News AVM weist auf missbräuchliche Nutzung bei FRITZ!Box hin

[Micha45]

Bis jetzt behauptet ja auch nur der Hersteller AVM, allerdings nicht im Detail und auch nicht belegt, dass die Ursache des Problems der Benutzer selbst sein soll.
Nichts anderes steht in dem Artikel.

Aber hier wird von einigen gleich wieder vorverurteilt und sie springen, wie so oft üblich, auf den Zug der vagen Aussagen und nicht belegten Behauptungen eines Unternehmens auf.

Diese Art der Schuldabweisung ist ja hinlänglich bekannt und mittlerweile übliche Praxis.
Die einen legen Nutzerdaten unverschlüsselt auf ihren maroden Servern ab und behaupten dann, wenn etwas passiert ist, dass der Benutzer zu blöd ist.
Die anderen bieten Dienste an, die sich oft als unsicher und lückenhaft herausgestellt haben und auch dann wird wieder die Hauptschuld auf den Benutzer geschoben.

Auf der einen Seite sitzen die Experten, die es in der Hand haben, die Dienste, die Hardware oder die Software für den unbedarften Benutzern auf der anderen Seite so sicher zu gestalten, dass damit kein Unfug betrieben werden kann.

Aber da ist es wieder wie bei allen Vorgängen in diesen Bereichen.
Da muss schnell entwickelt, schnell und oberflächlich getestet und das Zeug möglischst hurtig auf den Markt geworfen werden, damit der Rubel möglichst schnell rollt. Man hat ja schließlich, wenn es Probleme gibt, dann den dummen Käufer, den man als Beta-Tester missbrauchen und bei Unzulänglichkeiten aufgrund der schlecht entwickelten Produkte ggf. als Buhmann hinstellen kann.

 

[Lahatiel]

Zum Glück nutze ich keinen Fernzugriff.

 

[Reglohln]

@Micha45: Es ist zum aktuellen Zeitpunkt aber einfach um ein Vielfaches wahrscheinlicher, dass es eben doch an schlechten/unsicheren Zugangsdaten lag, welche sich die User selbst vergeben.

 

[alQamar]

Maxwell, du hast da etwas ganz und gar nicht verstanden. AVM Hardware ist sicher wie bis her, absolut sicher.

Die "Digitalen Identitäten" sind auf anderem Wege abhanden gekommen.

Betroffen ist nur, wer zB für die FritzBox das gleiche Passwort, wie für sein gehaktes E-Mailkonto nutzt.

Das ist grundsätzlich leider nicht so - siehe Post #79

 

[MichiSauer]

An alle , die noch nicht verstanden haben worum es geht:

Das BSI hat Anfang Januar bereitgestellt, das 16 mil mailadressen, Passwörter und Zugangsdaten von unsicheren Websites gestohlen und Geleakt wurden. Daran ist nicht avm schuld.

Es wurde darauf hingewiesen das zwingend zu checken, da die kompromittierten Daten ein Sicherheitsrisiko darstellten.

Genau diese Daten haben nun hacker eingesetzt, um über die Standardfunktionen des Routers diesen fernzusteuern.
Wieder ist avm nicht schuld.
Wer nicht geprüft hat, ob seine mail betroffen war und die Passwörter belassen hat und noch mehrfach die gleichen genutzt hat, musste mit allem rechnen.

Somit sitzt der Fehler vor dem Rechner und nicht bei den avm-programmierern, die einfach so fair sind und ihre Kunden drauf hinweisen, dass sie das besser prüfen sollten.

 

[SkipOutLaw]

Man kann für einen Zugang aber doch festlegen und vorgeben, auf welche Art das Passwort eingegeben werden muss.
Zum Beispiel mindestens 10 Zeichen, Klein- und Großbuchstaben, Zahlen und mindestens 2 Sonderzeichen etc. pp.

