Im Übrigen, scheinen die Parameter des Requests nicht wirklich überprüft zu werden (Bis auf die MAC), ich vermute diese dienen nur der Aufzeichnung/Logging.
Und genau dann, wenn das tatsächlich so sein sollte, verstehe ich die ganze Welt nicht mehr.
Man sollte doch wohl annehmen können, daß AVM bei einem so kapitalen Bock wie dem "cmcertgen" im Anschluß hingeht und sich einen
wirklich sicheren Weg für eine solche Aktion überlegt. Dabei sollte ja dann auch jemand ein Mitspracherecht gehabt haben, der sich mit "Security" im Allgemeinen recht gut auskennt. Wenn der dann nicht sofort interveniert hat, wenn es wirklich nur solche Einschränkungen geben sollte (das sieht ja schon wieder wie "Duldungsstarre" aus und wie "Wird schon keiner merken ..."), dann kann man nur sagen: "Selbst schuld ... wenn das Kind schon im Brunnen ist, muß man es ja nicht noch einmal gezielt untertauchen.".
Nun habe ich bei einigen Überlegungen, was ich anstelle von AVM machen würde, immer wieder danebengelegen (und das auch schon, bevor ich wußte, wie AVM es wirklich umgesetzt hat, das war also nicht alles nur "hinterher hat es halt jeder bessergewußt") und daher sind meine Erwartungen tatsächlich auch sukzessive gesunken, aber bei einem so essentiellen Problem (man will das Klonen von Geräten verhindern und ersetzt daher das alte Herstellerzertifikat durch ein neues),
kann doch eigentlich niemand auf die Idee kommen, das durch einen Mechanismus zu ersetzen, wo dann eben das notwendige Zertifikat nicht mehr lokal erstellt wird, sondern von einem externen Host (und auch noch beliebig oft und mit wechselnden privaten Schlüsseln, wobei das zumindest mal das "Abhören" erschwert) geladen wird und am Ende hat man - mangels wirklich umfassender Überprüfung solcher Requests - dasselbe Problem in grün.
Nun mag es gute Gründe geben, das "Protokoll" für ein solches Update so einfach wie möglich zu halten ... aber wenn so ein Request tatsächlich mit "curl" und zwei oder drei halbwegs richtig gesetzten Parametern möglich ist (noch dazu, wo sich eben die CM-MAC "vorhersagen" läßt anhand eines WLANs), dann grenzt das ja fast an Vorsatz. Die "Vorlaufzeit" für den 01.08.2016 war auch nicht so kurz und die Entscheidung (für die sich AVM selbst eingesetzt hatte) kam auch nicht so überraschend, daß man nicht hätte nachbessern können.
Vermutlich kam auch hier wieder das "Prinzip Hoffnung" zum Einsatz, daß es schon niemand merken würde ... und das ist genau eine Haltung (die "Hacker" müssen automatisch dümmer als wir sein, denn wir sind ja "die Guten"), die man in meinen Augen immer wieder bei AVM an vielen Stellen finden kann. Das geht bei der generellen "Informationspolitik" los (wenn sich schon die KNB über fehlende Infos zum Zertifikate-Problem beschweren) und zieht sich über die Priorisierung (bzw. Verzögerung) von Updates für Sicherheitsprobleme bis zum "Eingeständnis" gemachter Fehler (und die kann einfach niemand vermeiden, damit wirkt das Verschweigen solcher Fehler nicht besonders vertrauenserweckend) durch die gesamte AVM-Welt.
Dann noch jede Menge "Vaporware" und am Schluß reißt eigentlich nur noch fehlende Konkurrenz das Ganze wieder raus - von dem, wofür AVM früher mal stand, ist in meinen Augen nicht mehr so richtig viel übrig. Wenn nicht das Marketing in dem Maße zugenommen hätte, wie die Qualität der Produkte (und bei den Routern beurteile ich die nach der Firmware) abnahm (auch wegen der Zersplitterung mit offensichtlich zu wenig Personal), dann sähe es vermutlich inzwischen schon düster aus.
Dabei könnte man mit dem Pfund "einheimischer Hersteller mit direktem, auch gutem Kundensupport" so richtig wuchern ... im Moment kann man als "Experte" im Bekannten- oder Kundenkreis nicht mal mehr sinnvolle Empfehlungen geben. Die 7580 macht auf mich (ohne daß ich eine bisher getestet hätte, nur anhand der Berichte von Besitzern, die man hier finden kann) genau denselben Eindruck, den die 7490 bei ihrem Erscheinen hinterlassen hatte ... es mag zwar üblich sein, daß es "Kinderkrankheiten" in so einem Gerät gibt, aber irgendwie schafft es AVM immer wieder, die Vorstellung neuer Produkte so richtig in den Sand zu setzen (oder zu verk***en könnte man auch schreiben) und bei den "early adopters" schälen sich auch immer mehr zwei Extreme heraus ... den "Fanboys" kann ein Gerät gar nicht schlecht genug funktionieren und teuer genug sein, sie finden immer noch etwas, was sie begeistert und am anderen Ende des Spektrums stehen dann die Leute, die eigentlich nur ein funktionierendes, modernes Gerät haben wollten, mit dem sie die nächsten 3-4 Jahre auf der sicheren Seite sind und die nun mit "Bananenfirmware" erst mal vor Problemen stehen.
