Forum: PC Hard- und Software Schwere Sicherheitsluecke im WPA2 Protokoll


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Toxic (Gast)


Bewertung
0 lesenswert
nicht lesenswert
"Der Sicherheitsforscher Mathy Vanhoef von der Katholischen Universität 
Löwen hat schwere Sicherheitslücken im Verschlüsselungsprotokoll WPA2 
entdeckt, mit dem WLAN-Hotspots abgesichert werden. Es ist ein 
aufsehenerregender Fund, weil es um einen grundlegenden Fehler im System 
geht. Deshalb sind nicht nur einzelne Hersteller oder Nutzer gefährdet, 
sondern sehr viele WLAN-Netze."

=============================================

http://www.spiegel.de/netzwelt/web/wlan-forscher-findet-sicherheitsluecken-in-wpa2-verschluesselung-a-1173144.html

http://www.spiegel.de/netzwelt/web/wpa2-so-reagieren-unternehmen-auf-die-wlan-sicherheitsluecke-a-1173764.html#ref=rss

=============================================
Besonders tragisch fuer Linux-Freaks ;-) =>

"Das BSI betont, dass die Schwachstellen insbesondere Geräte mit 
Android- und Linux-Betriebssystemen betreffen, Windows- und 
Apple-Betriebssysteme dagegen nur "eingeschränkt".

von Frank G. (frank_g53)


Bewertung
0 lesenswert
nicht lesenswert
Toxic schrieb:
> "Das BSI betont, dass die Schwachstellen insbesondere Geräte mit
> Android- und Linux-Betriebssystemen betreffen, Windows- und
> Apple-Betriebssysteme dagegen nur "eingeschränkt".

Auch der Branchenverband Bitkom relativierte die BSI-Warnmeldung: "Man 
kann das Internet (über WLAN) schon noch nutzen, auch für sensible 
Transaktionen", sagte Marc Bachmann, IT-Sicherheitsexperte beim Bitkom. 
Man müsse allerdings darauf achten, dass die Verbindung dabei durch eine 
zusätzliche Verschlüsselungsschicht geschützt sei. Es gebe keinen Anlass 
für eine "Hysterie".

Quelle:
http://www.zeit.de/news/2017-10/16/telekommunikation-forscher-entdecken-sicherheitsluecken-in-wlan-verschluesslung-16122002


Da weiß man wieder nicht, wem man glauben kann.....

von Antidot (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Holt die Bartwickelmaschine aus dem Keller. Die mit dem starken Motor.

von fp am Morgen (Gast)


Bewertung
3 lesenswert
nicht lesenswert
Muss man hier im Forum jeden Scheiss von Spiegel Online posten?
Außerdem sind die "News" schon 3 Tage alt.

Wie d'alt Fasent ...

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
4 lesenswert
nicht lesenswert
fp am Morgen schrieb:
> Muss man hier im Forum jeden Scheiss von Spiegel Online posten?

Man könnte auf jeden Fall etwas „technisch angehauchtere“ Quellen
zitieren, bspw. Heise:

https://www.heise.de/security/meldung/WPA2-Forscher-entdecken-Schwachstelle-in-WLAN-Verschluesselung-3862379.html
https://www.heise.de/newsticker/meldung/KRACK-Der-Angriff-auf-WPA2-erklaert-3865553.html

: Bearbeitet durch Moderator
von (prx) A. K. (prx)


Bewertung
4 lesenswert
nicht lesenswert
Wenn man zu Hause ein WLAN betreibt, das nur aus ein paar Clients und 
einem Access Point besteht, kann man aus KRACK viel Luft rauslassen. 
Dann sind fast alle Verbindungen der Clients ins Internet und das ist 
sowieso keine sonderlich sichere Umgebung.

Anders sieht es aus, wenn man einen eigenen Server betreibt und 
innerhalb des Netzes wie so oft keine verschlüsselten Protokolle 
verwendet. Dann ist man Kandidat für KRACK, wobei man aber immer noch 
einen Feind haben muss, der nah genug am Netz dran ist und sich dafür 
interessiert. In der Studentenkaserne ist das sicherlich etwas anders zu 
bewerten als im Altersheim.

Das Problem betrifft keine normalen Allerwelts-Access-Points wie die 
Fritzboxen, sondern nur die daran angeschlossenen Clients. APs ohne 
802.11r aka Fast Transition (wichtig für Voice Roaming) sind nur als 
Repeater betroffen. Ein Firmware-Update im 08/15 AP löst das Problem 
also nicht, da muss schon das Android aufgefrischt werden.

: Bearbeitet durch User
von Toxic (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Man könnte auf jeden Fall etwas „technisch angehauchtere“ Quellen
> zitieren, bspw. Heise:

Mein Posting sollte ja nur als Hinweis dienen - Wer genaueres darueber 
erfahren will kann ja von sich aus weiterrecherchieren.


fp am Morgen schrieb:
> Muss man hier im Forum jeden Scheiss von Spiegel Online posten?
> Außerdem sind die "News" schon 3 Tage alt.

Hatte mir ueberlegt ob ich diesen Beitrag kommentieren soll und es mir 
noch im letzten Moment verkniffen....

von Jeffrey L. (the_dude)


Bewertung
-1 lesenswert
nicht lesenswert
Der Punkt ist doch der:
KRACK beschreibt nur, wie man übertragene Daten mitlesen kann. 
Ernstzunehmende Dienste verschlüsseln die Daten aber nochmal auf einer 
höheren Ebene.
Surfst Du im internet, solltest Du (sowieso immer und jederzeit) auf 
https achten. Dann sieht der Angreifer nur noch nutzlose, verschlüsselte 
Daten und kanm dir nichts anhaben.

Der Angeifer kann nur das mitlesen, was Du über WLAN sendest - er hat 
keinen Zugriff auf dein heimisches LAN und kommt auch nicht auf die NAS.

Solltest Du Dich also nach dem derzeitigen "Stand der Technik" im 
internet begewegen, ist KRACK für Dich vermutlich kein wichtiges Thema.

Stand der Technik bedeutet: Onlinebanking und -shopping immer über 
https
Mails nur über SSL, TLS oder algm. verschlüsselt abrufen
...gibt es denn noch Mailprovider die Port 25 unterstützen!?


Achtung: um KRACK wirklich keine Chance zu zu geben, sollte man sich 
aber vorsorglich bei Facebook, instagramm und Twitter abmelden...

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Jeffrey L. schrieb:
> gibt es denn noch Mailprovider die Port 25 unterstützen!?

Selbstverfreilich.  Das komplette SMTP-Protokoll basiert darauf …
allerdings verhandeln mittlerweile viele Server anschließend eine
TLS-Sicherung via STARTTLS untereinander.

von Jeffrey L. (the_dude)


Bewertung
0 lesenswert
nicht lesenswert
Okay.
Ich dachte zwischenzeitlich geht "alles" über 587...

