spooky hat geschrieben:Eher Europa... oder liefert AVM in die USA etc?
1. Es ist egal wohin AVM liefert. Jeder KNB der EuroDOCSIS nutzt ist betroffen! Weil sein CMTS das Root Cert der EuroDOCSIS Cable Modem CA verwendet. Auch wenn er kein einziges Kabelmodem von AVM auf seinem CMTS hat. Solange er nicht weiss, dass er das kompromittierte Hersteller-Zertifikat von AVM aktiv auf Untrusted setzen muss, können geklonte CM-MAC Adressen mit AVM signiertem CM-Zertifikat online kommen.
Um nun reagieren zu können, wird die Seriennummer des kompromittierten Hersteller-Zertifikats benötigt. Wenn man aber kein altes Kabelmodem von AVM hat, hat man adhoc auch keine Quelle für die Seriennummer.
Bisher galt BPI+ und die dafür verwendete PKI Infrastruktur als sichere Authentifizierung der CM-MAC-Adresse. Seit der Entstehung von BPI+ um 2000 rum ist mir KEIN Vorfall bekannt, in dem es ein Hersteller so verbockt hat. AVM ist im Markt der Kabelmodems aber halt immer noch der Rookie
2. CMTS Hersteller haben oft beide Root Certs (US und EU) in der Firmware. Der Grund dafür liegt darin, das es manche KNBs gibt die DOCSIS, sowie EuroDOCSIS Kabelmodems betreiben, weil sie vielleicht sehr früh mit DOCSIS begonnen und später mit EuroDOCSIS weiter gemacht haben. Da sich aber eventuell noch viele DOCSIS Kabelmodems im Feld befinden, währe ein Austausch kostspielig => Parallelbetrieb von DOCSIS und EuroDOCSIS auf einem CMTS.
Man kann also nur hoffen, dass die CMTS Admins in den USA schon aus Prinzip das Root Cert von EuroDOCSIS gelöscht haben aber kann das AVM mit Sicherheit sagen?
Was es auch noch zu beachten gibt: Es gibt ja da draussen auch viele kleine KNBs die keiner Interessengemeinschaft angehören oder einen direkten Draht zu AVM, Excentis oder CableLabs haben. Wie um Himmelswillen sollen die es denn raffen? Es bedarf einer konkreten Warnung durch entsprechende Instanzen (BNetzA für Deutschland) und Excentis an die Betreiber, dass das alte Hersteller-Zertifikat mit Angabe der Seriennummer IM AR.CH IST und JEDER betroffen ist!
Um es mal noch deutlicher zu beschreiben:
Es handelt sich hier um die Größte Sicherheitslücke von EuroDOCSIS seit bestehen von BPI+ und damit praktisch seit der Einführung von Kabelinternet in Deutschland. AVM sichert sich somit Platz 1 und verweist Herrn Alexander Graf mit Abstand auf den Zweiten.
BPI+ und die PKI wurden entwickelt, damit das Klonen von CM-MAC Adressen im großem Still unterbunden werden kann.
In der Vergangenheit wurden zwar schon CM-MAC Adressen geklont. Dabei brauchte es in der Regel physikalischen Zugang zum Kabelmodem. Dies legt aber wiederum nahe, dass der Besitzer der ursprünglichen CM-MAC Adresse entweder Bescheid wusste oder beim Verwahren seines Kabelmodems fahrlässig gehandelt hatte.
Da ist die süsse, kleine, unschuldige Beschwichtigung von AVM echt unter aller Sau!
![[img]http://www.bilder-hosting.info/vorschau ... 73666e.png[/img]](http://www.bilder-hosting.info/viewer.php?id=bwy1478973666e.png){kind=link}