Immer wird die Schuld bei anderen gesucht, Selbstkritik Fehlanzeige. Anstatt einfach mal zuzugeben, ja, ich habe tatsächlich immer die selbe (lausige) Kombination aus Benutzername und Kennwort benutzt, wird nach Ausreden Ausschau gehalten.
Das zieht sich dabei durch alle gesellschaftlichen Bereiche, immer und überall wird sofort mit dem Finger auf andere gezeigt und womöglich ein Anwalt eingeschaltet. Zuletzt gesehen bei der Diskussion um den Unfall von Michael Schumacher. Oder wenn Eltern eine Gesetzesinitiative fordern, weil ihr minderjähriger Sprössling dank unlimitierten Vertrag eine riesige Handyrechnung produziert hat.
Mich nervt es einfach nur noch, wenn sämtliche Eigenverantwortung auf andere abgewälzt wird in der frohen Hoffnung, völlig risikolos durchs Leben zu kommen.

 

[hrafnagaldr]

Soweit ich weiß, klappt der Zugang ohne MyFRITZ nur per Windows VPN-Client. Inzwischen liegt die VPN-Config ja bei den aktuellen Modellen auf der Box, so dass das Ganze auch über ein Webinterface klappt.
Da schlägt AVM auch ein 20-stelliges Passwort vor. Ob der Rechner tatsächlich sauber war ist auch nicht so einfach gesagt. Hast Du das selber überprüft oder ist das Hörensagen? Ich hab beruflich mit genug Leuten zu tun, die meinen ihr System sei "sauber".

Und was bedeutet "einigermaßen komplex? 123$%& ist nicht komplex. Welcher VPN-Client wurde verwendet? Oder ist die FB neu genug für die neue VPN-Konfiguration? Welche Fritzbox wurde überhaupt verwendet?

Ich gehe per MyFRITZ drauf und mein Zugang wurde bisher nicht mißbraucht, und das obwohl ich als Login eine meiner vielen Emailadressen nehme.

Der hinterlegte Benutzername kann zB dem Passwortspeicher eines Browsers entnommen worden sein.

Dieser generellen Annahme möchte ich hiermit widersprechen.

Ein Bekannter von mir ist trotz eines virenfreien und gepatchten System hiervon betroffen gewesen.

Interessanterweise wurde das nur das System-Log in der Zeit vor dem Angriff partiell gelöscht. Insofern ist es unwahrscheinlich das die Angreifer die GUI benutzt haben um das alles durchzuführen.

Auch das HTTPS Kennwort war einigermaßen komplex. Es ist mir unverständlich wie die auf den hinterlegten Benutzernamen (keine Emailadresse) und das Passwort gekommen sind.

 

[Micha45]

@MichiSauer
@SkipOutLaw

Zu euren Ausführungen nur eine Frage:
Sind das Vermutungen, Annahmen oder nur ein "Bauchgefühl" eurerseits, oder gibt es dafür einschlägige Belege oder Quellen, aus denen die Nachweisbarkeit eurer Behauptungen hervorgeht?

 

[hrafnagaldr]

Achja, was ich noch ganz vergessen habe: Wer auf seinen Fernzugang nicht verzichten will, der kann beim VoIP Anbieter (geht zumindest bei QSC) über die Web-Kundenkonsole Auslandsnummern und Servicenummern etc. sperren lassen, unabhängig von der FritzBox. Wenn ich es mir so recht überlege, war das Erste, was ich vor 7 Jahren bei dem Anschluss gemacht habe. Da war die Masche mit den Servicenummern ja noch ganz groß im Geschäft.

Ist wohl generell empfehlenswert, unnützes Zeug zu deaktivieren, solange man es nicht braucht.

 

[alQamar]

Soweit ich weiß, klappt der Zugang ohne MyFRITZ nur per Windows VPN-Client. Inzwischen liegt die VPN-Config ja bei den aktuellen Modellen auf der Box, so dass das Ganze auch über ein Webinterface klappt.
Da schlägt AVM auch ein 20-stelliges Passwort vor. Ob der Rechner tatsächlich sauber war ist auch nicht so einfach gesagt. Hast Du das selber überprüft oder ist das Hörensagen? Ich hab beruflich mit genug Leuten zu tun, die meinen ihr System sei "sauber".

