feature direkt aneinander zu koppeln. Dann stellt sich vielleicht auch die Frage des "Aussitzens" nicht mehr, wenn man Security-Fixes unabhängig von - gewünschten oder unerwünschten, funktionierenden oder plötzlich wieder ganz andere Probleme bereitenden - Feature-Updates installieren kann.
Geradezu wahnwitzig finde ich aber die Argumentation, mit der Veröffentlichung des konkreten Exploits würde ich jetzt die Verantwortung auf mein Gewissen laden, wenn in der Folge die Besitzer von FRITZ!Boxen angegriffen werden. Ich weiß nicht, ob man bei AVM wirklich so naiv und kurzsichtig ist, aber ich würde die Schuld für die immer noch fortbestehende Gefährdung der Kunden zunächst mal darin suchen, daß AVM sieben Monate von der Meldung bis zur Veröffentlichung eines Updates gebraucht hat.
Da wirkt die Betonung, daß es sich beim "responsible" in "responsible disclosure" um einen Ausdruck der Verantwortung handelt, schon fast putzig ... diese "responsibility" gilt nämlich nicht nur für den Finder einer Schwachstelle (wie AVM das wohl gerne sehen möchte), sie beinhaltet auch eine Verantwortung des Herstellers, sich dann wirklich um die Beseitigung von Sicherheitsproblemen zu kümmern.
Ansonsten tritt nämlich genau das wieder ein, was das BSI hier (Seite 4 oben) mit
beschreibt und im Falle von AVM kann man das "manchmal" auch getrost streichen, wie ich aus eigener Erfahrung weiß (das ist ja hier nur eine extern auszunutzende Lücke, die ich gefunden habe).BSI schrieb:
Hier habe ich letztens den Passus "[...] industry-standard disclosure policy adopted by Google's Project Zero: 90 days with 15 days of grace period if a fix is due to be released." gelesen ... das kann man nur unterstreichen.
Ohne eine halbwegs rigide Haltung an dieser Stelle verkommt nämlich die eigentlich gute und nachvollziehbare, für beide Seiten von Nutzen seiende, "responsible disclosure" zu dem, was man hier bis ins Detail "vorexerziert" bekommt: Der Hersteller legt sich in die Hängematte, entscheidet alleine, wie relevant ein Problem ist (das Recht will ich ihm gar nicht absprechen, aber dann soll er sich auch seiner Verantwortung für die Verzögerung stellen und auch nicht "rumheulen", wenn jemand (lange angekündigte) Konsequenzen im Angesicht dieser Haltung zieht und eigentlich nur das macht, was ebenfalls im oben verlinkten BSI-Papier zu lesen ist:
BSI schrieb:
Dem ist wenig hinzuzufügen und was nun eine "bestimmte [oder angemessene] Zeitspanne" sein mag, kann man sicherlich auch kontrovers sehen ... die Frage, ob und warum AVM mit dem Verschieben der Behebung des Problems nun selbst entsprechende Verantwortung auf sich genommen hat, muß man dann aber eben auch stellen. Diese 90 Tage (+ 14 Tage, wenn der Hersteller wirklich die (in dieser Zeit liegende) Veröffentlichung eines Updates zusagt, was hier deutlich nicht der Fall war) waren jedenfalls mehr als um, als ich das erste Mal etwas in dieser Richtung verlauten ließ und die detailliertere Beschreibung hier in #1 habe ich sogar bis zum Erscheinen der 06.80 für die 7490 zurückgehalten.
Ich weiß allerdings auch, wie AVM auf den Trichter kommt, ich würde mich über fehlende "credits" von dort aufregen ... ein entscheidender Teil meiner Argumentation war es nämlich, daß man aufgrund der fehlenden Kooperation von AVM bei einer Veröffentlichung und wegen des vollständigen Fehlens jeglicher belastbarer Informationen zu gefixten Lüclen sich als Finder selbst darum kümmern muß, weil von AVM nicht einmal diese "credits" zu erwarten sind.
Das ist aber ein komplett anderer Zusammenhang und das eigentliche Ziel sind nicht diese "credits" (die sind eigentlich eine Selbstverständlichkeit), sondern eine ehrliche und ausführliche Information der Kunden. Wenn AVM das mit den "Advisories" selbst in die Hand nimmt (diese Seite kann das allerdings nicht sein, die ist nicht mal ein guter Witz und entgegen aller Hoffnungen will man bei AVM wohl an diesem Punkt stehenbleiben bzw. das sogar wieder zurückdrehen), dann stellt sich auch für den Finder nicht mehr die Frage, ob und wie genau er seinerseits irgendetwas veröffentlichen muß, wenn AVM solche Texte dann (wie es ebenfalls üblich ist) vor der Veröffentlichung abstimmt.
Dann muß man sich auch nicht mehr um seinen "fame" sorgen, wenn AVM selbst das Rückgrat entwickelt und sich so verhält, wie man es heutzutage von einem Hersteller erwarten darf - dazu gehören dann auch die "credits", auf die ich ja aus AVM-Sicht so scharf bin.
Das wäre allerdings in meinen Augen tatsächlich das Mindeste (und das sehe eben nicht nur ich so, ich verweise gerne noch einmal auf die "Handhabung von Schwachstellen"), wenn jemand Arbeit für AVM übernimmt (selbst wenn das AVM am Ende gar nicht passen mag und man lieber schiedlich, friedlich weiterwursteln will) und dann noch jede Menge zusätzliche Zeit in die vertrauliche Meldung solcher Schwachstellen investiert, während es der Hersteller nicht einmal für notwendig erachtet, abseits von Textbausteinen (und die Eingangsbestätigungen haben praktisch immer denselben Wortlaut) in halbwegs angemessenen Zeiträumen zu reagieren (und die Timelines der verschiedenen Meldungen kann sich jeder im GitHub-Repository ansehen).
Unabhängig von dieser Frechheit seitens AVM, die für mich in der E-Mail bei der (bewußt?) falschen Darstellung meiner Motive zum Ausdruck kam, werde ich - trotz Ablauf der Umfrage - nicht sofort den Exploit veröffentlichen, sondern das noch einmal um 14 Tage nach hinten schieben. Man kann ja auch nicht ganz übersehen, daß AVM es diesmal tatsächlich schafft, die Modelle recht zügig nacheinander mit der neuen Version zu versorgen ... entweder man hält #515119 doch für folgenreicher, als es die schleppende Reaktion vermuten ließ oder es gibt noch ganz andere Lücken, die nun schnellstens auch bei den anderen Modellen in freier Wildbahn zu schließen sind.
Auf den erneut angeführten Aspekt, ich könne mich ja selbst darum kümmern:
1. eine Liste aller existierenden FRITZ!Box-Modelle zu erstellen
2. diese um die Geräte zu kürzen, die bereits EOS sind und dann
3. für den verbleibenden Rest selbst überwachen, ob und wann da nun ein Update herauskommt oder nicht
will ich erst recht nicht weiter eingehen, das zeigt nur ein weiteres Mal, daß AVM hier irgendwo die Frage stellen will, wer Koch und wer Kellner ist und daß man dort an einer wirklichen Zusammenarbeit gar nicht interessiert ist. Das ist jedenfalls definitiv auch kein Ansatz, der einen dazu motivieren kann, auch in der Zukunft den Weg der "responsible disclosure" zu beschreiten - das Ergebnis ist dann nur noch mehr Arbeit und Aufwand, der einem von AVM aufgehalst wird ... vielleicht ja auch in der Hoffnung, man gäbe es dann eher auf (das habe ich in der Vergangenheit auch oft genug getan) und überlasse AVM einfach, ob und wann das behoben und kommuniziert wird. (Noch einmal: Das Recht der Entscheidung zum Zeitpunkt der Behebung hat AVM zweifellos - wer wollte dem Hersteller da Vorschriften machen -, aber die Entscheidungshoheit, wann ein Finder dann seinerseits veröffentlicht, haben sie dort nicht. Punkt. Auch wenn man dort immer wieder diese Behauptung aufstellen möchte ...).
Wie auch immer ... die Argumentation seitens AVM, daß es nach der eigenen Erfahrung nicht lange dauert, bis solche Updates "rum" sind:
teile ich ausdrücklich nicht, weil auch hier wieder (wie an jeder anderen Stelle auch) jede konkrete Angabe fehlt (Was ist den eine "akzeptable Durchdringung"? Wie und von wem wird die "gemessen"?) und damit ist man erneut komplett dem Hersteller "ausgeliefert" und daß der eben gerade nicht bereitwillig "mitarbeitet", habe ich vermutlich inzwischen oft genug betont.AVM-Security schrieb:
Auch sehe ich für die FRITZ!Box-Besitzer kein echte Gefahr, die von einem Ausnutzen der Lücke hinter #515119 ausgeht ... damit ist (nach meiner Kenntnis, wenn das anders wäre, hätte AVM es mir mitteilen können) keine Übernahme der FRITZ!Box und auch kein Auslesen irgendwelcher Daten möglich.
Der angegriffene Benutzer würde also im Fall der Fälle nur das sehr deutlich vor Augen geführt bekommen, was AVM sich weigert, in unmißverständlicher Form zum Ausdruck zu bringen: Es gibt in der 06.80 behobene Sicherheitsprobleme, die einen DoS-Angriff auf eine FRITZ!Box (von extern oder über einen Browser im LAN, auf dem Javascript ausgeführt werden kann) ermöglichen.
Wenn ein Kunde Probleme mit der 06.80 hat (und so richtig "rund" ist die ja wohl tatsächlich noch nicht, auch wenn ich selbst WLAN, DECT und SmartHome bei Tests gar nicht erst beachte), dann sollte er sich ganz genau überlegen, ob er zu einer früheren Version zurückkehrt. Ich kenne (von Relevanz, also mit einem Base-Score > 7) nur diese eine Lücke und kann damit auch nur hier die Aufgabe von AVM wahrnehmen und über diese eine Lücke aufklären.
Sollte es tatsächlich weitere geben, wäre es ohne jede Diskussion die Aufgabe von AVM, auch über diese aufzuklären. Die Frage von AVM:
AVM-Security schrieb:
zielt jedenfalls wohl in diese Richtung und hier kann ich ganz klar sagen: Solange AVM der eigenen Verantwortung nicht gerecht wird und die Kunden über (behobene und ggf. noch offene, man muß die Details ja nicht ausufern lassen) Sicherheitsprobleme offen und ehrlich aufklärt, glaube ich persönlich dieser "Herstellerempfehlung" gar nichts mehr ... nicht zuletzt ist daran auch die Tatsache schuld, daß AVM dem Kunden gar keine Wahl läßt zwischen einer sicheren und einer funktionierenden FRITZ!Box.
