Announcement: there is an English version of this forum on Hallo, ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen machen. Wie kann ich überprüfen ob ich gefährdet bin? Habe einen 1und1 HomeServer und das ist doch auch eine Fritzbox - denke ich mir zumindest da das Gehäuse gleich aussieht.
:
Bearbeitet durch Admin
Hilfe ich hab Angst schrieb: > Hallo, > ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad > lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen > machen. nein das steht so nirgends. http://www.heise.de/netze/meldung/Angriffe-auf-Fritzboxen-AVM-empfiehlt-Abschaltung-der-Fernkonfiguration-2106542.html Wenn du den Fernzugriff nicht aktiviert hast, ist alles gut.
Hilfe ich hab Angst schrieb: > Hallo, > ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad > lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen > machen. > > Wie kann ich überprüfen ob ich gefährdet bin? > Habe einen 1und1 HomeServer und das ist doch auch eine Fritzbox - denke > ich mir zumindest da das Gehäuse gleich aussieht. Bist du zu dumm (dann wird dir geholfen) oder zu faul zum Recherchieren?
Hilfe ich hab Angst schrieb: > ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad > lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen > machen. Genauer: In der BSI-Liste sind ein paar Zugänge von Fritzboxen aufgetaucht und ein paar Fritzen wurden dafür genutzt, illegal Geld zu verdienen. Ob die Fritzen geknackt wurden, oder bloss durch doofe/verratene Passwörter kreativ eingesetzt, ist bisher nicht bekannt. AVM geht aber auf Nummer Sicher und empfiehlt, den Fernzugang vorsorglich zu schliessen.
Ein Blick auf die Herstellerseite könnte vielleicht helfen: http://www.avm.de/de/Presse/Informationen/2014/2014_02_06.php3
Hilfe ich hab Angst schrieb: > Überall kann mann grad lesen dass Fritzboxen unsicher sind und sehr > teuere Telefonrechnungen machen Na ja, Frau kann das auch lesen, aber die hat sowieso eine hohe Telefonrechnung. Netgear haben auch ihre Probleme, Vodaphone Easy Boxen ebenfalls. Nichts ist sicher.
Dann ändere halt dein Passwort in ein sicheres das du sonst nirgends benutzt und schalte vor allem WLAN und Internetkonfiguration aus.
A. K. schrieb: > AVM geht aber > auf Nummer Sicher und empfiehlt, den Fernzugang vorsorglich zu > schliessen. Eigentlich ist es doch schon immer eine Selbstverständlichkeit, Fernwartung nur zuzulassen, wenn sie benötigt wird (und danach wieder abzuschalten!). Sonst ist das doch eine Einladung an Hacker, besonders wenn es dann noch einen Standardlogin für den Kundendienst gibt, der bei allen Geräten gleich ist - was man nicht wissen kann, denn in den technischen Daten steht das bestimmt nicht drin. Gruss Reinhard
Oggy schrieb: > FYI > http://www.heise.de/netze/news/foren/S-Neue-Firmware-fuer-7390-6-03-verhindert-Ausspaehen/forum-274348/msg-24753798/read/ Danke :-) Hab aber eine 7490...
AVM kennt den Angriffsvector und bereitet updates vor! http://www.heise.de/newsticker/meldung/Fritzbox-Angriff-analysiert-AVM-bereitet-Firmware-Updates-vor-2108862.html
Der entscheidende Punkt bis zum Einspielen einer aktualisierten Firmware: Fernzugriff auf die Konfigurationsoberfläche deaktivieren Mal unter uns: Wozu braucht man die auch?
Hallo, was mich mal interessieren würde: Ist es eigentlich möglich, dass man diese Sicherheitslücke mit ein paar Klicks und der Angabe der eigenen Email-Adresse mehr oder weniger unbewußt aktiviert? Muss man sich klassisch bei einem Dienst anmelden und in einer Email einen Bestätigungs-Link anklicken, oder reicht ein Eintragen von selbst gewählten Zugangsdaten und die Box lauscht anschließend auf Port 443? Und kann man eigentlich den Fernzugriff problemlos von unterwegs deaktivieren? Es dürften doch wohl einige den Fernzugriff nutzen, weil sie nur selten zu Hause sind... Ich selbst habe keine Fritz-Box, aber das würde mich trotzdem sehr interessieren. LG, Georg
Rufus Τ. Firefly schrieb: > Der entscheidende Punkt bis zum Einspielen einer aktualisierten > Firmware: > > *Fernzugriff auf die Konfigurationsoberfläche deaktivieren* > > Mal unter uns: Wozu braucht man die auch? Ganz einfach, um von außen auf seine eigene "Cloud" zugreifen zu können oder den quengelden Kids doch noch eine weitere Stunde Internet frei zu geben oder um auf die Kamera zuzugreifen ... und noch viele weitere oder. Bei meinem Sohn in der Klasse spekulieren sie schon seit einem Monat darüber wann dieser Fall eintritt. Es muss wohl wieder eine neue Software im Umlauf sein, die das möglich macht. Ich finde es schade, dass ich das nun nicht mehr kann.
Georg schrieb: > > > Und kann man eigentlich den Fernzugriff problemlos von unterwegs > deaktivieren? Ja kann man und habe ich auch sofort nach der Meldung in den Nachrichten gemacht.
Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht. Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen oder sind die so kulant und zahlen den Schaden freiwillig oder haben die für sowas eine Versicherung, die dann eventuell Probleme bei der Erstattung macht, wie so viele Versicherungen im Schadensfall?