Vielleicht ist mir ja die "Beta-Phase" für die 7580 "durchgerutscht", aber ich bin für mich eigentlich zu der Überzeugung gekommen, daß es AVM offensichtlich gar nicht mehr für nötig hält, solche Geräte "in der Breite" mal vor der (offiziellen) Veröffentlichung auf Herz und Nieren testen zu lassen und daß man es inzwischen offenbar als normal ansieht, wenn der Kunde erst 6 Monate und mehr nach der Verfügbarkeit eines neuen Produkts dieses dann auch wirklich reibungslos benutzen kann. Das zieht sich für mich inzwischen durch sämtliche Neuvorstellungen von AVM seit ca. 5-6 Jahren und ist offenbar "Firmenphilosophie" geworden. Man denke nur an die ersten FRITZ!DECT 200, an den DVB-C-Repeater, die 7490 und nunmehr an die 7580 (und wohl auch die 7560) - von den COMET-Teilen mal ganz zu schweigen. Bis das alles "beim Kunden gereift" war (beim DVB-C-Repeater würden einige Besitzer heute noch bestreiten, daß die Firmware etwas taugt), hat es immer gedauert (das erste Firmware-Update bei der 7580 kam keine fünf Wochen nach der ersten Version - da fragt man sich schon, warum man das nicht "gleich richtig" machen konnte) und ich mußte gerade in der vergangenen Woche wieder eine defekte ältere FRITZ!Box ersetzen lassen ... dabei habe ich aus gutem Grund von der "neuesten Box" abgeraten bzw. abraten müssen.
Insofern unterscheidet sich AVM so langsam aber sicher kaum noch von irgendwelchen chinesischen Herstellern, von "Gründlichkeit" oder besonderem Augenmerk auf Sicherheit merkt man praktisch nichts mehr - weder bei neuen Geräten noch bei diversen anderen Vorgängen, wie eben diesem Zertifikate-Update. Das macht irgendwie alles keinen besonders professionellen Eindruck und auch wenn sich so etwas hinterher immer leicht konstatieren und/oder behaupten läßt (auch ich hasse es, wenn jemand es hinterher immer schon vorher ganz genau wußte und nur verabsäumt hatte, bereits vorher etwas dazu zu sagen), so kommen in jüngster Zeit immer mehr Stellen ans Licht, wo man (zumindest als Außenstehender) nur mit dem Kopf schütteln kann, wie einige Dinge bei AVM angegangen werden.
Wenigstens empfand ich (persönlich) die Reaktion von AVM auf das Speedport-Problem der Telekom ausnahmsweise mal als "angenehm zurückhaltend" ... das habe ich (gefühlt) auch schon anders erlebt. Aber vermutlich war die Erinnerung an das DOCSIS-Zertifikat-Debakel noch zu frisch, so daß man sich zuviel Triumph wohl besser verkniffen hat. Wobei ich der Meldung bei AVM vom 10.11.2016 zum "
Zertifikatwechsel bei Kabelroutern" schon wieder einiges abgewinnen kann ... das hat ja schon fast satirische Züge, was dort geschrieben steht - vor allem würde mich ja interessieren, wie man denn "verbesserte Zertifikate" verwenden kann.
Das alte und das neue Herstellerzertifikat verwenden beide einen 2048-Bit-RSA-Schlüssel und bei beiden kommt SHA1 für die Signatur zur Anwendung (was auch vom BSI schon seit einigen Jahren nicht mehr als Verfahren empfohlen wird). Was da also "verbessert" wurde, würde ich zu gerne wissen wollen ... aber vermutlich mußte es ja "einen Grund" geben, warum man es überhaupt machen mußte ... aber gerade solche "Behauptungen" lassen mich dann auch an der Ernsthaftigkeit von Sicherheitsbestrebungen bei AVM zweifeln. Offenbar gewinnt hier immer noch "Marketing" und "Was sollen die Leute/Kunden denn von uns denken?" über wirkliche Offenheit und transparentes Handling für Security-Probleme - allem Marketing-Geblubber, wie wichtig man solche Themen doch nehmen würde, zum Trotz.