Hat nicht die t-kom den P25 sogar mal komplett geschlossen!?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Jeffrey L. schrieb:
> Ich dachte zwischenzeitlich geht "alles" über 587...
> Hat nicht die t-kom den P25 sogar mal komplett geschlossen!?

Im Mailverkehr zwischen den Firmen und den Mailerprovidern wird 
weiterhin Port 25 verwendet, ad libitum mit und ohne Verschlüsselung mit 
und ohne offiziell signiertem Zertifikat. Restriktionen bestehen beim 
Mailverkehr zwischen Mailclients und den zuständigen Mailservern, also 
z.B. zwischen einem Kunden von GMX und dem für ausgehende Mails 
zuständigen Mailserver von GMX.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Jeffrey L. schrieb:

> Ich dachte zwischenzeitlich geht "alles" über 587...

Du musst unterscheiden zwischen dem SMTP-Port, über den Mails im
Internet zwischen zwei MTAs ausgetauscht werden (25) und dem, der zum
Einliefern von Mails deines MUAs beim MTA benutzt wird.  Letzterer
nennt sich offiziell "submission" und hat die Nummer 587.  Übrigens
ist der submission-Port keineswegs automatisch TLS; auch dort muss
die Sicherungsschicht mit STARTTLS ausgehandelt werden (die meisten
Server bestehen allerdings darauf, bevor sie eine Authentisierung
überhaupt zulassen).

Grundsätzlich kann natürlich ein SMTP-Server auf Port 25 erstmal nicht
unterscheiden, ob der ankommende (TCP-)Client bei ihm ein MUA oder ein
MTA ist.  Viele Betreiber großer SMTP-Server versuchen jedoch,
Verbindungen von Dialup-IP-Blöcken auf Port 25 nicht zuzulassen, um
sich so vor spammenden Bots zu schützen.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> ist der submission-Port keineswegs automatisch TLS; auch dort muss
> die Sicherungsschicht mit STARTTLS ausgehandelt werden

Für implizites SMTPS war früher mal Port 465 vorgesehen. Den kann man 
bei GMX auch weiterhin alternativ zu 587+STARTTLS verwenden. Das scheint 
auch die Standardeinstellung von einigen Mailclients zu sein, etwa von 
Thunderbird und einigen Android-Mailclients.

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Viele Betreiber großer SMTP-Server versuchen jedoch,
> Verbindungen von Dialup-IP-Blöcken auf Port 25 nicht zuzulassen, um
> sich so vor spammenden Bots zu schützen.

Und wenn man dennoch durchkommt, dann wird man mit einer solchen Adresse 
vom nächsten Spamfilter als nicht satisfaktionsfähig betrachtet.

von Retro N. (retronerd)


Bewertung
1 lesenswert
nicht lesenswert
Jeffrey L. schrieb:
> Achtung: um KRACK wirklich keine Chance zu zu geben, sollte man sich
> aber vorsorglich bei Facebook, instagramm und Twitter abmelden...

Was haben die drei mit dem heimischen WLAN Key zu tun?

Eine verständliche Beschreibung der KRACK Attacke findet sich aktuell 
auf heise

https://www.heise.de/security/artikel/KRACK-so-funktioniert-der-Angriff-auf-WPA2-3865019.html

Krack basiert darauf, dass eine Art Man-in-the-Middle Attack 
durchgeführt wird. Durch Störung des Funkverkehrs durch den Angreifer 
wird eine Key Reinstallation zwischen AP und Client erzwungen, wodurch 
der Angreifer zu einem beliebigen Zeitpunkt in den Besitz der Nonce (und 
damit der Verschlüsselung) gelangen kann.

Dazu muss der Angreifer sich aber im Nahbereich des Clients und AP 
befinden.

Besonders unwirksam ist die Implementierung des Linux Drivers 
wpa_supplicant,  der auch für Android verwendet wird. Dort ist die Nonce 
beim Start immer = 0, dort reicht ein RESET der Verbindung und die Nonce 
muss nicht einmal ermittelt werden.

von Lars R. (lrs)


Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> Wenn man zu Hause ein WLAN betreibt, das nur aus ein paar Clients und
> einem Access Point besteht, kann man aus KRACK viel Luft rauslassen.
> Dann sind fast alle Verbindungen der Clients ins Internet und das ist
> sowieso keine sonderlich sichere Umgebung.

Jeffrey L. schrieb:
> Der Punkt ist doch der:
> KRACK beschreibt nur, wie man übertragene Daten mitlesen kann.

> Solltest Du Dich also nach dem derzeitigen "Stand der Technik" im
> internet begewegen, ist KRACK für Dich vermutlich kein wichtiges Thema.

Dann schaltet die WLAN-Verschlüsselung doch gleich ganz ab. Eure 
Netzwerkstacks sind auch immer absolut sicher und fehlerfrei (openssh)? 
Bekannte und unbekannte Pannen bei Zertifikaten sind ein Fremdwort?

Manche Teilnehmer des Forum betreiben Teile ihres Smart Homes über WLAN.

Es gibt immer mehr Haushaltgeräte mit WLAN, Videokameras und co.

Jahrelang hat man sich über sicheres WLAN den Kopf zerbrochen. 
Plötzlich, wie bei fast jedem anderen Schock auch, heißt es, "was 
soll's, egal"

Die Einstellung/Bewertung von Euch beiden ist IMHO fahrlässig.

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Bewertung
0 lesenswert
nicht lesenswert
Ich hätte da mal eine Frage an die Experten. Auf meinem WLAN habe ich am 
Router zusätzlich zur WPA2 auch ein MAC Filter aufgesetzt, das nur die 
Clienten einlässt, die es per MAC kennt.
Kommt es bei einem Clienten, der nicht in der MAC Tabelle steht, dann 
überhaupt zu einem Austausch der 'angreifbaren' Schlüssel? Oder ist es 
umgekehrt, erst kommt WPA2 und dann die Kenntnisnahme des MAC?

von Jeffrey L. (the_dude)


Bewertung
0 lesenswert
nicht lesenswert
Retro N. schrieb:
>Jeffrey L. schrieb:
>> Achtung: um KRACK wirklich keine Chance zu zu geben, sollte man sich
>> aber vorsorglich bei Facebook, instagramm und Twitter abmelden...
> Was haben die drei mit dem heimischen WLAN Key zu tun?

Das war von mir vielleicht nicht ganz ernst gemeint ;)

: Bearbeitet durch User
von Retro N. (retronerd)


Bewertung
1 lesenswert
nicht lesenswert
Matthias S. schrieb:
> Ich hätte da mal eine Frage an die Experten. Auf meinem WLAN habe
> ich am
> Router zusätzlich zur WPA2 auch ein MAC Filter aufgesetzt, das nur die
> Clienten einlässt, die es per MAC kennt.
> Kommt es bei einem Clienten, der nicht in der MAC Tabelle steht, dann
> überhaupt zu einem Austausch der 'angreifbaren' Schlüssel? Oder ist es
> umgekehrt, erst kommt WPA2 und dann die Kenntnisnahme des MAC?