Erstmal zahlt der Fritzbox-Nutzer. Du kannst ja dann versuchen andere (größere) zu verklagen. Sieht aber schlecht aus. Vielleicht hilft die die NSA bei der Beweisführung. Hoffentlich warst du in der Zeit im Krankenhaus und hattest dort kein Internet. Die Gören wissen also seit einem Monat von solchen Dingen. Ja, nur für anderes haben die im Kopf keinen Platz mehr - definitiv!
Rolf schrieb: > Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht. > Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen > oder sind die so kulant und zahlen den Schaden freiwillig Wieso sollte AVM da was zahlen? Wenn die Leute den Fernzugriff aktivieren, sind sie selbst Schuld. Der ist standardmäßig nicht aktiv! Auch für Zugriffe auf die heimischen Netzwerkgeräte braucht man den Fernzugriff auf den Router nicht.
T.roll schrieb: > Rolf schrieb: >> Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht. >> Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen >> oder sind die so kulant und zahlen den Schaden freiwillig > > Wieso sollte AVM da was zahlen? Wenn die Leute den Fernzugriff > aktivieren, sind sie selbst Schuld. Der ist standardmäßig nicht aktiv! > Auch für Zugriffe auf die heimischen Netzwerkgeräte braucht man den > Fernzugriff auf den Router nicht. Na dann frag mal alle Fritbox Nutzer wie viel AVM das beworben hat. Biete mich gern als Zeuge für einen Geschädigten an und das Plädoyer schreibe ich demjenigen auch dazu. Kann doch wohl nicht sein, dass immer der 'kleine Mann' allein bluten soll. Was ist mit der Telefongesellschaft? Hätten die nicht auch merken müssen, dass da ein Betrug statt findet. Die würden von mir keinen Cent bekommen. Möchte zwar nicht zu den Geschädigten gehören, aber wäre das der Fall, dann gäbe es mit Sicherheit ein neues Grundsatzurteil in diesem Bereich. Die müssen den AVM Server gehackt haben und da die Passwörter her haben. Anders kann ich mir das nicht vorstellen.
Abdul K. schrieb: > > Die Gören wissen also seit einem Monat von solchen Dingen. Ja, nur für > anderes haben die im Kopf keinen Platz mehr - definitiv! Zumal meiner dann für mich eine Sicherheitswarnung abgeben hätte können.
Der Angriffsvektor erscheint mir recht simpel. Ausgangspunkt das Abgreifen von E-Mailadressen und Passwörtern in Online Shops usw. also z.B. die 16Mio Daten. Und ist ja auch eine IP zu jedem Datensatz dazu. Dann ein Skript, was potentielle Ports der IPs scannt und bei einer Antwort kann man ja die Mail plus Passwort probieren. Wer eben so blöd ist, für die Fritte die Mail Adresse zu benutzen hat dann bei gleichem Passwort eben Pech gehabt.
Christian R. schrieb: > Der Angriffsvektor erscheint mir recht simpel. Ausgangspunkt das > Abgreifen von E-Mailadressen und Passwörtern in Online Shops usw. also > z.B. die 16Mio Daten. Und ist ja auch eine IP zu jedem Datensatz dazu. > Dann ein Skript, was potentielle Ports der IPs scannt und bei einer > Antwort kann man ja die Mail plus Passwort probieren. Wer eben so blöd > ist, für die Fritte die Mail Adresse zu benutzen hat dann bei gleichem > Passwort eben Pech gehabt. Das ist immer einfach so was im Nachhinein zu sagen. Mit vollen Hosen ist halt gut stinken, aber die nächste Lücke könnte dich erwischen. Mit solchen Aussagen, finde ich, verharmlost man diese Kriminellen und tut ja gerade so, als wäre der Depp am anderen Ende der Leitung selbst schuld. Es wird, bei aller Vorsicht, immer einen Ersten geben den es erwischt.
Im weiter oben erwähnten heise-Beitrag steht doch bereits drin: "Bei der Analyse der Telefonie-Missbräuche über die Fritzbox-Fernkonfiguration hat der Hersteller AVM herausgefunden, dass anders als zunächst vermutet doch keine auf anderen Wegen beschafften Zugangsdaten verwendet wurden. Offenbar haben die Angreifer einen Weg gefunden, die Authentifizierung beim Fernzugriff per Browser zu umgehen."
Auf Dauer wird der durchschnittliche User dieses Aufrüstungsrennen definitiv verlieren! Und dazu zähle ich eigentlich auch alle User hier auf µC.net. Zu den Problemen gehört z.B. auch die fehlende Autorisierung von Websites beim User. Es gibt immer nur ein Login in die andere Richtung. Die Banken haben für die PIN auch noch keine Alternative und schieben das Problem auf die Kunden. Probleme werden dann durch eine großzügige Kostenübernahme plattgewälzt. Das ist aber nix anderes als ne moderne Form der Geldwäsche. Selbst so einfache Sachen wie ein europäischer Google-Ersatz oder zentrale IP-Filterung nach den Wünschen der Nutzer sind nicht realisiert. Angriffsvektoren gibt es viele, z.B. daß Privatanwender meist nur sehr begrenzte Anzahl von email-Adressen haben. Darauf baut ja auch die SPAM-Industrie auf. Alles technisch relativ einfach realisierbar. Gemacht wird es nicht!
Abdul K. schrieb: > Die Banken haben für die PIN auch noch keine Alternative und schieben > das Problem auf die Kunden. Kostenfrage. Die Alternativen sind teuerer, weil pro Nase zig Euros schwer. Kosten die, wenn verpflichtend, möglicherweise die Banken tragen müssten. Und das alle paar Jahre neu. Da lohnt es sich eher, ab und "Kulanz" walten zu lassen. > Selbst so einfache Sachen wie ein europäischer Google-Ersatz Amis durch Briten ersetzen bringt genau was? Die haben doch weitaus weniger Skrupel als die Amis. > zentrale IP-Filterung nach den Wünschen der Nutzer sind nicht > realisiert. Filtern vor wem? Dem Botnet? Den übrigen Deutschen? Gestern gab passend zu Eröffnung der Olympiade einen nettes kleines DoS direkt aus deutschen Landen. Übrigens eignet sich eine solche zentrale Filterung vorzüglich für staatliche Zensur. Privatisiert natürlich, weil dann isses formal keine.
