Firmwareupdate 6360 85.05.07

[spooky]

Hallo,

bei mir läuft 5GHz recht gut

Dann werde ich das nachher mal testen..da ich allerdings nur 2 Geräte habe, die im 5 Ghz senden bzw empfangen wird das nur ein kurzer Test

[Kunterbunter]

Es geht darum, dass die Schnittstelle, mittels derer von außen ein Update eingespielt werden kann, relativ leicht missbraucht werden kann. So können Außenstehende theoretisch eine Firmware aufspielen, die - ähnlich einem Trojaner - Zugriff auf das interne Netzwerk erlauben.

Das ist gelinde gesagt Dummsprech. Ich unterstelle, dass du nicht weißt, wie diese Schnittstelle gesichert ist. Du kannst es ja mal analysieren und dann einen Angriff starten: http://www.broadband-forum.org/technica ... ment-4.pdf

[Guron]

@Kunterbunter

Relativ leicht mag übertrieben sein, aber dass jede Tür/Schnittstelle auch ein potentielles Sicherheitsrisiko darstellt, wirst du hoffentlich nicht ernsthaft bestreiten wollen.

[Kunterbunter]

Ein potentieller Einbrecher wird sich aber eine leichter zu knackende Tür/Schnittstelle aussuchen als ausgerechnet diese.
Wenn du jedes potentielle Sicherheitsrisiko ausschließen willst, darfst du deine Fritzbox als Tür/Schnittstelle zum Internet nicht anschließen.

[BastardLawyerFrmHell]

Es geht darum, dass die Schnittstelle, mittels derer von außen ein Update eingespielt werden kann, relativ leicht missbraucht werden kann. So können Außenstehende theoretisch eine Firmware aufspielen, die - ähnlich einem Trojaner - Zugriff auf das interne Netzwerk erlauben.

Das ist gelinde gesagt Dummsprech. Ich unterstelle, dass du nicht weißt, wie diese Schnittstelle gesichert ist. Du kannst es ja mal analysieren und dann einen Angriff starten: http://www.broadband-forum.org/technica ... ment-4.pdf

Da ich kein Programmierer, sondern Jurist bin, wird mir das so oder so nicht gelingen. Aber laut meinen Informationen ist die TR-069-Schnittstelle eine Backdoor, die auch die Konfiguration von Geräten zulässt, die sich hinter der Firewall befinden. Ich mag KDG nichts dahingehend unterstellen, dass von dort die TR-069 missbraucht wird, aber ich möchte nunmal selbst darüber entscheiden, wer potenziellen Zugriff von außen hat.

Wie dem auch sei: "Dummgerede" mag ich mir ungern unterstellen lassen. Ich habe nunmal eine etwas konservative Einstellung zu gewissen technischen Neuerungen. Du hast es doch bewusst gelesen, dass ich "relativ" geschrieben habe. Mit anderen Worten, der Missbrauch ist eben nicht so leicht. Im Gegenteil kann der Missbrauch für Außenstehende praktisch sogar unmöglich sein. Aber für Insider oder mit dem nötigen Insiderwissen ist der Missbrauch nunmal nicht unmöglich. Stichwort Bundestrojaner: Es wird gemunkelt, dass in der Hardware, die wir täglich benutzen, entsprechende Backdoors für Online-Durchsuchungen bereitstellen. Was an diesen Gerüchten dran sein mag, steht auf einem anderen Blatt Papier.

Wie dem auch sei. Ich muss mit den Informationen leben, die ich der kurzen Zeit halber in gebündelter Form - in diesem Fall aus dem Netz stammend - aufnehmen kann. Diese zeigten mir auf, dass die TR-069 einen entsprechenden Zugriff auf das interne Netzwerk theoretisch und in gewissen Schranken erlaubt.

Aus eigener Erfahrung weiß ich jedenfalls, dass TR-069 respektive das Firmware-Upgrade, ohne entsprechende vorherige Benachrichtigung, das interne und externe Netzwerk kurzzeitig lahmlegt - was für mich ein bedeutenderes praktisches Problem bedeutet.