Siehe oben: Beitrag "Re: Schwere Sicherheitsluecke im WPA2 Protokoll"

Ein Filter am AP auf bekannte MAC Adressen verhindert das nicht.
Der Angreifer kann nachdem er in den Besitz des Keys gelangt ist die 
Verbindung zwischen AP und Client mitlesen.

Außerdem - schon mal was von Spoofing gehört?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
> Die Einstellung/Bewertung von Euch beiden ist IMHO fahrlässig.

"Luft rauslassen" = kein Grund in Panik zu verfallen und sämtliche 
Handys nur noch per LAN-Kabel zu betreiben.

> Dann schaltet die WLAN-Verschlüsselung doch gleich ganz ab. Eure
> Netzwerkstacks sind auch immer absolut sicher und fehlerfrei (openssh)?
> Bekannte und unbekannte Pannen bei Zertifikaten sind ein Fremdwort?

Und was ändert sich daran durch KRACK, was Verbindungen ins Internet 
angeht?

: Bearbeitet durch User
von Matthias S. (Firma: matzetronics) (mschoeldgen)


Bewertung
0 lesenswert
nicht lesenswert
Retro N. schrieb:
> schon mal was von Spoofing gehört?
Och, das kann hier mit Sicherheit niemand im Umkreis. Ich wiil ja nur 
wissen, wann die MAC übertragen wird.

von Lars R. (lrs)


Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
>> Die Einstellung/Bewertung von Euch beiden ist IMHO fahrlässig.
>
> "Luft rauslassen" = kein Grund in Panik zu verfallen und sämtliche
> Handys nur noch per LAN-Kabel zu betreiben.

Kommt Deine Aussage mit einer Zusicherung der Übernahme im Schadensfall, 
oder ist Deine Aussage nur heiße Luft, die es rauszulassen gilt?

Wie gesagt, schalte doch gleich jegliche Verschlüsselung ab.

>> Dann schaltet die WLAN-Verschlüsselung doch gleich ganz ab. Eure
>> Netzwerkstacks sind auch immer absolut sicher und fehlerfrei (openssh)?
>> Bekannte und unbekannte Pannen bei Zertifikaten sind ein Fremdwort?
>
> Und was ändert sich daran durch KRACK, was Verbindungen ins Internet
> angeht?

Man ist näher an Deinen Geräten, die vorher hinter dem NAT hingen. Und 
das weißt Du ganz genau selbst. Du möchtest nur einen weiteren Strang 
aufmachen und ablenken.


Die Verschlüsselung ist kompromittiert und für die Tonne. Jeder der 
meinte, die bisher lieber zu aktivieren, der hat nun ein Problem. Daran 
gibt es nichts zu relativieren. Jede Aussage aus der Ferne "brauchst Du 
wahrscheinlich nicht", "halb so schlimm" ist fahrlässig.

Willst Du es selbst nicht wahr haben und hast betroffene, schwer 
updatebare  Geräte in Betrieb oder warum lässt Du Dich zu solchen 
Aussagen hinreisen?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Jeffrey L. schrieb:
> keinen Zugriff auf dein heimisches LAN und kommt auch nicht auf die NAS.

Da wär ich mir bei einem Zugriff durch Android nicht so sicher.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Lars R. schrieb:
> Willst Du es selbst nicht wahr haben und hast betroffene, schwer
> updatebare  Geräte in Betrieb oder warum lässt Du Dich zu solchen
> Aussagen hinreisen?

Ich orientiere mich an dem, was die Autoren des Artikels schreiben.

Unverständlich ist mir beispielsweise, dass du das Internet als sicher 
zu betrachten scheinst.

von Lars R. (lrs)


Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
> Unverständlich ist mir beispielsweise, dass du das Internet als sicher
> zu betrachten scheinst.

Das tue ich nicht. Ich nutze zum Surfen sogar möglichst http (ohne s), 
soweit das noch möglich ist.

Beitrag #5181767 wurde vom Autor gelöscht.
von Gero (Gast)


Bewertung
4 lesenswert
nicht lesenswert
Lars R. schrieb:
> Das tue ich nicht. Ich nutze zum Surfen sogar möglichst http (ohne s),
> soweit das noch möglich ist.

Na das ist ja mal ein richtiger Zugewinn an Sicherheit!

von Klaus (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Das Hauptproblem sind doch die internen Verbindungen. Zu hause aufs NAS 
zugreifen, oder Fotos vom Laptop auf dem Fernseher anschauen (per 
Netzwerk). All das ist jetzt öffentlich.
Ein weiteres Beispiel ist ein Warenlager oder Betriebshof mit WLAN. Das 
können die Firmen jetzt abschalten bis Updates da sind.

von Rolf R. (dankobum)


Bewertung
0 lesenswert
nicht lesenswert
Mir ist noch nicht so ganz klar, wann man angreifbar ist: Müssen beide 
WPA2-Kommunikationsteilnehmer gepatcht sein, damit man nicht angreifbar 
ist?

Was ist im Falle eines gepatchten Notebooks und eines nicht gepatchten 
WLAN-Routers? Ist man dann angreifbar?

von Gero (Gast)


Bewertung
1 lesenswert
nicht lesenswert
Klaus schrieb:
> Das Hauptproblem sind doch die internen Verbindungen. Zu hause aufs NAS
> zugreifen, oder Fotos vom Laptop auf dem Fernseher anschauen (per
> Netzwerk). All das ist jetzt öffentlich.

NEIN!
es können lediglich die Daten, die übertragen werden, mitgelesen werden.
Der Angreifer hat keinen Zugriff auf das interne Netz und kann sich dort 
auch nicht frei und losgelöst bewegen!

Er sieht nur das, was per WLAN übertragen wird, überträgst Du per WLAN 
ein Foto, dann kann der Angeifer das auch sehen, er kann aber nicht 
eigenständig auf die NAS zugreifen und dort "herumstöbern".
Das ist ein Unterschied! - im übrigen sollte man hier natürlich genaus 
so gesicherte Protokolle verwenden - z.B. SMB 3.0 oder NFSv4 - dann 
sieht der Angreifer auch hier nichts.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
In Android ab Version 6 ist leider auch eine Manipulation von Inhalten 
möglich. Ebenso Linux mit nicht zu altem wpa_supplicant, aber da hat man 
deutlich bessere Aussichten auf einen Patch.

: Bearbeitet durch User
von klaro (Gast)


Bewertung
-2 lesenswert
nicht lesenswert
Toxic schrieb:
> "Der Sicherheitsforscher Mathy Vanhoef von der Katholischen
> Universität
> Löwen hat schwere Sicherheitslücken im Verschlüsselungsprotokoll WPA2
> entdeckt, mit dem WLAN-Hotspots abgesichert werden. Es ist ein
> aufsehenerregender Fund, weil es um einen grundlegenden Fehler im System
> geht. Deshalb sind nicht nur einzelne Hersteller oder Nutzer gefährdet,
> sondern sehr viele WLAN-Netze."

oh man wirklich Fatal.