:
Bearbeitet durch User
Rolf schrieb: > Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht. > Wer haftet eigentlich für den Schaden? Hoffentlich haftet der Nutzer für seine Fahrlässigkeit. Es ist aber in der Praxis in Deutschland leider so, dass fast immer die Dümmsten vor ihrer eigenen Dummheit geschützt werden und es offenbar keine Sorgfaltspficht gibt. Deshalb schert sich auch fast keiner um seine Computersicherheit. Dass der Fernzugriff ein Sicherheitsrisiko darstellt, ist ja wohl absolut klar. F. Fo schrieb: > Was ist mit der Telefongesellschaft? Hätten die nicht auch merken > müssen, dass da ein Betrug statt findet. Das ist nicht deren Aufgabe. Die düfren dein Telefonverhalten zum Glück noch nicht ausspionieren um Unregelmäßigkeiten deines Verhaltens zu analysieren und um dann irgendwelche Dinge eigenmächtig zu sperren! Das käme dann einer Zensur gleich.
:
Bearbeitet durch User
F. Fo schrieb: > Was ist mit der Telefongesellschaft? Hätten die nicht auch merken > müssen, dass da ein Betrug statt findet. > Die würden von mir keinen Cent bekommen. Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich notfalls vor dir selbst schützen (die wissen ja nicht, ob du nicht selbst in der Karibik anrufst, oder deine Gören). Das wäre ein etwas verspätetes 1984. Aber Dialer als Geschäftsmodell sind ja uralt. In der Praxis rufen die meisten nie im Ausland an oder nur in ganz wenigen Ländern, da könnte man auch beim Telefonprovider Auslandsgespräche entsprechend sperren lassen und damit allen solchen Betrügereien den Boden entziehen (das wäre auch der einzige Fall, wo die Telefongesellschaft wirklich den Schaden tragen müsste, wenn sie die Gespräche trotzdem weitergeleitet hat). Das ist aber halt zu unbequem, obwohl Flatrates ja keine weltweiten Gespräche abdecken und daher auch auf andere Art unbabsichtigt Kosten entstehen können. Jugendliche mit Freunden im Ausland kriegen so schnell ein paar hundert Euro im Monat zusammen, ganz ohne Hackerhilfe. Gruss Reinhard
Reinhard Kern schrieb: > Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich > notfalls vor dir selbst schützen So absurd ist das nicht. Mir ist ein Fall bekannt, wo eine Mobilfunkabrechnung noch viel viel höher ausfiel. Und in Verhandlung mit dem Provider auf einen winzigen Bruchteil eindampfte.
A. K. (prx) schrieb: Abdul K. schrieb: >> Selbst so einfache Sachen wie ein europäischer Google-Ersatz > Amis durch Briten ersetzen bringt genau was? Die haben doch weitaus > weniger Skrupel als die Amis. Die Briten sehen sich wohl selbst am liebsten als der verlängerte Arm der (Spionage-) USA und suhlen sich zudem in der Rolle der Anti-Europäer als auch Bewahrer ihres leidlichen Zocker-Finanzplatzes London. Solange sie sich so gegenüber Resteuropa verhalten, sollen sie mir auch nicht mit Euro-Skepsis kommen. Die Rolle nehme ich denen nicht ab. Da müssten sie selbst schon was besseres anzubieten haben. So einfach ist das wohl auch nicht mit dem "google-Ersatz". Der Zug ist lange abgefahren und google hat das Match gewonnen. Umgekehrt würde sich sofort die Frage stellen, ist einer Europäischen Suchmaschiene überhaupt zu trauen? Oder kommt der Nutzer dann vom Regen in die Traufe. > Gestern gab passend zu Eröffnung der Olympiade einen nettes kleines DoS > direkt aus deutschen Landen. Mich interessiert die Olympiade längst kein bisschen mehr. Putin lässt zu, dass jagt auf Homophobe gesellschaftlich in weiten Teilen akzeptanz findet. Das alleine reicht, um NIET zu dieser Veranstaltung zu sagen. Menschenhatz ist widerwärtig und völlig inakzeptabel. Da möchte ich als Zuschauer nicht mit irgendwelchen Medaillenträgern ruhig gestellt werden. Die Mannschaften aus D-Land sollten mal gemeinsam ein deutliches Zeichen setzen, mit einer sichtbaren Aktion gegen diesen unflätigen Wahnsinn und zwar so, dass es auch weh tut in der russischen Volksseele.
A. K. schrieb: > Und in Verhandlung mit > dem Provider auf einen winzigen Bruchteil eindampfte. Ja Kulanz ist was Nettes. Aber einfach fordern kann man das nicht, oder die Bezahlung verweigern. Wobei du auch nicht erwähnt hast, wieso die Rechnung so hoch war. Es kommen ja auch Fehler vor. Gruss Reinhard
Abdul K. schrieb: > Selbst so einfache Sachen wie ein europäischer Google-Ersatz Einen große deutsche Suchmaschine wird es auch niemals geben. Die ganzen Gerichtskosten kann sich keiner leisten. Entweder wird der Bot gleich als Hackertool eingestuft, da er mehrere Seiten abruft = den Server "angreift" (DoS). Oder man soll für Texte in den Ergebnissen wegen dem Leistungsschutzrecht zahlen. Dann gibt es auch noch die vielen Leute, die nicht mit irgendwelchen Begriffen in den Ergebnissen auftauchen wollen (siehe aktuelle Urteile bei Google). Dann natürlich noch sämtliches mit "illegalen" Downloadseiten, Störerhaftung, usw.
