Neue BETAs für 7490, 3490 und 3390 (6.51 - Builds 32243 & 32225)

Telnet war nicht standmäßig an, war also nicht offen wie ein Scheuentor
 
Äh, du findest chinesische Hardware vertrauenswürdig?
...und willst die Box auch nicht irgendwann weiterverkaufen?

Und nicht Jeder technikaffine ist auch geschickt im Umgang mit dem Lötkolben.
Ausserdem lässt sich mit Telnet der Zugang auf SSH, oder SIAB ändern, bevor er wieder deaktiviert wird.
 
Telnet war nicht standmäßig an, war also nicht offen wie ein Scheuentor
Du weißt, was ich meine. Wenn es an war, und du dich verbunden hast, konnte jeder im Netzwerk das Passwort im Plaintext mitlesen.

Äh, du findest chinesische Hardware vertrauenswürdig?
...und willst die Box auch nicht irgendwann weiterverkaufen?
Naja, es ist ein USB-Seriell-Wandler. Den schließe ich per USB an. Ich sehe da keinen Angriffsvektor für irgendwelche Manipulationen. Außerdem sind diese Teile in der "Hackercommunity" sehr beliebt, wenn sich die seltsam verhalten würden wäre da was bekannt.
Warum sollte ich sie weiterverkaufen wollen? Und selbst wenn, was sollte der Käufer gegen eine aufgelötete Pinleiste haben? :D

Ausserdem lässt sich mit Telnet der Zugang auf SSH, oder SIAB ändern, bevor er wieder deaktiviert wird.
Ja, kannst du erstens per Serial ja auch machen und zweitens überlebt Serial ein Firmware-Upgrade ;)
 
Überlebt es auch die AVM Prüfung auf die Gewährleistung/Garantie?
 
Da ich nicht bei AVM arbeite kann ich dir die Frage nicht beantworten.
Bei uns in der Firma haben die Geräte Plomben, die über die Garantie entscheiden... AVM hat so etwas nicht, also musst du wohl auf ihre Kulanz hoffen. ;)
 
telnet oder shellinabox (geht ja beides in den Developer-Versionen) sind schon ganz praktisch, wenn man mal an Schrauben drehen will, die in der Web-Oberfläche nicht konfigurierbar sind. Weil jetzt ShellInABox vorhanden ist, habe ich den telnetd abgeschaltet. Das hatte ich allerdings auch früher schon. Der wurde von mir nur dann per DECT-Mobilteil aktiviert, wenn ich ihn gebraucht hatte, danach wieder abgeschaltet.

Und standardmäßig angeschaltet war der noch nie - bei keiner Fritz!box, die ich bis jetzt besaß. Wer das schreibt, hat keine Ahnung.
 
Auch ein standardmäßig nicht aktivierter Telnet-Zugang, der sich aber durch softwaregesteuerte Aktionen (die Methode über Telefonbuch und Wählhilfe ist ja nicht unbekannt) aktivieren läßt, bleibt ein Risiko - eine einzige "mitgelesene" SID kann (nicht muß) zum GAU werden (in Kombination mit der IP-Adresse).

Bei einem "normalen Kunden", der mit seinem infizierten Android-Tablet oder -Smartphone auf die FRITZ!Box zugreift, ist es nur eine Frage des "Willens" eines Angreifers, sich auch über Telnet den Zugang zur Box zu verschaffen - solange die Box so einen Zugang bietet.

Dafür müßte so eine Malware nicht einmal den Browser infizieren, um irgendwelchen verschlüsselten Traffic (der bei einer Ende-zu-Ende-Verschlüsselung eben dort erst wieder entschlüsselt vorliegt) zu umgehen ... das kann alles rein mit Zugriff auf den Netzwerk-Stack passieren, wenn man einen beliebigen (auch einen asynchronen) Request vom Gerät zur FRITZ!Box mitschneiden und die dort enthaltene SID ermitteln kann. Nicht einmal die IP-Adresse müßte man manipulieren, solange man sich auf dem Gerät bewegt, mit dem diese Sitzung initiiert wurde.

