Forum: PC Hard- und Software Fritzbox unsicher?!


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Hilfe ich hab Angst (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Hallo,
ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad 
lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen 
machen.

Wie kann ich überprüfen ob ich gefährdet bin?
Habe einen 1und1 HomeServer und das ist doch auch eine Fritzbox - denke 
ich mir zumindest da das Gehäuse gleich aussieht.

: Bearbeitet durch Admin
von Peter II (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hilfe ich hab Angst schrieb:
> Hallo,
> ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad
> lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen
> machen.
nein das steht so nirgends.

http://www.heise.de/netze/meldung/Angriffe-auf-Fritzboxen-AVM-empfiehlt-Abschaltung-der-Fernkonfiguration-2106542.html

Wenn du den Fernzugriff nicht aktiviert hast, ist alles gut.

von FB-Ever (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hilfe ich hab Angst schrieb:
> Hallo,
> ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad
> lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen
> machen.
>
> Wie kann ich überprüfen ob ich gefährdet bin?
> Habe einen 1und1 HomeServer und das ist doch auch eine Fritzbox - denke
> ich mir zumindest da das Gehäuse gleich aussieht.

Bist du zu dumm (dann wird dir geholfen) oder zu faul zum Recherchieren?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Hilfe ich hab Angst schrieb:
> ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad
> lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen
> machen.

Genauer: In der BSI-Liste sind ein paar Zugänge von Fritzboxen 
aufgetaucht und ein paar Fritzen wurden dafür genutzt, illegal Geld zu 
verdienen.

Ob die Fritzen geknackt wurden, oder bloss durch doofe/verratene 
Passwörter kreativ eingesetzt, ist bisher nicht bekannt. AVM geht aber 
auf Nummer Sicher und empfiehlt, den Fernzugang vorsorglich zu 
schliessen.

von tmomas (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Ein Blick auf die Herstellerseite könnte vielleicht helfen:

http://www.avm.de/de/Presse/Informationen/2014/2014_02_06.php3

von Karlheinz (Gast)


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Hast du sowas? :-D

von MaWin (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hilfe ich hab Angst schrieb:
> Überall kann mann grad lesen dass Fritzboxen unsicher sind und sehr
> teuere Telefonrechnungen machen

Na ja, Frau kann das auch lesen, aber die hat sowieso eine hohe 
Telefonrechnung. Netgear haben auch ihre Probleme, Vodaphone Easy Boxen 
ebenfalls. Nichts ist sicher.

von Ralf Liebau (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Karlheinz schrieb:
> Hast du sowas? :-D

Haha super montage :-)

von Udo S. (urschmitt)


Bewertung
0 lesenswert
nicht lesenswert
Dann ändere halt dein Passwort in ein sicheres das du sonst nirgends 
benutzt und schalte vor allem WLAN und Internetkonfiguration aus.

von Reinhard Kern (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> AVM geht aber
> auf Nummer Sicher und empfiehlt, den Fernzugang vorsorglich zu
> schliessen.

Eigentlich ist es doch schon immer eine Selbstverständlichkeit, 
Fernwartung nur zuzulassen, wenn sie benötigt wird (und danach wieder 
abzuschalten!). Sonst ist das doch eine Einladung an Hacker, besonders 
wenn es dann noch einen Standardlogin für den Kundendienst gibt, der bei 
allen Geräten gleich ist - was man nicht wissen kann, denn in den 
technischen Daten steht das bestimmt nicht drin.

Gruss Reinhard

von Oggy (Gast)


Bewertung
0 lesenswert
nicht lesenswert

von OlskiPolski (Gast)


Bewertung
0 lesenswert
nicht lesenswert

von OlskiPolski (Gast)


Bewertung
0 lesenswert
nicht lesenswert

von Rufus Τ. F. (rufus) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Der entscheidende Punkt bis zum Einspielen einer aktualisierten 
Firmware:

Fernzugriff auf die Konfigurationsoberfläche deaktivieren

Mal unter uns: Wozu braucht man die auch?

von Georg (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,

was mich mal interessieren würde: Ist es eigentlich möglich, dass man 
diese Sicherheitslücke mit ein paar Klicks und der Angabe der eigenen 
Email-Adresse mehr oder weniger unbewußt aktiviert?

Muss man sich klassisch bei einem Dienst anmelden und in einer Email 
einen Bestätigungs-Link anklicken, oder reicht ein Eintragen von selbst 
gewählten Zugangsdaten und die Box lauscht anschließend auf Port 443?

Und kann man eigentlich den Fernzugriff problemlos von unterwegs 
deaktivieren? Es dürften doch wohl einige den Fernzugriff nutzen, weil 
sie nur selten zu Hause sind...

Ich selbst habe keine Fritz-Box, aber das würde mich trotzdem sehr 
interessieren.

LG,
Georg

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Rufus Τ. Firefly schrieb:
> Der entscheidende Punkt bis zum Einspielen einer aktualisierten
> Firmware:
>
> *Fernzugriff auf die Konfigurationsoberfläche deaktivieren*
>
> Mal unter uns: Wozu braucht man die auch?

Ganz einfach, um von außen auf seine eigene "Cloud" zugreifen zu können 
oder den quengelden Kids doch noch eine weitere Stunde Internet frei zu 
geben oder um auf die Kamera zuzugreifen ... und noch viele weitere 
oder.
Bei meinem Sohn in der Klasse spekulieren sie schon seit einem Monat 
darüber wann dieser Fall eintritt. Es muss wohl wieder eine neue 
Software im Umlauf sein, die das möglich macht.
Ich finde es schade, dass ich das nun nicht mehr kann.

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Georg schrieb:
>
>
> Und kann man eigentlich den Fernzugriff problemlos von unterwegs
> deaktivieren?

Ja kann man und habe ich auch sofort nach der Meldung in den Nachrichten 
gemacht.

von Rolf (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht. 
Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen 
oder sind die so kulant und zahlen den Schaden freiwillig oder haben die 
für sowas eine Versicherung, die dann eventuell Probleme bei der 
Erstattung macht, wie so viele Versicherungen im Schadensfall?

von Abdul K. (ehydra) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Erstmal zahlt der Fritzbox-Nutzer. Du kannst ja dann versuchen andere 
(größere) zu verklagen. Sieht aber schlecht aus. Vielleicht hilft die 
die NSA bei der Beweisführung. Hoffentlich warst du in der Zeit im 
Krankenhaus und hattest dort kein Internet.