>Hoffentlich haftet der Nutzer für seine Fahrlässigkeit. Für welche Fahrlässigkeit? Der Nutzer nutzt ein weit verbreitetes und allgemein als Zuverlässig geltendes Produkt lediglich bestimmungsgemäß und sollte sich auf das verlassen können, was der Hersteller zum Thema Sicherheit schreibt: "Sie können Ihre FRITZ!Box nicht nur für den sicheren Zugriff aus dem Internet über die MyFRITZ!-Internetplattform einrichten. Wenn Sie über einen Dynamic DNS-Domainnamen bei einem anderen Anbieter verfügen, können Sie auch über diesen aus dem Internet auf Ihre FRITZ!Box zugreifen. Zum Schutz vor unbefugtem Zugriff ist die Internetzugriff auf die FRITZ!Box auch dabei nur über verschlüsselte HTTPS-Verbindungen (Hypertext Transfer Protokoll Secure) und nach Eingabe von Benutzername und Kennwort möglich." Wo ist denn da bitte nach objektiven Maßstäben die offensichtliche Vermeidbarkeit, wenn ein Laie sich eine Fritz Box kauft oder sie sogar offiziell von seinem Telefon- und Internet-Provider gestellt bekommt, diese dann sorgfältig nach Herstellervorgaben absichert und dann trotzdem ein Opfer einer kostspieligen Betrugsmasche wird? >Es ist aber in der Praxis in Deutschland leider so, dass fast immer >die Dümmsten vor ihrer eigenen Dummheit geschützt werden und es >offenbar keine Sorgfaltspficht gibt. Worin genau besteht hier die Sorgfaltspflicht? Im voraus zu ahnen, welche Funktionen der Fritz-Box irgendwann mal gehackt werden und diese vorausschauend zu deaktivieren? Dann dürfte es auch kein WLAN geben, denn dort wurden auch schon Algorithmen geknackt und eigentlich ist das genau so gefährlich wie ein Fernzugriff. Willst Du jetzt flächendeckend WLAN abschaffen? Warum darf AVM diesen angeblich auf so vorhersehbare Weise unsicheren Mist überhaupt an Laien verkaufen? Wo bleibt da die Sorgfalt? >Das ist nicht deren Aufgabe. Dann ist es auch nicht Aufgabe der Kunden, Rechnungsposten zu begleichen, von deren Entstehung Sie überhaupt nichts wussten. Es gibt ja für den Kunden überhaupt keine verbindliche Möglichkeit, festzustellen, ob sich jemand am Anschluss zu schaffen gemacht hat und ob die Telefon-Rechnung gerade explodiert. >Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich >notfalls vor dir selbst schützen (die wissen ja nicht, ob du nicht >selbst in der Karibik anrufst, oder deine Gören). Das wäre ein etwas >verspätetes 1984. Es geht doch überhaupt nicht darum, jemanden vor sich selbst zu schützen. Es geht vielmehr darum, dass man sich als Kunde von Telekommunikations-Anbietern immer wieder neuen Abzock-Maschen ausgesetzt sieht, die nur durch die tatkräftige Mithilfe dieser Anbieter in Form von Mehrwertdiensten und Ähnlichem überhaupt möglich gemacht wurden. Und jedes mal muss dann der Kunde agieren...hier etwas sperren lassen, dort etwas begrenzen. Wenn man in einer halben Stunde Telefongebühren in einer Höhe verursachen kann, die für viele schon existenzbedrohend sein dürfte, dann ist es sehr wohl die Aufgabe des Providers, einen Missbrauch zu verhindern oder zumindest die Telefonrechnung auf ein für diesen Kunden übliches und wirtschaftlich vertretbares Maß zu deckeln. Interessant ist dabei, dass selbst die Provider anscheinend technisch überhaupt nicht in der Lage sind, in Echtzeit festzustellen, welche Kosten gerade über meinen Anschluss verursacht werden. Es ist ja kein Geheimnis, dass Prepaid-Kunden durch Mehrwertdienste ins vertraglich eigentlich unmögliche Minus gerutscht sind und die Provider erst durch langwierige Prozesse von der Unrechtmäßigkeit dieser Rechnungsstellung überzeugt werden mussten. Eine echte Deckelung der Kosten ist bei Diensten, die nicht komplett gesperrt sind, technisch wohl gar nicht ohne weiteres möglich. Das Bild vom fahrlässig handelnden Kunden auf der einen Seite und dem seriösen Provider auf der anderen Seite kann man jedenfalls getrost vergessen. Die Provider nutzen rücksichtslos jede Gelegenheit, um den Kunden das Geld aus der Tasche zu ziehen. Und dann soll der Kunde auch noch zahlen, wenn wildfremde Personen ohne sein Wissen teure Gespräche geführt haben und quasi feststeht, dass es tatsächlich unbekannte Dritte waren und nicht der Sohnemann? Na herzlichen Glückwunsch zu dieser verbraucherfeindlichen Einstellung! Mit Zensur oder 1984 hat das jedenfalls erst mal gar nichts zu tun.
Reinhard Kern schrieb: > Ja Kulanz ist was Nettes. Kannst es auch die Anerkennung einer schwachen Rechtsposition nennen. Vor Gericht wäre der Provider möglicherweise abgesoffen. Ich kann mich vage dran erinnern, dass es schon entsprechende Urteile gegeben hat. Also dass sehr wohl eine gewisse Pflicht bestehen kann, extrem aus dem Ruder laufende Verhältnisse rechtzeitig zu überprüfen, zumal wenn es keinerlei entsprechende Vorgeschichte gibt.