Wie soll denn ein Kunde ohne Kenntnis der Risiken für sich nun entscheiden, ob er lieber bei der 06.80 bleibt und irgendwelche "Kröten" bei der Funktion schluckt (manchmal ist da ja tatsächlich der Kauf eines anderen Gerätes zu überlegen) oder ob er lieber wieder auf eine frühere Version der Firmware wechselt, die aber wenigstens funktioniert. Die Antwort auf diese "Frage" hat mir AVM bisher noch nie gegeben, egal wie oft ich die Frage schon gestellt habe.
Ich verschiebe also die Veröffentlichung des Exploit-Codes um weitere 14 Tage, solange man nicht jetzt umgehend wieder den Eindruck gewinnen muß, der Hersteller sinkt nun wieder in die Hängematte.
Wenn AVM selbst dazu nichts "sagen" will, muß man halt den äußeren Anschein bewerten, auch auf die Gefahr hin, daß der falsch sein könnte - auch hier gibt es doch für den "gesunden Menschenverstand" gar keine Diskussion, wer die Verantwortung für Mißinterpretationen am Ende tatsächlich trägt, wenn der Hersteller sich hinstellt, die Arme verschränkt und "Ich sag' nichts." für eine sinnvolle Zusammenarbeit hält.
Den Punkt mit der "Durchdringung" sehe ich absolut nicht und damit leite ich daraus auch keine zusätzliche "grace period" ab - das ist ohnehin vollkommen unüblich, daß man nun auch noch wartet, bis das Update im letzten Kuhkaff angekommen ist, vor allem dann, wenn es doch dem Anschein nach gar keinen wirklichen Grund gibt, es überhaupt zu installieren. Es ist ja u.a. auch eine Frage, wie ehrlich AVM das alles ggü. den Providern kommuniziert hat, die ihrerseits die Verwaltung der Updates für die Kunden machen .. das geht von DSL-Anbietern bis zu den KNB.
Angesichts der wohl eher mangelhaften Kommunikation beim Problem der DOCSIS-Zertifikate traue ich AVM an dieser Stelle zugegebenermaßen auch nicht über den Weg, zumal ich einen weiteren Satz aus der E-Mail:
eher für Wunschdenken halte ... bei den einfach mal herausgesuchten (vielleicht "reichweitenstärksten"?) PublikationenAVM-Security schrieb:
- https://www.heise.de/newsticker/mel...Firmware-fuer-Topmodelle-von-AVM-3576216.html
- https://www.heise.de/newsticker/mel...er-die-Fritzbox-7490-erhaeltlich-3605362.html
- http://www.chip.de/news/FritzOS-6.8...n-des-Fritzbox-Betriebssystems_105616901.html
- http://www.chip.de/news/FritzOS-6.80-ist-da-Fritzbox-7490-erhaelt-das-grosse-Update_107773427.html
- http://www.computerbild.de/artikel/cb-Tipps-Software-Fritz-OS-6.80-Update-17026265.html
steht von behobenen Sicherheitsproblemen nichts im Teaser ... ja, es ist sogar im ganzen Artikel jeweils (als "behobenes Sicherheitsproblem") nichts zu finden.
Liest man sich diese nur einmal durch, gewinnt man den Eindruck, die 2FA und die SIP-Kennworte wären die wichtigsten sicherheitsrelevanten Änderungen (so viel mehr gibt die jeweils von den Publikationen verlinkte "info.txt" bei AVM auch nicht her an Informationen) und wer bereits sinnvolle SIP-Kennwörter verwendet (das geht ja auch ohne Zwang) oder die 2FA ohnehin abschaltet, weil sie ihn nervt (s. entsprechende Thread auch hier im IPPF), der könnte ganz blauäugig auf die Idee kommen, daß er ja problemlos wieder auf die 06.60 oder so zurück könne.
Das liegt zu einem guten Teil eben auch daran, daß AVM einige absolut notwendige Änderungen (z.B. am NAS bei der Protokollierung) gar nicht als ein behobenes Sicherheitsproblem einstuft, das wird als "Verbesserung" gefeiert. Das ist sicherlich auch eine Verbesserung, aber kann daraus jemand erkennen, daß es vorher ein Sicherheitsproblem gab? Wer das kann, hat meinen vollsten Respekt.
Um auch der Frage zuvorzukommen, warum ich das hier so "öffentlich" austrage ... ich habe das jetzt fast 2,5 Jahre mit AVM wieder und wieder "hinter verschlossenen Türen" diskutiert und habe inzwischen einfach die Nase voll. Dann noch die oben zitierten Motive, die man mir unterstellt, und ich bin es wirklich leid, das immer weiter so fortzuführen, zumal man nicht einmal den Anschein des Überdenkens der eigenen Position bei AVM entdecken kann, ebensowenig wie eine Gegenargumentation, die dann auch mal bei der Wahrheit bleibt - sofern man eben überhaupt einer Antwort gewürdigt wird.
Also bleibt mir nur, AVM "ans Licht der Öffentlichkeit" zu zerren und meinerseits zu verdeutlichen, wo ich Fehler sehe. Die muß man bei AVM nicht zwangsläufig ebenso einschätzen, aber ich stelle ja auch nicht nur irgendwelche wilden Behauptungen auf, ich begründe das ja (hoffentlich) auch jeweils nachvollziehbar und die (von mir immer wieder gerne zitierten) BSI-Dokumente (von denen das letztere zur Handhabung von Schwachstellen auch erst erschien, nachdem ich schon erbitterte Diskussionen genau in dieser Richtung mit AVM geführt hatte) sollten ein Übriges tun, wenn es darum geht, daß sich auch AVM-Kunden einen Eindruck davon verschaffen können, ob das wirklich alles Gold ist, was da glänzt.
Das muß oder soll es auch nicht immer sein, aber die Argumentation, daß AVM immer noch der Einäugige unter den Blinden ist, nutzt dem angegriffenen Kunden am Ende auch nichts mehr, wenn die Bekundungen von AVM-Seite, wie wichtig man die Sicherheit doch nähme, nicht mit entsprechenden Taten auch untermauert werden. Am Schluß sind es ohnehin die AVM-Kunden, die einerseits mit ihrem Kaufverhalten darüber abstimmen, was sie von AVM halten und die dann aber im Fall der Fälle auch wieder den Ärger an der Backe haben, wenn es das nächste Problem vom "webcm"-Kaliber gibt und AVM auch dort dann den Fix lieber auf das nächste Feature-Update schiebt, immer in der Hoffnung, es würde schon niemand anderes die Lücke finden und mißbrauchen.
Ich kann das Geschilderte alles mit E-Mails belegen (die Timelines stehen wie gesagt bei den Threats im Repository), es wird also auch kaum etwas von mir zu lesen geben, was "justiziabel" wäre. Vielleicht müßte das nicht im IPPF sein und ich könnte tatsächlich ein eigenes Blog zum Thema "FRITZ!Box-Sicherheit" aufmachen ... solange das aber nicht seitens der Administration hier tatsächlich als "Mißbrauch" gesehen wird, finde ich die hier hergestellte "Öffentlichkeit" sogar noch "human" - abgesehen davon, daß ich mich nun nicht auch noch zur eigenen Administration einer WordPress-Installation berufen fühle, die Dinger haben im Monatsrhythmus auch Sicherheitsprobleme.
Und falls noch jemand wissen will, warum ich das überhaupt mache und mich so intensiv mit AVM-Firmware befasse ... wenn die Zahlen stimmen, werkelt mind. in jedem zweiten Privathaushalt eine FRITZ!Box (die unterschiedlichsten Modelle) und wenn es da tatsächlich Schwachstellen gibt, die angegriffen werden können, dann trifft das neben den Kunden, die sich dann auch gegen AVM oder ihren Provider wehren können, auch diejenigen, die von der Materie praktisch keine Ahnung haben und dann trotzdem vollkommen unverhofft mit einem Problem konfrontiert werden können, wenn ihre FRITZ!Box einem Fremden "in die Hände fällt".
Nicht jeder Angreifer muß so geldgeil sein und sich so auffällig verhalten, wie es bei der "webcm"-Lücke praktiziert wurde. Wenn die FRITZ!Box plötzlich über den "Online-Speicher" die Fotos des Besitzers verschlüsselt (egal, ob das die bereits dort lagernden oder neu zu übertragende sind), dann ist das "Ransomware" reinsten Wassers.
Wie schwer mag es wohl sein, eine FRITZ!Box mit einer "eigenen Firmware mit Sonderfunktionen" auszustatten, ohne daß der Besitzer das mitbekommt? Es gibt sicherlich immer Randbedingungen, die erfüllt sein müssen, damit so ein Schaden eintreten kann ... aber ich kann tatsächlich versichern, daß es (zumindest bisher) immer noch möglich ist (auch im "durchschnittlichen Haushalt") und wenn jemand daheim die neue FRITZ!Box auspackt, mit dem Ethernet-Kabel mit seinem (bereits infizierten) PC verbindet und sich an ihre Einrichtung macht, dann kann es bei einem Modell mit einem voreingestellten GUI-Passwort (die anderen sind auch keine wirkliche Hürde) schon längst wieder zu spät sein.
Bisher sind die FRITZ!Box-Besitzer noch überwiegend glimpflich davongekommen, weil außerhalb Deutschlands eine FRITZ!Box immer noch ein Exot ist (auch das Speedport-Debakel war ja nun wohl nur ein "Versehen" und zielte eigentlich auf andere Geräte) ... das muß keinesfalls auf ewig so bleiben, wie uns die "webcm"-Lücke gelehrt hat und da ist es einfach "smarter", wenn man die Probleme schon dann beseitigt, wenn sie bekannt werden und nicht erst dann, wenn sie entweder ausgenutzt werden oder ohnehin wieder mal ein "Feature-Update" fällig ist.
Dafür braucht es aber eben auch Sicherheitsupdates, die nicht erst irgendwelche (teils vom konkreten Kunden gar nicht gewollten) Funktionen nachrüsten, sondern ganz einfach bekannte Sicherheitsprobleme zeitnah beheben. Nichts anderes erwarte ich von AVM - neben einer "ordentlichen Kommunikation", wenn es um Sicherheitsprobleme (behoben oder nicht, man braucht sich nur bei anderen Herstellern umschauen, wie das geht) geht. Wenn ich das erreichen sollte (oder zumindest Fortschritte auf dem Weg zu diesem Fernziel), sind mir sämtliche "credits" seitens AVM auch egal, dann "klappere" ich schon selbst.