Die Gören wissen also seit einem Monat von solchen Dingen. Ja, nur für 
anderes haben die im Kopf keinen Platz mehr - definitiv!

von T.roll (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Rolf schrieb:
> Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht.
> Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen
> oder sind die so kulant und zahlen den Schaden freiwillig

Wieso sollte AVM da was zahlen? Wenn die Leute den Fernzugriff 
aktivieren, sind sie selbst Schuld. Der ist standardmäßig nicht aktiv! 
Auch für Zugriffe auf die heimischen Netzwerkgeräte braucht man den 
Fernzugriff auf den Router nicht.

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
T.roll schrieb:
> Rolf schrieb:
>> Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht.
>> Wer haftet eigentlich für den Schaden? Muss der Betroffene AVM verklagen
>> oder sind die so kulant und zahlen den Schaden freiwillig
>
> Wieso sollte AVM da was zahlen? Wenn die Leute den Fernzugriff
> aktivieren, sind sie selbst Schuld. Der ist standardmäßig nicht aktiv!
> Auch für Zugriffe auf die heimischen Netzwerkgeräte braucht man den
> Fernzugriff auf den Router nicht.

Na dann frag mal alle Fritbox Nutzer wie viel AVM das beworben hat. 
Biete mich gern als Zeuge für einen Geschädigten an und das Plädoyer 
schreibe ich demjenigen auch dazu.
Kann doch wohl nicht sein, dass immer der 'kleine Mann' allein bluten 
soll.
Was ist mit der Telefongesellschaft? Hätten die nicht auch merken 
müssen, dass da ein Betrug statt findet.
Die würden von mir keinen Cent bekommen.
Möchte zwar nicht zu den Geschädigten gehören, aber wäre das der Fall, 
dann gäbe es mit Sicherheit ein neues Grundsatzurteil in diesem Bereich.

Die müssen den AVM Server gehackt haben und da die Passwörter her haben. 
Anders kann ich mir das nicht vorstellen.

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Abdul K. schrieb:

>
> Die Gören wissen also seit einem Monat von solchen Dingen. Ja, nur für
> anderes haben die im Kopf keinen Platz mehr - definitiv!

Zumal meiner dann für mich eine Sicherheitswarnung abgeben hätte können.

von Christian R. (supachris)


Bewertung
0 lesenswert
nicht lesenswert
Der Angriffsvektor erscheint mir recht simpel. Ausgangspunkt das 
Abgreifen von E-Mailadressen und Passwörtern in Online Shops usw. also 
z.B. die 16Mio Daten. Und ist ja auch eine IP zu jedem Datensatz dazu. 
Dann ein Skript, was potentielle Ports der IPs scannt und bei einer 
Antwort kann man ja die Mail plus Passwort probieren. Wer eben so blöd 
ist, für die Fritte die Mail Adresse zu benutzen hat dann bei gleichem 
Passwort eben Pech gehabt.

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Christian R. schrieb:
> Der Angriffsvektor erscheint mir recht simpel. Ausgangspunkt das
> Abgreifen von E-Mailadressen und Passwörtern in Online Shops usw. also
> z.B. die 16Mio Daten. Und ist ja auch eine IP zu jedem Datensatz dazu.
> Dann ein Skript, was potentielle Ports der IPs scannt und bei einer
> Antwort kann man ja die Mail plus Passwort probieren. Wer eben so blöd
> ist, für die Fritte die Mail Adresse zu benutzen hat dann bei gleichem
> Passwort eben Pech gehabt.

Das ist immer einfach so was im Nachhinein zu sagen. Mit vollen Hosen 
ist halt gut stinken, aber die nächste Lücke könnte dich erwischen.
Mit solchen Aussagen, finde ich, verharmlost man diese Kriminellen und 
tut ja gerade so, als wäre der Depp am anderen Ende der Leitung selbst 
schuld.

Es wird, bei aller Vorsicht, immer einen Ersten geben den es erwischt.

von bluppdidupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Im weiter oben erwähnten heise-Beitrag steht doch bereits drin:
"Bei der Analyse der Telefonie-Missbräuche über die 
Fritzbox-Fernkonfiguration hat der Hersteller AVM herausgefunden, dass 
anders als zunächst vermutet doch keine auf anderen Wegen beschafften 
Zugangsdaten verwendet wurden. Offenbar haben die Angreifer einen Weg 
gefunden, die Authentifizierung beim Fernzugriff per Browser zu 
umgehen."

von Abdul K. (ehydra) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Auf Dauer wird der durchschnittliche User dieses Aufrüstungsrennen 
definitiv verlieren! Und dazu zähle ich eigentlich auch alle User hier 
auf µC.net.
Zu den Problemen gehört z.B. auch die fehlende Autorisierung von 
Websites beim User. Es gibt immer nur ein Login in die andere Richtung. 
Die Banken haben für die PIN auch noch keine Alternative und schieben 
das Problem auf die Kunden. Probleme werden dann durch eine großzügige 
Kostenübernahme plattgewälzt. Das ist aber nix anderes als ne moderne 
Form der Geldwäsche.

Selbst so einfache Sachen wie ein europäischer Google-Ersatz oder 
zentrale IP-Filterung nach den Wünschen der Nutzer sind nicht 
realisiert.

Angriffsvektoren gibt es viele, z.B. daß Privatanwender meist nur sehr 
begrenzte Anzahl von email-Adressen haben. Darauf baut ja auch die 
SPAM-Industrie auf.

Alles technisch relativ einfach realisierbar. Gemacht wird es nicht!

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Abdul K. schrieb:
> Die Banken haben für die PIN auch noch keine Alternative und schieben
> das Problem auf die Kunden.

Kostenfrage. Die Alternativen sind teuerer, weil pro Nase zig Euros 
schwer. Kosten die, wenn verpflichtend, möglicherweise die Banken tragen 
müssten. Und das alle paar Jahre neu. Da lohnt es sich eher, ab und 
"Kulanz" walten zu lassen.

> Selbst so einfache Sachen wie ein europäischer Google-Ersatz

Amis durch Briten ersetzen bringt genau was? Die haben doch weitaus 
weniger Skrupel als die Amis.

> zentrale IP-Filterung nach den Wünschen der Nutzer sind nicht
> realisiert.

