AVM entweicht geheimer FritzBox-Schlüssel

[DerSarde]

Es ist aber komisch, dass Du immer noch nicht die 6.50 drauf hast. Hattest Du dafür schon mal Kontakt zu VKD?

Er hat die Box entbrandet (erkennbar an dem Menüpunkt "DVB-C"), damit ist die Verbindung zum Updateserver weg.

[Samchen]

@ DerSarde, so sieht es aus!

[robert_s]

Solange er nicht weiss, dass er das kompromittierte Hersteller-Zertifikat von AVM aktiv auf Untrusted setzen muss,

Das muss er nicht wissen, siehe die Security-Spezifikation:

The DOCSIS Root CA is held under tight access controls. The organization responsible for DOCSIS certification is responsible for maintaining the DOCSIS Root CA. The DOCSIS Root CA generates and distributes to operators a Certificate Revocation List (CRL), identifying revoked manufacturer certificates.

Also wenn der Prozess befolgt wird, müsste die DOCSIS Root CA das alte AVM-Herstellerzertifikat auf die CRL gesetzt haben. AVM kann dass mit dem entwichenen Herstellerzertifikat kaum vor denen "verheimlicht" haben, denn schließlich müssen sie das neue Zertifikat ja auch von der DOCSIS Root CA ausgestellt bekommen haben.

Und wenn die CMTS-Betreiber nicht grob nachlässig sind, haben sie die CertRevocationMethod nicht auf none(1), sondern auf crl(2), ocsp(3) oder crlAndOcsp(4) gesetzt, wovon das letzte das sicherste sein dürfte.

Um es mal noch deutlicher zu beschreiben: Es handelt sich hier um die Größte Sicherheitslücke von EuroDOCSIS seit bestehen von BPI+ und damit praktisch seit der Einführung von Kabelinternet in Deutschland.

Deine Panikattacke ist völlig fehl am Platz. Das Abhandenkommen von Zertifikaten ist eine Problematik, die in PKI-Infrastrukturen längst "eingeplant" und gelöst ist, nämlich mit CRLs und/oder OCSP. Informiere Dich mal ein wenig mit Google, wie oft schon Zertifikats-Schlüssel in die falschen Hände gelangt sind, die dann mit CRLs gesperrt wurden. Ich erinnere mich spontan an erschlichene Microsoft-Zertifikate und den Fall "DigiNotar", wo eine komplette CA gesperrt und dicht gemacht wurde.

[TAC]

Solange er nicht weiss, dass er das kompromittierte Hersteller-Zertifikat von AVM aktiv auf Untrusted setzen muss,

Das muss er nicht wissen, siehe die Security-Spezifikation:

The DOCSIS Root CA is held under tight access controls. The organization responsible for DOCSIS certification is responsible for maintaining the DOCSIS Root CA. The DOCSIS Root CA generates and distributes to operators a Certificate Revocation List (CRL), identifying revoked manufacturer certificates.

Also wenn der Prozess befolgt wird, müsste die DOCSIS Root CA das alte AVM-Herstellerzertifikat auf die CRL gesetzt haben. AVM kann dass mit dem entwichenen Herstellerzertifikat kaum vor denen "verheimlicht" haben, denn schließlich müssen sie das neue Zertifikat ja auch von der DOCSIS Root CA ausgestellt bekommen haben.

Und wenn die CMTS-Betreiber nicht grob nachlässig sind, haben sie die CertRevocationMethod nicht auf none(1), sondern auf crl(2), ocsp(3) oder crlAndOcsp(4) gesetzt, wovon das letzte das sicherste sein dürfte.

Ok, Ich erzähle Dir mal was: Was in der Spezifikation steht muss noch lange nicht in den CMTSen mit vollem Umfang implementiert worden sein, besonders bei günstigen Mini-CMTSen die langsam in den Markt kommen und sich bei kleineren KNBs beliebt machen.
Anders als bei Kabelmodems, haben sich die Hersteller von CMTSen lange oder komplett von einer Zertifizierung gedrückt.
Da es noch NIE einen solchen Vorfall gegeben hat und es derzeit auch vom EuroDOCSIS Root CA Owner (Excentis) noch keine CRL gibt (was auch schlimm ist), wurde hier in Sachen Hersteller-Zertifikats Revocation Operatives Neuland betreten! Die DOCSIS Spezifikation bietet hier neben einer CRL noch andere Methoden.
Du kannst nicht einfach die Spezifikation lesen und dann gleich allen Admins unterstellen, dass sie grob nachlässig noch kein Feature aktiviert haben was sie bis jetzt nicht gebraucht haben. Ein KNB mit der größe der VKD kann auch entsprechend Arbeitskraft dahinter stellen. Du musst aber das gesamte Bild betrachten und immer alle KNBs im Blick behalten und da gibt es leider auch welche, welche sich jede neue Konfiguration z.B. bei externen Beratern einkaufen müssen.

Um es mal noch deutlicher zu beschreiben: Es handelt sich hier um die Größte Sicherheitslücke von EuroDOCSIS seit bestehen von BPI+ und damit praktisch seit der Einführung von Kabelinternet in Deutschland.

Deine Panikattacke ist völlig fehl am Platz. Das Abhandenkommen von Zertifikaten ist eine Problematik, die in PKI-Infrastrukturen längst "eingeplant" und gelöst ist, nämlich mit CRLs und/oder OCSP. Informiere Dich mal ein wenig mit Google, wie oft schon Zertifikats-Schlüssel in die falschen Hände gelangt sind, die dann mit CRLs gesperrt wurden. Ich erinnere mich spontan an erschlichene Microsoft-Zertifikate und den Fall "DigiNotar", wo eine komplette CA gesperrt und dicht gemacht wurde.