Erinnere mich an Zeiten da war jeder Router offen und es hat geklappt.

Heult nicht rum.  Wenn ich das alles lese frage ich mich wie es mit 
unserer Gesellschaft weitergehen soll.

Keiner steht vor Eurer Haustür schneidet den Wlandaten mit oder 
modifiziert diese. Um klar auszurücken niemand hat interesse an Euch.
Ja wirklich traurig.

Das BSi emphielt man solle das WLan Netzwerk so nutzen als wäre man in 
einem öffentlichen Netzwerk. Da stehen mir Tränen in den Augen lange 
nicht mehr so herzlich gelacht. Geht doch mal in ein Cafe da macht heute 
jeder Bankgeschäfte oder shop online....usw... 95% der User 
unterscheiden nicht zwische Privat und öffentliche Netzwetzwerken....

So jetz höre ich auf sonst rege ich mich noch mehr auf....

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
3 lesenswert
nicht lesenswert
klaro schrieb:
> Geht doch mal in ein Cafe da macht heute jeder Bankgeschäfte oder shop
> online

Das ist ja auch nicht tragisch, denn da bist du sowieso mit TLS
unterwegs.

Kritisch sind nur die Netze, in denen man sich privat fühlt und daher
weniger Sicherheitsvorkehrungen nutzt als im Internet. – Das steht
aber oben alles schon geschrieben.  Hast du den Thread gelesen?

von klaro (Gast)


Bewertung
-4 lesenswert
nicht lesenswert
Jörg W. schrieb:
> klaro schrieb:
>> Geht doch mal in ein Cafe da macht heute jeder Bankgeschäfte oder shop
>> online
>
> Das ist ja auch nicht tragisch, denn da bist du sowieso mit TLS
> unterwegs.
>
> Kritisch sind nur die Netze, in denen man sich privat fühlt und daher
> weniger Sicherheitsvorkehrungen nutzt als im Internet. – Das steht
> aber oben alles schon geschrieben.  Hast du den Thread gelesen?

ja. Ich habe auf die Nachricht des BSI referenziert.  Die ist bekannt?

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
3 lesenswert
nicht lesenswert
klaro schrieb:

> Ich habe auf die Nachricht des BSI referenziert.

Da hat A. K. vor dir deutlich exakter beschrieben, worin das da
genannte "kritische Problem" liegt.

Man sollte daher vielleicht drauf verzichten, mit einem ungepatchten
hinreichend neuen Linux oder Android 6 im Cafe seine Bankgeschäfte
abzuwickeln.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> In Android ab Version 6 ist leider auch eine Manipulation von Inhalten
> möglich. Ebenso Linux mit nicht zu altem wpa_supplicant, aber da hat man
> deutlich bessere Aussichten auf einen Patch.

Wenn ich das richtig sehe, ist der Patch bereits seit 4 Tagen raus
(CVE-2017-13088). Man muss also nur noch updaten. ;-)

von klaro (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Man sollte daher vielleicht drauf verzichten, mit einem ungepatchten
> hinreichend neuen Linux oder Android 6 im Cafe seine Bankgeschäfte
> abzuwickeln.

Der Entdecker der Sicherheitslücke sagt selber das ihm nicht bekannt ist 
das es tools gibt mit dem Hacker die Lücke ausnutzen können.

Mit anderen Worten wenn Hacker die Lücke bereits kannten  besteht die 
Gefahr nicht erst seit wenigen Tagen. Daher ist nun ein Aktionismus, is 
dieser Form, jetzt sicher nicht angebracht.

p.s. Bankgeschäfte würde ich nie mit Andorid abwicklen.

von Rolf R. (dankobum)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Wenn ich das richtig sehe, ist der Patch bereits seit 4 Tagen raus
> (CVE-2017-13088). Man muss also nur noch updaten. ;-)

Dazu wiederhole ich meine schon vorher gestellte Frage: Was ist, wenn 
ein Linux-Endgerät gepatcht ist, der Router aber nicht gepatcht ist?

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
klaro schrieb:
> Mit anderen Worten wenn Hacker die Lücke bereits kannten  besteht die
> Gefahr nicht erst seit wenigen Tagen.

Das ist korrekt. Unbestritten dürfte jedoch auch sein, dass das
Publizieren der Lücke gewiss auch Leute auf den Plan rufen könnte,
die aufgrund der nun vorhandenen Informationen versuchen könnten,
sich ebendieses Tool zu bauen.

> Bankgeschäfte würde ich nie mit Andorid abwicklen.

smsTAN lässt grüßen … Die Banken erachten sie ja als sicher.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Rolf R. schrieb:
> Was ist, wenn ein Linux-Endgerät gepatcht ist, der Router aber nicht
> gepatcht ist?

Um diese Frage schlüssig zu beantworten, müsstest du dich wohl selbst
da durchwühlen.

Meine Vermutung: da nur der wpa_supplicant neueren Datums von dem
Problem betroffen ist/war, dass man dort auch Daten manipulieren kann,
sollte der Linux-Patch das verhindern können. Mit einem ungepatchten
Router bist du danach dann im gleichen Boot wie alle anderen Nutzer
(also ältere Androids, Windows oder Linuxe mit einer zu alten Version
von wpa_supplicant), dass zwar jemand die Daten mitschnüffeln kann,
aber zumindest nicht manipulieren.

von klaro (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> klaro schrieb:
>> Mit anderen Worten wenn Hacker die Lücke bereits kannten  besteht die
>> Gefahr nicht erst seit wenigen Tagen.
>
> Das ist korrekt. Unbestritten dürfte jedoch auch sein, dass das
> Publizieren der Lücke gewiss auch Leute auf den Plan rufen könnte,
> die aufgrund der nun vorhandenen Informationen versuchen könnten,
> sich ebendieses Tool zu bauen.

Keine Frage. Das wird mit sicherheit sogar so sein.
Allerdings wird dies dauern und selbst  dann bietet dies keinen Grund 
für den derzeitigen Hype um die Lücke...

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Rolf R. schrieb:
> Dazu wiederhole ich meine schon vorher gestellte Frage: Was ist, wenn
> ein Linux-Endgerät gepatcht ist, der Router aber nicht gepatcht ist?

Wird durch mehrfaches Fragen nicht schlimmer. Ein normaler 
Heim-Router/AP ist nicht Teil des Problems. Nur das Endgerät ist es. Mit 
einem gepatchten Endgerät ist die Sache somit nach aktuellem Stand 
gegessen.

Bei Business-APs sieht das etwas anders aus, sofern die für 
beschleunigtes WLAN-Roaming eingerichtet sind. Ebenfalls sind Repeater 
betroffen.

"What if there are no security updates for my router?

Our main attack is against the 4-way handshake, and does not exploit 
access points, but instead targets clients. So it might be that your 
router does not require security updates. We strongly advise you to 
contact your vendor for more details. In general though, you can try to 
mitigate attacks against routers and access points by disabling client 
functionality (which is for example used in repeater modes) and 
disabling 802.11r (fast roaming). For ordinary home users, your priority 
should be updating clients such as laptops and smartphones."

https://www.krackattacks.com/

AVM sieht die Fritzboxen in der Rolle als APs nicht als betroffen an.