Filtern vor wem? Dem Botnet? Den übrigen Deutschen?

Gestern gab passend zu Eröffnung der Olympiade einen nettes kleines DoS 
direkt aus deutschen Landen.

Übrigens eignet sich eine solche zentrale Filterung vorzüglich für 
staatliche Zensur. Privatisiert natürlich, weil dann isses formal keine.

: Bearbeitet durch User
von Paul M. (paul_m65)


Bewertung
3 lesenswert
nicht lesenswert
Rolf schrieb:
> Man liest ja von Betroffenen mit 4000 Euro Telefonkosten in einer Nacht.
> Wer haftet eigentlich für den Schaden?

Hoffentlich haftet der Nutzer für seine Fahrlässigkeit. Es ist aber in 
der Praxis in Deutschland leider so, dass fast immer die Dümmsten vor 
ihrer eigenen Dummheit geschützt werden und es offenbar keine 
Sorgfaltspficht gibt. Deshalb schert sich auch fast keiner um seine 
Computersicherheit. Dass der Fernzugriff ein Sicherheitsrisiko 
darstellt, ist ja wohl absolut klar.

F. Fo schrieb:
> Was ist mit der Telefongesellschaft? Hätten die nicht auch merken
> müssen, dass da ein Betrug statt findet.

Das ist nicht deren Aufgabe.
Die düfren dein Telefonverhalten zum Glück noch nicht ausspionieren um 
Unregelmäßigkeiten deines Verhaltens zu analysieren und um dann 
irgendwelche Dinge eigenmächtig zu sperren! Das käme dann einer Zensur 
gleich.

: Bearbeitet durch User
von Reinhard Kern (Gast)


Bewertung
0 lesenswert
nicht lesenswert
F. Fo schrieb:
> Was ist mit der Telefongesellschaft? Hätten die nicht auch merken
> müssen, dass da ein Betrug statt findet.
> Die würden von mir keinen Cent bekommen.

Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich 
notfalls vor dir selbst schützen (die wissen ja nicht, ob du nicht 
selbst in der Karibik anrufst, oder deine Gören). Das wäre ein etwas 
verspätetes 1984.

Aber Dialer als Geschäftsmodell sind ja uralt. In der Praxis rufen die 
meisten nie im Ausland an oder nur in ganz wenigen Ländern, da könnte 
man auch beim Telefonprovider Auslandsgespräche entsprechend sperren 
lassen und damit allen solchen Betrügereien den Boden entziehen (das 
wäre auch der einzige Fall, wo die Telefongesellschaft wirklich den 
Schaden tragen müsste, wenn sie die Gespräche trotzdem weitergeleitet 
hat). Das ist aber halt zu unbequem, obwohl Flatrates ja keine 
weltweiten Gespräche abdecken und daher auch auf andere Art 
unbabsichtigt Kosten entstehen können. Jugendliche mit Freunden im 
Ausland kriegen so schnell ein paar hundert Euro im Monat zusammen, ganz 
ohne Hackerhilfe.

Gruss Reinhard

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Reinhard Kern schrieb:
> Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich
> notfalls vor dir selbst schützen

So absurd ist das nicht. Mir ist ein Fall bekannt, wo eine 
Mobilfunkabrechnung noch viel viel höher ausfiel. Und in Verhandlung mit 
dem Provider auf einen winzigen Bruchteil eindampfte.

von Skeptiker (Gast)


Bewertung
1 lesenswert
nicht lesenswert
A. K. (prx) schrieb:

Abdul K. schrieb:
>> Selbst so einfache Sachen wie ein europäischer Google-Ersatz

> Amis durch Briten ersetzen bringt genau was? Die haben doch weitaus
> weniger Skrupel als die Amis.

Die Briten sehen sich wohl selbst am liebsten als der verlängerte Arm 
der (Spionage-) USA und suhlen sich zudem in der Rolle der Anti-Europäer 
als auch Bewahrer ihres leidlichen Zocker-Finanzplatzes London. Solange 
sie sich so gegenüber Resteuropa verhalten, sollen sie mir auch nicht 
mit Euro-Skepsis kommen. Die Rolle nehme ich denen nicht ab. Da müssten 
sie selbst schon was besseres anzubieten haben.

So einfach ist das wohl auch nicht mit dem "google-Ersatz". Der Zug ist 
lange abgefahren und google hat das Match gewonnen. Umgekehrt würde sich 
sofort die Frage stellen, ist einer Europäischen Suchmaschiene überhaupt 
zu trauen? Oder kommt der Nutzer dann vom Regen in die Traufe.

> Gestern gab passend zu Eröffnung der Olympiade einen nettes kleines DoS
> direkt aus deutschen Landen.

Mich interessiert die Olympiade längst kein bisschen mehr. Putin lässt 
zu, dass jagt auf Homophobe gesellschaftlich in weiten Teilen akzeptanz 
findet. Das alleine reicht, um NIET zu dieser Veranstaltung zu sagen. 
Menschenhatz ist widerwärtig und völlig inakzeptabel. Da möchte ich als 
Zuschauer nicht mit irgendwelchen Medaillenträgern ruhig gestellt 
werden. Die Mannschaften aus D-Land sollten mal gemeinsam ein deutliches 
Zeichen setzen, mit einer sichtbaren Aktion gegen diesen unflätigen 
Wahnsinn und zwar so, dass es auch weh tut in der russischen Volksseele.

von Reinhard Kern (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Und in Verhandlung mit
> dem Provider auf einen winzigen Bruchteil eindampfte.

Ja Kulanz ist was Nettes. Aber einfach fordern kann man das nicht, oder 
die Bezahlung verweigern.

Wobei du auch nicht erwähnt hast, wieso die Rechnung so hoch war. Es 
kommen ja auch Fehler vor.

Gruss Reinhard

von T.roll (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Abdul K. schrieb:
> Selbst so einfache Sachen wie ein europäischer Google-Ersatz
Einen große deutsche Suchmaschine wird es auch niemals geben. Die ganzen 
Gerichtskosten kann sich keiner leisten.

Entweder wird der Bot gleich als Hackertool eingestuft, da er mehrere 
Seiten abruft = den Server "angreift" (DoS). Oder man soll für Texte in 
den Ergebnissen wegen dem Leistungsschutzrecht zahlen. Dann gibt es auch 
noch die vielen Leute, die nicht mit irgendwelchen Begriffen in den 
Ergebnissen auftauchen wollen (siehe aktuelle Urteile bei Google). Dann 
natürlich noch sämtliches mit "illegalen" Downloadseiten, Störerhaftung, 
usw.

von Butch (Gast)


Bewertung
0 lesenswert
nicht lesenswert
>Hoffentlich haftet der Nutzer für seine Fahrlässigkeit.