Dafür braucht es keine Kenntnisse irgendeines Benutzernamens oder eines Kennworts .. es reicht vollkommen aus, wenn der in der gekaperten Session angemeldete Benutzer administrative Rechte auf der FRITZ!Box hat. Das macht es auch so wichtig, für den Zugriff mit einem potentiell infizierten Gerät (auch wenn man von einer Infektion nichts weiß, kann sie ja trotzdem vorhanden sein, wenn Sicherheitslücken vorhanden sind, die auch bekanntermaßen nicht mehr gefixt werden) eben nur einen Account zu verwenden, der gerade mal über die wirklich benötigten Rechte verfügt.

Dieses Problem macht ja gerade die Verwendung von "Anmeldung nur mit Kennwort" oder auch "Anmeldung aus dem Heimnetz ohne Kennwort" zu einer so schlechten Idee ... und wenn man dann (auch hier) immer wieder lesen muß, daß jemand seine Box in einem dieser Modi betreibt und dann noch ein (älteres) Android-Gerät mit Gefährdungspotential durch die "Stagefright"-Lücke benutzt, dann kann man (aus Security-Sicht) nur noch mit dem Kopf schütteln und wenn AVM dann den "normalen Kunden" (dem diese Zusammenhänge gar nicht klar sind) dadurch vor sich selbst schützen will, daß man solche Einfallstore schließt, dann ist das durchaus ein "Sicherheitsmerkmal".

Jede einzelne bisher von AVM vorgenommene Verbesserung wird sicherlich einigen hier sauer aufstoßen, weil sie dazu gezwungen werden, irgendwelche liebgewordenen Gewohnheiten mit anderen Augen zu sehen und auch über ihre eigene Sicherheit neu nachzudenken. Solange AVM nicht wirklich die Ausführung eigener Software für "advanced users" (wahrscheinlich eher "experts") behindert, gibt es praktisch keinen Grund, herumzuheulen und AVM wegen eines gestiegenen Sicherheitsbewußtseins in Bausch und Bogen zu vedammen.

In diese Kategorie der "softwaregestützten Angriffswege" fällt dann eben auch die Installation einer unsignierten Firmware und so ist es nur konsequent, wenn AVM das ebenfalls unterbindet. Auch ein Downgrade auf eine (bekanntermaßen) verwundbare Version mit anschließendem Update einer "speziellen Firmware" ist im Prinzip genau derselbe Angriffsvektor und auch das ist - immer noch ausgehend von einer einzigen gekaperten Admin-Session - bisher noch möglich gewesen ... im Extremfall sogar ohne bzw. mit sehr kurzzeitiger Unterbrechung der Verfügbarkeit der FRITZ!Box, zumindest bei NAND-Modellen.

Wer sich von den bisher hinzugefügten Sicherheitsmerkmalen jetzt davon abschrecken läßt, seine FRITZ!Box nach seinen Wünschen zu modifizieren, der sollte m.E. generell die Hände davon lassen - einfach weil er es dann nicht wirklich beherrscht und die Konsequenzen gar nicht überblickt.

Das, was am heißen Herd ziemlich schmerzhaft schon im Kindesalter erlernt wird, hat bei einem - durch eigene Modifikationen erst so richtig angreifbaren - Heim-Router leider nicht so plakative und einprägsame Auswirkungen und es gibt selbst in der IT noch genug Leute, für die so ein Router eine "black box" ist, wie einem bei jedem bekanntgewordenen Problem mit einer FRITZ!Box auch in den heise.de-Foren recht eindrucksvoll demonstriert wird.

Dort schreiben dann selbst gestandene Profis teilweise recht krude Texte zu ihren eigenen Anforderungen an solche AIOs und offenbaren an einigen Stellen eine merkwürdige Einstellung, bei der sie einerseits vollen Zugriff auf ihre FRITZ!Box erwarten und andererseits aber die Schuld beim Hersteller suchen, wenn dann ein Angreifer genau diesen Weg ausnutzen könnte, um auf fremde FRITZ!Boxen zuzugreifen.