Und was bedeutet "einigermaßen komplex? 123$%& ist nicht komplex. Welcher VPN-Client wurde verwendet? Oder ist die FB neu genug für die neue VPN-Konfiguration? Welche Fritzbox wurde überhaupt verwendet?

Ich gehe per MyFRITZ drauf und mein Zugang wurde bisher nicht mißbraucht, und das obwohl ich als Login eine meiner vielen Emailadressen nehme.

Der hinterlegte Benutzername kann zB dem Passwortspeicher eines Browsers entnommen worden sein.

Verwendet wurde eine 6360 Cable mit FritzOS 6.00. Ich habe das selber geprüft, sonst würde ich mich mit meinen Äusserungen zurück halten. Das wäre, so lange es keine konkreten Hinweise auf die Art der Lücke gibt, auch für andere ratsam. Momentan geben weder AVM noch der Provider Informationen preis. Vielleicht auch aus Sicherheitsgründen, oder weil sie es noch nicht nicht wissen. Letzteres ist meine Vermutung.

Genauso wird über einen möglichen Patch noch nichts veröffentlicht.

Zumindest haben wir die Kostenübernahme der angefallenen Telefongebühren vom Providers schon zugesagt bekommen.

Soweit ich weiß, klappt der Zugang ohne MyFRITZ nur per Windows VPN-Client.

Der Remotezugriff funktioniert via HTTPS auch ohne VPN Client.

 

[hrafnagaldr]

Verwendet wurde eine 6360 Cable mit FritzOS 6.00. Ich habe das selber geprüft, sonst würde ich mich mit meinen Äusserungen zurück halten. Das äre, so lange es keine konkreten Hinweise auf die Art der Lücke gibt auch für andere ratsam. Momentan geben weder AVM noch der Provider Informationen preis. Vielleicht auch aus Sicherheitsgründen, oder weil sie es noch nicht nicht wissen. Letzteres ist meine Vermutung.

Der Remotezugriff funktioniert via HTTPS auch ohne VPN Client.

Erst seit Herbst letzten Jahres geht das auch ohne den Client. Aber gut, das Problem ist für mich die Box eines Kabelanbieters. Die bekommt man eigentlich nicht als Retailware, sondern nur gebrandet. Und da hat der ISP mit Sicherheit eine extra Schnittstelle zur Wartung offen.

Von daher wäre ich einfach vorsichtig, dass (alleinig) auf AVM zu schieben. Mehr will ich damit gar nicht sagen. Ich sehe da generell ein zukünftig massiver auftretendes Probleme, wenn es bei immer mehr Providern eine Hardwarebindung gibt. Kabelbetreiber waren für mich daher schon immer tabu.

Weil sonst kann ich auch nur meine Erfahrung preisgeben: mein Provider (QSC) kommt nicht auf meine 7330 (Retail) und mein Fernzugang wurde auch nicht mißbraucht. Aber ich muss natürlich dazu sagen, bei mir sind Auslandstelefonate providerseitig gesperrt.

 

[alQamar]

Erst seit Herbst letzten Jahres geht das auch ohne den Client. Aber gut, das Problem ist für mich die Box eines Kabelanbieters. Die bekommt man eigentlich nicht als Retailware, sondern nur gebrandet. Und da hat der ISP mit Sicherheit eine extra Schnittstelle zur Wartung offen.

Von daher wäre ich einfach vorsichtig, dass (alleinig) auf AVM zu schieben. Mehr will ich damit gar nicht sagen. Ich sehe da generell ein zukünftig massiver auftretendes Probleme, wenn es bei immer mehr Providern eine Hardwarebindung gibt. Kabelbetreiber waren für mich daher schon immer tabu.