Für welche Fahrlässigkeit? Der Nutzer nutzt ein weit verbreitetes und 
allgemein als Zuverlässig geltendes Produkt lediglich bestimmungsgemäß 
und sollte sich auf das verlassen können, was der Hersteller zum Thema 
Sicherheit schreibt:

"Sie können Ihre FRITZ!Box nicht nur für den sicheren Zugriff aus dem 
Internet über die MyFRITZ!-Internetplattform einrichten. Wenn Sie über 
einen Dynamic DNS-Domainnamen bei einem anderen Anbieter verfügen, 
können Sie auch über diesen aus dem Internet auf Ihre FRITZ!Box 
zugreifen.

Zum Schutz vor unbefugtem Zugriff ist die Internetzugriff auf die 
FRITZ!Box auch dabei nur über verschlüsselte HTTPS-Verbindungen 
(Hypertext Transfer Protokoll Secure) und nach Eingabe von Benutzername 
und Kennwort möglich."

Wo ist denn da bitte nach objektiven Maßstäben die offensichtliche 
Vermeidbarkeit, wenn ein Laie sich eine Fritz Box kauft oder sie sogar 
offiziell von seinem Telefon- und Internet-Provider gestellt bekommt, 
diese dann sorgfältig nach Herstellervorgaben absichert und dann 
trotzdem ein Opfer einer kostspieligen Betrugsmasche wird?

>Es ist aber in der Praxis in Deutschland leider so, dass fast immer
>die Dümmsten vor ihrer eigenen Dummheit geschützt werden und es
>offenbar keine Sorgfaltspficht gibt.

Worin genau besteht hier die Sorgfaltspflicht? Im voraus zu ahnen, 
welche Funktionen der Fritz-Box irgendwann mal gehackt werden und diese 
vorausschauend zu deaktivieren? Dann dürfte es auch kein WLAN geben, 
denn dort wurden auch schon Algorithmen geknackt und eigentlich ist das 
genau so gefährlich wie ein Fernzugriff. Willst Du jetzt flächendeckend 
WLAN abschaffen? Warum darf AVM diesen angeblich auf so vorhersehbare 
Weise unsicheren Mist überhaupt an Laien verkaufen? Wo bleibt da die 
Sorgfalt?

>Das ist nicht deren Aufgabe.

Dann ist es auch nicht Aufgabe der Kunden, Rechnungsposten zu 
begleichen, von deren Entstehung Sie überhaupt nichts wussten. Es gibt 
ja für den Kunden überhaupt keine verbindliche Möglichkeit, 
festzustellen, ob sich jemand am Anschluss zu schaffen gemacht hat und 
ob die Telefon-Rechnung gerade explodiert.

>Du meinst allen Ernstes, die müsste dein Verhalten überwachen und dich
>notfalls vor dir selbst schützen (die wissen ja nicht, ob du nicht
>selbst in der Karibik anrufst, oder deine Gören). Das wäre ein etwas
>verspätetes 1984.

Es geht doch überhaupt nicht darum, jemanden vor sich selbst zu 
schützen. Es geht vielmehr darum, dass man sich als Kunde von 
Telekommunikations-Anbietern immer wieder neuen Abzock-Maschen 
ausgesetzt sieht, die nur durch die tatkräftige Mithilfe dieser Anbieter 
in Form von Mehrwertdiensten und Ähnlichem überhaupt möglich gemacht 
wurden. Und jedes mal muss dann der Kunde agieren...hier etwas sperren 
lassen, dort etwas begrenzen. Wenn man in einer halben Stunde 
Telefongebühren in einer Höhe verursachen kann, die für viele schon 
existenzbedrohend sein dürfte, dann ist es sehr wohl die Aufgabe des 
Providers, einen Missbrauch zu verhindern oder zumindest die 
Telefonrechnung auf ein für diesen Kunden übliches und wirtschaftlich 
vertretbares Maß zu deckeln. Interessant ist dabei, dass selbst die 
Provider anscheinend technisch überhaupt nicht in der Lage sind, in 
Echtzeit festzustellen, welche Kosten gerade über meinen Anschluss 
verursacht werden. Es ist ja kein Geheimnis, dass Prepaid-Kunden durch 
Mehrwertdienste ins vertraglich eigentlich unmögliche Minus gerutscht 
sind und die Provider erst durch langwierige Prozesse von der 
Unrechtmäßigkeit dieser Rechnungsstellung überzeugt werden mussten. Eine 
echte Deckelung der Kosten ist bei Diensten, die nicht komplett gesperrt 
sind, technisch wohl gar nicht ohne weiteres möglich. Das Bild vom 
fahrlässig handelnden Kunden auf der einen Seite und dem seriösen 
Provider auf der anderen Seite kann man jedenfalls getrost vergessen. 
Die Provider nutzen rücksichtslos jede Gelegenheit, um den Kunden das 
Geld aus der Tasche zu ziehen. Und dann soll der Kunde auch noch zahlen, 
wenn wildfremde Personen ohne sein Wissen teure Gespräche geführt haben 
und quasi feststeht, dass es tatsächlich unbekannte Dritte waren und 
nicht der Sohnemann? Na herzlichen Glückwunsch zu dieser 
verbraucherfeindlichen Einstellung!

Mit Zensur oder 1984 hat das jedenfalls erst mal gar nichts zu tun.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Reinhard Kern schrieb:
> Ja Kulanz ist was Nettes.

Kannst es auch die Anerkennung einer schwachen Rechtsposition nennen. 
Vor Gericht wäre der Provider möglicherweise abgesoffen. Ich kann mich 
vage dran erinnern, dass es schon entsprechende Urteile gegeben hat. 
Also dass sehr wohl eine gewisse Pflicht bestehen kann, extrem aus dem 
Ruder laufende Verhältnisse rechtzeitig zu überprüfen, zumal wenn es 
keinerlei entsprechende Vorgeschichte gibt.