So eine FRITZ!Box ist eben immer noch ein "Massenprodukt", bei dem auf eintausend verkaufte/installierte Geräte vielleicht eines kommt, das von seinem Besitzer mit "erweitertem Funktionsumfang" ausgestattet werden soll. Um mal wieder einen unpassenden Vergleich zu bemühen .. nur weil irgendwelche aufgerüsteten (Serien-)Fahrzeuge bei der DTM ständig im Kreis fahren, braucht die Familienkutsche für den Wochenendeinkauf auch noch keinen Heck-Spoiler.
 
PeterPawn; schrieb:
[...]
In diese Kategorie der "softwaregestützten Angriffswege" fällt dann eben auch die Installation einer unsignierten Firmware und so ist es nur konsequent, wenn AVM das ebenfalls unterbindet. Auch ein Downgrade auf eine (bekanntermaßen) verwundbare Version mit anschließendem Update einer "speziellen Firmware" ist im Prinzip genau derselbe Angriffsvektor und auch das ist - immer noch ausgehend von einer einzigen gekaperten Admin-Session - bisher noch möglich gewesen ... im Extremfall sogar ohne bzw. mit sehr kurzzeitiger Unterbrechung der Verfügbarkeit der FRITZ!Box, zumindest bei NAND-Modellen.
Dich scheint es ja nicht wirklich zu stören, dass Dein ganzer "modfs" Ansatz damit auf einmal nicht mehr funktioniert! Wenn ich soviel Zeit und Arbeit darein investiert hätte, etwas für Non-Experts zu entwickeln, wäre ich zumindest etwas "angefressen"....

Nun ja, ich bin gespannt wer den nächsten Thread aufmacht und einmal ausführlich für die Einsteiger beschreibt, was nach 06.51 noch für "einfache" Möglichkeiten über bleiben eine eigene FW auf die Box zu bekommen. Die ganze Freetz Entwicklung wird mit diesem Update sicherlich nicht eingestellt werden :)
 
Auch ich fand die Argunentation arg politisch korrekt bis an den Haaren herbeigezogen, spätestens wenn man ein unsigniertes Image absichtlich trotz der Warnungen installieren muss, tun das wirklich nur noch die, die es wirklich wollen und in der Regel auch verstehen, was sie tun. Die 99,9 Normaluser würden das nimmer tun noch wagen, und nicht ihre Sicherheit gefährden. Also auch wer weiß, was er tut, wie ich, geht lieber den einfacheren Weg, ich kann kann natürlich den schwierigeren Weg. Aber ich koche ja auch auf einem Elektroherd, und mache nicht freiwillig mit Zunder und Feuerstein ein Lagerfeuer. Ich glaube, einige möchten nur, dass das nun alles einen elitären Touch bekommt, damit man besonders intelligent darstellt. Aber sowas führt in der Regel ganz zum Ende solcher Communities. Und ein weiteres Problem, der Rückfall: Zumindest, wer arbeiten muss, neben Bügeln, Kochen und Gartenarbeit testet nur noch dann freiwillig , quasi ehrenamtlich, Labor Images und meldet viele nützliche Fehlermeldungen zurück, wenn er SCHNELL wieder auf die Labor oder Final davor zurück kann, um dann rechtzeitig zum BVB Spiel auf alten Stand zurück zu sein, wenn Entertain mal wieder nicht geht. Das Recovery Tool ist nicht nur zeitaufwändiger als der direkte Rückfall, sondern das gibt es ja immer noch nicht für Mac OSX, und zickt immer mal wieder auf der virtuellen Maschine.

Ich bleibe dabei: Wer einen auf Apple macht, muss Qualität liefern. Man macht hier eher auf Samsung :-(. Ungerootet auch eine Zumutung nach manchem Update.

