wehavemorefun.de down?

cable-helper

Neuer User
Mitglied seit
14 Aug 2016
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo, ich hoffe wehavemorefun.de ist nicht down wegen dem AVMCertGate? Hat jemand mehr Infos? Ist es vielleicht wirklich nur Maintenance?
 
War da überhaupt irgendeine Information zur 6490?
Ist das nicht viel früher eingeschlafen?
 
Es gab Informationen dazu, wie lange "cmcertgen" schon in dieser Form in der AVM-Firmware enthalten ist - das tauchte als Dateiname 2x auf (aber ohne Inhalt dahinter, nur in "Listenform" mit anderen Kommandos).

Der Zusammenhang ist schlecht einzuschätzen ... am 28.10. hat schon die "Wayback Machine" nur noch irgendein Redirect-Loop archiviert. Aber der Stand aus dem Mai 2016 ist da noch zu finden (und wird es nun wohl auf ewig bleiben) und da sich ja nicht so sehr viel in jüngerer Zeit geändert hatte, reicht der auch aus, wenn man etwas nachschlagen will. Solange die Seiten noch im Google-Index sind, kriegt man ja auch noch die Suchergebnisse und muß dann halt diese URL bei der "Wayback Machine" eingeben.
 
Danke für die Antworten. Ich hatte die Seite nicht so regelmäßig besucht und dachte der Ausfall ist mit Artikel einhergegangen.
Ich fand es halt interessant, dass man den Dateinamen des CA Private Key schon seit Jahren dort sehen konnte. Leider ist es wohl keinem so richtig aufgefallen und da fasse Ich Mir auch an die eigene Nase.
 
Leider ist es wohl keinem so richtig aufgefallen und da fasse Ich Mir auch an die eigene Nase.
Na ja, da mußt Du Dir keine wirklichen Vorwürfe machen. Das waren insgesamt drei Stellen, wo man das sehen konnte:

https://web.archive.org/web/20160326235543/http://wehavemorefun.de/fritzbox/6360_Listing -> eine "Erwähnung" der euro_mfg_key.pem

https://web.archive.org/web/20160506180901/http://www.wehavemorefun.de/fritzbox/Befehls-Recherche -> einmal "cmcertgen"

https://web.archive.org/web/20160326235543/http://wehavemorefun.de/fritzbox/6360_Listing -> noch einmal "cmcertgen"

Ich weiß nicht sicher, ob @hippie2000 die jemals selbst weiter untersucht hatte. Die Links zu irgendwelchen Analysen gab es jedenfalls nicht und wer nicht selbst den Zugriff auf eine 63x0-Firmware hatte und sich darin sehr gründlich umgesehen hat, weil er die Abläufe verstehen wollte, konnte mit den drei "Fundstellen" jetzt auch nichts wirklich anfangen. Zwar weckt der Name "cmcertgen" gewisse Assoziationen, aber das kann auch irgendein anderes Generieren eines Zertifikates sein - das FRITZ!OS macht das ja generell auch, wenn die Box mit Werkseinstellungen startet, sie generiert sich (bei anderen Gelegenheiten ebenfalls) ein Zertifikat für das GUI.

Erst wenn man sich den Inhalt vom "cmcertgen" genauer ansah und die dort verwendeten Dateien mit Zertifikat und privatem Schlüssel auch noch, dann konnte man erkennen, daß da tatsächlich das DOCSIS-Zertifikat für das Modem generiert wurde.

Ich mußte trotzdem grinsen, als ich im c't-Artikel las:
c't schrieb:
Vor einigen Monaten meldete sich der Sicherheitsexperte Joel Stein bei uns, der eine heikle Entdeckung gemacht hatte: Durch einen Trick war es ihm gelungen, einen Telnet-Server auf einer bei eBay erworbenen Kabel-Fritzbox zu starten. Das allein ist schon bemerkenswert: Zwar waren die DSL-Boxen von AVM bis 2015 mit einem Telnet-Server ausgestattet, den man nur noch aktivieren musste; auf den Kabel-Boxen ist Telnet hingegen seit jeher gesperrt. Nachdem ihm dieses Kunststück gelungen war, packte ihn die Neugier.
Nun neigt ja Hr. Eikenberg offenbar ohnehin zu einer blumigen Ausdrucksweise, aber ein paar Wege, sich einen Telnet-Zugang zu verschaffen, sind auch hier im IPPF seit mehr als "vor wenigen Monaten" beschrieben (Mai 2015) - das "Kunststück" besteht dann (zumindest für IPPF-Leser) ggf. noch darin, ein paar verstreute Informationen zusammenzutragen.