: Bearbeitet durch User
von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Butch schrieb:
>>Hoffentlich haftet der Nutzer für seine Fahrlässigkeit.
>
>
> Es geht doch überhaupt nicht darum, jemanden vor sich selbst zu
> schützen. Es geht vielmehr darum, dass man sich als Kunde von
> Telekommunikations-Anbietern immer wieder neuen Abzock-Maschen
> ausgesetzt sieht, die nur durch die tatkräftige Mithilfe dieser Anbieter
> in Form von Mehrwertdiensten und Ähnlichem überhaupt möglich gemacht
> wurden. Und jedes mal muss dann der Kunde agieren...hier etwas sperren
> lassen, dort etwas begrenzen. Wenn man in einer halben Stunde
> Telefongebühren in einer Höhe verursachen kann, die für viele schon
> existenzbedrohend sein dürfte, dann ist es sehr wohl die Aufgabe des
> Providers, einen Missbrauch zu verhindern oder zumindest die
> Telefonrechnung auf ein für diesen Kunden übliches und wirtschaftlich
> vertretbares Maß zu deckeln. Interessant ist dabei, dass selbst die
> Provider anscheinend technisch überhaupt nicht in der Lage sind, in
> Echtzeit festzustellen, welche Kosten gerade über meinen Anschluss
> verursacht werden. Es ist ja kein Geheimnis, dass Prepaid-Kunden durch
> Mehrwertdienste ins vertraglich eigentlich unmögliche Minus gerutscht
> sind und die Provider erst durch langwierige Prozesse von der
> Unrechtmäßigkeit dieser Rechnungsstellung überzeugt werden mussten. Eine
> echte Deckelung der Kosten ist bei Diensten, die nicht komplett gesperrt
> sind, technisch wohl gar nicht ohne weiteres möglich. Das Bild vom
> fahrlässig handelnden Kunden auf der einen Seite und dem seriösen
> Provider auf der anderen Seite kann man jedenfalls getrost vergessen.
> Die Provider nutzen rücksichtslos jede Gelegenheit, um den Kunden das
> Geld aus der Tasche zu ziehen. Und dann soll der Kunde auch noch zahlen,
> wenn wildfremde Personen ohne sein Wissen teure Gespräche geführt haben
> und quasi feststeht, dass es tatsächlich unbekannte Dritte waren und
> nicht der Sohnemann? Na herzlichen Glückwunsch zu dieser
> verbraucherfeindlichen Einstellung!
>
> Mit Zensur oder 1984 hat das jedenfalls erst mal gar nichts zu tun.

Du hast hier Vieles gesagt, was ich mit dem kurzen Satz ausdrücken 
wollte.
Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt.
Das Sicherheitsupdate zeigt das deutlich. Es wurde und wird auch in der 
letzten Mail von AVM die Sicherheit des Systems angepriesen.

Die Kosten können sehr wohl genau festgestellt werden, nur wollen die 
das nicht und es ist nur all zu leicht sich auf technisch nicht lösbare 
Probleme dies zu tun zu beziehen.
Ich will so einen Prozess nicht, aber den würde ich mit einem 
Grundsatzurteil gewinnen, nur würde es nicht dazu kommen, weil die 
Anbieter schon vorher einlenken würden.
Diesen Fall mit der WEP Verschlüsselung, das der Nutzer da verknackt 
wurde, den kann man auch herran ziehen, denn hier wäre ja der 
Umkehrschluss deutlich zu sehen. Ich habe alle technischen Möglichkeiten 
eingehalten.
Da mussten sich wohl AVM und mein Telefonanbieter die Kosten teilen.
Und noch was, die Richter haben auch Telefon und Internet zu Hause.^^

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Reinhard Kern schrieb:
>> Ja Kulanz ist was Nettes.
>
> Kannst es auch die Anerkennung einer schwachen Rechtsposition nennen.
> Vor Gericht wäre der Provider möglicherweise abgesoffen. Ich kann mich
> vage dran erinnern, dass es schon entsprechende Urteile gegeben hat.
> Also dass sehr wohl eine gewisse Pflicht bestehen kann, extrem aus dem
> Ruder laufende Verhältnisse rechtzeitig zu überprüfen, zumal wenn es
> keinerlei entsprechende Vorgeschichte gibt.

Eben!
Massenweise sogar. Aber vermutlich sind die Unkenrufer alle samt solche 
Youngster, die da noch als Rugrats unterwegs waren.

von Stefan R. (srand)


Bewertung
0 lesenswert
nicht lesenswert
F. Fo schrieb:
> Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt.

Und hat AVM fahrlässig gehandelt?

Vermutlich nein, damit sind die auch raus.

von Paul M. (paul_m65)


Bewertung
1 lesenswert
nicht lesenswert
> Keiner der Nutzer hat fahrlässig, nicht mal leichtsinnig gehandelt.

Die Benutzung einer solchen Fernzugriffsfunktion ist aus Prinzip sehr 
leichtsinnig, ganz egal was der Hersteller verspricht. Wer zu dumm ist, 
dieses Feature abzuschalten wenn er es nicht braucht, sollte auch die 
Konsequenzen tragen müssen. Dass solche Funktionen irgendwann mal 
gehackt werden, damit muss der Anwender rechnen, weil diese Möglichkeit 
offensichtlich ist. Der Hersteller ist jetzt auch in der Pflicht, das 
bekannte Sicherheitsproblem zu lösen um nicht zuviele Kunden zu 
verlieren.  Aber er kann nicht alle möglichen Eventualitäten für die 
Zukunft berücksichtigen. Irgendwann kann wieder ein Hacker kommen der 
schlauer ist und eine andere Sicherheitslücke findet. Auch das muss 
jedem Laien absolut klar sein. Sonst brauchen wir wirklich einen 
Internetführerschein mit Intelligenztest. Aber das willst du doch nicht 
wirklich.

von bluppdidupp (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Paul M. schrieb:
> Wer zu dumm ist,
> dieses Feature abzuschalten wenn er es nicht braucht

Naja, wer es ist nicht braucht wird es ohnehin nicht eingeschaltet haben 
- Es ist ja standardmässig deaktiviert.
Und wer es braucht könnte alternativ noch die VPN-Funktion nutzen, aber 
die könnte potentiell ja auch mal gehacked werden.

von F. F. (foldi)


Bewertung
0 lesenswert
nicht lesenswert
Ziemlich borniert, die meisten Aussagen hier.
Was ist mit dem Verursacherprinzip?
Es mag zwar über meinen Anschluss gelaufen sein, aber deshalb bin ich 
noch lange nicht der Verursacher.
Wenn nun jemand mit deinem Auto, das er gerade geklaut hat, jemanden tot 
fährt, warst du dann auch nur zu dumm? Du hättest doch wissen müssen, 
dass die Wegfahrsperre irgendwann mal geknackt wird. Warum pumpst du 
Depp nicht nach dem letzten Nutzen des Fahrzeuges den Sprit ab? Nur so 
hättest du halbwegs den Tod des Menschen verhindern können.