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
>> Bankgeschäfte würde ich nie mit Andorid abwicklen.
>
> smsTAN lässt grüßen

Sorry, ich meinte natürlich nicht SMS, sondern die speziellen Apps,
die Banken ihren Kunden anbieten.  Die nehmen aber schätzungsweise
auch TLS am Ende.

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Wenn ich das richtig sehe, ist der Patch bereits seit 4 Tagen raus
> (CVE-2017-13088). Man muss also nur noch updaten. ;-)

Tablet und Handy haben grad die 2 Jahre durch, innerhalb der man mit 
gelegentlichen Updates rechnen kann. Mal sehen ob Samsung die 
Gelegenheit nutzt, den Kunden Neugeräte zu empfehlen, oder ob sie gegen 
das Umsatzinteresse verstossen und doch noch patchen.

Andererseits sehe ich solche Geräte seit jeher als inhärent unsicher an. 
Insofern spielt es für mich keine wirklich entscheidende Rolle. Wer aus 
KRACK den Schluss zieht, statt WLAN lieber den Mobilfunk zu verwenden, 
der sollte sich mal umsehen, wie es um die Sicherheit von GSM und UMTS 
bestellt ist.

von 1N 4. (1n4148)


Bewertung
0 lesenswert
nicht lesenswert
Fuck, meine WLAN-Wetterstation sendet unverschlüsselt.

von Lars R. (lrs)


Bewertung
-1 lesenswert
nicht lesenswert
A. K. schrieb:
> Tablet und Handy haben grad die 2 Jahre durch

Hier ist das "beste" Linux-Telefon, das mir aktuell bekannt ist:
https://hackaday.io/project/19035-zerophone-a-raspberry-pi-smartphone

Bedauerlicherweise ist es bewusst nicht mit einen (einfachen) 
Touchscreen ausgestattet und der Zusammenbau ist 
grobmotorisch/ungeschickt.

Kennt jemand alternative Projekte oder Geräte, die mit einem nativen 
Linux laufen?

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
...für meinen 10+ Jahre alten Router habe ich noch ein dd-wrt-Update 
bekommen. Dieser kann also weiter als Client-Bridge genutzt werden.

Aber für mein Telefon, das noch keine 10 Jahre alt ist, gibt es nichts.

Unter anderem aus diesem Grund würde ich schon lang ein Telefon 
bevorzugen, das mit native Linux läuft. Auch wenn es ein wenig dicker 
ist, nicht den neuesten Standard unterstützt und der Akku dennoch 
schneller leer ist.
Nur sollte es nicht zu absurd sein 
(https://hackaday.io/project/19035/gallery#cac5d8cb312934b9040dfad4079267d4)

Diesbezüglich bin mit meinem Wunsch scheinbar allein...

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
> Aber für mein Telefon, das noch keine 10 Jahre alt ist, gibt es nichts.

Reines Telefon, kein Smartphone?

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
>> Aber für mein Telefon, das noch keine 10 Jahre alt ist, gibt es nichts.
>
> Reines Telefon, kein Smartphone?

Android 2.3

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Lars R. schrieb:
>> Reines Telefon, kein Smartphone?
>
> Android 2.3

Sieh es mal positiv: Das zeroing-Problem von KRACK hast du nicht. ;-)

von Lars R. (lrs)


Bewertung
-1 lesenswert
nicht lesenswert
A. K. schrieb:
>> Android 2.3
>
> Sieh es mal positiv: Das zeroing-Problem von KRACK hast du nicht. ;-)

Woher kommt die Erkenntnis?

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
>> Sieh es mal positiv: Das zeroing-Problem von KRACK hast du nicht. ;-)
>
> Woher kommt die Erkenntnis?

Wie üblich aus dem Original-Artikel. Dieses Problem steckt nur in 
neueren wpa_supplicant Versionen drin. Ab Android 6. Ältere sind 
demgemäss nur vom normalen KRACK Problem betroffen.

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
Ach so. Danke. Schlimm genug.

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
Erst hieß es, die Fritz!Boxen benötigen kein Update, nur die Repeater.

Nunmehr hat AVM das Update für die Fritz!Boxen still und leise 
nachgereicht:


"
Weitere Verbesserungen im FRITZ!OS 6.92

[...]

WLAN:
Behoben - Schwäche in der WPA2-Schlüsselaushandlung bei Nutzung eines 
WLAN-Uplinks zu einem anderen Router
"

Das ist prinzipiell unschön. Wenigstens waren sie so ehrlich und haben 
es noch dazu geschrieben.

: Bearbeitet durch User
von Abdul K. (ehydra) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
WLAN-Uplink zu einem anderen Router, heißt doch Repeaterbetrieb, oder?

von Oliver S. (oliverso)


Bewertung
1 lesenswert
nicht lesenswert
Heisst es, und das wird von AVM auch so kommuniziert.

Oliver

von Abdul K. (ehydra) Benutzerseite


Bewertung
0 lesenswert
nicht lesenswert
Ohne Repeater also auch keine Notwendigkeit für Update? Oder ist er 
Umkehrschluß falsch?

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Abdul K. schrieb:
> Ohne Repeater also auch keine Notwendigkeit für Update?

Ja, der Angriff richtet sich auf die Clientseite.

von Oliver S. (oliverso)


Bewertung
1 lesenswert
nicht lesenswert
Die WPA2-Lücke betrifft aus Prinzip nur Clients. Solange du die Box 
nicht als Client konfigurierst (und das brauchen nur die wenigsten), ist 
die dafür im Update enthaltene Änderung irrelevant.

Schau halt in die Release-Notes des Updates für deine Box, was da noch 
so alles enthalten ist. Danach kannst du entschieden, ob dir das Update 
was bringt.

Oliver

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
Bin ich schon senil?

Es hieß: Repeater betroffen, Fritz!Boxen nicht. Fritz!Boxen waren 
nirgends aufgeführt.

https://avm.de/aktuelles/kurz-notiert/2017/wpa2-schwaeche-erste-updates-fuer-wlan-repeater-und-wlanpowerline-produkte-von-avm/

https://avm.de/service/aktuelle-sicherheitshinweise/
<- Sicherheitshinweis vom 16.10. wurde am 10.11 aktuallisiert.


Oliver S. schrieb:
> Die WPA2-Lücke betrifft aus Prinzip nur Clients. Solange du die Box
> nicht als Client konfigurierst (und das brauchen nur die wenigsten), ist
> die dafür im Update enthaltene Änderung irrelevant.

Ja danke auch. Die Repeater-Funktion gehört aber zur Fritz!Box. 
Vielleicht will ich auch gerade eine Fritzbox benutzen, um einen von AVM 
nicht mehr mit Updates versorgten Repeater zu ersetzen?