Ich kenne natürlich nicht den kompletten E-Mail Verkehr. Aber als Softwareentwickler kann ich nur sagen: Solche Fehler/Schwachstellen hätten bei uns sofort die höchste Eskalationsstufe und es würde sehr kurzfristig ein Update folgen. Als jemand der nicht so tief in der Materie drin ist als du, empfand ich die FRITZ!Box immer als die "sichere" eierlegende Wollmilchsau. In der Vergangenheit gab es schon öfter Sicherheitsprobleme mit anderen Routern und AVM hat kurz danach eine Pressemeldung veröffentlicht like "FRITZ!Boxen sind davon nicht betroffen, das haben wir schon lange gefixt".
Ich finde es daher recht interessant diesen Thread hier zu verfolgen und kann beide Seiten teilweise verstehen.
Ich verstehe wenn AVM sagt: "Vielen Dank, wir kümmern uns, halten Sie solange bitte die Füße still". Ich kann dich aber auch verstehen nach Wochen oder Monaten der Untätigkeit Unzufriedenheit aufkommt.
AVM hat einen verdammt guten Ruf draußen und scheint jetzt ziemlich angepisst zu sein das jemand diesem Ruf schädigen will.
Meine Meinung: Mit Recht! Ich würde hier lieber von dir einen Beitrag lesen in dem du bis in kleinste Detail der Details der Details (wie du das halt immer machst), erzählst, welche Sicherheitslücken es *gab* und wie schnell und souverän AVM reagiert hat. Ich war immer der Meinung AVM legt mehr Wert auf Sicherheit und Stabilität als auch Features. (Ich muss sagen, obwohl ich band steering, Box2Box VPN, DECT, ScmartHome und und und nutze, habe ich mit der 6.80 überhäuft keine Probleme). Es gab mal diese Aktion bei der AVM in recht kurzer Zeit für alle möglichen (auch alten Boxen) ein Update raus brachte weil es wohl eine größere Sicherheitslücke gab und ich dachte mir nur "vorbildlich".
Ohne es zu wissen behaupte ich mal das AVM da früher anders reagiert hätte. Vielleicht braucht AVM von dir und anderen mal so einen Rempler um zu erkennen, dass die FRITZ!Box auch das halten muss was AVM verspricht. Es ist keine doch keine Schande 2 Wochen nach dem Update eine Version 6.82 zu veröffentlichen in dessen Changelog nur zu lesen ist: "Einige Sicherheitsprobleme behoben".
Ich gehe sogar soweit und würde empfehlen für die Veröffentlichungen z.B. heise security oder ähnliche mit ins Boot zu nehmen. Dann steigt der Druck sowas zu fixen nämlich exponentiell.
Gesendet von iPad mit Tapatalk
Ich finde es daher recht interessant diesen Thread hier zu verfolgen und kann beide Seiten teilweise verstehen.
Ich verstehe wenn AVM sagt: "Vielen Dank, wir kümmern uns, halten Sie solange bitte die Füße still". Ich kann dich aber auch verstehen nach Wochen oder Monaten der Untätigkeit Unzufriedenheit aufkommt.
AVM hat einen verdammt guten Ruf draußen und scheint jetzt ziemlich angepisst zu sein das jemand diesem Ruf schädigen will.
Meine Meinung: Mit Recht! Ich würde hier lieber von dir einen Beitrag lesen in dem du bis in kleinste Detail der Details der Details (wie du das halt immer machst), erzählst, welche Sicherheitslücken es *gab* und wie schnell und souverän AVM reagiert hat. Ich war immer der Meinung AVM legt mehr Wert auf Sicherheit und Stabilität als auch Features. (Ich muss sagen, obwohl ich band steering, Box2Box VPN, DECT, ScmartHome und und und nutze, habe ich mit der 6.80 überhäuft keine Probleme). Es gab mal diese Aktion bei der AVM in recht kurzer Zeit für alle möglichen (auch alten Boxen) ein Update raus brachte weil es wohl eine größere Sicherheitslücke gab und ich dachte mir nur "vorbildlich".
Ohne es zu wissen behaupte ich mal das AVM da früher anders reagiert hätte. Vielleicht braucht AVM von dir und anderen mal so einen Rempler um zu erkennen, dass die FRITZ!Box auch das halten muss was AVM verspricht. Es ist keine doch keine Schande 2 Wochen nach dem Update eine Version 6.82 zu veröffentlichen in dessen Changelog nur zu lesen ist: "Einige Sicherheitsprobleme behoben".
Ich gehe sogar soweit und würde empfehlen für die Veröffentlichungen z.B. heise security oder ähnliche mit ins Boot zu nehmen. Dann steigt der Druck sowas zu fixen nämlich exponentiell.
Gesendet von iPad mit Tapatalk
Wenn ich mir so angucke wie Dein Austausch mit AVM bisher lief, kann ich Deine Nachsicht mit denen schon nur noch schwer nachvollziehen. Du hast echt eine Engelsgeduld - verleitest sie damit aber langfristig dazu, Deine "Drohung" einer Veröffentlichung nur bedingt ernst zu nehmen. Da kann sich irgendwann der Gedanke Bahn brechen "den kriegen wir schon weiter per Mail gemanaged".
Ich würde mir nen festes Datum suchen, das ankündigen und dann raus mit den Details zu dem Termin. Und zwar in Zukunft immer - sonst lernen die das nicht. Und bei sowas wie aktuell, wo sich der Schaden in Grenzen hält, sogar möglichst "script-kiddy-tauglich".
Ich würde mir nen festes Datum suchen, das ankündigen und dann raus mit den Details zu dem Termin. Und zwar in Zukunft immer - sonst lernen die das nicht. Und bei sowas wie aktuell, wo sich der Schaden in Grenzen hält, sogar möglichst "script-kiddy-tauglich".
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Ja, der Gedanke war vermutlich auch vorhanden - wobei das hier wegen der Möglichkeit von externer Auslösung schon noch etwas anderes ist und bei einer anderen Lücke habe ich 114 Tage nach der Meldung (und mehrfachen Erinnerungen, daß da noch eine Reaktion aussteht) das ja bereits einmal praktiziert. Aber das war vielleicht schon zu spät, um wirklich als deutliches Signal meinerseits wahrgenommen zu werden.
Ich habe mich aber in der Antwort an AVM auf die letzte Mail (hoffentlich) deutlich genug geäußert und unmißverständlich klargestellt, daß ich das künftig nicht mehr unnötig hinauszögere. Wenn AVM einer Lücke eine "mittlere Dringlichkeit" attestiert und daraus resultiert eine Verschiebung auf das nächste Major-Release (wobei mich beim Base-Score von 7.5 für #515119 schon die Frage plagt, wo AVM die Grenze für eine "hohe Dringlichkeit" zieht) und dieses liegt außerhalb der 90 Tage + "Gnadenfrist" bei Zusage der zeitnahen Veröffentlichung, dann kommt das "auf den Tisch".
Wenn AVM sich bei der Einschätzung irrt, ist das nicht mein Problem und wenn es wieder mal zu lange dauert bis zum nächsten "major release", dann gibt es ja vielleicht wirklich irgendwann mal auch von AVM so etwas wie ein monatliches (wie bei MS, Adobe, usw.) oder zumindest vierteljährliches Update (wie bei Oracle), in dem die Erkenntnisse der letzten drei Monate (das macht dann sogar noch die bewußte "Verlängerung" möglich für Meldungen, die innerhalb der letzten Woche vor Redaktionsschluß eingehen) in Form einer "noch besseren Firmware" (da lasse ich das dann auch gelten) gipfeln.
Den neuen Termin für den Exploit (so langsam klingt das sogar viel zu hochtrabend, wenn man erst einmal weiß, wie banal das am Ende ist) wird jedenfalls auch kein weiterer Appell von AVM an mein Gewissen verschieben, abgesehen davon gibt es gar nicht genug Modelle, die man noch in der gleichen Frequenz mit einem Update versorgen könnte, damit das nicht nach 14 Tagen dann ebenfalls als Argument entfällt.
Mir wurde ja aufgetragen, in dieser Richtung einfach einmal selbst zu recherchieren und so bin ich eben ganz naiv den leichten Weg gegangen und habe abgezählt, wieviele FRITZ!Boxen es der AVM-Seite nach gibt (bei Produkte), das kommt - inkl. DOCSIS, LTE und "Glasfaser" - auf 16 Modelle.
Wobei ich das bei der 5490 zu lesende
Läßt man dann mal eine Suche auf die Dateien auf dem AVM-FTP-Server los (einfach per "find -ls" über "ftpfs" erstellt), sieht das im Moment so aus:
Das sind also schon mal 9 verschiedene Modelle in dieser Liste (auf der "Produkte"-Seite sind es 16 oder 15), die bereits das Update erhalten haben und wenn AVM das in dieser Frequenz fortsetzt, sollten die Updates für die verbleibenden 7 oder 6 Modelle in (inzwischen) 12 Tagen sicherlich existieren. Daraus sollte sich also kein Grund für eine weitere Verschiebung ergeben.
Ob AVM dann generell so "angepisst" ist, daß man mir überhaupt nicht mehr auf Meldungen von Schwachstellen antwortet, werde ich auch in Kürze wissen, da ich in der Mail vom 10.02.2017 03:49 Uhr diese Lücke detaillierter beschrieben habe, da ja nunmehr die nächste Version erschienen ist und die (m.E. schon im Dez. 2014 mitgeteilte) Schwachstelle nach wie vor vorhanden ist.
Damals war das mehr eine Randnotiz, weil es noch ganz andere Möglichkeiten der Ausführung eigener Kommandos auf einer FRITZ!Box gab (wir erinnern uns alle an den Telnet-Zugang), heute ist es eben eine RCE-Lücke, weil "remote" zur FRITZ!Box eben auch das LAN ist und nicht nur die WAN-Seite (wobei das sogar hier funktionieren würde, aber eben nicht ohne entsprechende Rechte - hoffentlich jedenfalls).
Jedenfalls werde ich es ja merken, ob AVM es für notwendig erachtet, mir für diese Schwachstelle eine Incident-Nummer zuzuweisen - bisher sind zwei Werktage vergangen, ohne daß ich entsprechende Nachricht von AVM erhalten hätte. Mein "Gang an die Öffentlichkeit" nach der letzten Mail trägt sicherlich auch ein Übriges zum Verdruß bei ... ich lasse mich einfach überraschen und die größte Überraschung wäre es dann, wenn sich AVM tatsächlich öffentlich (hier oder anderswo) äußert oder "Schritte macht".