Ich vermute, dass das sogar alles gegen die internen Wünsche bei AVM passiert, AVM aber diese Bedingungen von den Hauptabnehmern, den Netzbetreibern, die die Fritz als Standardgerät haben, aufgezwungen bekommt.
 
Zuletzt bearbeitet:
So ist es und hier der Changelog:
----
USB/UMTS:
Behoben - (Re)Initialisierungen bei einigen Huawei-Mobilfunkmodems scheiterten dauerhaft oder sporadisch [u.a. betroffen K3715 und E173]
Den Fehler hatte ich bei der 06.50 an AVM gemeldet.

Wenn das Huawei Modem (bei mir 169) einmal bei DSL Ausfall eingesprungen war, wurde es beim automatischen wiederumschalten nach 30 Minuten auf DSL nicht mehr neu initialisiert und auch die Telefonie über das UMTS-Modem stand bis zum nächsten Reboot oder Neueinstöpseln des Sticks nicht mehr zur Verfügung. Auch ein zweiter Ausfall wäre durch den Stick daher nicht abgefangen worden.
Dieses Problem ist mit der 32297 behoben.
Lediglich die Micro-SD Karte im Stick kann im NAS wie auch schon in der Releaseversion nicht angesprochen werden.
 
Auch ich fand die Argunentation arg politisch korrekt bis an den Haaren herbeigezogen, spätestens wenn man ein unsigniertes Image absichtlich trotz der Warnungen installieren muss, tun das wirklich nur noch die, die es wirklich wollen und in der Regel auch verstehen, was sie tun.
Dann hast Du offenbar einfach noch nicht verstanden, daß sich die Installation einer unsignierten Firmware mit einer einzigen übernommenen Session aus dem WLAN(!) heraus auch automatisieren läßt. Was daran "an den Haaren herbeigezogen" ist, müßtest Du einfach noch begründen. Das Einfallstor eines infizierten Gerätes, das nur mit WLAN arbeiten kann (und die Android-Tablets und -Smartphone i.V.m. "stagefright"-Lücke habe ich explizit angeführt), wird dadurch jedenfalls geschlossen, die Installation einer "fremden" Firmware über eine LAN-Verbindung nicht wirklich behindert und so, wie der Benutzer über ein Downgrade entsprechende Lücken reißen kann, kann es ein Angreifer im Endergebnis ebenfalls.

Das Argument "Ich habe Mac" ist jedenfalls keines, genauso wenig wie "Ich habe Linux" ("Ich kann kein FTP" wäre vielleicht eines) ... und die Unterstellung
tacitus-nrw schrieb:
Ich glaube, einige möchten nur, dass das nun alles einen elitären Touch bekommt, damit man besonders intelligent darstellt. Aber sowas führt in der Regel ganz zum Ende solcher Communities.
ist am Ende so polemisch (Dir bleibt immer noch der Weg über Freetz und seit wann hat das "einen elitären Touch"?), daß sie den Rest Deiner Argumentation bzgl. der Labor-Versionen auch arg in Mitleidenschaft zieht.

Wenn man in Kenntnis seines "Unvermögens" (und die Anführungszeichen dort bitte nicht überlesen und das als Angriff auffassen) und fehlender AVM-Unterstützung für andere Plattformen als Windows trotzdem hingeht und jede Labor-Version sofort auf seinem eigenen (produktiven) Router ausprobieren muß, dann kann man sich ja meinetwegen "als Held fühlen" (Ist das nicht auch ein elitärer Ansatz:? "Seht her, ich teste für Euch, obwohl Ihr es mir nicht gerade leicht macht!")... aber angesichts der ausführlichen "Warnung" von AVM vor dem Einsatz solcher Versionen auf produktiven Routern dann mit der Argumentation zu kommen, man wolle rechtzeitig vor dem Fußballspiel wieder auf der funktionsfähigen Firmware sein im Falle eines Falles, ist einfach Humbug - dann geht man gar nicht erst so kurz vor dem alles entscheidenden Spiel hin und installiert eine Labor-Version. Bei allen Ehren, die die vielen Labor-Tester verdienen ... wer die "Bedürfnisse" dieser Minderheit (und eine solche bleibt es) über die der schweigenden Mehrheit der Kunden stellt, der hat einfach den Blick fürs Wesentliche verloren nach meiner Meinung.