:
Bearbeitet durch User
Butch schrieb: >>Hoffentlich haftet der Nutzer für seine Fahrlässigkeit. > > > Es geht doch überhaupt nicht darum, jemanden vor sich selbst zu > schützen. Es geht vielmehr darum, dass man sich als Kunde von > Telekommunikations-Anbietern immer wieder neuen Abzock-Maschen > ausgesetzt sieht, die nur durch die tatkräftige Mithilfe dieser Anbieter > in Form von Mehrwertdiensten und Ähnlichem überhaupt möglich gemacht > wurden. Und jedes mal muss dann der Kunde agieren...hier etwas sperren > lassen, dort etwas begrenzen. Wenn man in einer halben Stunde > Telefongebühren in einer Höhe verursachen kann, die für viele schon > existenzbedrohend sein dürfte, dann ist es sehr wohl die Aufgabe des > Providers, einen Missbrauch zu verhindern oder zumindest die > Telefonrechnung auf ein für diesen Kunden übliches und wirtschaftlich > vertretbares Maß zu deckeln. Interessant ist dabei, dass selbst die > Provider anscheinend technisch überhaupt nicht in der Lage sind, in > Echtzeit festzustellen, welche Kosten gerade über meinen Anschluss > verursacht werden. Es ist ja kein Geheimnis, dass Prepaid-Kunden durch > Mehrwertdienste ins vertraglich eigentlich unmögliche Minus gerutscht > sind und die Provider erst durch langwierige Prozesse von der > Unrechtmäßigkeit dieser Rechnungsstellung überzeugt werden mussten. Eine > echte Deckelung der Kosten ist bei Diensten, die nicht komplett gesperrt > sind, technisch wohl gar nicht ohne weiteres möglich. Das Bild vom > fahrlässig handelnden Kunden auf der einen Seite und dem seriösen > Provider auf der anderen Seite kann man jedenfalls getrost vergessen. > Die Provider nutzen rücksichtslos jede Gelegenheit, um den Kunden das > Geld aus der Tasche zu ziehen. Und dann soll der Kunde auch noch zahlen, > wenn wildfremde Personen ohne sein Wissen teure Gespräche geführt haben > und quasi feststeht, dass es tatsächlich unbekannte Dritte waren und > nicht der Sohnemann? Na herzlichen Glückwunsch zu dieser > verbraucherfeindlichen Einstellung! > > Mit Zensur oder 1984 hat das jedenfalls erst mal gar nichts zu tun. Du hast hier Vieles gesagt, was ich mit dem kurzen Satz ausdrücken wollte. Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt. Das Sicherheitsupdate zeigt das deutlich. Es wurde und wird auch in der letzten Mail von AVM die Sicherheit des Systems angepriesen. Die Kosten können sehr wohl genau festgestellt werden, nur wollen die das nicht und es ist nur all zu leicht sich auf technisch nicht lösbare Probleme dies zu tun zu beziehen. Ich will so einen Prozess nicht, aber den würde ich mit einem Grundsatzurteil gewinnen, nur würde es nicht dazu kommen, weil die Anbieter schon vorher einlenken würden. Diesen Fall mit der WEP Verschlüsselung, das der Nutzer da verknackt wurde, den kann man auch herran ziehen, denn hier wäre ja der Umkehrschluss deutlich zu sehen. Ich habe alle technischen Möglichkeiten eingehalten. Da mussten sich wohl AVM und mein Telefonanbieter die Kosten teilen. Und noch was, die Richter haben auch Telefon und Internet zu Hause.^^
A. K. schrieb: > Reinhard Kern schrieb: >> Ja Kulanz ist was Nettes. > > Kannst es auch die Anerkennung einer schwachen Rechtsposition nennen. > Vor Gericht wäre der Provider möglicherweise abgesoffen. Ich kann mich > vage dran erinnern, dass es schon entsprechende Urteile gegeben hat. > Also dass sehr wohl eine gewisse Pflicht bestehen kann, extrem aus dem > Ruder laufende Verhältnisse rechtzeitig zu überprüfen, zumal wenn es > keinerlei entsprechende Vorgeschichte gibt. Eben! Massenweise sogar. Aber vermutlich sind die Unkenrufer alle samt solche Youngster, die da noch als Rugrats unterwegs waren.
F. Fo schrieb: > Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt. Und hat AVM fahrlässig gehandelt? Vermutlich nein, damit sind die auch raus.
> Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt.
Die Benutzung einer solchen Fernzugriffsfunktion ist aus Prinzip sehr
leichtsinnig, ganz egal was der Hersteller verspricht. Wer zu dumm ist,
dieses Feature abzuschalten wenn er es nicht braucht, sollte auch die
Konsequenzen tragen müssen. Dass solche Funktionen irgendwann mal
gehackt werden, damit muss der Anwender rechnen, weil diese Möglichkeit
offensichtlich ist. Der Hersteller ist jetzt auch in der Pflicht, das
bekannte Sicherheitsproblem zu lösen um nicht zuviele Kunden zu
verlieren. Aber er kann nicht alle möglichen Eventualitäten für die
Zukunft berücksichtigen. Irgendwann kann wieder ein Hacker kommen der
schlauer ist und eine andere Sicherheitslücke findet. Auch das muss
jedem Laien absolut klar sein. Sonst brauchen wir wirklich einen
Internetführerschein mit Intelligenztest. Aber das willst du doch nicht
wirklich.