[ Ich falle jedesmal fast vom Stuhl vor Schreck, wenn ich bei der "Durchsicht" von "social media activities" (der Gedanke kam mir jetzt bei der Überlegung, wo AVM so etwas machen könnte, ohne daß es nur als "Proklamation" daherkommt, auf die niemand reagieren kann) die immer gleichen Texte bei Facebook lese, mit denen z.B. die "interessanten Vorschläge an die Entwicklungsabteilung weitergegeben" wurden, denn da habe ich immer ein déjà-vu - bis ich dann in alte E-Mails schaue und wieder weiß, daß das gar keine Sinnestäuschung, sondern tatsächlich eine Wiederholung von Geschichte(n) ist - halt in einem anderen Medium.
So ist jedenfalls mein (auch ab und an mal unvoreingenommener) Eindruck, wenn ich mir das aus reinem Spaß mal antue, wobei die AVM-Facebook-Seite vom "redaktionellen Inhalt" her ja mehr ein Billboard für Links auf Artikel auf avm.de ist und somit die "verschiedenen Kundenströme" dann doch nur wieder irgendwo "abgeholt" werden, um am Ende an derselben Stelle zu landen mit genau derselben "Ansprache" und denselben Inhalten, was irgendwie auch nicht in mein (Marketing-)Weltbild passen will - aber wenigsten muß sich keine Kundengruppe diskriminiert fühlen, da kriegen alle nur dasselbe. ]
Ich diskutiere da jedenfalls auch in der Zukunft nicht mehr lange - wenn ich nach 28 KT keine zweite Reaktion erhalten habe (das habe ich AVM schon am 04.07.2016 per E-Mail verdeutlicht), sehe ich die Meldung als "abgehakt" an und die Policy mit den 90 (+ 15) Tagen ist dann ebenfalls hinfällig; die gilt nämlich nur für den Fall, daß der Hersteller auch reagiert - das ist genauso Teil von "responsible disclosure" und die "Empfehlungen" zur Reaktionszeit kann jeder wieder in den BSI-Dokumenten nachlesen.
Da sind 4 Wochen schon wieder sehr langmütig - wenn in dieser Zeit keine Beschäftigung mit der Meldung erfolgte und keine Einschätzung zur Relevanz vorliegt (die darf auch gerne einen CVSS-Wert beinhalten, dann kann man das besser nachempfinden), dann kann das Problem nicht groß genug sein, als daß es weiterer Kommunikation bedarf und kann unter "Randnotizen" in der Grube mit den anderen "Sünden" landen und als (gutes oder schlechtes) Beispiel öffentlich verwurstet werden, wenn es daraus etwas zu lernen geben könnte. Für eine reine "Eingangsbestätigung" halte ich schon eine Woche für sehr lang (und das erlaubte Maximum) ... das geht auch wieder nicht nur mir so, das habe ich irgendwo auch in einer PDF-Datei gelesen.
-Vielleicht OT, aber vielleicht doch nicht so ganz ...
Ich habe parallel noch einmal nachgesehen, was wirklich jeweils zu behobenen Problemen "verlautbart" wurde ... und siehe da, das waren am Ende alles "Sicherheitsverbesserungen". (EDIT: bei der 06.80, nicht in der gesamten AVM-History.)
Nun macht es ja einen gewaltigen Unterschied, ob man etwas Gutes noch weiter verbessert oder ob man etwas Kaputtes dadurch "verbessert", daß man es erst einmal repariert.
Das ist eben ein weiteres Beispiel dafür, wie AVM in Bezug auf Sicherheitsprobleme der Firmware permanent mauert (solche Probleme sind nun mal keine Schande und wer einer Firma wirklich glaubt, ihre Software wäre rundum sicher, dem ist ohnehin nicht zu helfen bzw. der hat halt keine Ahnung) und das nicht nur beim konkreten Benennen von Problemen, sondern schon beim Vermeiden jedes Eindrucks, etwas könnte "schlecht" sein bei AVM ... dort ist alles nur "gut" und alles das, was mit "gut" nicht ausreichend gewürdigt ist, ist dann besser. Das hatten wir letzens erst bei der Gegenüberstellung der Eigenschaften der beiden WLAN-Bänder auch schon.
Aber bei der Beurteilung des vorhergehenden Zustands ergibt es eben einen erheblichen Unterschied, ob man ein Sicherheitsproblem behoben hat oder etwas zuvor "nicht Problembehaftetes" tatsächlich nur besser machte und schon bei solchen Kleinigkeiten geht es eben bei AVM los. Ich behaupte ja schon seit langer Zeit, daß man sich bei AVM (häufig jedenfalls) sehr genau überlegt, was man da schreibt und das am Ende so lange hin und her schiebt, bis es nie vollkommen falsch ist, aber beim Leser dann doch der falsche Eindruck fast unvermeidlich ist.
-Insofern hast Du vermutlich sogar Recht ... ich hatte bisher immer zuviel Geduld. Jetzt brauche ich halt nur noch einen Mechanismus, wie man sowohl die (vertrauliche) Meldung an den Hersteller als auch die rechtzeitige Veröffentlichung nicht behobener Schwachstellen auf einen Schlag erledigen kann, ohne sich dann erneut mit einer gefundenen Lücke befassen zu müssen (und das ggf. zu vergessen) und für das "responsible" und die eingeräumte Zeit zur Behebung zusätzlichen eigenen Aufwand zu generieren.
Bei solchen Angeboten wie HackerOne macht AVM ja nicht mit und Open Bug Bounty hat ein Imageproblem und kümmert sich auch in erster Linie um Webseiten, was hier ja nicht der Fall ist. Da gehen mir dann die Ideen auch etwas aus ... vielleicht wäre es ja tatsächlich auch für AVM mal eine Überlegung wert, sich eine "disclosure policy" zuzulegen und diese dann auch so zu veröffentlichen, daß man sie finden kann.
Aber dazu bräuchte es auf der anderen Seite ja auch wieder das "Eingeständnis", daß man tatsächlich nicht perfekt ist und daß es so viele Probleme geben könnte, daß man diese einer "geordneten Bearbeitung" zuführen muß.
Im Moment klappt vermutlich nicht einmal die Zuordnung von Incidents zu Findern vernünftig ... bei der Nachfrage von AVM, wie ich denn gerne genannt werden möchte, wenn man derartige Danksagungen dann veröffentlicht, waren von 7 gemeldeten und von AVM schriftlich bestätigten Incidents aus der Zeit seit Juni 2016 gerade einmal 4 als potentielle "Kandidaten" aufgeführt. Einer von diesen sieben wurde zwar bestätigt und seine Behebung angekündigt, das führte aber noch nicht dazu, daß das auch wirklich Eingang in die Firmware fand - den könnte man also noch als "unklar" bei der Zuordnung einstufen.
Auch die (öffentlich gemachten) Gedanken und Vorkehrungen in so einer "disclosure policy" gehören eben dazu (auch wirklich Große wie Microsoft oder Apple haben das inzwischen begriffen und sogar von Netgear gibt es inzwischen etwas in dieser Richtung) ... genauso wie das Einhalten von Terminen für Wiedervorlage und die (herstellerseitige) Information der Finder, wenn sich zuvor gemachte Zusagen aus irgendwelchen Gründen verschieben. Es kann ja nicht so schwer sein, anhand einer Datenbank mit den zu behebenden Schwachstellen und auf der Basis der E-Mail-Adressen von deren Findern beim Verschieben irgendwelcher Termine entsprechende E-Mails zu generieren ... das machen Spam-Versender jeden Tag millionenfach.
Wobei die gemachten Angaben bisher ohnehin meist so vage sind, daß man sie in der Pfeife rauchen kann, denn was sagt ein Satz wie "Wir planen das Release ca. Q3/2016." in einer Mail vom 05.07.2016 eigentlich genau aus ... er bringt nur einen (vermutlich unverwüstlichen) Optimismus zum Ausdruck, denn mir kann niemand ernsthaft einreden, daß man in den verbleibenden drei Monaten (davon gehen vermutlich noch die Sommerferien in Berlin ab, wenn ein Großteil der Mitarbeiter Kinder im passenden Alter hat) tatsächlich davon ausging, innerhalb des Q3 eine neue Version an den Start zu kriegen - den "Ist-Stand" am Beginn von Q3 sollte man da ja schon gekannt haben.
-Egal ... ich gerate schon wieder ins Träumen; aber ich wage mal die Hypothese, daß sich AVM in den nächsten zwei bis drei Jahren einiges überlegen muß, denn die "security domain" einer FRITZ!Box ist eben nicht mehr (wie das früher der Fall war) die Box selbst und das LAN, sondern nur noch die Box. Alles andere ist (in Zukunft mit jedem weiteren IoT-Gadget) sogar Feindesland und im Prinzip nicht anders zu behandeln (wenn es um den Zugriff auf die Box selbst geht und nicht um "transit"), als jeder Zugriff auf der WAN-Seite.
Das beginnt zwar als Erkenntnis um sich zu greifen (einige Verbesserungen wie die 2FA zeigen eben, daß man sich nicht mehr nur auf Benutzername/Kennwort bzw. SID verlassen will, wenn es um den Zugriff auf die Box geht), aber es geht (nicht nur für mich, sondern objektiv) einfach zu langsam (nochmal, andere Hersteller sind noch schlechter, das schützt aber die FRITZ!Boxen noch lange nicht davor, auch angegriffen zu werden und da interessiert es im Erfolgsfall "keine Sau" mehr, daß der Router beim Nachbarn aber viel schlechter abgesichert gewesen wäre) und so wird man von der Entwicklung einfach überrollt.
Dann kommen eben auch noch "handwerkliche Fehler" dazu, denn mir kann niemand wirklich einreden, daß irgendjemand die Entscheidungen bei der 2FA noch einmal in einem größeren Kreis von Leuten, die sich mit dem FRITZ!OS auskennen, diskutiert hat. Wenn in so einem Kreis tatsächlich nicht aufgefallen wäre, daß zwar der Export der Einstellungen über die 2FA abgesichert ist, aber weder das Setzen des Flags für die "erweiterten Supportdaten" noch das Ausgeben der eigentlichen Support-Datei und daß damit die kompletten Einstellungen genauso gut zu entwenden wären, dann stimmt etwas an der Zusammensetzung dieses Kreises oder an der Intensität der Beschäftigung mit dem Thema nicht. Ich konnte jedenfalls bei meiner 7490 ohne jedes Problem die Einstellungen auf der Support-Seite ändern und die Datei abrufen, obwohl die Sitzung "frisch" war und die Box die 2FA aktiviert hatte. Und so etwas zähle ich dann tatsächlich zu "handwerklichen Fehlern", wenn das weder in der Entwicklung noch in der QS auffällt - auf die (plausible) Erklärung dafür wäre ich einfach auch mal gespannt. Das ist zwar keine "neue" Lücke, aber eine, die neu eingeführte Maßnahmen zu einem guten Teil ad absurdum führt ... außer man war "noch nicht fertig"; dann stellt sich halt die Frage, warum man dann nicht erst "fertig gemacht hat".