Weil sonst kann ich auch nur meine Erfahrung preisgeben: mein Provider (QSC) kommt nicht auf meine 7330 (Retail) und mein Fernzugang wurde auch nicht mißbraucht. Aber ich muss natürlich dazu sagen, bei mir sind Auslandstelefonate providerseitig gesperrt.

Das hilft mir jetzt leider nicht weiter. Natürlich hat der Provider einen eigenen Zugang. 2 sogar.
Ich schiebe das Problem gerade eben noch nirgendwo hin, weil die Art der Lücke unbekannt ist. Aber ich würde aus der jetzigen Faktenlage ein Benutzerverschulden ausschließen wollen. Das mag sich später nochmal ändern.

Ich bin mir nicht sicher von welchem Client hier die Rede ist. Es verwirrt mich ein wenig. Der https Zugriff auf Fritzboxen geht schon sehr lange via Browser. Von welchem Zugriff redest du genau?

 

[hrafnagaldr]

Ich bin mir nicht sicher von welchem Client hier die Rede ist. Es verwirrt mich ein wenig. Der https Zugriff auf Fritzboxen geht schon sehr lange via Browser. Von welchem Zugriff redest du genau?

Sorry, das war mißverständlich ausgedrückt. Ich meinte die Einrichtung des VPN-Zugangs, da brauchte man früher die Windows Software von AVM. Nun geht auch die Einrichtung über ein Webinterface und die VPN Konfigurationsdatei wird auf der Box abgelegt.

 

[Luxuspur]

Bis jetzt behauptet ja auch nur der Hersteller AVM, allerdings nicht im Detail und auch nicht belegt, dass die Ursache des Problems der Benutzer selbst sein soll.
Nichts anderes steht in dem Artikel.

Tja dann solltest du eben nicht nur CB als Infoquelle nutzen --> andere Seiten sind da schon weiter!

 

[alQamar]

Sorry, das war mißverständlich ausgedrückt. Ich meinte die Einrichtung des VPN-Zugangs, da brauchte man früher die Windows Software von AVM. Nun geht auch die Einrichtung über ein Webinterface und die VPN Konfigurationsdatei wird auf der Box abgelegt.

Achso. Ich verstehe, aber das hat ja jetzt noch nicht mit dem Problem zu tun oder? In der Tat wurde auf der Box auch ein "AVM" VPN Tunnel verwendet. Auch diesen habe ich mit der besagten Software nochmal neu erstellt, nur für den Fall das die evtl. doch durch den genutzten VPN Tunnel in das System gekommen sind. Ich habe mir die Konfigurationsdateien nochmal angesehen aber ich werde da nicht schlau draus welche Verschlüsselungs und Authentifizierungsverfahren die da nutzen und wie der Tunnel an sich verschlüsselt wird.

 

[hrafnagaldr]

Achso. Ich verstehe, aber das hat ja jetzt noch nicht mit dem Problem zu tun oder?

Nein, nicht wirklich.

AVM nutzt IPSec, KFE und AES (weiß nun aber nicht ob 128 oder 256).
http://www.avm.de/de/Service/Servic...N_Grundlagen/vpn_fuer_experten.php?portal=VPN

 

[MichiSauer]

Avm weist auf der eigenen HP explizit darauf hin, dass die kompromittierten Router auch vom leaking der Daten betroffen waren, die beim BSI an landeten.
Daher auch die geringe Anzahl der betroffenen Router. Wurde es sich um eine systemlücke handeln, wäre eine Reproduzierbarkeit der angriffsroutine gegeben.
Die Anzahl der betroffenen Geräte somit ungleich höher.

http://www.avm.de/de/News/artikel/2014/sicherheitshinweis_telefonmissbrauch.html

Hier der Originalartikel. Die Kombi, die man benötigt weist darauf hin, dass ein eindringen durch eine Sicherheitslücke NICHT gegeben ist.