Paul M. schrieb: > Wer zu dumm ist, > dieses Feature abzuschalten wenn er es nicht braucht Naja, wer es ist nicht braucht wird es ohnehin nicht eingeschaltet haben - Es ist ja standardmässig deaktiviert. Und wer es braucht könnte alternativ noch die VPN-Funktion nutzen, aber die könnte potentiell ja auch mal gehacked werden.
Ziemlich borniert, die meisten Aussagen hier. Was ist mit dem Verursacherprinzip? Es mag zwar über meinen Anschluss gelaufen sein, aber deshalb bin ich noch lange nicht der Verursacher. Wenn nun jemand mit deinem Auto, das er gerade geklaut hat, jemanden tot fährt, warst du dann auch nur zu dumm? Du hättest doch wissen müssen, dass die Wegfahrsperre irgendwann mal geknackt wird. Warum pumpst du Depp nicht nach dem letzten Nutzen des Fahrzeuges den Sprit ab? Nur so hättest du halbwegs den Tod des Menschen verhindern können. Mit vollen Hosen ist immer gut stinken. Möchte mal wissen, ob ihr so großzügig seid, wenn die mal eure Sachen hacken und ob ihr das dann zahlen wollt.
Wenn du dein Auto offen stehen lässt, ist es erstens eine Ordnungswidrigkeit und zweitens zahlt dir dann keine Versicherung etwas wenn es geklaut wird. Ja der dämliche Autovergleich hinkt genauso wie deiner.
F. Fo schrieb: > Was ist mit der Telefongesellschaft? Hätten die nicht auch merken > müssen, dass da ein Betrug statt findet. > Die würden von mir keinen Cent bekommen. Im Fall den "Der Westen" aufgezeigt hat, hat die Telefongesellschaft den Anschluss gesperrt. http://www.derwesten.de/staedte/nachrichten-aus-moers-kamp-lintfort-neukirchen-vluyn-rheurdt-und-issum/router-gehackt-moerser-erhaelt-horror-telefonrechnung-id8922516.html Der Provider war kulant und hat die 4k€ nicht in Rechnung gestellt. http://www.faz.net/aktuell/technik-motor/computer-internet/hohe-telefonrechnungen-ist-meine-fritzbox-sicher-12788473.html
Zumindest schickt die Telekom wohl unangenehme Brief an Leute, bei denen zu viel SPAM rausgeht. Da steht auch der Ultima-Ratio drin. Vielleicht wäre auch ein Internetführerschein nicht ganz falsch. Für Heimtierbesitzer gibts sowas auch oder zumindest geplant. Manchmal werden ja auch einfachste Dinge nicht richtig gemacht, siehe Paßwortvergabe. Mein Vorschlag mit europäischem Google war eigentlich mehr in Richtung Open Source gedacht. Es gab wohl mal den Ansatz einer Suchmaschine unter der Obhut der EU. Hm. Also die Überwachung sehe ich da nicht als Problem, da eh alles online verfolgbar ist. Bislang konnte mich noch niemand vom Gegenteil überzeugen. Das ist einfach zu verlockend für die Organe. Gerade erst wieder gelesen: Die Polizeiorgane waren bei der Diskussion der Grenzwerte für Störstrahlung bei Powerline dagegen, diese anzuheben. Ach, die will wohl jemand nicht seine Abhöreinrichtungen mit Rauschteppich zuschütten lassen.
>Wenn du dein Auto offen stehen lässt, ist es erstens eine >Ordnungswidrigkeit und zweitens zahlt dir dann keine Versicherung etwas >wenn es geklaut wird. Das Auto(=Fritte) steht ja gar nicht offen! Es wurde vom Besitzer ordnungsgemäß abgeschlossen und eigentlich kann man die Türen auch nur mit dem Schlüssel öffnen. Aber leider hat der Autodieb einen Weg gefunden, den Hobel beschädigungsfrei mit einem Kleiderbügel zu öffnen. Ist gerade erst bekanntgeworden und der Hersteller versendet jetzt eifrig Updates für die Schlösser an seine Kunden. >Zumindest schickt die Telekom wohl unangenehme Brief an Leute, bei denen >zu viel SPAM rausgeht. Da steht auch der Ultima-Ratio drin. Ich glaube die sperren sogar den Email-Versand über SMTP(Webmail geht dann noch), bis man die Ursache beseitigt hat. Den "Service" finde ich gar nicht so schlecht. Was meint ihr, gäbe es spürbar weniger Spam-Probleme, wenn das alle Provider so machen würden?
Abdul K. (ehydra) schrieb: > Vielleicht wäre auch ein Internetführerschein nicht ganz falsch. Für > Heimtierbesitzer gibts sowas auch oder zumindest geplant. Manchmal > werden ja auch einfachste Dinge nicht richtig gemacht, siehe > Paßwortvergabe. Du meinst um sich einen Goldhamster oder einen Karnickel zu halten braucht es erst mal einen 6-Wöchigen Kurs? Wer hat sich denn dieses geniale neue Geschäftsmodell ausgedacht? Oder ist das Arbeitsbeschaffungsmaßnahme für Umlernwillige zertifizierte Privat-Tierhaltungs-Betreuer-Anleiter? > Mein Vorschlag mit europäischem Google war eigentlich mehr in Richtung > Open Source gedacht. Es gab wohl mal den Ansatz einer Suchmaschine unter > der Obhut der EU. Als zusätzliches Angebot? Warum nicht! Konkurrenz (für Gurgel) belebt das Geschäft. Kann nicht schaden. Kostet halt. Irgendjemand aber wird dafür bezahlen müssen. Ob die Werbewirtschaft genügend Interesse dafür aufbringen wird muss sich zeigen. > Hm. Also die Überwachung sehe ich da nicht als Problem, da eh alles > online verfolgbar ist. Bislang konnte mich noch niemand vom Gegenteil > überzeugen. Das ist einfach zu verlockend für die Organe. In der Theorie mag ALLES online verfolgbar sein. Die Praxis bestätigt das aber nicht. Sonst gäge es schon lange keinen illegalen oder nichtlizenzierten Content mehr.