Wenn der Kunde bei sich jedenfalls daheim eine "security cam" installiert (die Dinger gibt es beim Discounter) und die bohrt sich erst einmal einen Tunnel durch die FRITZ!Box zu irgendeinem Server des Herstellers (möglichst noch durch eine eigene Portfreigabe und nicht nur durch die selbst aufgebaute TCP-Verbindung), damit der Kunde die "von überall" per App steuern kann, dann ist zumindest schon mal die Frage nach dem "relay" im LAN für einen Angriff auf die FRITZ!Box beantwortet, wenn man sich einige dieser Gerätschaften so ansieht (und wieviel Ahnung hat der durchschnittliche Benutzer davon, warum das eben nicht nur eine Komfortfrage ist).
Und so wird das weitergehen ... die (schlecht konfigurierte) Set-Top-Box mit Enigma2 und ins Internet freigegebenem HTTP-Interface ist genauso ein potentielles Ziel wie irgendein FireTV-Stick oder irgendein anderer HDMI-Stick mit entsprechenden Fähigkeiten ... bis hin zum Smart-TV mit Android-System und Zugang zu irgendwelchen "verseuchten" App-Stores. Wenn die Ransomware nicht mehr den Fernseher ins Visier nimmt, sondern eine Schadsoftware den Router angreift, dann muß der sich eben "wehren" können bzw. bereits zu diesem Zeitpunkt so "gehärtet" sein, daß er der Malware keine (bekannte) Angriffsfläche bietet.
Die "normalen Leute" haben doch heute gar keine Ahnung mehr von den Risiken, die mit neuen Geräten einhergehen (müssen sie auch nicht haben) und so muß man eben auch auf der LAN-Seite eines so zentralen Gerätes, wie es ein Internet-Router im Haushalt nun einmal ist, dafür sorgen, daß da entsprechende Sicherheit vorhanden ist. Das sehe ich eben bei der FRITZ!Box noch lange nicht erreicht ... und das angesichts der Tatsache, daß man ja - immer unter der Annahme, daß die kolportierten Zahlen stimmen - in Deutschland bei den privaten Internetzugängen schon so etwas wie eine "Monokultur" bei den Consumer-Routern hat.
Wenn ich das richtig in Erinnerung habe, waren das bei der Telekom bei der Speedport-Geschichte weniger als 1 Mio. betroffene Geräte ... man stelle sich jetzt einfach einmal vor, über eine Sicherheitslücke im FRITZ!OS könnten unbemerkt 25% der (als Hausnummer) 20 Mio. FRITZ!Boxen in Deutschland übernommen werden durch die Installation einer eigenen Firmware des Angreifers. Das wären dann 5 Mio. Bots, die auf Zuruf an ihrem Anschlüssen (die im Upstream irgendwas zwischen 1 MBit/s und 40 MBit/s schaffen) Datenverkehr erzeugen könnten, der nicht nur jedes Providernetz hoffnungslos überlastet (da muß man dann noch fast "zum Glück" schreiben, weil so ein Engpass im Providernetz natürlich die weiteren Auswirkungen begrenzt), sondern wohl auch so ziemlich jede öffentliche oder gesellschaftlich relevante Webpräsenz ohne jede Diskussion aus dem Netz wirft. Der (m.W.) bisher heftigste DDoS-Angriff im vergangenen Jahr soll es auf 1,5 TB/s gebracht haben bei ca. 1 bis 1,5 Mio. gekaperten Geräten. Das ist also auch eine richtige "Macht", die so einem Angreifer damit in die Hände geraten kann und ...
da trägt dann in der heutigen Zeit eben auch ein Router-Hersteller (denn das sind genau die Geräte, die 24/7 in den Privathaushalten ununterbrochen laufen) eine gehörige Portion Verantwortung, der er auch gerecht werden muß. Dazu gehört für mich auch der offene Umgang mit diesem Thema und nicht das "Einschläfern" der Kunden durch ein "Eiapopeia, wir machen das schon alles für Euch und verbessern das auch ständig nur, Probleme gab es erst einmal (oder zweimal, wenn man den UPnP-Bug zuvor dazurechnet) in der Firmengeschichte." - insofern spielt eben sogar das "wording" beim Formulieren einer Pressemitteilung oder einer Ankündigung einer neuen OS-Version auf der eigenen Webseite eine Rolle, ob die Botschaft klar und deutlich ins Bewußtsein der Adressaten gelangt oder nur das übliche Gesäusel ist.
Wie gesagt ... bisher ist das alles noch Spaß, weil sich niemand wirklich die Mühe macht. Mit einem kabelgebundenen Computer an einer FRITZ!Box (das kann auch der RasPi sein, wenn man es nur demonstrieren will) ist aber die Übernahme einer FRITZ!Box (bei jedem Start dieser FRITZ!Box) kein wirkliches Problem (bei einer DOCSIS-FRITZ!Box vielleicht noch) und auch bei einem WLAN-Angreifer lassen sich noch genug Mittel und Wege finden, Schwachstellen der FRITZ!Box auszunutzen (hier halt nicht so einfach wie beim Start mit dem LAN-Kabel).
Auch unter diesem Aspekt ist es eben in meinen Augen falsch, wenn AVM den Boxen immer mehr Funktionen aufhalst mit jedem neuen Update und der Kunde muß die "schlucken" (ggf. sogar mit neuen Lücken), anstatt daß man mindestens denselben Aufwand in die Behebung erkannter Schwachstellen investiert und neue Funktionen erst von einer wirklich sicheren Basis aus in Angriff nimmt.
Es gäbe noch so vieles in puncto Sicherheit auf der LAN-Seite zu tun ... das geht beim nicht mehr optionalen HTTPS-Zugriff auf das GUI los (damit eben niemand eine SID einfach beim "Sniffen" erbeuten kann), zieht sich über die (m)DNS-Implementierung bis zu den APIs und einer ordentlichen Trennung zwischen "System" und "Benutzer" bei den Dateien im NAS-Speicher (womit dann meine aktuellen Lieblingsthemen mal kurz und knackig angerissen wären), da könnte man AVM vermutlich mind. zwei Monate alleine mit den offensichtlichen Problemen beschäftigen und braucht dazu gar keine neuen Funktionen, die auch erst einmal neue Probleme mit sich bringen und dann bei einigen Kunden durch Fehlfunktionen sogar das Update auf eine sichere Version verhindern. Das soll jetzt auch nicht heißen, daß ich genug Schwachstellen für 2 Monate Arbeit kenne, aber für 2 Wochen (bei AVM vermutlich auf mehrere "Zuständigkeiten" verteilt) reicht es vermutlich schon und dann muß man ja nicht immer warten, bis neue Schwachstellen "von außen" gemeldet werden, man kann die ja auch selbst aktiv mit "code reviews" (oder auch dem Überdenken alter Design-Entscheidungen) versuchen zu bekämpfen. Sollte das tatsächlich (auch mit den notwendigen Nachdruck) bereits passieren, stellt sich die Frage, warum man von außen immer wieder so viele (teils auch banale) Probleme finden kann - wenn die "internen" Tester dann (mit dem Vorteil der Kenntnis von vorhandenem Code ausgestattet) auch in entsprechender Frequenz Lücken aufzeigen und schließen lassen, dann ist es um das FRITZ!OS aber noch schlechter bestellt, als ich es als "Schwarzseher" (ich meine meinen Pessimismus, nicht meinen Fernsehkonsum) für wahrscheinlich halte.
Gibt es irgendwann mal die Sicherheitsupdates gesondert, stellt sich das Problem ungewollter Änderungen auch nicht mehr und vor allem können solche Updates dann auch schon ausgeliefert werden, wenn die neuen Funktionen (ganz unerwartet, das konnte ja niemand ahnen) doch wieder länger brauchen als vorgesehen. So ganz ideal funktioniert ein "agiles" Vorgehen bei einer Firmware ja vielleicht doch nicht ... da, wo bei einem Werksvertrag dann halt der einzelne Kunde mit dem Ergebnis leben kann und muß, wenn Zeit und Budget aufgebraucht sind, da ist ein einzelner "product owner" (auch wenn das vielleicht der Produkt-Manager sein mag, wobei ich da schon wieder "Konflikte" sehen würde, wenn sich der für die 7490 und die 7580 zuständige PM in die Haare kriegen, wessen Produkt denn nun "attraktiver" sein soll, weil ggf. die eigenen Boni davon abhängen) stellvertretend für ca. 20 Mio. Kunden (oder meinetwegen auch nur 10 Mio., wenn der Rest noch ältere Modelle (die dann auch gleich wieder angreifbarer sind) verwenden sollte) dann vielleicht doch etwas überfordert ... wobei natürlich für Security-Fixes sich die Frage "Schaffen wir das bis zum Release noch oder nicht?" gar nicht erst stellen dürfte - nicht mal für "niedrige Dringlichkeit" (entweder es ist ein Problem, dann muß es auch behoben werden oder es ist keines, aber "ja, eigentlich schon, machen wir dann ..." ist in diesem Fragen einfach keine klare Haltung), weil die in Kombination mit der nächsten (weniger wichtigen) Lücke ganz schnell wieder zum Bumerang werden kann und deren genauen Zeitpunkt kann niemand vorhersagen.
Kein Problem kann ohne passende, eigene Untersuchung als zu klein und irrelevant eingeschätzt werden ... daß sich daraus auch (selbst wenn es nur aus dem LAN und vom berechtigten Admin (vordergründig) ausgenutzt werden kann) ein richtiges Problem ergeben kann (bis hin zur "command injection", die der normale Kunde gar nicht selbst beseitigen könnte), hat ja diese Lücke bereits gezeigt und das könnte schon der Provider bei einen Leihgerät für den Kunden durchziehen oder eben eine Malware, die einfach auf die vorhandenen Einstellungen pfeift und die Box zurücksetzt beim TFFS-Schreiben (gut, das fällt bei massenhafter Verbreitung dann auch wieder auf, wenn jede Menge Boxen genau einmal die Einstellungen total vergessen und dann nicht mehr "auffällig" werden).
