FB 7170, Sicherheit

[kjz]

Hallo!

Wie sieht es eigentlich mit der Sicherheit der Fritzboxen aus? In der c't wurde von folgendem Angriffsszenario berichtet: User ist mit einem Browserfenster in die FB eingeloggt (bzw. ein Cookie ist für das Login gesetzt), mit einem anderen Browserfenster wird gesurft. Man gelangt auf eine Webseite, in der bösartiger Code eingeschleust wurde. Theoretisch soll es dann möglich sein, Modifikationen in die Konfiguration der FB einzuschleusen.

Schlimmstmöglich wäre sogar an eine Modifikation der Firmware (z. Bsp. als Proxy zum Spamversand) zu denken. Für Cracker/Spammer natürlich ein 'gefundenes Fressen', da die FB (im Gegensatz zu vielen Computern) meist 24/7 online sind. Und dort auch kein Virenscanner installiert ist. Eine geschickt getarnte Modifikation würde also kaum auffallen.

Nur eine Horrorvision oder durchaus denkbar?

- kjz

 

[GuruHacker]

LOL!!!

Die Fritzen haben diese Sicherheitslücken nicht.
Dafür hat schon AVM gesorgt! Und wenn:
Es wäre schlimm wenn er Root auf Telnet/Putty bekommt, aber sonst *pfeif*

Aber so weit wird es nicht kommen!

 

[harley_no1]

So locker würde ich das nicht sehen!

M.E. gibt es zwei Sicherheitslücken:
- Konfiguration über UPnP (standardmäßig ausgeschaltet)
- Konfiguration über GET-Parameter und ein unsicherer Browser.

Da der zweite Fall sehr wahrscheinlich ist (sichere Browser gibt es nicht), sollte man hier vorsichtig sein und z.B. die Fritzbox in einem extra Browser-Fenster konfigurieren und dieses danach sofort wieder schließen. Das trifft natürlich erst recht zu, wenn man kein Passwort gesetzt hat (wovon natürlich dringend abzuraten ist, aber kommt vor ...).

M.E. war diese Art der Konfiguration auch bei den Fritzboxen möglich, ich finde aber den entsprechenden Artikel nicht mehr. (Hat da jemand Referenzen?)

Einen Vorteil hat die Fritzbox: Die Konfigurationsoberfläche verlangt recht schnell wieder nach einem Passwort (auch wenn das manchmal nervt, aber es ist sicherer).

Nachtrag 1: Übrigens, auch ohne Root-Shell kann man hier einigen Schaden anrichten, z.B. eine teure Rufumleitung einrichten o.ä.
Nachtrag 2: Hier 2 Artikel dazu (allerdings nicht Fritzbox-spezifisch): http://www.heise.de/security/news/meldung/102281 und http://www.heise.de/security/news/meldung/85452

vg,
harley

PS @GuruHacker: Pakete wird ohne "c" geschrieben (Signatur).

 

[D00mhammer]

Hallo,

ich hoffe ich sprenge den Rahmen des Posts nicht, die frage sicherheit und ct besteht auch bei mir.
Und zwar wurde dort in einem artikel berichtet, dass die implementiertung der openSSL nicht sichere schlüssel erzeugt. damit sind ssh verbindungen unsicher (können im nachinein dekodiert werden, es kann sich zugang zum server verschafft werden).

jetzt ist meine frage als linux und fritzbox unwissender: sind wir auch davon betroffen (mit oder ohne key authentifizierung von dropbear) und was kann man dagegen tun ?

danke

D00m

 

[harley_no1]

Da ich SSH nicht benötige, habe ich mich noch nicht mit der speziellen Implementierung beschäftigt. Informationen sollte man aber von den Entwicklern des SSH-Servers (dropbear oder ähnlich) erhalten. Eventuell wird das sogar schon in den entsprechenden Foren diskutiert.

Hat jemand eine Verbindung dahin?

vg,
harley