Auch muß man als c't-Redakteur sicherlich nicht das IPPF immer selbst lesen ... aber bei jeder Hintergrund-Recherche im Internet hätte er eigentlich zwangsweise über das IPPF stolpern müssen, wenn es um das Thema "FRITZ!Box" geht (wo AVM vermutlich ohnehin stinkig ist, wenn er den Markennamen konsequent falsch wiedergibt).

Hier gibt es auch Informationen aus 2011, wo jemand eine (ältere) 6360 mit einer seriellen Schnittstelle untersucht hat und da taucht auch das Thema "DOCSIS-Zertifikate" auf und die Frage, ob man einfach so eine MAC-Adresse übertragen kann oder was es dazu noch bräuchte. Wurde halt nicht weiter vertieft ...

Jedenfalls fand ich es dann schade, daß er nur allgemein von "Internet-Foren" schreibt und so gar keine vernünftigen Quellenangaben macht. Entweder das IPPF erhält dadurch mehr Zulauf oder man kann die Erkenntnisse aus anderen Quellen (ich finde über Google nicht so sehr viele andere, vielleicht ja (hui, hui) im "darknet"?) mal vergleichen. Entweder er will um Himmels Willen nicht konkreter werden oder es ist einfach schlecht recherchiert.

Dazu gehört für mich auch die Feststellung im letzten heise.de-Artikel
heise.de schrieb:
Die Fritzbox beim Kunden ist wahrlich kein geeigneter Aufbewahrungsort. Ein Angreifer kann mit dem Schlüssel schlimmstenfalls die Anschlüsse legitimer Kunden übernehmen. Denkbar wäre auch das Mitlauschen fremder Datenverbindungen in der Position des Man-in-the-Middle. AVM äußerte sich bisher nicht dazu, wie der geheime Krypto-Schlüssel in den Bauch der Fritzbox kam.
Abgesehen davon, daß ein "aus dem Bauch der FRITZ!Box" "entfleuchter Key" (so lautet der Titel) einige unangenehme Gerüche verbreiten mag, verbreitet er hier (meiner Meinung nach und ich habe redlich versucht, im heise-Forum dagegen zu argumentieren) seinerseits Gerüch(t)e, was den rot hervorgehobenen Satz angeht. Die Herleitung, wann und warum das "denkbar" wäre, bleibt er aber schuldig ... ich habe trotzdem mal versucht, das aus meiner Sicht zu widerlegen.

Fazit: Finger von (und aus) der Nase ... im IPPF kannst Du viel mehr Informationen zu dem Thema finden, als unter den drei oben von mir angeführten Links in WHMF. Es ist also mit der Abschaltung (so sie dauerhaft ist) von WHMF noch nicht alles verloren.

Wenn das Thema "Zertifikat" vorher nicht so breitgetreten wurde, hatte das ja auch gute Gründe ... es ist tatsächlich ein richtiger großer Misthaufen, den AVM da produziert hatte - aber die "Gegenmaßnahmen" waren ja zumindest eingeleitet worden (seit Januar 2015 war der Schlüssel wenigstens "encrypted" in der Firmware 06.22 abgelegt) und nach einer nun wirklich elend langen "Schonfrist" hätte ich schon Mitte August bei den ersten Meldungen in dieser Richtung für alte Boxen gedacht, daß endlich das alte Zertifikat auch überall komplett abgeschaltet worden wäre.

Wie weit die Provider hingen (und wohl auch AVM mit der Firmware, ich warte noch auf den Nachweis, daß Boxen mit 06.50 immer noch erneut mit den alten Zertifikaten starten nach einem Werksreset), hätte ich mir nicht im Traum vorstellen können - vor allem dann nicht, wenn zumindest einige Provider durch die Abschaltung des alten Zertifikates die Nachforschungen ja nun zwangsweise in diese Richtung lenken mußten. Daß sich die Leute nicht mit irgendwelchen Lügen und Ausreden zufriedengeben würden als Erklärung, war ja doch eigentlich klar ... da staune ich über die Naivität der Verantwortlichen.
 