Ich habe mich aber in der Antwort an AVM auf die letzte Mail (hoffentlich) deutlich genug geäußert und unmißverständlich klargestellt, daß ich das künftig nicht mehr unnötig hinauszögere. Wenn AVM einer Lücke eine "mittlere Dringlichkeit" attestiert und daraus resultiert eine Verschiebung auf das nächste Major-Release (wobei mich beim Base-Score von 7.5 für #515119 schon die Frage plagt, wo AVM die Grenze für eine "hohe Dringlichkeit" zieht) und dieses liegt außerhalb der 90 Tage + "Gnadenfrist" bei Zusage der zeitnahen Veröffentlichung, dann kommt das "auf den Tisch".
Wenn AVM sich bei der Einschätzung irrt, ist das nicht mein Problem und wenn es wieder mal zu lange dauert bis zum nächsten "major release", dann gibt es ja vielleicht wirklich irgendwann mal auch von AVM so etwas wie ein monatliches (wie bei MS, Adobe, usw.) oder zumindest vierteljährliches Update (wie bei Oracle), in dem die Erkenntnisse der letzten drei Monate (das macht dann sogar noch die bewußte "Verlängerung" möglich für Meldungen, die innerhalb der letzten Woche vor Redaktionsschluß eingehen) in Form einer "noch besseren Firmware" (da lasse ich das dann auch gelten) gipfeln.
Den neuen Termin für den Exploit (so langsam klingt das sogar viel zu hochtrabend, wenn man erst einmal weiß, wie banal das am Ende ist) wird jedenfalls auch kein weiterer Appell von AVM an mein Gewissen verschieben, abgesehen davon gibt es gar nicht genug Modelle, die man noch in der gleichen Frequenz mit einem Update versorgen könnte, damit das nicht nach 14 Tagen dann ebenfalls als Argument entfällt.
Mir wurde ja aufgetragen, in dieser Richtung einfach einmal selbst zu recherchieren und so bin ich eben ganz naiv den leichten Weg gegangen und habe abgezählt, wieviele FRITZ!Boxen es der AVM-Seite nach gibt (bei Produkte), das kommt - inkl. DOCSIS, LTE und "Glasfaser" - auf 16 Modelle.
Wobei ich das bei der 5490 zu lesende
auf der deutschen Version der Seite auch schon wieder für Wunschdenken halte ... vielleicht kennt ja tatsächlich jemand wenigstens einen deutschen Glasfaser-Provider, der auch die 5490 im Angebot hat? Ansonsten muß man die vielleicht wieder abziehen. Vielleicht in der Schweiz (da kenne ich tatsächlich einen Provider, der einen Feldtest gemacht hat) oder in den Niederlanden, wie mal angekündigt? Wobei die sich dann auch alle sehr zurückhalten müssen beim Bewerben dieses Angebotes, die Suche bei Google bringt da nicht wirklich Ergebnisse (oder ich stelle mich nur zu dumm an).
Läßt man dann mal eine Suche auf die Dateien auf dem AVM-FTP-Server los (einfach per "find -ls" über "ftpfs" erstellt), sieht das im Moment so aus:
Code:
# grep -r "[A-Za-z]\{3\}[ \t]*[0-9]\{1,2\}[ \t]*[0-9]\{1,2\}:[0-9]\{1,2\}" /tmp/avm.ftp.files | grep "\(Jan\|Feb\)" | grep ".*\.image\$"
397 23812 -rw-r--r-- 1 root root 24381440 Feb 2 13:13 /ftp/avm/fritzbox.3490/firmware/deutsch/FRITZ.Box_3490.140.06.80.image
545 23272 -rw-r--r-- 1 root root 23828480 Feb 2 17:43 /ftp/avm/fritzbox.7362_sl/firmware/deutsch/FRITZ.Box_7362_SL.131.06.80.image
565 20412 -rw-r--r-- 1 root root 20899840 Feb 9 19:20 /ftp/avm/fritzbox.7412/firmware/deutsch/FRITZ.Box_7412.137.06.80.image
574 23252 -rw-r--r-- 1 root root 23808000 Feb 13 15:07 /ftp/avm/fritzbox.7430/firmware/deutsch/FRITZ.Box_7430.146.06.80.image
592 26420 -rw-r--r-- 1 root root 27054080 Jan 23 14:03 /ftp/avm/fritzbox.7490/firmware/deutsch/FRITZ.Box_7490.113.06.80.image
595 26872 -rw-r--r-- 1 root root 27514880 Feb 3 13:55 /ftp/avm/fritzbox.7490/firmware/deutsch_a-ch/FRITZ.Box_7490.en-de-es-it-fr-pl.113.06.80.image
598 26872 -rw-r--r-- 1 root root 27514880 Feb 3 13:54 /ftp/avm/fritzbox.7490/firmware/english/FRITZ.Box_7490.en-de-es-it-fr-pl.113.06.80.image
634 23012 -rw-r--r-- 1 root root 23562240 Jan 30 10:03 /ftp/avm/fritzbox.7560/firmware/deutsch/FRITZ.Box_7560.149.06.81.image
640 22992 -rw-r--r-- 1 root root 23541760 Jan 31 13:44 /ftp/avm/fritzbox.7560/x_misc/deutsch/firmware_alt/FRITZ.Box_7560.149.06.80.image
647 23592 -rw-r--r-- 1 root root 24156160 Jan 25 18:03 /ftp/avm/fritzbox.7580/firmware/deutsch/FRITZ.Box_7580.153.06.81.image
653 23592 -rw-r--r-- 1 root root 24156160 Jan 31 13:18 /ftp/avm/fritzbox.7580/x_misc/deutsch/firmware_alt/FRITZ.Box_7580.153.06.80.image
1160 20052 -rw-r--r-- 1 root root 20531200 Feb 6 15:22 /ftp/avm/fritzbox.fon_wlan_7360_v2/firmware/deutsch/FRITZ.Box_Fon_WLAN_7360.124.06.80.image
1187 17220 -rw-r--r-- 1 root root 17633280 Feb 8 15:05 /ftp/avm/fritzbox.fon_wlan_7390/firmware/deutsch/FRITZ.Box_Fon_WLAN_7390.AnnexB.84.06.80.imageOb AVM dann generell so "angepisst" ist, daß man mir überhaupt nicht mehr auf Meldungen von Schwachstellen antwortet, werde ich auch in Kürze wissen, da ich in der Mail vom 10.02.2017 03:49 Uhr diese Lücke detaillierter beschrieben habe, da ja nunmehr die nächste Version erschienen ist und die (m.E. schon im Dez. 2014 mitgeteilte) Schwachstelle nach wie vor vorhanden ist.
Damals war das mehr eine Randnotiz, weil es noch ganz andere Möglichkeiten der Ausführung eigener Kommandos auf einer FRITZ!Box gab (wir erinnern uns alle an den Telnet-Zugang), heute ist es eben eine RCE-Lücke, weil "remote" zur FRITZ!Box eben auch das LAN ist und nicht nur die WAN-Seite (wobei das sogar hier funktionieren würde, aber eben nicht ohne entsprechende Rechte - hoffentlich jedenfalls).
Jedenfalls werde ich es ja merken, ob AVM es für notwendig erachtet, mir für diese Schwachstelle eine Incident-Nummer zuzuweisen - bisher sind zwei Werktage vergangen, ohne daß ich entsprechende Nachricht von AVM erhalten hätte. Mein "Gang an die Öffentlichkeit" nach der letzten Mail trägt sicherlich auch ein Übriges zum Verdruß bei ... ich lasse mich einfach überraschen und die größte Überraschung wäre es dann, wenn sich AVM tatsächlich öffentlich (hier oder anderswo) äußert oder "Schritte macht".
[ Ich falle jedesmal fast vom Stuhl vor Schreck, wenn ich bei der "Durchsicht" von "social media activities" (der Gedanke kam mir jetzt bei der Überlegung, wo AVM so etwas machen könnte, ohne daß es nur als "Proklamation" daherkommt, auf die niemand reagieren kann) die immer gleichen Texte bei Facebook lese, mit denen z.B. die "interessanten Vorschläge an die Entwicklungsabteilung weitergegeben" wurden, denn da habe ich immer ein déjà-vu - bis ich dann in alte E-Mails schaue und wieder weiß, daß das gar keine Sinnestäuschung, sondern tatsächlich eine Wiederholung von Geschichte(n) ist - halt in einem anderen Medium.
So ist jedenfalls mein (auch ab und an mal unvoreingenommener) Eindruck, wenn ich mir das aus reinem Spaß mal antue, wobei die AVM-Facebook-Seite vom "redaktionellen Inhalt" her ja mehr ein Billboard für Links auf Artikel auf avm.de ist und somit die "verschiedenen Kundenströme" dann doch nur wieder irgendwo "abgeholt" werden, um am Ende an derselben Stelle zu landen mit genau derselben "Ansprache" und denselben Inhalten, was irgendwie auch nicht in mein (Marketing-)Weltbild passen will - aber wenigsten muß sich keine Kundengruppe diskriminiert fühlen, da kriegen alle nur dasselbe. ]
Ich diskutiere da jedenfalls auch in der Zukunft nicht mehr lange - wenn ich nach 28 KT keine zweite Reaktion erhalten habe (das habe ich AVM schon am 04.07.2016 per E-Mail verdeutlicht), sehe ich die Meldung als "abgehakt" an und die Policy mit den 90 (+ 15) Tagen ist dann ebenfalls hinfällig; die gilt nämlich nur für den Fall, daß der Hersteller auch reagiert - das ist genauso Teil von "responsible disclosure" und die "Empfehlungen" zur Reaktionszeit kann jeder wieder in den BSI-Dokumenten nachlesen.
Da sind 4 Wochen schon wieder sehr langmütig - wenn in dieser Zeit keine Beschäftigung mit der Meldung erfolgte und keine Einschätzung zur Relevanz vorliegt (die darf auch gerne einen CVSS-Wert beinhalten, dann kann man das besser nachempfinden), dann kann das Problem nicht groß genug sein, als daß es weiterer Kommunikation bedarf und kann unter "Randnotizen" in der Grube mit den anderen "Sünden" landen und als (gutes oder schlechtes) Beispiel öffentlich verwurstet werden, wenn es daraus etwas zu lernen geben könnte. Für eine reine "Eingangsbestätigung" halte ich schon eine Woche für sehr lang (und das erlaubte Maximum) ... das geht auch wieder nicht nur mir so, das habe ich irgendwo auch in einer PDF-Datei gelesen.