Ein potentieller Einbrecher wird sich aber eine leichter zu knackende Tür/Schnittstelle aussuchen als ausgerechnet diese.
Wenn du jedes potentielle Sicherheitsrisiko ausschließen willst, darfst du deine Fritzbox als Tür/Schnittstelle zum Internet nicht anschließen.

Es kommt meines Erachtens eher darauf an, über welches Know-how der Einbrecher verfügt und welchen Nutzen er sich aus dem Einbruch verspricht (Aufwand-Nutzen-Relation). Ein Einbrecher, der mit einem Schlüsseldienst zusammenarbeitet und detaillierte Informationen über die Absicherung eines Hauses hat und dazu noch an einen Nachschlüssel kommt, nimmt einfach diesen, anstelle eine Scheibe einzuschlagen/aufzuschneiden. Ich kenne z.B. genügend Schlüsselmacher, die Sicherheitsschlüssel ohne Sicherheitsabfrage beim Hersteller kopieren.

Aber wie oben schon geschrieben: Aus praktischer Sicht finde ich es schlimmer, dass Firmware-Updates ohne vorherige Benachrichtigung quasi hinter dem Rücken des Kunden eingespielt werden. Absolutes No-go!

Frohes Neues übrigens.

PS: Einige Passagen geändert.

[Newty]

Da ich kein Programmierer, sondern Jurist bin, wird mir das so oder so nicht gelingen. Aber laut meinen Informationen ist die TR-069-Schnittstelle eine Backdoor, die auch die Konfiguration von Geräten zulässt, die sich hinter der Firewall befinden.

Richtig. Die Konfiguration hinter einer ebenfalls TR069 fähigen Firmware. Dies wird dazu verwendet, um zum Beispiel ein VoIP-Telefon in deinem WLan vom Provider konfigurieren zu lassen.
Alle mir bekannten Geräte mit einer solchen Funktion können die Autokonfiguration abschalten.
Eine Ausnahme ist die 6360. Warum? Der Modemteil wird ebenfalls über TR069 provisioniert. Eine Abschaltung würde bedeuten, dass nichts mehr geht, oder die VoIP-Nummern nicht mehr eingetragen werden.

Wie dem auch sei: "Dummgerede" mag ich mir ungern unterstellen lassen.

Dass hier Unwissenheit massiv abgestraft wird, sollte dir bekannt sein. Machst du aber auch bei Rechtsthemen

Mit anderen Worten, der Missbrauch ist eben nicht so leicht. Im Gegenteil kann der Missbrauch für Außenstehende praktisch sogar unmöglich sein. Aber für Insider oder mit dem nötigen Insiderwissen ist der Missbrauch nunmal nicht unmöglich.

Hierzu muss jemand per MITM dir eine falsche Konfiguration unterschieben, also direkten Zugang zu den DVA von KDG haben. Alternativ kann man natürlich gleich deine Konfiguration auf den Servern abändern. Auch besteht die Möglichkeit, die Konfiguration zu signieren, dass bedeutet also, dass eine MITM-Attacke massiv erschwert wird, da der Dritte nicht die Signatur der KDG nachbilden kann, ohne die passenden Privaten Schlüssel.

Stichwort Bundestrojaner: Es wird gemunkelt, dass in der Hardware, die wir täglich benutzen, entsprechende Backdoors für Online-Durchsuchungen bereitstellen. Was an diesen Gerüchten dran sein mag, steht auf einem anderen Blatt Papier.

Chemtrails, Haarp-Erdbeben und so weiter... jaja...

Hier haben wir aber eine klare Funktionsbeschreibung, die das Verhalten der Endgeräte klar umreißt.

Es kommt meines Erachtens eher darauf an, über welches Know-how der Einbrecher verfügt und welchen Nutzen er sich aus dem Einbruch verspricht (Aufwand-Nutzen-Relation).

Der Aufwand, TR069 ohne physikalischen Zugang zum Gerät zu knacken ist extrem hoch und quasi unendlich, wenn signiert wird. Lediglich ein Maulwurf mit sehr viel Freiraum im Rechenzentrum der KDG könnte es dort schaffen, eine VPN-Schnittstelle zu öffnen, die Zugang ins LAN von außen ermöglicht. Dass das noch keine Garantie ist, damit was anzufangen, sollte klar sein.