> nicht als Client konfigurierst (und das brauchen nur die wenigsten),

"Wenn ich dies und jenes nicht mache" ist dafür keine Entschuldigung. 
Wenn ich den Repeater aus lasse und nicht benutze, dann braucht der auch 
kein Update.

Edit:

Und die 7390 bekommt das Update scheinbar gar nicht mehr...
Das empfinde ich dann schon als sehr schlecht. Sowohl die Tatsache, als 
auch die Informationspolitik dazu.

: Bearbeitet durch User
von Daniel A. (daniel-a)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
> Kennt jemand alternative Projekte oder Geräte, die mit einem nativen
> Linux laufen?

Es gab mal Ubuntu Phones. Diese gefielen mir besser als die Androids, 
man hatte ein Terminal Emulator usw. Dennoch war ich von Ubuntu Phones 
etwas enttäuscht, statt apt zu verwenden gab es OTA Updates, wo tar 
archive heruntergeladen & entpackt wurden. Der Treiber waren die selben 
wie bei Android; Gralloc ging nur mit Ubuntu Mir, und eigene Programme 
konnte man nicht direckt mit apt installieren, wenn man das Phone beim 
nächstem OTA Update nicht beschädigen wollte, sondern musste sie in LXC 
container packen. Mitlerweile ist mir meins leider kaputt gegangen 
(Bildschirm zerbrochen). Und man konnte keine native Linux Konsole 
bekommen.

Ich habe grosse Hoffnungen in das librem 5, 2018 sollte das Devkit 
ankommen, und 2019 das Phone. Vieleicht ist das endlich worauf ich 
gewartet habe. https://puri.sm/shop/librem-5/

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
Daniel A. schrieb:
> Lars R. schrieb:
>> Kennt jemand alternative Projekte oder Geräte, die mit einem nativen
>> Linux laufen?
>
> Es gab mal Ubuntu Phones.

Für mich auch ungeeignet. Ich möchte tatsächlich eine ganz normales 
Lubuntu laufen lassen, wie es auch auf meinen PCs läuft. Dazu eine 
QT-Anwendung für SMS und Telefonieren. Den Rest gibt es schon. Das kann 
so schwer nicht sein. Und dann ist das Thema erledigt. So wie man heute 
einen 5 Jahre altes Notebook auch nicht wegen einer Sicherheitslücke 
wegwerfen muss (obgleich viele davon weniger kosten als so manches 
Telefon)

> Ich habe grosse Hoffnungen in das librem 5, 2018 sollte das Devkit
> ankommen, und 2019 das Phone. Vieleicht ist das endlich worauf ich
> gewartet habe. https://puri.sm/shop/librem-5/

Danke für den Hinweis. Mal schauen. Bis 19 kann ich vielleicht nicht 
mehr warten... Auf jeden Fall interessant.

: Bearbeitet durch User
von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
> Es hieß: Repeater betroffen, Fritz!Boxen nicht. Fritz!Boxen waren
> nirgends aufgeführt.

Ich hatte das nicht ohne Grund schon anfangs explizit auf die Rolle als 
Access Point eingeschränkt. Das ist also auch seitens AVM kein Schwenk:

A. K. schrieb:
> AVM sieht die Fritzboxen in der Rolle als APs nicht als betroffen an.

von Lars R. (lrs)


Bewertung
-1 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
>> Es hieß: Repeater betroffen, Fritz!Boxen nicht. Fritz!Boxen waren
>> nirgends aufgeführt.
>
> Ich hatte das nicht ohne Grund schon anfangs explizit auf die Rolle als
> Access Point eingeschränkt.

Dich meinte ich damit nicht. Und selbst wenn Du Dich nicht exakt 
ausgedrückt hättest, so wäre das nicht relevant. Ich beziehe meine 
Kritik auf die typischen news-Seiten (zB heise) und die offizielle 
Informationspolitik von AVM.


https://www.golem.de/news/krack-angriff-avm-liefert-erste-updates-fuer-repeater-und-powerline-1710-130747.html

"
Nach dem Bekanntwerden der WPA2-Schwäche Krack hat AVM nun erste Geräte 
gepatcht. Weitere Patches sollen folgen, jedoch nicht für Fritzboxen

[...]


Keine Updates für Fritzboxen

AVM wies in seiner Mitteilung erneut darauf hin, dass die Fritzbox am 
Breitbandanschluss nicht von der WPA2-Schwäche betroffen sei. Das 
Unternehmen empfiehlt jedoch "ausdrücklich für alle WLAN-Klienten, die 
von den Herstellern angebotenen Updates durchzuführen""

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
2 lesenswert
nicht lesenswert
Lars R. schrieb:
> die Fritzbox am Breitbandanschluss nicht von der WPA2-Schwäche betroffen
> sei

Ist sie doch auch nicht.

Was willst du?  Nur rummotzen?

Eine Fritzbox ist nur dann davon betroffen, wenn sie Repeater ist.
Wenn sie an einem Breitbandanschluss hängt (was für die meisten
dieser Geräte der Fall sein dürfte), dann ist sie eben kein
Repeater, sondern reiner Access Point.

von Lars R. (lrs)


Bewertung
-4 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Lars R. schrieb:

> Eine Fritzbox ist nur dann davon betroffen, wenn sie Repeater ist.

Diese Aussage gab es nicht. Diese Aussage gibt es auch heute nicht.
Wo steht denn nun auf der AVM-Seite, dass ich eine 7390 nicht in einem 
Client-Modus betreiben sollte? Zeig mir bitte die Stelle.

. AVM hatte keine updates für fritz!boxen angekündigt. Trotz vielfacher 
Nachfragen.
. Deshalb gab es in Foren diverse Spekulation, ob AVM den Client-Modus 
bei der Fritzbox irgendwie anders realisiert hat oder ob er eine 
Implementierung nutzt, die einfach nicht betroffen ist.
. AVM hat sich nicht geäußert, inwiefern/ob die Fritz!boxen betroffen 
sind
. Auch eine repeater-Fritzbox kann (zufällig) an einem 
Breitbandanschluss hängen (was nun?)


> Wenn sie an einem Breitbandanschluss hängt (was für die meisten
> dieser Geräte der Fall sein dürfte), dann ist sie eben /kein/
> Repeater,

Und an einem Schmalband-Anschluss ist sie betroffen?
Und ohne Internet-Anschluss ist im AP mode ist sie auch betroffen?

Bemerkst Du, dass das Formulieren der Art "Wenn sie an einem 
Breitbandanschluss hängt", die gezielt in die Irre führen, nicht in 
Ordnung sind?

> sondern reiner Access Point.

Nicht einmal "reiner access point modus" hatte AVM geschrieben

> Was willst du?  Nur rummotzen?

Verrat mir bitte vorher, was Du willst. Die Trickserei von AVM in Schutz 
nehmen?