@alquamar
Ich rate deinem Kollegen dringend dazu all seine mailadressen beim BSI prüfen zu lassen.

 

[alQamar]

Nein, nicht wirklich.

AVM nutzt IPSec, KFE und AES (weiß nun aber nicht ob 128 oder 256).
http://www.avm.de/de/Service/Servic...N_Grundlagen/vpn_fuer_experten.php?portal=VPN

Danke! edit: da steht wie es funktioniert, aber auch nicht welche Verfahren für den Tunnel und den Datenstrom von der Fritzbox genutzt werden, oder hab ich da irgendwas überlesen?

Avm weist auf der eigenen HP explizit darauf hin, dass die kompromittierten Router auch vom leaking der Daten betroffen waren, die beim BSI an landeten.
Daher auch die geringe Anzahl der betroffenen Router. Wurde es sich um eine systemlücke handeln, wäre eine Reproduzierbarkeit der angriffsroutine gegeben.
Die Anzahl der betroffenen Geräte somit ungleich höher.

Auch das ist nur eine erste Einschätzung.

Im meinem Fall gab es keine Emailadresse die ebenfalls auf der Fritzbox eingetragen gewesen wäre.
Nicht mal die beim DynDNS Registrar genutzten Emailadressen waren beim BSI gelistet.
Eine Prüfung der ausserhalb des Fritzboxsystems genutzten Emailadressen ergab keine Komprimitterung, oder besser gesagt es gab zumindest keine Positivmeldung vom BSI.

 

[Micha45]

Tja dann solltest du eben nicht nur CB als Infoquelle nutzen --> andere Seiten sind da schon weiter!

Tja, das ist jetzt auch wieder eine Behauptung der Güte "einfach mal so blindlings ins Blaue geschossen".
Ich habe mich sehr wohl auch aus anderen Quellen informiert und auch da werden nur Vermutungen und Spekulationen als Grundlage hergenommen.

Ich weiß nicht, was diese sinnlose Diskussion eigentlich soll. Sind hier Mitarbeiter von AVM am Werk, die sich unter dem Schutzmantel der Anonymität in derartige Diskussionen einschalten und auf Teufel komm' raus ihren Arbeitgeber vertreten?
Und/oder eben die üblicherweise bei solchen Themen in Erscheinung tretende Produkt-Jünger, die keine (negativen) Argumente und/oder Argumente entgegen ihrer eigenen Auffassung akzeptieren, wenn es um ihre Lieblingsmarke oder Lieblingsprodukt geht, und/oder anderen mit anderer Auffassung "Dummheit" oder mangelndes Auffassungsvermögen unterstellen und ihnen bei jeder Gelegenheit das Wort im Munde umdrehen?

Wirklich merkwürdig und vollkommen sinnfrei dieses ewige Hin und Her in solchen Diskussionen.

 

[frankpr]

@Micha45: Also der hier registrierte AVM Mitarbeiter, von dem ich weiß, hat sich in diesem Thread bislang nicht gemeldet.
Meine Meinung zum Thema kannst Du etwas weiter vorn lesen, weiterhin kannst Du auch gern nachverfolgen, welche Meinung ich zu den AVM Produkten hatte, bevor ich mir eine 7940 zugelegt habe, die war sehr negativ.
Bei den anderen Usern gehe ich mal davon aus, daß sie ebenfalls lediglich Nutzer von AVM Produkten, manche vielleicht nicht einmal das, sind.
Nun kannst Du Deine Verschwörungstheorie noch einmal überdenken. Deine Meinung basiert doch ebenfalls nur auf Deinen eigenen Vermutungen und ist damit genau so gut oder auch nicht Diskussionsgrundlage.
Ich denke dagegen, hätten AVM Produkte ein ernsthaftes Sicherheitsproblem, wäre das schon lange publik geworden, gerade, weil es sich um AVM handelt. Dafür würde allein schon die hohe Verbreitung der Boxen sorgen. Meiner Meinung nach.