News Backdoor bei Routern von Linksys und Netgear entdeckt

[websurferin83]

Im Übrigen sei an dieser Stelle noch erwähnt, dass es in Deutschland noch weitere Router-Hersteller gibt, bei denen solche und ähnliche Verwundbarkeiten nicht zu finden sein sollten:
http://www.viprinet.com/de
http://www.bintec-elmeg.com/

Wie auch LANCOM-Geräte richten sich diese beiden Hersteller ebenfalls in erster Linie an erfahrene Geschäftskunden und, zum einem sicherlich sehr geringen Prozentsatz, an "innovative Privathaushalte".

Trotzdem soll aber keiner sagen, es gäbe keine deutschen Router-Hersteller mit Know-How und Sicherheitsstandards, die innerhalb der EU um einiges höher sind als anderswo...

 

[Bionten-Scout]

Zitat:
....Wie gut, dass es noch Router-Hersteller gibt, die sowohl Entwicklung von Hard- und Software als auch Fertigung in Deutschland haben, deren Firmware _kein_ Linux-Derivat, sondern eine Eigenentwicklung ist und deren Sicherheit ohne Backdoors vom BSI zertifiziert wurde ....

Selten so gelacht.

Deutschland ist immer noch eine US Kolonie, ähm wir hatten da mal nen Krieg verloren..., Daher ist es mir Rätselhaft, wo der Vorteil "Deutscher" Software liegen soll. NSA, CIA und ähnliche Terrororganisationen agieren in Deutschland wie auf Heimatboden. Warum sollen die Gesetzlichen Rahmen für Routerhersteller andere sein, wie für alle anderen am Internet beteiligten Firmen. Sie müssen einen Zugang für die "Überwacher" herstellen und darüber schweigen oder bekommen keine zulassung für den jeweiligen Markt (EU).Da sollte man davon ausgehen das ALLE Geräte betroffen sind.

*schmunzel*

 

[websurferin83]

Sie müssen einen Zugang für die "Überwacher" herstellen und darüber schweigen oder bekommen keine zulassung für den jeweiligen Markt (EU).Da sollte man davon ausgehen das ALLE Geräte betroffen sind.

Es wird von Seiten meines favorisierten Herstellers immer betont, dass sie garantiert Backdoor-frei sind. Es gibt da die Geschichte, dass über einen Anschluss eines Kunden irgendwelche illegalen Dinge gemacht wurden. Passwort für die Konfiguration konnte oder wollte der Kunde nicht rausrücken. Die Staatsanwaltschaft beschlagnahmte den Router und wollte ihn vom Hersteller in Würselen per Backdoor auslesen lassen. Dumm nur, dass es kein Backdoor, kein Master-Passwort oder ähnliches gab. Die Büroklammer für einen Reset hätte die Daten ins Nirvana befördert. Die Lösung war, dass der Speicherbaustein im Labor ausgelötet werden musste, um ihn anderweitig über eine Schnittstelle wieder auszulesen. Die Kosten für solch eine Lösung dürften nicht unerheblich gewesen sein.

Hätte man diesen Aufwand betrieben, wenn es eine andere Möglichkeit gegeben hätte, an die Daten ran zu kommen? - Sicher nicht!

Soviel von meiner Seite zum Thema. Nur eines noch: Inzwischen sind über 1 Million Geräte an zufriedene Kunden ausgeliefert worden. Bislang sind mir noch Klagen über Sicherheitsmängel zu Ohren gekommen.

Die ewigen Dauer-Nörgler sollen ruhig bei ihren Billig-Büchsen bleiben, man kann und darf in einer freien Markwirtschaft niemand zu seinem Glück zwingen. Zum Glück gibt es bei führenden TK-Anbietern auch keinen Routerzwang.

 

[highks]

Nur beim Internet, da dürfen Hersteller von Routern, Software und sonstiger IT schlampen wie sie wollen und sei es noch so kritisch für die Infrastruktur an der im Zweifelsfall Existenzen hängen.