Am illegalen Content verdient die Werbeindustrie ja kräftig mit! Naja, besser ohne die! email-Versand sollte auch was kosten. Gerade so viel, daß es für die Spammer nicht mehr lohnt. Aber davor sollten erstmal die Provider die Spamfilter verbessern. Das würde schon enorm helfen.
Peter II schrieb: >> ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad >> lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen >> machen. > Wenn du den Fernzugriff nicht aktiviert hast, ist alles gut. Schön wärs. Diese Hoffnung hat sich heute leider zerschlagen. Siehe http://heise.de/-2115745 Es scheint so, als könne man prinzipiell die Kennwortabfrage der Fritzbox-Verwaltungsoberfläche umgehen. Entweder direkt per Fernwartung von außen oder durch einen Browser-Exploit von deinem PC aus (und von dem kommst du ja normalerweise auf deine Fritzbox). Schlußfolgerung: Firmware-Update jetzt! Der entsprechende Menüpunkt findet sich in der Fritzbox (= 1&1 Homeserver) Verwaltungsoberfläche unter "System" -> "Firmware-Update". Je nach Modell und Firmwarestand evtl. auch auf der Startseite als Assistent. Falls deine Fritzbox so alt sein sollte, daß AVM kein Update dafür hat, dann solltest du mal bei 1&1 anrufen. Kann ich mir aber nicht vorstellen. Selbst für meine hornalte Fritzbox 7170 gibt es ein Update. Heute eingespielt, ohne Probleme. XL
:
Bearbeitet durch User
Axel Schwenke schrieb: > Selbst für meine hornalte Fritzbox 7170 gibt es ein Update. Angeblich mittlerweile sogar für die 7113, für die der Support schon lange eingestellt ist und deren letzte Firmware von 2009 ist.
Axel Schwenke schrieb: > Schlußfolgerung: Firmware-Update jetzt! Und nicht nur das, auch Passwörter ändern!
Hallo, am 07.02. ist ja glaube ich die neue Firmware von AVM veröffentlicht worden, ich habe das Update kurz darauf durchgeführt. Gibt es für die neuen Lücken jetzt auch eine neue Firmware, oder ist die vom 07.02. nach wie vor die aktuelle Firmware und AVM hat uns lediglich verschwiegen, dass mit der neuen Firmware mehr Lücken behoben wurden, als offiziell bekannt gegeben wurde? Und welche Passwörter sollte man nun ändern? Restlos alle? Also angefangen bei den DSL-Zugangs-Daten, über das WLAN-Passwort, VoIP-, Email-Passwort bis hin zu irgendwelchen OnlineShopping-Passwörtern? Ich habe insgesamt bestimmt 30 Passwörter(mit allen Diensten, etc.). Gibt es da eine offizielle Empfehlung, welche man aus Sicherheitsgründen ändern sollte?
Welche neuen Lücken? Es gibt keine neuen Lücken, also auch keine neue Firmware. Du sollst alle Passwörter ändern, die in Deiner Fritz Box gespeichert sind.
Heiner schrieb: > Welche neuen Lücken? > Es gibt keine neuen Lücken, also auch keine neue Firmware. > Na dann informiere dich mal hier: http://www.tagesschau.de/wirtschaft/fritzbox102.html Neue Erkenntnisse, auch bei deaktiviertem Fernzugriff können die Boxen "gekapert" werden.
Das ist aber keine neue Lücke, sondern dieselbe über die schon ständig berichtet wird. Und dagegen hilft das erwähnte Update.
Heiner schrieb: > Das ist aber keine neue Lücke, sondern dieselbe über die schon > ständig > berichtet wird. Und dagegen hilft das erwähnte Update. Bis jetzt ging's immer um die Angreifbarkeit bei aktiviertem Fernzugriff per https. Die heutige Meldung ist mir neu.
Heiner schrieb: > Das ist aber keine neue Lücke, sondern dieselbe über die schon > ständig > berichtet wird. Und dagegen hilft das erwähnte Update. Selbst heise hat erst gestern darüber berichtet.
ich schrieb: > Bis jetzt ging's immer um die Angreifbarkeit bei aktiviertem Fernzugriff > per https. Die heutige Meldung ist mir neu. Die ganze ungeschminkte Wahrheit hat der Hersteller anscheinend nicht kommuniziert. Aber egal, updaten, fertig. Bis zur nächsten Lücke... Oliver
"Selbst heise hat erst gestern darüber berichtet." Unfug. Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe. Guckst Du hier: http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html
Jörg schrieb: > Gibt es für die neuen Lücken jetzt auch eine neue Firmware, oder ist die > vom 07.02. nach wie vor die aktuelle Firmware und AVM hat uns lediglich > verschwiegen, dass mit der neuen Firmware mehr Lücken behoben wurden, > als offiziell bekannt gegeben wurde? So verstehe ich das. AVM hat ja angekündigt, Details zu den Lücken zu veröffentlichen. Sie wollen damit nur etwas warten, damit vorher auch alle das Update einspielen können. > Und welche Passwörter sollte man nun ändern? Restlos alle? Also > angefangen bei den DSL-Zugangs-Daten, über das WLAN-Passwort, VoIP-, > Email-Passwort bis hin zu irgendwelchen OnlineShopping-Passwörtern? Das Problem beschreibt der Heise-Artikel ganz gut. Wenn sich jemand auf deine Fritzbox eingehackt hat, dann konnte er die Router-Konfiguration auslesen. Da drin sind die Paßwörter zwar verschleiert, aber prinzipiell auslesbar. Zur Sicherheit solltest du also alle Paßwörter ändern, die du in der Fritzbox irgendwo eingegeben hast: das Fritzbox-Paßwort selber, DynDNS Zugangsdaten, WLAN etc. DSL-Zugangsdaten sind weniger kritisch, die sind üblicherweise an deinen Anschluß gebunden. XL
Heiner schrieb: > Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue > Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe. Heute eine mail von AVM (bin Fachhändler) Sehr geehrter Herr ---, in den Medien und Foren wird aktuell über weitere mögliche Angriffswege auf die FRITZ!Box spekuliert. Die Angriffe auf die FRITZ!Box fanden ausschließlich von außen über den Fernzugriff (Port 443) statt. Die Attacke der Täter war nur möglich, wenn der Zugriff auf die FRITZ!Box über das Internet aktiviert war. Weitere Angriffsmuster sind nicht bekannt. Weiterhin empfiehlt AVM allen Anwendern, unabhängig vom aktivierten Fernzugriff, das Sicherheits-Update zu installieren. Das Update der FRITZ!Box-Modelle auf die sichere Firmware-Version schützt Sie vor Angriffen und ist für alle Geräte unterschiedslos verfügbar. ... Das Sicherheits-Update steht bereits für über 40 FRITZ!Box-Modelle zum Download bereit.
