Sicherheitslücke AVM (Fritzbox & Co.)

(DE) Neuigkeiten zu den Themen OS/2, eCS, und dem OS/2-Forum
(EN) News about OS/2, eCS and the OS/2 Forum
User avatar
Frank Wochatz
Posts: 961
Joined: Sun 22. Dec 2013, 22:04
Location: Berlin

Sicherheitslücke AVM (Fritzbox & Co.)

Post by Frank Wochatz » Thu 20. Feb 2014, 08:37

Informationen zur Sicherheitslücke in AVM Geräten:
http://www.avm.de/de/News/artikel/2014/ ... urznotiert

Die Sicherheitslücke beschränkt sich laut Heise jedoch nicht nur auf Geräte mit eingeschaltetem Fernzugriff.

Hier eine Liste der AVM Geräte, mit Hinweis ob das jeweilige Gerät betroffen ist oder nicht, und ob ein Firmware Update verfügbar ist:
http://www.avm.de/de/Sicherheit/liste_update.html

Betroffen sind auch (mindestens) vier Speedport-Geräte der Telekom:
http://www.heise.de/newsticker/meldung/ ... 18595.html

Betroffen sein könnten allerdings zusätzlich noch OEM Geräte, ggf. muss man herausfinden, welches Gerät dahinter steckt, beispielsweise ist meine 1&1 Fritz!Box Fon "Surf & Phone" eine AVM 5140 (und zum Glück nicht betroffen).

Markus
Posts: 77
Joined: Mon 23. Dec 2013, 16:32

Post by Markus » Thu 20. Feb 2014, 09:02

Frank Wochatz wrote:Informationen zur Sicherheitslücke in AVM Geräten:

Betroffen sein könnten allerdings zusätzlich noch OEM Geräte, ggf. muss man herausfinden, welches Gerät dahinter steckt, beispielsweise ist meine 1&1 Fritz!Box Fon "Surf & Phone" eine AVM 5140 (und zum Glück nicht betroffen).
Auch Kabelnetze betroffen. :shock:
Kabel Deutschland hat in der Nacht damit begonnen, Updates für die Fritzbox 6360 vorzunehmen, um eine Sicherheitslücke zu stopfen. Unitymedia KabelBW und manche kleineren DSL-Provider sind noch nicht so weit.
Quelle: Heise.de vom 12.02.14

Die Kabelnetzbetreiber installieren die Updates selber, der Kunde hat anscheinend keine Möglichkeit dazu. Wenn ich Kunde wäre, würde ich beim Anbieter nachfragen, ob meine Box betroffen ist. Wenn ja, wie lange es dauern wird bis das Update kommt und ob ich über das Update benachrichtigt werde.

Online
User avatar
wilfried
Posts: 624
Joined: Mon 23. Dec 2013, 18:26
Location: Barsinghausen

Post by wilfried » Thu 20. Feb 2014, 10:55

Diese Thema bestärkt mich in der Entscheidung mein Netzwerk weiterhin über ISDNPM auf einem Gateway-PC mit DSL-Modem ins Internet zu bringen.

User avatar
Frank Wochatz
Posts: 961
Joined: Sun 22. Dec 2013, 22:04
Location: Berlin

Post by Frank Wochatz » Thu 20. Feb 2014, 12:58

Naja Wilfried, die Fritzbox ist halt auch eine Telefonanlage, insofern ist ISDPM kein richtiger Ersatz dafür.

Davon abgesehen hat AVM innerhalb einer Woche einen Fix bereit gestellt, meinst Du Du würdest einen Fix für ISDNPM bekommen? OS/2 gilt zwar immer als sicheres System, die Lücken gibt es aber garantiert auch, für die interessiert sich nur keiner, weil das System für Hacker zu unbedeutend ist. Wehe uns, wenn doch mal einer eine Sicherheitslücke findet und nutzt...

Insofern ist mir ein gut supporteter Router schon lieber. Und meine Fritzbox läuft seit Jahren zuverlässig.

Online
User avatar
wilfried
Posts: 624
Joined: Mon 23. Dec 2013, 18:26
Location: Barsinghausen

Post by wilfried » Thu 20. Feb 2014, 13:07

Hallo Frank,

auch wenn das jetzt vom Topic abdriftet. Das mit den nicht entdeckten bzw. nicht genutzten Sicherheitslücken ist mir auch klar. Auch vermute ich das ISDNPM irgendwann nicht mehr läuft und das dann kein Support mehr verfügbar ist, aber bis dahin ...
Mein Gateway-PC ist auch mehr als nur ein Gateway ... ;-)

User avatar
Frank Wochatz
Posts: 961
Joined: Sun 22. Dec 2013, 22:04
Location: Berlin

Post by Frank Wochatz » Thu 20. Feb 2014, 18:11

Ich meine ja nur: nicht gleich die Flucht wg. des Bugs ergreifen. AVM hat doch ganz gut reagiert.