Das ist keine Panikattacke, dass ist nur der Versuch den technisch interessierten Leuten hier im Forum zu verdeutlichen, welche Auswirkung dieser "Fauxpas" hat und welche Kreise er noch ziehen wird, betrachtet auf die Gesamtsituation. Da kann Ich leider keine Beschwichtigungen akzeptieren.

[robert_s]

Anders als bei Kabelmodems, haben sich die Hersteller von CMTSen lange oder komplett von einer Zertifizierung gedrückt.

Sträflicher Fehler #1.

Da es noch NIE einen solchen Vorfall gegeben hat und es derzeit auch vom EuroDOCSIS Root CA Owner (Excentis) noch keine CRL gibt (was auch schlimm ist),

Sträflicher Fehler #2.

Du kannst nicht einfach die Spezifikation lesen und dann gleich allen Admins unterstellen, dass sie grob nachlässig noch kein Feature aktiviert haben was sie bis jetzt nicht gebraucht haben.

Doch, das kann ich. Wer ein PKI-gesichertes System so konfiguriert, dass Lücken entstehen, handelt grob nachlässig. Das ist nicht anders als würden sie die Türen zu ihren Räumlichkeiten nie verschließen. Da würdest Du Dich ja auch nicht hinstellen und nach dem ersten Einbruch sagen "die waren nicht nachlässig, das haben sie bis jetzt nicht gebraucht"...

Ein KNB mit der größe der VKD kann auch entsprechend Arbeitskraft dahinter stellen. Du musst aber das gesamte Bild betrachten und immer alle KNBs im Blick behalten und da gibt es leider auch welche, welche sich jede neue Konfiguration z.B. bei externen Beratern einkaufen müssen.

Sträfliche Fehler #3 und #4: A) Infrastruktur-Betreiber, die offenbar ein mangelndes Sicherheitsverständnis haben, B) Pappnasen-"Berater", die nichts von PKI verstehen. Beides gehört eigentlich verboten, aber so einfach ist das leider nicht...

Das ist keine Panikattacke, dass ist nur der Versuch den technisch interessierten Leuten hier im Forum zu verdeutlichen, welche Auswirkung dieser "Fauxpas" hat und welche Kreise er noch ziehen wird, betrachtet auf die Gesamtsituation. Da kann Ich leider keine Beschwichtigungen akzeptieren.

Die Gesamtsituation hattest Du vorher nicht beschrieben. So wie Du es jetzt beschreibst, ist die Lage schlimmer, weil es offenbar viele gibt, die grob nachlässig gehandelt haben. Da nur AVM anzubellen - die sicherlich auch großen Mist gebaut haben, aber dessen Folgen bei korrektem Handeln der anderen Akteure gering gewesen wären - ist fehl am Platze. Da haben viele ihre Hausaufgaben zu machen.

[TAC]

Das liebe ich bei solchen Diskussionen. Verschiedene Argumente werden ausgetauscht, neue Blickwinkel ergeben sich und die Einstellung zu einer Meinung kann relativiert werden.

So habe Ich meine Meinung dahingehend angepasst, dass das Problem nicht zu 100% auf AVMs Schultern lastet. Du hast natürlich Recht, dass alle diese Punkte sträfliche Fehler darstellen und als Gesamtbild ein toxisches Gemisch bildet aber sie entsprechen leider dem Realbild, welches Ich seit Jahren in der Branche sehe.

Insofern muss man konsequenterweise immer die Gesamtsituation darlegen und nicht nur den Spot auf AVM richten, sondern die gesamte Bühne ausleuchten.

Ich bin Mir sicher, dass wir in einer Zeit leben, in dem man nicht mehr nach dem Motto ein Netz betreiben kann: "Ach das konfiguriere Ich jetzt nicht, braucht ja keiner".

Vielleicht sollte man AVM mitteilen, dass sie sich den Markt mal genauer ansehen sollten und die gleichen Erkenntnisse der vorher aufgeführten Punke erhalten.

Vielleicht ändert sich dann die Sprachregelung.

Ich denke Ich habe meine Bedenken umfassen dargelegt

[robert_s]

Du hast natürlich Recht, dass alle diese Punkte sträfliche Fehler darstellen und als Gesamtbild ein toxisches Gemisch bildet aber sie entsprechen leider dem Realbild, welches Ich seit Jahren in der Branche sehe.

Das wird wohl immer ein ähnliches Muster sein: Geschäftsleitung und Vertrieb treten den Technikern auf die Füsse, dass "endlich Umsatz gemacht werden muss", und dann werden Sicherheitsthemen auf der Zeitachse nach hinten geschoben ("wir sind ja noch so klein, da interessiert sich kein Hacker für uns"). Und wenn das Geschäft erst mal läuft, sieht auch keiner mehr ein, dass man Zeit = Geld investieren muss, um die Sicherheit nachzuziehen - "geht doch auch so". So wird das Thema Sicherheit ökonomisch wegoptimiert - bis es dann mal richtig knallt.

Um das zu ändern, müsste man vielleicht einen Straftatbestand für das Unterlassen von IT-Sicherheitsmaßnahmen schaffen, um das Weglassen von Sicherheitsmaßnamen teurer zu machen als das Umsetzen...