Edit: So wurde das ganze u.a. interpretiert:
https://www.heise.de/forum/heise-Security/Kommentare/KRACK-so-funktioniert-der-Angriff-auf-WPA2/Re-immer-noch-nix-von-AVM-FRITZ-Box/posting-31233197/show/

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Lars R. schrieb:
> So wurde das ganze u.a. interpretiert:

Es war von vornherein und überall geschrieben worden, dass der Angriff
sich auf Clients richtet, mithin Router etc. nur betroffen sind, wenn
sie als Repeater arbeiten.

Da brauch' ich mir doch kein Marketinggeblubber durchlesen: wenn meine
Kiste ein Repeater ist, brauch' ich einen Patch, wenn nicht, ist alles
OK – AVM hin, Edimax (oder wer auch immer) her.

von Oliver S. (oliverso)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:

> Kritik auf die typischen news-Seiten (zB heise) und die offizielle
> Informationspolitik von AVM.
>
> https://www.golem.de/news/krack-angriff-avm-liefer...

Nun ja, das die Infos aus zweiter Hand nicht das wiedergeben, was AVM 
tatsächlich geschrieben hat, ist kein Problem von AVM.

Und ansonsten mach, was du willst.

Lars R. schrieb:
> Vielleicht will ich auch gerade eine Fritzbox benutzen, um einen von AVM
> nicht mehr mit Updates versorgten Repeater zu ersetzen?

Willst aber nicht. Da wette ich drauf.

Oliver

von Lars R. (lrs)


Bewertung
-3 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Lars R. schrieb:
> Da brauch' ich mir doch kein Marketinggeblubber durchlesen: wenn meine
> Kiste ein Repeater ist, brauch' ich einen Patch, wenn nicht, ist alles
> OK – AVM hin, Edimax (oder wer auch immer) her.

Und auf welche Meldung von AVM darf ich mich beziehen?

Sind für Sicherheitslücken und Updates nicht die Aussagen des jeweiligen 
Herstellers relevant? Wollen wir dieses grundsätzliche Prinzip 
entsprechend Deiner Argumentation nun aufgeben? Zum Beispiel auch für 
Microsoft?


> Was willst du?  Nur rummotzen?

Ich stelle fest: AVM betreibt hinsichtlich KRACK eine 
Informationspolitik, die die Kunden gezielt verwirrt. Das darf man 
kritisieren und dazu habe ich hier Argumente vorgetragen.

Es ist auch nicht angemessen, dass von Dir vorgeschlagene Verhalten zu 
erwarten: Als Kunde erwarte ich vom Hersteller die Information. Streng 
genommen habe ich darauf im Rahmen der Gewährleistung sogar ein Anrecht.

Unangemessen ist es hingegen, vom Kunden zu erwarten, sich Information 
bei xy zu beschaffen und dann für jedes Gerät und jede Software zu 
rätseln, wie es der Hersteller wohl implementiert hat und ob das Gerät 
nun betroffen ist oder nicht.

Letztlich ist es IMHO auch absurd, dass Du diese Haltung einnimmst. 
Daher die Frage: Warum nimmst Du AVM in Schutz?

Grüße,
Lars

Oliver S. schrieb:
> Lars R. schrieb:
>> Vielleicht will ich auch gerade eine Fritzbox benutzen, um einen von AVM
>> nicht mehr mit Updates versorgten Repeater zu ersetzen?
>
> Willst aber nicht. Da wette ich drauf.

Doch, das plane ich tatsächlich.

von (prx) A. K. (prx)


Bewertung
2 lesenswert
nicht lesenswert
Lars R. schrieb:
> Und auf welche Meldung von AVM darf ich mich beziehen?

AVM am 19.10.2017:

"Nicht betroffen sind alle AVM-Produkte, die ausschließlich als WLAN 
Access Point betrieben werden, beispielsweise die FRITZ!Box am 
Breitbandanschluss (DSL, Kabel, WAN, etc.). AVM-Produkte, die als 
WLAN-Klient betrieben werden, sind von einigen der beschriebenen 
Möglichkeiten betroffen."

"FRITZ!WLAN Repeater als WLAN-Brücke (voreingestellte und übliche 
Betriebsart): kommendes Update empfohlen"

https://avm.de/service/aktuelle-sicherheitshinweise/

Da fehlt eigentlich nur die Information, dass eine als Repeater 
betriebene Fritzbox ein Repeater ist. ;-)

von Lars R. (lrs)


Bewertung
-2 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
>> Und auf welche Meldung von AVM darf ich mich beziehen?
>
> AVM am 19.10.2017:
>
> "Nicht betroffen sind alle AVM-Produkte [...]"

...wobei zukünftige Updates für die Fritz!Boxen zunächst ausgeschlossen 
wurden.

...woraufhin der Kunde anhand von Informationen von dritter Stelle 
gefälligst rätseln soll, welche Geräte beim Betrieb in welchem Modus 
betroffen sind?

Und wir sind uns tatsächlich uneins darüber, dass dies keine ansatzweise 
akzeptable Informationspolitik ist?


A. K. schrieb:
> "FRITZ!WLAN Repeater als WLAN-Brücke (voreingestellte und übliche
> Betriebsart): kommendes Update empfohlen"

Diese Information gibt es eben erst seit 10.11.2017 oder liege ich da 
falsch.


"Aktualisierung vom 10.11.2017
In seltenen Fällen wird ein Router so konfiguriert, dass er per 
WLAN-Uplink das Internet eines anderen Routers nutzt. Dazu hat AVM für 
die FRITZ!Box 7590, 7580, 7560 und 7490 ebenfalls ein Update 
bereitgestellt:"

Mal ehrlich, was soll das? Wie kann man das akzeptabel finden? Für die 
Repeater kommt es sofort. Für die Fritz!boxen, so heißt es, wird es kein 
Update geben. Schließlich, einen Monat später "In seltenen Fällen wird 
ein Router so konfiguriert"...

von (prx) A. K. (prx)


Bewertung
0 lesenswert
nicht lesenswert
Lars R. schrieb:
> Diese Information gibt es eben erst seit 10.11.2017 oder liege ich da
> falsch.

Du liegst falsch. AVMs vorhin zitierte Aussage vom 19.10. war die 
Grundlage meiner Aussage vom 20.10:

A. K. schrieb:
> AVM sieht die Fritzboxen in der Rolle als APs nicht als betroffen an.

Dass eine nicht nicht ausschliesslich als Access Point konfigurierte 
Fritzbox nicht ausschliesslich als Access Point betrieben wird, und 
daher betroffen sein kann, hatte ich dabei angenommen. Das stand zu 
diesem Zeitpunkt tatsächlich nicht da. Es stand nur da, dass als 
WLAN-Client betriebene Produkte davon betroffen sein können.

Für jene, die dem nicht entnehmen können, dass eine als WLAN-Client 
betriebene Fritzbox damit gemeint sein könnte, hatte AVR dann am 10.11. 
hinzu gefügt:

"In seltenen Fällen wird ein Router so konfiguriert, dass er per
WLAN-Uplink das Internet eines anderen Routers nutzt. Dazu hat AVM für
die FRITZ!Box 7590, 7580, 7560 und 7490 ebenfalls ein Update
bereitgestellt:"

> Und wir sind uns tatsächlich uneins darüber, dass dies keine ansatzweise
> akzeptable Informationspolitik ist?