-Vielleicht OT, aber vielleicht doch nicht so ganz ...
Ich habe parallel noch einmal nachgesehen, was wirklich jeweils zu behobenen Problemen "verlautbart" wurde ... und siehe da, das waren am Ende alles "Sicherheitsverbesserungen". (EDIT: bei der 06.80, nicht in der gesamten AVM-History.)
Nun macht es ja einen gewaltigen Unterschied, ob man etwas Gutes noch weiter verbessert oder ob man etwas Kaputtes dadurch "verbessert", daß man es erst einmal repariert.
Das ist eben ein weiteres Beispiel dafür, wie AVM in Bezug auf Sicherheitsprobleme der Firmware permanent mauert (solche Probleme sind nun mal keine Schande und wer einer Firma wirklich glaubt, ihre Software wäre rundum sicher, dem ist ohnehin nicht zu helfen bzw. der hat halt keine Ahnung) und das nicht nur beim konkreten Benennen von Problemen, sondern schon beim Vermeiden jedes Eindrucks, etwas könnte "schlecht" sein bei AVM ... dort ist alles nur "gut" und alles das, was mit "gut" nicht ausreichend gewürdigt ist, ist dann besser. Das hatten wir letzens erst bei der Gegenüberstellung der Eigenschaften der beiden WLAN-Bänder auch schon.
Aber bei der Beurteilung des vorhergehenden Zustands ergibt es eben einen erheblichen Unterschied, ob man ein Sicherheitsproblem behoben hat oder etwas zuvor "nicht Problembehaftetes" tatsächlich nur besser machte und schon bei solchen Kleinigkeiten geht es eben bei AVM los. Ich behaupte ja schon seit langer Zeit, daß man sich bei AVM (häufig jedenfalls) sehr genau überlegt, was man da schreibt und das am Ende so lange hin und her schiebt, bis es nie vollkommen falsch ist, aber beim Leser dann doch der falsche Eindruck fast unvermeidlich ist.
-Insofern hast Du vermutlich sogar Recht ... ich hatte bisher immer zuviel Geduld. Jetzt brauche ich halt nur noch einen Mechanismus, wie man sowohl die (vertrauliche) Meldung an den Hersteller als auch die rechtzeitige Veröffentlichung nicht behobener Schwachstellen auf einen Schlag erledigen kann, ohne sich dann erneut mit einer gefundenen Lücke befassen zu müssen (und das ggf. zu vergessen) und für das "responsible" und die eingeräumte Zeit zur Behebung zusätzlichen eigenen Aufwand zu generieren.
Bei solchen Angeboten wie HackerOne macht AVM ja nicht mit und Open Bug Bounty hat ein Imageproblem und kümmert sich auch in erster Linie um Webseiten, was hier ja nicht der Fall ist. Da gehen mir dann die Ideen auch etwas aus ... vielleicht wäre es ja tatsächlich auch für AVM mal eine Überlegung wert, sich eine "disclosure policy" zuzulegen und diese dann auch so zu veröffentlichen, daß man sie finden kann.
Aber dazu bräuchte es auf der anderen Seite ja auch wieder das "Eingeständnis", daß man tatsächlich nicht perfekt ist und daß es so viele Probleme geben könnte, daß man diese einer "geordneten Bearbeitung" zuführen muß.
Im Moment klappt vermutlich nicht einmal die Zuordnung von Incidents zu Findern vernünftig ... bei der Nachfrage von AVM, wie ich denn gerne genannt werden möchte, wenn man derartige Danksagungen dann veröffentlicht, waren von 7 gemeldeten und von AVM schriftlich bestätigten Incidents aus der Zeit seit Juni 2016 gerade einmal 4 als potentielle "Kandidaten" aufgeführt. Einer von diesen sieben wurde zwar bestätigt und seine Behebung angekündigt, das führte aber noch nicht dazu, daß das auch wirklich Eingang in die Firmware fand - den könnte man also noch als "unklar" bei der Zuordnung einstufen.
Auch die (öffentlich gemachten) Gedanken und Vorkehrungen in so einer "disclosure policy" gehören eben dazu (auch wirklich Große wie Microsoft oder Apple haben das inzwischen begriffen und sogar von Netgear gibt es inzwischen etwas in dieser Richtung) ... genauso wie das Einhalten von Terminen für Wiedervorlage und die (herstellerseitige) Information der Finder, wenn sich zuvor gemachte Zusagen aus irgendwelchen Gründen verschieben. Es kann ja nicht so schwer sein, anhand einer Datenbank mit den zu behebenden Schwachstellen und auf der Basis der E-Mail-Adressen von deren Findern beim Verschieben irgendwelcher Termine entsprechende E-Mails zu generieren ... das machen Spam-Versender jeden Tag millionenfach.
Wobei die gemachten Angaben bisher ohnehin meist so vage sind, daß man sie in der Pfeife rauchen kann, denn was sagt ein Satz wie "Wir planen das Release ca. Q3/2016." in einer Mail vom 05.07.2016 eigentlich genau aus ... er bringt nur einen (vermutlich unverwüstlichen) Optimismus zum Ausdruck, denn mir kann niemand ernsthaft einreden, daß man in den verbleibenden drei Monaten (davon gehen vermutlich noch die Sommerferien in Berlin ab, wenn ein Großteil der Mitarbeiter Kinder im passenden Alter hat) tatsächlich davon ausging, innerhalb des Q3 eine neue Version an den Start zu kriegen - den "Ist-Stand" am Beginn von Q3 sollte man da ja schon gekannt haben.
-Egal ... ich gerate schon wieder ins Träumen; aber ich wage mal die Hypothese, daß sich AVM in den nächsten zwei bis drei Jahren einiges überlegen muß, denn die "security domain" einer FRITZ!Box ist eben nicht mehr (wie das früher der Fall war) die Box selbst und das LAN, sondern nur noch die Box. Alles andere ist (in Zukunft mit jedem weiteren IoT-Gadget) sogar Feindesland und im Prinzip nicht anders zu behandeln (wenn es um den Zugriff auf die Box selbst geht und nicht um "transit"), als jeder Zugriff auf der WAN-Seite.
Das beginnt zwar als Erkenntnis um sich zu greifen (einige Verbesserungen wie die 2FA zeigen eben, daß man sich nicht mehr nur auf Benutzername/Kennwort bzw. SID verlassen will, wenn es um den Zugriff auf die Box geht), aber es geht (nicht nur für mich, sondern objektiv) einfach zu langsam (nochmal, andere Hersteller sind noch schlechter, das schützt aber die FRITZ!Boxen noch lange nicht davor, auch angegriffen zu werden und da interessiert es im Erfolgsfall "keine Sau" mehr, daß der Router beim Nachbarn aber viel schlechter abgesichert gewesen wäre) und so wird man von der Entwicklung einfach überrollt.
Dann kommen eben auch noch "handwerkliche Fehler" dazu, denn mir kann niemand wirklich einreden, daß irgendjemand die Entscheidungen bei der 2FA noch einmal in einem größeren Kreis von Leuten, die sich mit dem FRITZ!OS auskennen, diskutiert hat. Wenn in so einem Kreis tatsächlich nicht aufgefallen wäre, daß zwar der Export der Einstellungen über die 2FA abgesichert ist, aber weder das Setzen des Flags für die "erweiterten Supportdaten" noch das Ausgeben der eigentlichen Support-Datei und daß damit die kompletten Einstellungen genauso gut zu entwenden wären, dann stimmt etwas an der Zusammensetzung dieses Kreises oder an der Intensität der Beschäftigung mit dem Thema nicht. Ich konnte jedenfalls bei meiner 7490 ohne jedes Problem die Einstellungen auf der Support-Seite ändern und die Datei abrufen, obwohl die Sitzung "frisch" war und die Box die 2FA aktiviert hatte. Und so etwas zähle ich dann tatsächlich zu "handwerklichen Fehlern", wenn das weder in der Entwicklung noch in der QS auffällt - auf die (plausible) Erklärung dafür wäre ich einfach auch mal gespannt. Das ist zwar keine "neue" Lücke, aber eine, die neu eingeführte Maßnahmen zu einem guten Teil ad absurdum führt ... außer man war "noch nicht fertig"; dann stellt sich halt die Frage, warum man dann nicht erst "fertig gemacht hat".
Wenn der Kunde bei sich jedenfalls daheim eine "security cam" installiert (die Dinger gibt es beim Discounter) und die bohrt sich erst einmal einen Tunnel durch die FRITZ!Box zu irgendeinem Server des Herstellers (möglichst noch durch eine eigene Portfreigabe und nicht nur durch die selbst aufgebaute TCP-Verbindung), damit der Kunde die "von überall" per App steuern kann, dann ist zumindest schon mal die Frage nach dem "relay" im LAN für einen Angriff auf die FRITZ!Box beantwortet, wenn man sich einige dieser Gerätschaften so ansieht (und wieviel Ahnung hat der durchschnittliche Benutzer davon, warum das eben nicht nur eine Komfortfrage ist).
Und so wird das weitergehen ... die (schlecht konfigurierte) Set-Top-Box mit Enigma2 und ins Internet freigegebenem HTTP-Interface ist genauso ein potentielles Ziel wie irgendein FireTV-Stick oder irgendein anderer HDMI-Stick mit entsprechenden Fähigkeiten ... bis hin zum Smart-TV mit Android-System und Zugang zu irgendwelchen "verseuchten" App-Stores. Wenn die Ransomware nicht mehr den Fernseher ins Visier nimmt, sondern eine Schadsoftware den Router angreift, dann muß der sich eben "wehren" können bzw. bereits zu diesem Zeitpunkt so "gehärtet" sein, daß er der Malware keine (bekannte) Angriffsfläche bietet.
Die "normalen Leute" haben doch heute gar keine Ahnung mehr von den Risiken, die mit neuen Geräten einhergehen (müssen sie auch nicht haben) und so muß man eben auch auf der LAN-Seite eines so zentralen Gerätes, wie es ein Internet-Router im Haushalt nun einmal ist, dafür sorgen, daß da entsprechende Sicherheit vorhanden ist. Das sehe ich eben bei der FRITZ!Box noch lange nicht erreicht ... und das angesichts der Tatsache, daß man ja - immer unter der Annahme, daß die kolportierten Zahlen stimmen - in Deutschland bei den privaten Internetzugängen schon so etwas wie eine "Monokultur" bei den Consumer-Routern hat.