Apropos Sicherheit von Fritten: http://www.heise.de/newsticker/meldung/ ... 01820.html

[Kunterbunter]

Aber laut meinen Informationen ist die TR-069-Schnittstelle eine Backdoor, die auch die Konfiguration von Geräten zulässt, die sich hinter der Firewall befinden.

Dabei handelt es sich nicht um die TR-069-Schnittstelle, sondern um die TR-064: LAN-side DSL CPE Configuration Specification.
Deine Ansichten bezüglich der praktischen Probleme kann ich sogar nachvollziehen. Ich kann dazu nur sagen, du hast das falsche Gerät zum falschen Produkt beim falschen Anbieter gemietet, wenn du selbst darüber entscheiden möchtest, wer potenziellen Zugriff von außen hat.

Apropos WPS- Sicherheitslücke

[BastardLawyerFrmHell]

Da ich kein Programmierer, sondern Jurist bin, wird mir das so oder so nicht gelingen. Aber laut meinen Informationen ist die TR-069-Schnittstelle eine Backdoor, die auch die Konfiguration von Geräten zulässt, die sich hinter der Firewall befinden.

Richtig. Die Konfiguration hinter einer ebenfalls TR069 fähigen Firmware. Dies wird dazu verwendet, um zum Beispiel ein VoIP-Telefon in deinem WLan vom Provider konfigurieren zu lassen.
Alle mir bekannten Geräte mit einer solchen Funktion können die Autokonfiguration abschalten.
Eine Ausnahme ist die 6360. Warum? Der Modemteil wird ebenfalls über TR069 provisioniert. Eine Abschaltung würde bedeuten, dass nichts mehr geht, oder die VoIP-Nummern nicht mehr eingetragen werden.

Wie dem auch sei: "Dummgerede" mag ich mir ungern unterstellen lassen.

Dass hier Unwissenheit massiv abgestraft wird, sollte dir bekannt sein. Machst du aber auch bei Rechtsthemen

Mit anderen Worten, der Missbrauch ist eben nicht so leicht. Im Gegenteil kann der Missbrauch für Außenstehende praktisch sogar unmöglich sein. Aber für Insider oder mit dem nötigen Insiderwissen ist der Missbrauch nunmal nicht unmöglich.

Hierzu muss jemand per MITM dir eine falsche Konfiguration unterschieben, also direkten Zugang zu den DVA von KDG haben. Alternativ kann man natürlich gleich deine Konfiguration auf den Servern abändern. Auch besteht die Möglichkeit, die Konfiguration zu signieren, dass bedeutet also, dass eine MITM-Attacke massiv erschwert wird, da der Dritte nicht die Signatur der KDG nachbilden kann, ohne die passenden Privaten Schlüssel.

Stichwort Bundestrojaner: Es wird gemunkelt, dass in der Hardware, die wir täglich benutzen, entsprechende Backdoors für Online-Durchsuchungen bereitstellen. Was an diesen Gerüchten dran sein mag, steht auf einem anderen Blatt Papier.

Chemtrails, Haarp-Erdbeben und so weiter... jaja...

Hier haben wir aber eine klare Funktionsbeschreibung, die das Verhalten der Endgeräte klar umreißt.

Es kommt meines Erachtens eher darauf an, über welches Know-how der Einbrecher verfügt und welchen Nutzen er sich aus dem Einbruch verspricht (Aufwand-Nutzen-Relation).

Der Aufwand, TR069 ohne physikalischen Zugang zum Gerät zu knacken ist extrem hoch und quasi unendlich, wenn signiert wird. Lediglich ein Maulwurf mit sehr viel Freiraum im Rechenzentrum der KDG könnte es dort schaffen, eine VPN-Schnittstelle zu öffnen, die Zugang ins LAN von außen ermöglicht. Dass das noch keine Garantie ist, damit was anzufangen, sollte klar sein.

Apropos Sicherheit von Fritten: http://www.heise.de/newsticker/meldung/ ... 01820.html

Danke für die ausführlichen Erklärungen. Die schaffen mal etwas ausführlichere Aufklärung.