Ja. Aber sowas von ja. Mich in DAUs reinzudenken ist mir nach langer 
Praxis mit Netzwerken allerdings nicht immer möglich. Dafür braucht man 
spezielles Personal, das von der Sache absolut nichts versteht.

: Bearbeitet durch User
von Soul E. (souleye) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:

> Ja. Aber sowas von ja. Mich in DAUs reinzudenken ist mir nach langer
> Praxis mit Netzwerken allerdings nicht immer möglich. Dafür braucht man
> spezielles Personal, das von der Sache absolut nichts versteht.

So jemand: http://theitcrowd.wikia.com/wiki/Jen_Barber

von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Lars R. schrieb:
>> Und wir sind uns tatsächlich uneins darüber, dass dies keine ansatzweise
>> akzeptable Informationspolitik ist?
>
> Ja. Aber sowas von ja. Mich in DAUs reinzudenken ist mir nach langer
> Praxis mit Netzwerken allerdings nicht immer möglich. Dafür braucht man
> spezielles Personal, das von der Sache absolut nichts versteht.

Das ist wenigstens eine Ansage. Mit in DAUs reinzudenken hat es übrigens 
nichts zu tun. Ich will dazu überhaupt nicht denken und im Internet 
recherchieren müssen, dafür habe ich AVM bezahlt. Und ich lege durchaus 
an AVM mindestens den selben Maßstab an, wie zB an Microsoft oder auch 
den Hersteller meines KFZ.
Darüber hinaus kannst auch Du mir nicht sagen, ob für die 7390 noch ein 
Update kommt. Ein Beta-Update scheint es zu geben, aber offiziell nicht 
wegen KRACK. Darüber hinaus gibt es keine weiteren Infos. Für Dich/Euch 
ist wohl auch dieses Verhalten ok, für mich halt bei einem Router 
wirklich nicht. Danke für die Antworten, auch bereits die 
Ursprünglichen.

von Oliver S. (oliverso)


Bewertung
1 lesenswert
nicht lesenswert
Lars R. schrieb:
> Mal ehrlich, was soll das?

Mal ehrlich, was willst du eigentlich? Was soll das rumgeplärre?
Keinerlei Informationsgehalt, keinerlei Erkenntnisgewinn. So what?

Anscheinend hast du ja eine 7390. Die wurde ganz offiziell von AVM 
abgekündigt, lange vor Bekanntwerden des WPA-Problems. Updates wirdes 
für die Box und die unzähligen noch älteren, die noch in Betrieb sind, 
daher sowieso nicht geben.

That‘s life.

Oliver

: Bearbeitet durch User
von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Oliver S. schrieb:
> Updates wirdes für die Box und die unzähligen noch älteren, die noch in
> Betrieb sind, daher sowieso nicht geben.

… genauso wenig wie für alle billigen Android-Telefone, die als Client
nun wirklich auf jeden Fall davon betroffen sind.  Auch hier: sellerie,
wie der Franzose sagt.

von Lars R. (lrs)


Bewertung
-1 lesenswert
nicht lesenswert
Oliver S. schrieb:
> Lars R. schrieb:
> Anscheinend hast du ja eine 7390. Die wurde ganz offiziell von AVM
> abgekündigt, lange vor Bekanntwerden des WPA-Problems. Updates wirdes
> für die Box und die unzähligen noch älteren, die noch in Betrieb sind,
> daher sowieso nicht geben.

Habe diverse Boxen, u.a. 7390 und 7490. Wenn ich für jedes heutzutage in 
einem Haushalt betriebene Gerät bei jedem Problem so viel Zeit für die 
Recherche aufwenden müsste, nur um zu wissen ob der Betrieb noch sicher 
ist...

> That‘s life.

Is ok, ich kauf dann eben zukünftig weniger oder kein AVM.

von Jörg W. (dl8dtl) (Moderator) Benutzerseite


Bewertung
1 lesenswert
nicht lesenswert
Lars R. schrieb:
> Is ok, ich kauf dann eben zukünftig weniger oder kein AVM.

Damit bessert sich genau was?

Die einzige Alternative dazu dürfte es sein, dass du dir alles aus
Opensource-Komponenten selbst zimmerst.  Dann kannst du dich halt
selbst um Updates kümmern, ggf. mit entsprechendem Aufwand auch noch
nach Jahren.

Ich habe hier beispielsweise einen kürzlich gekauften Edimax-Router,
den ich mir einzig zu dem Zweck gekauft habe, ihn bei Bedarf als
Repeater auf den Balkon zu hängen.  Damit ist er natürlich von KRACK
betroffen.  Ja, Edimax schreibt das auch so, aber ein Firmwareupdate
für genau dieses Teil gibt's bis heute noch nicht.  Insgesamt haben
sie es bislang gerade mal für vier Geräte geschafft, Updates
rauszubringen.

: Bearbeitet durch Moderator
von Lars R. (lrs)


Bewertung
0 lesenswert
nicht lesenswert
Jörg W. schrieb:
> Lars R. schrieb:
>> Is ok, ich kauf dann eben zukünftig weniger oder kein AVM.
>
> Damit bessert sich genau was?
>
> Die einzige Alternative dazu dürfte es sein, dass du dir alles aus
> Opensource-Komponenten selbst zimmerst.

IMHO, aus der Perspektive des Kunden heraus, sollte ein Hersteller 
heutzutage durchaus auch das bieten, was der Kunde von der 
Internet-Community bietet. Wie ich oben schrieb: Auf meinen 10+ jahre 
alten Linksys habe ich ein Update aufgespielt und gut. Der arbeitet im 
Moment als Client.

Auch wenn es keine Updates mehr zu einer Fritz!box gibt, so hätte ich 
von AVM wenigstens konkretere Ansagen und eine Liste der Geräte mit dem 
Status dazu erwartet; mit kontinuierlicher Aktualisierung.

So wird zukünftig eben kein AVM-Repeater mehr gekauft, sondern Geräte, 
auf denen dd-wrt lauffähig ist.

Beim Telefon lasse ich dieses Theater auch nicht mit mir veranstalten. 
Ich denke, in den nächsten paar Jahren ist das Thema durch. Zumindest 
für diejenigen, die es unbedingt wollen, weil die Einzelkomponenten 
kleiner und billiger werden. Dh, Geräte werden größer und schwerer sein 
und kürzere Laufzeit und weniger Apps haben. Dafür wird native Linux 
laufen...

von Oliver S. (oliverso)


Bewertung
1 lesenswert
nicht lesenswert
Lars R. schrieb:
> So wird zukünftig eben kein AVM-Repeater mehr gekauft, sondern Geräte,
> auf denen dd-wrt lauffähig ist.

Ja, ist doch prima. In China fällt ein Sack Reis um, und alle sind 
zufrieden und glücklich.

Oliver

Beitrag #5225299 wurde vom Autor gelöscht.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.