Noch gestern habe ich gelesen, dass wirklich alle Fritzbox-Gerät angreifbar sind, ohne Ausnahme. Die Firmware-Updates sollten unbedingt aufgespielt werden!
XX schrieb: > Heiner schrieb: >> Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue >> Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe. > > Heute eine mail von AVM (bin Fachhändler) Auch dir wird AVM (vorerst) nicht mehr erzählen. Die Kommunikations- strategie die sie anwenden, hat sogar einen Namen: http://en.wikipedia.org/wiki/Responsible_disclosure > in den Medien und Foren wird aktuell über weitere mögliche Angriffswege > auf die FRITZ!Box spekuliert. Die Angriffe auf die FRITZ!Box fanden > ausschließlich von außen über den Fernzugriff (Port 443) statt. Und das ist zwar keine Lüge, aber nicht notwendigerweise auch die ganze Wahrheit. Alle bislang bekannt gewordenen Angriffe fanden von außen statt. Das heißt aber nicht, daß die Lücke nicht generell den Zugriff auf paßwortgeschützte Seiten der Managementoberfläche betrifft. Bei Heise hat sich anscheinend mal einer die Firmware-Updates von AVM etwas näher angeschaut. Also einfach die neueste Firmware und den unmittelbaren Vorgänger ausgepackt und diff drüber laufen lassen. Dieser Teil ist trivial. Der kompliziertere Teil ist, die Änderungen zu bewerten. Und da ist wohl zuerst aufgefallen, daß die Änderungen nicht auf den Teil beschränkt sind, der die Fernwartung behandelt. Jetzt sagt Heise daß sie einen Demo-Exploit haben. Vermutlich einfach etwas Javascript, das man dem Opfer unterschiebt und das (weil es ja in seinem Browser ausgeführt wird) die Fritzbox von innen aufmacht. Eine wirklich interessante Frage ist, ob man dafür wirklich erst ein Firmware-Update gesehen haben muß oder ob Kriminelle nicht auch schon auf diese Idee gekommen sein können. Das Firmware-Update sollte man auf jeden Fall einspielen. Denn früher oder später werden die Details bekannt sein. Die Paßworte muß man nur austauschen, wenn man befürchtet, schon unbemerkt Opfer eines Angriffs geworden zu sein. Bis jetzt kennt man zwar nur Angriffe, die sofort Profit machen wollten. Das schließt aber nicht aus, daß jemand unbemerkt und im großen Stil Paßworte von Fritzboxen eingesammelt hat. XL
Axel Schwenke schrieb: > etwas Javascript, das man dem Opfer unterschiebt und das (weil es ja in > seinem Browser ausgeführt wird) die Fritzbox von innen aufmacht. ... weil das Loch bei abgeschaltetem Fernzugang zwar nicht mehr von aussen genutzt werden kann, sehr wohl aber von innen. Ja, das ergibt Sinn. > ob Kriminelle nicht auch schon auf diese Idee gekommen sein können. Wer das Loch kennt, der braucht wohl nicht den Patch zu analysieren. Der Patch könnte aber vielleicht dabei helfen, das Loch erst zu finden. > Das Firmware-Update sollte man auf jeden Fall einspielen. Selbstverständlich. Den Aufwand, sogar steinalte Boxen noch zu aktualisieren, treibt AVM ja nicht aus Lust und Liebe.
:
Bearbeitet durch User
A. K. schrieb: > Selbstverständlich. Den Aufwand, sogar steinalte Boxen noch zu > aktualisieren, treibt AVM ja nicht aus Lust und Liebe. Wenn ich bei der wirklich steinalten 7050 nachsehe, finde ich nur eine FW vom 14.05.2007 Als Router möchte ich das Ding zwar nicht mehr benutzen, aber es enthält ja immerhin einen kleinen Linux-Rechner, mit dem man noch ein bischen was anstellen kann...
Jetzt gibts endlich ne offizielle Liste der betroffenen Boxen mit der Info, welche Firmware benötigt wird: http://www.avm.de/de/Sicherheit/liste_update.html Gruß
Uhu Uhuhu schrieb: > Ha ha, alt, aber bezahlt ;-) Ja, sowas in der Art hab auch gesagt, als ich sah, dass ich wegen der irgendwo installierten ollen 7113 keinen Aufstand machen muss.
Thread beobachten
Seitenaufteilung abschalten