Wenn ich in den Rechtsgebieten jemandem zu nahe getreten sein sollte, dann tut es mir leid; das war nie beabsichtigt. Allerdings waren es auch überwiegend die Themenbereiche, in denen ich mich auch auskenne. Eigentlich versuche ich immer, Diffamierungen meiner Diskussionspartner zu vermeiden und - wie Du jetzt auch, Newty - meine Ausführungen zu erklären, auch wenn ich mal etwas "energischer" sage, dass etwas Behauptetes nicht richtig ist.

Hinsichtlich der Problematik mit der Erstkonfiguration der Fritte: Es wäre doch möglich, die TR-069 ab Werksreset zu aktivieren und anschließend manuell deaktivieren zu können. Firmware-Updates könnte man ohne Probleme manuell starten - geht mit meinem Fritz!Fon MTF auch.

Im Grunde genommen spielt es doch aber auch keine Rolle, welche Möglichkeiten, die TR-069 bereitstellt, tatsächlich genutzt werden und welche nicht. Eine solche Schnittstelle sollte meiner Meinung nach immer abschaltbar sein. Der Endkunde sollte selbst entscheiden können, wann er den Zugang von außen bereitstellt. Er muss diesen ja nicht einschränken, aber es zu können, schafft Vertrauen zwischen den Vertragspartnern.

Aber laut meinen Informationen ist die TR-069-Schnittstelle eine Backdoor, die auch die Konfiguration von Geräten zulässt, die sich hinter der Firewall befinden.

Dabei handelt es sich nicht um die TR-069-Schnittstelle, sondern um die TR-064: LAN-side DSL CPE Configuration Specification.
Deine Ansichten bezüglich der praktischen Probleme kann ich sogar nachvollziehen. Ich kann dazu nur sagen, du hast das falsche Gerät zum falschen Produkt beim falschen Anbieter gemietet, wenn du selbst darüber entscheiden möchtest, wer potenziellen Zugriff von außen hat.

Apropos WPS- Sicherheitslücke

Die Informationen hatte ich beim Stichwort TR-069 so erhalten. Aber Infos sind bekanntlich nur so gut, wie deren Ersteller.

Hmm, leider wurden entsprechende Angaben über die Fritz!Box nicht im Vorfeld gemacht. Man wird also erst im Nachhinein darüber informiert, welche Funktionen die Fritz!Box hat und welche nicht. Ich ging - auch nach dem ausführlichen Telefonat mit der KDG-Bestellhotline - davon aus, dass ich eine "typische", wie auch im freien Handel erhältliche Fritz!Box mit allen Funktionen erhalte. Die 6360 Cable wird ja auch als die Kabel-Variante der 7390 (oder so) beworben. Ja, nicht einmal in den AGB von Kabel Deutschland findet man eine entsprechende Passage. :-L

Darum ja auch meine bisherigen Ausführungen zu den Mietmängeln etc.

PS: Und ansich bin ich ja auch sehr zufrieden mit dem Produkt. Gelegentliche Telefonie-Ausfälle u.s.w. nehme ich auch in Kauf - auch wenn sie stören.

[Kunterbunter]

Ja, nicht einmal in den AGB von Kabel Deutschland findet man eine entsprechende Passage. :-L

Das würde ja ein schlechtes Licht auf die Juristen bei Kabel Deutschland werfen.
Ich bin zwar kein Jurist, aber ich weiß, dass man als Jurist sehr gut lesen können muss.
AGB 3.2.6:
Kabel Deutschland ist im Rahmen von Maßnahmen, die der vom Kunden beauftragten
Entstörung der Dienste von Kabel Deutschland dienen, auch bei nach Ziffer 3.2.2 überlassenen
Geräten (Kaufgeräten) berechtigt, die Konfigurationsdaten und die Betriebssoftware
herunterzuladen und zu verändern, um den Dienst für den Kunden wiederherzustellen. Dabei
werden die Konfigurationsdaten des Kunden nur insofern erfasst, wie es zur Wiederherstellung
der ursprünglichen Konfiguration notwendig ist.

[spooky]

Darf ich mal was einwerfen:

Eigentlich habe ich diesen Thread erstellt um über die FW 85.05.07 zu sprechen und wollte keine juristischen Scheiß daraus machen.
Ich danke allen die diesen Thread kaputt gemacht haben.
Macht doch euren eigenen Thread auf.. mit eurem Jura Mist.