ISDNPM ist auch super, ich hatte jahrelang selbst einen Inet-Gatewayserver mit ISDNPM, gleichzeitig Fax-, File- und Printserver :)

eCSBenutzer
Posts: 242
Joined: Fri 10. Jan 2014, 07:24
Location: 641m ü. NN

Post by eCSBenutzer » Fri 21. Feb 2014, 17:28

Ich habe z.Z. noch eine 3370 im Einsatz, den Fernzugriff hatte ich schon vor langer Zeit ausgeschalten. Nur wird die FB auch nicht mehr lange als Router arbeiten - ich werde wieder ISDNPM auf einen T23 installieren - hatte auch schon vor einiger Zeit damit begonnen. Warum dieser - in vielen Augen hier sicher - Weg zurück:
Erstens: Wer sagt den, das nicht noch mehr Hintertüren - und zwar bewusst! - einprogrammiert sind?
Zweitens: bei ISDNPM sah und sehe ich wer rein und rauswill - und zwar Live! Macht das doch mal mit einer FB....
Ja, Datenstrom mitschneiden, mit Wireshark versuchen zu verstehen, das geht schon. Nur: gehts denn nicht noch umständlicher? Ich habe im Freetzforum vor einiger Zeit mal nachgefragt, ob es nicht so einen einfache Funktion des Livemitlesens der anklopfenden IPs gibt? Die haben nur verständnislos getan...
Na und dann ISDNPMRemote - was ich als Java auf OS/2, Linux (Win?) laufen lassen kann um zu sehen, wie die DSL-Leitung ausgelastet ist - ich habe nur 2MBit - das gibts auch nicht.
Der Medienserver der FB geht sowieso nicht richtig, die IPs in der Liste lassen sich nicht oder nur manchmal aktualisieren, eingetragene Repeater bekomme ich garnicht mehr raus - und da es eine gefreetze Version ist: der Neustart funktioniert nicht (reboot) sondern nur der harte Systemstart (Netzstecker ziehen im Betrieb).
Wenn an ISDNPM noch was gemacht werden würde - ich hätte auch paar € investiert - aber das Problem mit Willibald ist ja bekannt und ich weis nicht, ob Karlheinz noch zu Stange hält.
letztendlich werde ich mich am WE hinsetzen und weiterbasteln am T23 - Mist ist bloss daß das Wetter wieder schön werden soll...................

User avatar
Frank Wochatz
Posts: 961
Joined: Sun 22. Dec 2013, 22:04
Location: Berlin

Post by Frank Wochatz » Sun 23. Feb 2014, 13:26

Wie gesagt, mit dem Fernzugriff hat das nichts zu tun (auch wenn AVM das gesagt hat).

DIe Sache läuft so: Du gehst mit Deinem Webbrowser auf einen infizierte Seite. Dann wird ein Datenpaket an den Hacker gesendet, der die Webseite infiziert hat. Darin stehen unter anderem die Logindaten zu Deiner Fritzbox. Der Hacker kann nun auf Deine Fritzbox zugreifen und zB. ein VOIP Telefon installieren, und seine eigene teure Telefonnummer anrufen, und Dir damit Kosten und sich selbst Geld generieren. Das wurde zB. von einem Heise-Mitarbeiter in SternTV live demonstriert, und ging ohne Fernzugriffs-Feature.

Deswegen sollte man übrigens anch dem AVM Update überprüfen, ob irgenwelche neuen Sachen oder Rufnummerweiterlungen installiert sind, das sieht man im Web-Frontend http://fritz.box
Erstens: Wer sagt den, das nicht noch mehr Hintertüren - und zwar bewusst! - einprogrammiert sind?
Das garantiert Dir keiner (auch nicht für OS2 oder ISDNPM), aber wenn Du danach gehst: Netzstecker ziehen, kein Handy mehr benutzen etc.. Das ganze Leben ist riskant. :)

eCSBenutzer
Posts: 242
Joined: Fri 10. Jan 2014, 07:24
Location: 641m ü. NN

Post by eCSBenutzer » Sun 23. Feb 2014, 21:06

Hallo Frank,
ich habe eine 3370 - also ohne Telefonie...
Habe das Update trotzdem gemacht - die Freetzsachen sind natürlich weg, blos gut, das ich noch eine Box in der zweiten Reihe habe. Und trotzdem wird ISDNPM wieder in Betrieb gehen. Aber es ist zum verzweifeln: Nächstes Wochenende ist wieder schönes Wetter angesagt - nichts mit T23 sondern raus ins Grüne bzw. NochNichtGrüne... :D