Naja und den mündigen Bürger in allen Bereichen gibt es nicht! Ein Arzt soll nicht die Kompetenzen haben um die IT aufzuziehen und bewerten zu können ob eine IT Lösung sicher ist! In der Zeit wo ein Arzt sich dieses Wissen erwirbt könnte er sich im medizinischem Bereich fortbilden was allemal sinnvoller wäre. Also muss er sich verlassen, dass wenn er sich nen Router hohlt, dass das Ding ab Werk ausreichend gesichter ist.

Da hast du vollkommen Recht! Das Internet und IT wird hier immer noch wie eine Spielwiese behandelt, auf der jeder machen kann, was er will - obwohl es schon lange keine Spielwiese mehr ist, und sowohl privat als auch in der Wirtschaft Existenzen daran kaputt gehen können, wenn die Technik unsicher ist.

Wir können ja auch nicht von jedem verlangen, dass er selbst die Bremsen und das Getriebe seines Autos durchchecken kann, oder zufällig jemand in der Verwandschaft hat, der das kann. Dafür gibt es den TÜV, der verpflichtend jedes Auto kontrolliert und auch knallhart von der Straße nimmt, wenn da etwas nicht stimmt.

 

[carom]

Zwar besitze ich keinen WLan-Router.
Habe trotzdem mal einen Test gemacht, ob von außen ein Zugriff über diesen Port bei mir möglich ist.

Kein Router, kein Backdoor.
Das Problem ist ja nicht unmittelbar der offene Port selbst, sondern das, was im Router hinter diesem Port auf eingehende Verbindungen wartet. Ein Zugriff muss trotz offenem Port nicht unbedingt möglich sein.

 

[bluntman]

Die werden mit an Sicherheit grenzender Wahrscheinlichkeit einen Teufel daran tun, Backdoors in ihre Produkte einzubauen! Wenn das rauskommen würde, wären sie definitiv weg vom Fenster. Das kann sich ein kleinerer Hersteller, der gerade dank Snowden und Co. gutes Geld verdient, nicht leisten. Und durch die BSI-Zertifizierung wurde der Code des LCOS ohnehin durchgesehen und sichergestellt, dass keine Backdoors vorhanden sind. Sicher, beim BSI arbeiten auch nur Menschen, aber wenn ich die Wahl habe einem Europäer zu vertrauen, oder einem US-Amerikaner, so weiß ich ohne nachzudenken, wer es ehrlich meint und wer nicht!

Die großen aus Fernost und Übersee verkaufen ihr Billig-Gedöns, egal was passiert, weil es ja billig ist und Otto-Normal-Kunde sowieso alle 2 Jahre neue Hardware kauft.

100 % Sicherheit gibt es nirgends, aber jeder kann selbst entscheiden ob mehr Sicherheit, weniger Sicherheit oder gar keine.

Also, ich verkaufe und installiere sehr oft Lancom Produkte. Das heisst, ich bin mir der Qualität der Geräte und der Software bewusst. Aber genau dieser Punkt mit dem Backdoors, einfach zu sagen, es gibt keine, ist ganz großer Quatsch!

Bei Lancom sagt man, wir bezahlen unsere Leute gut, es arbeitet niemals ein Mitarbeiter alleine und es werden alle vor und nach der Arbeit kontrolliert. Aber, um wirklich sicher zu gehen müssten die auch das Privatleben der Angestellten durchleuchten. Man müsste wissen ob jemand finanzielle Probleme hat, oder ob jemand schon vor Jahren von einem Geheimdienst eingeschleust wurde. Gerade für Geheimdienste sind die Geräte mit BSi Zertifikat interessant, weil diese eben an sehr sensiblen Knotenpunkten stehen....

Diese Backdoors haben ein Problem, wenn man die nicht kennt, wird man die auch nicht einfach so finden!

Wenn du auf einer Verantstaltung von Lancom warst, oder demnächst bist, achte auf die Wortwahl! Die schließen die Backdoors nicht aus. Aber die gehen zur Zeit davon aus, dass es keine gibt!