Mit vollen Hosen ist immer gut stinken. Möchte mal wissen, ob ihr so 
großzügig seid, wenn die mal eure Sachen hacken und ob ihr das dann 
zahlen wollt.

von Paul M. (paul_m65)


Bewertung
2 lesenswert
nicht lesenswert
Wenn du dein Auto offen stehen lässt, ist es erstens eine 
Ordnungswidrigkeit und zweitens zahlt dir dann keine Versicherung etwas 
wenn es geklaut wird. Ja der dämliche Autovergleich hinkt genauso wie 
deiner.

von petar (Gast)


Bewertung
0 lesenswert
nicht lesenswert
F. Fo schrieb:
> Was ist mit der Telefongesellschaft? Hätten die nicht auch merken
> müssen, dass da ein Betrug statt findet.
> Die würden von mir keinen Cent bekommen.
Im Fall den "Der Westen" aufgezeigt hat, hat die Telefongesellschaft den 
Anschluss gesperrt.
http://www.derwesten.de/staedte/nachrichten-aus-moers-kamp-lintfort-neukirchen-vluyn-rheurdt-und-issum/router-gehackt-moerser-erhaelt-horror-telefonrechnung-id8922516.html
Der Provider war kulant und hat die 4k€ nicht in Rechnung gestellt.
http://www.faz.net/aktuell/technik-motor/computer-internet/hohe-telefonrechnungen-ist-meine-fritzbox-sicher-12788473.html

von Abdul K. (ehydra) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Zumindest schickt die Telekom wohl unangenehme Brief an Leute, bei denen 
zu viel SPAM rausgeht. Da steht auch der Ultima-Ratio drin.

Vielleicht wäre auch ein Internetführerschein nicht ganz falsch. Für 
Heimtierbesitzer gibts sowas auch oder zumindest geplant. Manchmal 
werden ja auch einfachste Dinge nicht richtig gemacht, siehe 
Paßwortvergabe.

Mein Vorschlag mit europäischem Google war eigentlich mehr in Richtung 
Open Source gedacht. Es gab wohl mal den Ansatz einer Suchmaschine unter 
der Obhut der EU.

Hm. Also die Überwachung sehe ich da nicht als Problem, da eh alles 
online verfolgbar ist. Bislang konnte mich noch niemand vom Gegenteil 
überzeugen. Das ist einfach zu verlockend für die Organe.

Gerade erst wieder gelesen: Die Polizeiorgane waren bei der Diskussion 
der Grenzwerte für Störstrahlung bei Powerline dagegen, diese anzuheben. 
Ach, die will wohl jemand nicht seine Abhöreinrichtungen mit 
Rauschteppich zuschütten lassen.

von Jan (Gast)


Bewertung
0 lesenswert
nicht lesenswert
>Wenn du dein Auto offen stehen lässt, ist es erstens eine
>Ordnungswidrigkeit und zweitens zahlt dir dann keine Versicherung etwas
>wenn es geklaut wird.

Das Auto(=Fritte) steht ja gar nicht offen! Es wurde vom Besitzer 
ordnungsgemäß abgeschlossen und eigentlich kann man die Türen auch nur 
mit dem Schlüssel öffnen. Aber leider hat der Autodieb einen Weg 
gefunden, den Hobel beschädigungsfrei mit einem Kleiderbügel zu öffnen. 
Ist gerade erst bekanntgeworden und der Hersteller versendet jetzt 
eifrig Updates für die Schlösser an seine Kunden.

>Zumindest schickt die Telekom wohl unangenehme Brief an Leute, bei denen
>zu viel SPAM rausgeht. Da steht auch der Ultima-Ratio drin.

Ich glaube die sperren sogar den Email-Versand über SMTP(Webmail geht 
dann noch), bis man die Ursache beseitigt hat. Den "Service" finde ich 
gar nicht so schlecht. Was meint ihr, gäbe es spürbar weniger 
Spam-Probleme, wenn das alle Provider so machen würden?

von Skeptiker (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Abdul K. (ehydra) schrieb:

> Vielleicht wäre auch ein Internetführerschein nicht ganz falsch. Für
> Heimtierbesitzer gibts sowas auch oder zumindest geplant. Manchmal
> werden ja auch einfachste Dinge nicht richtig gemacht, siehe
> Paßwortvergabe.

Du meinst um sich einen Goldhamster oder einen Karnickel zu halten 
braucht es erst mal einen 6-Wöchigen Kurs? Wer hat sich denn dieses 
geniale neue Geschäftsmodell ausgedacht? Oder ist das 
Arbeitsbeschaffungsmaßnahme für Umlernwillige zertifizierte 
Privat-Tierhaltungs-Betreuer-Anleiter?

> Mein Vorschlag mit europäischem Google war eigentlich mehr in Richtung
> Open Source gedacht. Es gab wohl mal den Ansatz einer Suchmaschine unter
> der Obhut der EU.

Als zusätzliches Angebot? Warum nicht! Konkurrenz (für Gurgel) belebt 
das Geschäft. Kann nicht schaden. Kostet halt. Irgendjemand aber wird 
dafür bezahlen müssen. Ob die Werbewirtschaft genügend Interesse dafür 
aufbringen wird muss sich zeigen.

> Hm. Also die Überwachung sehe ich da nicht als Problem, da eh alles
> online verfolgbar ist. Bislang konnte mich noch niemand vom Gegenteil
> überzeugen. Das ist einfach zu verlockend für die Organe.

In der Theorie mag ALLES online verfolgbar sein. Die Praxis bestätigt 
das aber nicht. Sonst gäge es schon lange keinen illegalen oder 
nichtlizenzierten Content mehr.

von Abdul K. (ehydra) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Am illegalen Content verdient die Werbeindustrie ja kräftig mit!

Naja, besser ohne die! email-Versand sollte auch was kosten. Gerade so 
viel, daß es für die Spammer nicht mehr lohnt.