Nun kann man zwar hingehen und als das eigentliche Problem die "Kenntnis" einer gültigen SID in Kombination mit der richtigen IP-Adresse ansehen, aber auch AVM hat den Rest der (bekanntermaßen potentiell verwundbaren) LAN-Teilnehmer ja nicht zu verantworten - daß sich die Landschaft da (gerade auch unter Security-Aspekten) gewandelt hat und der Router als Heim-Zentrale immer mehr in den Fokus von Angreifern rückt, ist einfach eine Tatsache (vielleicht liest Du ja auch mal andere Quellen zu diesem Thema, heise.de hätte da auch ein paar Beiträge in diesem Kontext) und keine "Erfindung" von AVM.

Das Problem nur über TLS-Absicherung des internen Verkehrs zu lösen, ist auch nicht ohne weiteres möglich ... erst nach dem ersten Kontakt des Browsers mit der FRITZ!Box macht "certificate pinning" einen Sinn bzw. dann, wenn man den Thumbprint des Zertifikats auch gleich noch auf den Aufkleber auf der Rückseite drucken würde/könnte, damit der Nutzer das dann vergleichen kann. Wie wenig das machbar oder realistisch ist, kannst Du Dir vermutlich selbst ausmalen ... damit will ich AVM nicht aus der Verantwortung für die (zusätzliche) Absicherung des (W)LAN-Traffics über TLS entlassen, auch eine Kombination beider Maßnahmen (nur signierte Firmware/kein Downgrade zum Aufreißen alter Lücken und TLS-gesicherte Kommunikation im (W)LAN) erhöht die Sicherheit weiter.

Wenn Du also vielleicht noch einmal nachdenkst und Dir solche "Unterstellungen" wie die oben zitierte ggü. den Teilnehmern hier einfach schenkst (ich nehme das durchaus persönlich), dann können wir ja vielleicht darüber reden, wie man trotzdem weiterhin auf seine FRITZ!Box kommen könnte. Wenn einem dann aber solche Brocken vor die Füße geworfen werden wie von Dir oben, dann verliere ich zumindest absolut die Lust ... da bin ich nicht "deutsche Eiche" genug, daß das einfach abprallt.

@KingTutt:
Damit ist "modfs" ja nicht tot ... die Art und Weise, wie man den ersten Kontakt mit der Kommandozeile herbeiführen kann/muß, ändert sich. Nicht einmal "modfs-Starter" ist damit zu 100% nutzlos - das Prinzip der Änderung in der "wrapper"-Partition bleibt ja weiterhin nutzbar und der PoC mit direkter Installation von SIAB (mehr sollte das nie sein, an anderer Stelle habe ich schon darauf hingewiesen) funktioniert dann halt nicht mehr. Das läuft aber wirklich unter "Na und?" bei mir ... ab welchem Punkt ich dann auch "angepisst" wäre, habe ich auch irgendwo schon geschrieben (und begründet).

Der von tacitus-nrw immer wieder bemühte Vergleich mit Apple (die Gegenargumente nimmt er ja nicht auf) ist eben zumindest in dem Punkt falsch, daß dort erst mithilfe von Lücken in der Firmware überhaupt die Installation einer anderen Firmware möglich wird - was in einigen Gesetzgebungen (z.B. angesichts des DMCA in den USA, wo auch erst im letzten Herbst das "jailbreaking" eines iPhones als Ausnahme festgeschrieben wurde) zu rechtlichen Unklarheiten geführt hat oder führt.

Das ist eindeutig (meinetwegen auch nur "bisher", ich kenne die weiteren Pläne auch nicht) bei den FRITZ!Boxen von AVM nicht der Fall ... insofern paßt die Argumentation eben nicht.