Lancom liefert auch nach USA und hat dort eine Zertifizierung bekommen, ohne Backdoor für die NSA. Aber komisch ist, dass alle anderen Hersteller (unteranderen Cisco) mit Zertifikat eine Backdoor für die NSA drin haben müssen. Warum ist das so?

 

[Bionten-Scout]

Zitat: ...Hätte man diesen Aufwand betrieben, wenn es eine andere Möglichkeit gegeben hätte, an die Daten ran zu kommen? - Sicher nicht!....

Falsch. Du vermischst hier verschiedene Ebenen. Das eine sind die Geheimdienste/Terrororganisationen das andere gewöhnliche Polizei/Justiz. Das eine hat mit dem anderen wenig zu tun. Wenn die "Gewöhnlichen" von den Backdoors Kentniss hätten, wäre es eher aufgeflogen. Nutzen zieht man aber nur, solange es geheim ist.

Zitat:...Lancom liefert auch nach USA und hat dort eine Zertifizierung bekommen, ohne Backdoor für die NSA....

Wenn sie eine US-Zertifizierung bekommen haben, dann gibts auch ein Backdoor. Nur sie dürfen das nicht bestätigen.

 

[websurferin83]

Wenn sie eine US-Zertifizierung bekommen haben, dann gibts auch ein Backdoor. Nur sie dürfen das nicht bestätigen.

Falsch. Geräte, die auf dem US-Markt verkauft werden, müssen nur dann ein Backdoor haben, wenn es sich um Provider-Geräte handelt. Geräte, die auf dem freien Markt verkauft werden, müssen dieses Backdoor nicht haben. Und da sie ihre Geräte dort nur frei verkaufen, haben sie keines drin. So wurde es definitiv auf einer Lancom-Veranstaltung ausgesagt.

EDIT:
@ bluntman:
Bei ihrem BSI-zertifizierten Portfolio werben sie auf ihrer Homepage damit, dass garantiert keine Backdoors vorhanden sind. Ich verlinke hier mal die URL der Grafik:
http://www.lancom-systems.de/uploads/pics/CC-Grafik_1_600px.gif

Mal sehen, ob die Grafik so erhalten bleibt...

Zumindest aktuell gehe ich daher davon aus, dass es dann auch wirklich so ist. Hoffen wir das Beste!

 

[Bionten-Scout]

.......müssen nur dann ein Backdoor haben, wenn es sich um Provider-Geräte handelt......

Nicht die Backdoors der Provider mit dennen der NSA und co verwechseln. Über die der NSA dürfen sie gar keine Aussagen machen.

 

[Sublogics]

Heise hat erste Antworten der Hersteller:

Noch immer können die Router-Hersteller keine plausible Erklärung dafür liefern, dass auf auf ihren Geräten ein undokumentierter Konfigurationsdienst läuft. Sie sind nach eigenen Angaben selbst noch mit der Analyse beschäftigt.[...]

Mehr...

 

[aspro]

Boah, bei so nem PR-Bullshit kriegt man ja das Kotzen.
"Im Augenblick überprüfen wir alle potentiellen Sicherheitslücken der verschiedenen WLAN-Router / DSL-Modemrouter" Das ist keine Sicherheitslücke, das ist eine aktiv implementierte Backdoor, Honks.
"Unsere Unternehmenspolitik untersagt es, Backdoors in unsere Produkte zu installieren." Ja nee klar, Cisco. Und die Überwachungspolitik untersagt es, Backdoors in unseren Produkten zu erwähnen.

Sollen sie doch einfach sagen: kein Kommentar. Dann wissen wir wenigstens was los ist. Stattdessen machen sie sich doch nur unglaubwürdig und lächerlich, wenn sie vorgeben, nicht zu wissen, was ihre Produkte so tun.

Jaja, ich hab hier auch einen Netgear rumstehen, aber zum Glück ist der schon alt und noch nicht betroffen. Bei weiteren Anschaffungen ist Ami-Netzwerktechnik aber mit Sicherheit auf der Blacklist.