Aber davor sollten erstmal die Provider die Spamfilter verbessern. Das 
würde schon enorm helfen.

von Axel S. (a-za-z0-9)


Bewertung
2 lesenswert
nicht lesenswert
Peter II schrieb:
>> ich habe von Internetgeräten nicht viel Ahnung.Überall kann mann grad
>> lesen dass Fritzboxen unsicher sind und sehr teuere Telefonrechnungen
>> machen.

> Wenn du den Fernzugriff nicht aktiviert hast, ist alles gut.

Schön wärs. Diese Hoffnung hat sich heute leider zerschlagen. Siehe 
http://heise.de/-2115745

Es scheint so, als könne man prinzipiell die Kennwortabfrage der 
Fritzbox-Verwaltungsoberfläche umgehen. Entweder direkt per Fernwartung 
von außen oder durch einen Browser-Exploit von deinem PC aus (und von 
dem kommst du ja normalerweise auf deine Fritzbox).

Schlußfolgerung: Firmware-Update jetzt! Der entsprechende Menüpunkt 
findet sich in der Fritzbox (= 1&1 Homeserver) Verwaltungsoberfläche 
unter "System" -> "Firmware-Update". Je nach Modell und Firmwarestand 
evtl. auch auf der Startseite als Assistent.

Falls deine Fritzbox so alt sein sollte, daß AVM kein Update dafür hat, 
dann solltest du mal bei 1&1 anrufen. Kann ich mir aber nicht 
vorstellen. Selbst für meine hornalte Fritzbox 7170 gibt es ein Update. 
Heute eingespielt, ohne Probleme.


XL

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Axel Schwenke schrieb:
> Selbst für meine hornalte Fritzbox 7170 gibt es ein Update.

Angeblich mittlerweile sogar für die 7113, für die der Support schon 
lange eingestellt ist und deren letzte Firmware von 2009 ist.

von Udo S. (urschmitt)


Bewertung
0 lesenswert
nicht lesenswert
Axel Schwenke schrieb:
> Schlußfolgerung: Firmware-Update jetzt!

Und nicht nur das, auch Passwörter ändern!

von Jörg (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hallo,

am 07.02. ist ja glaube ich die neue Firmware von AVM veröffentlicht 
worden, ich habe das Update kurz darauf durchgeführt.

Gibt es für die neuen Lücken jetzt auch eine neue Firmware, oder ist die 
vom 07.02. nach wie vor die aktuelle Firmware und AVM hat uns lediglich 
verschwiegen, dass mit der neuen Firmware mehr Lücken behoben wurden, 
als offiziell bekannt gegeben wurde?

Und welche Passwörter sollte man nun ändern? Restlos alle? Also 
angefangen bei den DSL-Zugangs-Daten, über das WLAN-Passwort, VoIP-, 
Email-Passwort bis hin zu irgendwelchen OnlineShopping-Passwörtern? Ich 
habe insgesamt bestimmt 30 Passwörter(mit allen Diensten, etc.). Gibt es 
da eine offizielle Empfehlung, welche man aus Sicherheitsgründen ändern 
sollte?

von Heiner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Welche neuen Lücken?
Es gibt keine neuen Lücken, also auch keine neue Firmware.

Du sollst alle Passwörter ändern, die in Deiner Fritz Box gespeichert 
sind.

von ich (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Heiner schrieb:
> Welche neuen Lücken?
> Es gibt keine neuen Lücken, also auch keine neue Firmware.
>

Na dann informiere dich mal hier:
http://www.tagesschau.de/wirtschaft/fritzbox102.html

Neue Erkenntnisse, auch bei deaktiviertem Fernzugriff können die Boxen 
"gekapert" werden.

von Heiner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das ist aber keine neue Lücke, sondern dieselbe über die schon ständig 
berichtet wird. Und dagegen hilft das erwähnte Update.

von ich (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Heiner schrieb:
> Das ist aber keine neue Lücke, sondern dieselbe über die schon
> ständig
> berichtet wird. Und dagegen hilft das erwähnte Update.

Bis jetzt ging's immer um die Angreifbarkeit bei aktiviertem Fernzugriff 
per https. Die heutige Meldung ist mir neu.

von ich (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Heiner schrieb:
> Das ist aber keine neue Lücke, sondern dieselbe über die schon
> ständig
> berichtet wird. Und dagegen hilft das erwähnte Update.

Selbst heise hat erst gestern darüber berichtet.

von Oliver (Gast)


Bewertung
0 lesenswert
nicht lesenswert
ich schrieb:
> Bis jetzt ging's immer um die Angreifbarkeit bei aktiviertem Fernzugriff
> per https. Die heutige Meldung ist mir neu.

Die ganze ungeschminkte Wahrheit hat der Hersteller anscheinend nicht 
kommuniziert.

Aber egal, updaten, fertig.

Bis zur nächsten Lücke...
Oliver

von Heiner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
"Selbst heise hat erst gestern darüber berichtet."
Unfug.
Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue 
Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe.
Guckst Du hier:
http://www.heise.de/newsticker/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html

von ich (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Oliver schrieb:
> Aber egal, updaten, fertig.

Richtig. Seh ich auch so.

von Axel S. (a-za-z0-9)


Bewertung
0 lesenswert
nicht lesenswert
Jörg schrieb:

> Gibt es für die neuen Lücken jetzt auch eine neue Firmware, oder ist die
> vom 07.02. nach wie vor die aktuelle Firmware und AVM hat uns lediglich
> verschwiegen, dass mit der neuen Firmware mehr Lücken behoben wurden,
> als offiziell bekannt gegeben wurde?

So verstehe ich das. AVM hat ja angekündigt, Details zu den Lücken zu 
veröffentlichen. Sie wollen damit nur etwas warten, damit vorher auch 
alle das Update einspielen können.

> Und welche Passwörter sollte man nun ändern? Restlos alle? Also
> angefangen bei den DSL-Zugangs-Daten, über das WLAN-Passwort, VoIP-,
> Email-Passwort bis hin zu irgendwelchen OnlineShopping-Passwörtern?