Wenn ich das richtig in Erinnerung habe, waren das bei der Telekom bei der Speedport-Geschichte weniger als 1 Mio. betroffene Geräte ... man stelle sich jetzt einfach einmal vor, über eine Sicherheitslücke im FRITZ!OS könnten unbemerkt 25% der (als Hausnummer) 20 Mio. FRITZ!Boxen in Deutschland übernommen werden durch die Installation einer eigenen Firmware des Angreifers. Das wären dann 5 Mio. Bots, die auf Zuruf an ihrem Anschlüssen (die im Upstream irgendwas zwischen 1 MBit/s und 40 MBit/s schaffen) Datenverkehr erzeugen könnten, der nicht nur jedes Providernetz hoffnungslos überlastet (da muß man dann noch fast "zum Glück" schreiben, weil so ein Engpass im Providernetz natürlich die weiteren Auswirkungen begrenzt), sondern wohl auch so ziemlich jede öffentliche oder gesellschaftlich relevante Webpräsenz ohne jede Diskussion aus dem Netz wirft. Der (m.W.) bisher heftigste DDoS-Angriff im vergangenen Jahr soll es auf 1,5 TB/s gebracht haben bei ca. 1 bis 1,5 Mio. gekaperten Geräten. Das ist also auch eine richtige "Macht", die so einem Angreifer damit in die Hände geraten kann und ...
da trägt dann in der heutigen Zeit eben auch ein Router-Hersteller (denn das sind genau die Geräte, die 24/7 in den Privathaushalten ununterbrochen laufen) eine gehörige Portion Verantwortung, der er auch gerecht werden muß. Dazu gehört für mich auch der offene Umgang mit diesem Thema und nicht das "Einschläfern" der Kunden durch ein "Eiapopeia, wir machen das schon alles für Euch und verbessern das auch ständig nur, Probleme gab es erst einmal (oder zweimal, wenn man den UPnP-Bug zuvor dazurechnet) in der Firmengeschichte." - insofern spielt eben sogar das "wording" beim Formulieren einer Pressemitteilung oder einer Ankündigung einer neuen OS-Version auf der eigenen Webseite eine Rolle, ob die Botschaft klar und deutlich ins Bewußtsein der Adressaten gelangt oder nur das übliche Gesäusel ist.
Wie gesagt ... bisher ist das alles noch Spaß, weil sich niemand wirklich die Mühe macht. Mit einem kabelgebundenen Computer an einer FRITZ!Box (das kann auch der RasPi sein, wenn man es nur demonstrieren will) ist aber die Übernahme einer FRITZ!Box (bei jedem Start dieser FRITZ!Box) kein wirkliches Problem (bei einer DOCSIS-FRITZ!Box vielleicht noch) und auch bei einem WLAN-Angreifer lassen sich noch genug Mittel und Wege finden, Schwachstellen der FRITZ!Box auszunutzen (hier halt nicht so einfach wie beim Start mit dem LAN-Kabel).
Auch unter diesem Aspekt ist es eben in meinen Augen falsch, wenn AVM den Boxen immer mehr Funktionen aufhalst mit jedem neuen Update und der Kunde muß die "schlucken" (ggf. sogar mit neuen Lücken), anstatt daß man mindestens denselben Aufwand in die Behebung erkannter Schwachstellen investiert und neue Funktionen erst von einer wirklich sicheren Basis aus in Angriff nimmt.
Es gäbe noch so vieles in puncto Sicherheit auf der LAN-Seite zu tun ... das geht beim nicht mehr optionalen HTTPS-Zugriff auf das GUI los (damit eben niemand eine SID einfach beim "Sniffen" erbeuten kann), zieht sich über die (m)DNS-Implementierung bis zu den APIs und einer ordentlichen Trennung zwischen "System" und "Benutzer" bei den Dateien im NAS-Speicher (womit dann meine aktuellen Lieblingsthemen mal kurz und knackig angerissen wären), da könnte man AVM vermutlich mind. zwei Monate alleine mit den offensichtlichen Problemen beschäftigen und braucht dazu gar keine neuen Funktionen, die auch erst einmal neue Probleme mit sich bringen und dann bei einigen Kunden durch Fehlfunktionen sogar das Update auf eine sichere Version verhindern. Das soll jetzt auch nicht heißen, daß ich genug Schwachstellen für 2 Monate Arbeit kenne, aber für 2 Wochen (bei AVM vermutlich auf mehrere "Zuständigkeiten" verteilt) reicht es vermutlich schon und dann muß man ja nicht immer warten, bis neue Schwachstellen "von außen" gemeldet werden, man kann die ja auch selbst aktiv mit "code reviews" (oder auch dem Überdenken alter Design-Entscheidungen) versuchen zu bekämpfen. Sollte das tatsächlich (auch mit den notwendigen Nachdruck) bereits passieren, stellt sich die Frage, warum man von außen immer wieder so viele (teils auch banale) Probleme finden kann - wenn die "internen" Tester dann (mit dem Vorteil der Kenntnis von vorhandenem Code ausgestattet) auch in entsprechender Frequenz Lücken aufzeigen und schließen lassen, dann ist es um das FRITZ!OS aber noch schlechter bestellt, als ich es als "Schwarzseher" (ich meine meinen Pessimismus, nicht meinen Fernsehkonsum) für wahrscheinlich halte.
Gibt es irgendwann mal die Sicherheitsupdates gesondert, stellt sich das Problem ungewollter Änderungen auch nicht mehr und vor allem können solche Updates dann auch schon ausgeliefert werden, wenn die neuen Funktionen (ganz unerwartet, das konnte ja niemand ahnen) doch wieder länger brauchen als vorgesehen. So ganz ideal funktioniert ein "agiles" Vorgehen bei einer Firmware ja vielleicht doch nicht ... da, wo bei einem Werksvertrag dann halt der einzelne Kunde mit dem Ergebnis leben kann und muß, wenn Zeit und Budget aufgebraucht sind, da ist ein einzelner "product owner" (auch wenn das vielleicht der Produkt-Manager sein mag, wobei ich da schon wieder "Konflikte" sehen würde, wenn sich der für die 7490 und die 7580 zuständige PM in die Haare kriegen, wessen Produkt denn nun "attraktiver" sein soll, weil ggf. die eigenen Boni davon abhängen) stellvertretend für ca. 20 Mio. Kunden (oder meinetwegen auch nur 10 Mio., wenn der Rest noch ältere Modelle (die dann auch gleich wieder angreifbarer sind) verwenden sollte) dann vielleicht doch etwas überfordert ... wobei natürlich für Security-Fixes sich die Frage "Schaffen wir das bis zum Release noch oder nicht?" gar nicht erst stellen dürfte - nicht mal für "niedrige Dringlichkeit" (entweder es ist ein Problem, dann muß es auch behoben werden oder es ist keines, aber "ja, eigentlich schon, machen wir dann ..." ist in diesem Fragen einfach keine klare Haltung), weil die in Kombination mit der nächsten (weniger wichtigen) Lücke ganz schnell wieder zum Bumerang werden kann und deren genauen Zeitpunkt kann niemand vorhersagen.
Kein Problem kann ohne passende, eigene Untersuchung als zu klein und irrelevant eingeschätzt werden ... daß sich daraus auch (selbst wenn es nur aus dem LAN und vom berechtigten Admin (vordergründig) ausgenutzt werden kann) ein richtiges Problem ergeben kann (bis hin zur "command injection", die der normale Kunde gar nicht selbst beseitigen könnte), hat ja diese Lücke bereits gezeigt und das könnte schon der Provider bei einen Leihgerät für den Kunden durchziehen oder eben eine Malware, die einfach auf die vorhandenen Einstellungen pfeift und die Box zurücksetzt beim TFFS-Schreiben (gut, das fällt bei massenhafter Verbreitung dann auch wieder auf, wenn jede Menge Boxen genau einmal die Einstellungen total vergessen und dann nicht mehr "auffällig" werden).
Zuletzt bearbeitet:
Peter,
bei allem Respekt - und sei mir bitte nicht böse - aber solch lange Texte lesen vermutlich nur wenige hier.
Damit geht ein gewisses Risiko einher, dass durch nur noch vereinzelte Rückmeldungen ein nicht mehr repraesentatives Meinungsbild entsteht.
LG, Goggo
bei allem Respekt - und sei mir bitte nicht böse - aber solch lange Texte lesen vermutlich nur wenige hier.
Damit geht ein gewisses Risiko einher, dass durch nur noch vereinzelte Rückmeldungen ein nicht mehr repraesentatives Meinungsbild entsteht.
LG, Goggo
- Mitglied seit
- 10 Mai 2006
- Beiträge
- 15,274
- Punkte für Reaktionen
- 1,751
- Punkte
- 113
Da ist etwas dran ... wird auch zu dem Thema nicht mehr vorkommen - es ist alles "gesagt".
Aber ich kann so wenigstens für mich reklamieren, daß ich es (auch hier) noch einmal niedergeschrieben habe und es die Chance gab, es zu lesen (notfalls auch, es irgendwann bei einer Google-Suche mal zu finden, wenn es im Suchmaschinen-Index gelandet ist); "zwingen" kann (und will) ich ohnehin niemanden dazu.
Die Umfrage ist ja ohnehin durch, das "Meinungsbild" (mal von anderen Wortmeldungen abgesehen) damit auch geklärt. Wollte halt nur nicht als "der Depp" dastehen, den man am Nasenring per E-Mail weiter durch die Manege zieht.
Aber ich kann so wenigstens für mich reklamieren, daß ich es (auch hier) noch einmal niedergeschrieben habe und es die Chance gab, es zu lesen (notfalls auch, es irgendwann bei einer Google-Suche mal zu finden, wenn es im Suchmaschinen-Index gelandet ist); "zwingen" kann (und will) ich ohnehin niemanden dazu.
Die Umfrage ist ja ohnehin durch, das "Meinungsbild" (mal von anderen Wortmeldungen abgesehen) damit auch geklärt. Wollte halt nur nicht als "der Depp" dastehen, den man am Nasenring per E-Mail weiter durch die Manege zieht.
Neueste Beiträge
-
[Sammlung] Aktuelle Konditionen für Vertragsverlängerung
- Letzte: Martin
-
FRITZ!Box 7590 / FRITZ!OS 8.00 vom 31.10.2024
- Letzte: joto
-
FRITZ!Box 4060 - Labor 7.90 - Sammelthema- Letzte: UsAs
-
[Problem] 7490 mit anderen IP-Adressen (als 192.168.178.1) recovern
- Letzte: mac-christian
-
Fritz!DECT 302 regelt nicht mehr- Letzte: Jstessi
-
Analoges Wählgerät einer Alarmanlage an VoIP betreiben ...
- Letzte: Multireed