Wenn ich dann noch lese, daß jemand Entertain von der Telekom verwendet und mir überlege, wie viel mehr so jemand doch von der Telekom mit "Zwangshardware" drangsaliert wird (wenn er "Pay-TV" auf diesem Weg empfangen will), die er gar nicht erst verändern kann, dann stellt sich mir die Frage der Relation oder ob da nicht mit zweierlei Maß gemessen wird.
 
Zuletzt bearbeitet:
Moment,...
:cool:
einen elitären Touch bekommt
...wieso bekommt?

Anfangs hab ich mich ja gerade deswegen nicht getraut mich im IPPF anzumelden.
Da hatte ich ja von Tuten und Blasen nicht den blassesten Schimmer.
Irgendwie konnte ich mit den ganzen Fachausdrücken, die nunmal sein müssen, nicht wirklich was anfangen.
Ja, so ist das nunmal.

Nicht wie bei den Quantenmechanikern die sogar ihre Wechselwirkungen mit buddhistischer Philosophie umschreiben können.
:rolleyes:

Wie auch immer, wenn dann diese Wechselwirkungen einigermassen plausibel erscheinen, ists ganz schnell vorbei mit: Elitär
 
Bevor ihr euch hier weiter zerfleischt.
Ich gehöre zu denjenigen der die Labor auf produktivsystem testet.
Habe allerdings als fallback immer noch 1 voll eingerichtete 7490 in Reserve.
Sprich wenn die produktiv 7490 abschmiert klemme ich einfach die backup-box dran.
 
... Dieses Problem macht ja gerade die Verwendung von "Anmeldung nur mit Kennwort" oder auch "Anmeldung aus dem Heimnetz ohne Kennwort" zu einer so schlechten Idee ... und wenn man dann (auch hier) immer wieder lesen muß, daß jemand seine Box in einem dieser Modi betreibt...

Guten Abend,
kannst Du mir erklären, warum die Anmeldung aus dem Heimnetz nur mit einem Kennwort ein Sicherheitsrisiko darstellt?
Aus Bequemlichkeit hab ich das bisher immer so gehandhabt. Da war ich mir keines Risikos bewusst.

Ich habe allerdings die FritzBox 7490 bisher nie mit "Custom" Firmware betrieben, an der schlechten DECT Reichweite in Verbindung mit den FritzFon C4 Geräten und der eher mäßigen Klangqualität würde das wohl auch nichts ändern. Wenn mir jemand sagen würde, ich könnte die FritzBox samt C4s durch eine Modifikation auf das DECT Niveau (Klang & Reichweite) von guten Gigaset Geräten bringen, wäre ich sofort dabei :mrgreen:

mfg
Noxolos
 
Steht doch im Prinzip schon da ... es läßt keinen Raum für Zugriffe unterhalb der "Admin"-Ebene. Selbst wenn ein Benutzer/ein Telefon nur Zugriff auf das Telefonbuch oder den NAS-/MyFRITZ!-Bereich bräuchte, wird mit der Verwendung eines einzelnen Kennworts (das vollen Admin-Zugriff erlaubt) jedem mit Kenntnis dieses Kennworts (oder beim Kapern einer gültigen Sitzung, was auf einem Android-Handy auch leicht passieren kann) der volle Zugriff auf die FRITZ!Box eingeräumt.
 
6840 Version: -32626 - Update am 03.03.2016
 
Neue "Nicht-Beta"-FW! 06.51 für 3490 und andere Modelle!
 
Hallo Admin,

sollten wir dieses nicht schließen und daraus Einzelthemen machen? Oder Titel in Bezug auf 7490 ändern!

Hallo jeweilige Box-Nutzer, mach doch zur Übersicht ein eigenes Thema auf!

Grüße
Michael
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,171
Beiträge
2,247,421
Mitglieder
373,714
Neuestes Mitglied
Panicmaker
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.