Das Problem beschreibt der Heise-Artikel ganz gut. Wenn sich jemand auf 
deine Fritzbox eingehackt hat, dann konnte er die Router-Konfiguration 
auslesen. Da drin sind die Paßwörter zwar verschleiert, aber prinzipiell 
auslesbar. Zur Sicherheit solltest du also alle Paßwörter ändern, die du 
in der Fritzbox irgendwo eingegeben hast: das Fritzbox-Paßwort selber, 
DynDNS Zugangsdaten, WLAN etc. DSL-Zugangsdaten sind weniger kritisch, 
die sind üblicherweise an deinen Anschluß gebunden.


XL

von XX (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Heiner schrieb:
> Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue
> Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe.

Heute eine mail von AVM  (bin Fachhändler)


Sehr geehrter Herr ---,

in den Medien und Foren wird aktuell über weitere mögliche Angriffswege 
auf die FRITZ!Box spekuliert. Die Angriffe auf die FRITZ!Box fanden 
ausschließlich von außen über den Fernzugriff (Port 443) statt.

Die Attacke der Täter war nur möglich, wenn der Zugriff auf die 
FRITZ!Box über das Internet aktiviert war. Weitere Angriffsmuster sind 
nicht bekannt. Weiterhin empfiehlt AVM allen Anwendern, unabhängig vom 
aktivierten Fernzugriff, das Sicherheits-Update zu installieren.

Das Update der FRITZ!Box-Modelle auf die sichere Firmware-Version 
schützt Sie vor Angriffen und ist für alle Geräte unterschiedslos 
verfügbar.

...

Das Sicherheits-Update steht bereits für über
40 FRITZ!Box-Modelle zum Download bereit.

von Jens S. (Firma: Bochumer Verein) (rhinisanofi) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Noch gestern habe ich gelesen, dass wirklich alle Fritzbox-Gerät 
angreifbar sind, ohne Ausnahme. Die Firmware-Updates sollten unbedingt 
aufgespielt werden!

von Axel S. (a-za-z0-9)


Bewertung
0 lesenswert
nicht lesenswert
XX schrieb:
> Heiner schrieb:
>> Heise berichtet nur über neue Erkenntnisse derselben Lücke und über neue
>> Methoden diese auszunutzen. Die Lücke ist nach wie vor dieselbe.
>
> Heute eine mail von AVM  (bin Fachhändler)

Auch dir wird AVM (vorerst) nicht mehr erzählen. Die Kommunikations- 
strategie die sie anwenden, hat sogar einen Namen: 
http://en.wikipedia.org/wiki/Responsible_disclosure

> in den Medien und Foren wird aktuell über weitere mögliche Angriffswege
> auf die FRITZ!Box spekuliert. Die Angriffe auf die FRITZ!Box fanden
> ausschließlich von außen über den Fernzugriff (Port 443) statt.

Und das ist zwar keine Lüge, aber nicht notwendigerweise auch die ganze 
Wahrheit. Alle bislang bekannt gewordenen Angriffe fanden von außen 
statt. Das heißt aber nicht, daß die Lücke nicht generell den Zugriff 
auf paßwortgeschützte Seiten der Managementoberfläche betrifft.

Bei Heise hat sich anscheinend mal einer die Firmware-Updates von AVM 
etwas näher angeschaut. Also einfach die neueste Firmware und den 
unmittelbaren Vorgänger ausgepackt und diff drüber laufen lassen. Dieser 
Teil ist trivial.

Der kompliziertere Teil ist, die Änderungen zu bewerten. Und da ist wohl 
zuerst aufgefallen, daß die Änderungen nicht auf den Teil beschränkt 
sind, der die Fernwartung behandelt.

Jetzt sagt Heise daß sie einen Demo-Exploit haben. Vermutlich einfach 
etwas Javascript, das man dem Opfer unterschiebt und das (weil es ja in 
seinem Browser ausgeführt wird) die Fritzbox von innen aufmacht. Eine 
wirklich interessante Frage ist, ob man dafür wirklich erst ein 
Firmware-Update gesehen haben muß oder ob Kriminelle nicht auch schon 
auf diese Idee gekommen sein können.

Das Firmware-Update sollte man auf jeden Fall einspielen. Denn früher 
oder später werden die Details bekannt sein. Die Paßworte muß man nur 
austauschen, wenn man befürchtet, schon unbemerkt Opfer eines Angriffs 
geworden zu sein. Bis jetzt kennt man zwar nur Angriffe, die sofort 
Profit machen wollten. Das schließt aber nicht aus, daß jemand unbemerkt 
und im großen Stil Paßworte von Fritzboxen eingesammelt hat.


XL

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Axel Schwenke schrieb:
> etwas Javascript, das man dem Opfer unterschiebt und das (weil es ja in
> seinem Browser ausgeführt wird) die Fritzbox von innen aufmacht.

... weil das Loch bei abgeschaltetem Fernzugang zwar nicht mehr von 
aussen genutzt werden kann, sehr wohl aber von innen. Ja, das ergibt 
Sinn.

> ob Kriminelle nicht auch schon auf diese Idee gekommen sein können.

Wer das Loch kennt, der braucht wohl nicht den Patch zu analysieren. Der 
Patch könnte aber vielleicht dabei helfen, das Loch erst zu finden.

> Das Firmware-Update sollte man auf jeden Fall einspielen.

Selbstverständlich. Den Aufwand, sogar steinalte Boxen noch zu 
aktualisieren, treibt AVM ja nicht aus Lust und Liebe.

: Bearbeitet durch User
von Uhu U. (uhu)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Selbstverständlich. Den Aufwand, sogar steinalte Boxen noch zu
> aktualisieren, treibt AVM ja nicht aus Lust und Liebe.

Wenn ich bei der wirklich steinalten 7050 nachsehe, finde ich nur eine 
FW vom 14.05.2007

Als Router möchte ich das Ding zwar nicht mehr benutzen, aber es enthält 
ja immerhin einen kleinen Linux-Rechner, mit dem man noch ein bischen 
was anstellen kann...

von Heiner (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Jetzt gibts endlich ne offizielle Liste der betroffenen Boxen mit der 
Info, welche Firmware benötigt wird:
http://www.avm.de/de/Sicherheit/liste_update.html

Gruß

von Uhu U. (uhu)


Bewertung
0 lesenswert
nicht lesenswert
Ha ha, alt, aber bezahlt ;-)

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:
> Ha ha, alt, aber bezahlt ;-)

Ja, sowas in der Art hab auch gesagt, als ich sah, dass ich wegen der 
irgendwo installierten ollen 7113 keinen Aufstand machen muss.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.