Ich gehe stark davon aus, dass Hr. Eikenberg auf die Vortrag "Practical Attacks on DOCSIS" gedacht hatte, nun in Verbindung des aufgetauchten Private Keys:

http://docplayer.net/11562764-Practical-attacks-on-docsis.html

Die Aussagen dort basierten auch nur auf Vermutungen des Authors welche widerlegt werden konnte (Den Teil mit einer zusätzlichen CMTS als MITM).

Das der CA Private Key erstmal überhaupt nichts mehr der Traffic Encryption zu tun hat ist ein anderes Thema. Das wissen wir aber nicht die Anderen, wie es scheint.
 
@cable-helper:
Auch dann fehlt der Zusammenhang zwischen einem solchen theoretischen Angriff (selbst wenn er funktionieren würde) und dem Problem des privaten AVM-Schlüssels in der Firmware. Das wäre dann ja ein generelles Problem der DOCSIS-Spezifikation/-Umsetzung.

Solange dieser Satz ohne jede sichtbare Abgrenzung zwischen anderen steht, in denen es um den AVM-Key geht, dürfte sich auch die Frage des (gewünschten) Kontextes nicht wirklich stellen.

Der Angriff auf die Verschlüsselung (dort ja DES, gibt es wohl in D eher nicht mehr - vor allem nicht bei der FRITZ!Box, solange das CMTS beim Provider DOCSIS3 kann, dann ist AES-128-Unterstützung gefordert) erfordert die Kenntnis des privaten CM-Keys und der hat mit dem privaten Hersteller-Key nur insofern zu tun, als daß sein öffentlicher Teil mit diesem Hersteller-Key im Zertifikat beglaubigt wird.
 
Kommt die Domaine www.wehavemorefun.de jemals mal wieder online? Restaurants, die in Dortmund schließen, renovieren auch immer nur ewig und machen nicht mehr auf. (Wartungsarbeiten)
Da sich AVM ja immer mehr für mein Gefühl abschottet und weniger in die Karten lassen sehen will, haben sie da was bewirkt, weiß das jemand etwas zu?
 
Zuletzt bearbeitet:
Habe ich etwas verpasst? Gestern wollte ich nachlesen aus einem hier verlinktem Beitrag und bemerkte 501.
LG
 
Ich sage nur DSGVO. Hat wohl dort eingeschlagen.
 
??? Inwiefern -abgesehen von üblichen cookies- musste ich dort als "Besucher" etwas fürchten?
OK bei heise.de las ich etwas von kuriosen Abschaltungen aus Selbstschutz (Kleine Vereine oder KITAs) da sie kein eigenes Fach-Personal hatten und/oder keinen Etat zur externen Überprüfung.
Raffgierige Abmahnanwälte werden sicherlich reichlich "absahnen".
Falls dies hier wirklich der Hintergrund ist, wäre das sehr bedauerlich!
LG
 
Es kann schon zufällig sein, aber die Webseite war praktisch zeitgleich mit dem Inkrafttreten von der DSGVO nie mehr online.

Genauso hat ja rukerneltool z.Zt. zugemacht (da bin ich nicht so traurig drüber, weil das Projekt keine Quelltexte zur Verfügung stellt und das exe-file mit Verfallsdatum versieht.).

Ein solch gute Seite wie wehavemorefun.de sollte man aber spiegeln.

Eberhard
 
  • Like
Reaktionen: peter.geher
Es kann schon zufällig sein, aber die Webseite war praktisch zeitgleich mit dem Inkrafttreten von der DSGVO nie mehr online.
dem 25. Mai 2016?

Denn die DSGVO galt seit dem 25. Mai 2016, am 24.Mai 2018, 24:00 Uhr lief nur die Übergangszeit ab.
 
Gibt es immer noch keinen Ersatz für diese tolle wehavemorefun.de Webseite?
 
 
Danke, nach so eine Seite habe ich gesucht.
 
Viel Spaß beim suchen ;)
...keine Ergebnisse für "Telefoncode" oder "Callmonitor", obwohl Wehavemorefun das kannte...
Bildschirmfoto vom 2019-09-01 14-41-29.png
 
Viel Spaß beim suchen ;)
...keine Ergebnisse für "Telefoncode" oder "Callmonitor", obwohl Wehavemorefun das kannte...
Dann melde dich halt an und schreibe die Artikel die dir fehlen. Bei We Havemorefun kann man im webarchive nachsehen
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.