Schwere Sicherheitslücke in Vodafone EasyBox-Routern

[jusu]

Das diese Sicherheitslücke ausgenutzt wird musste ich selbst schon feststellen.
Unbekannte haben sich bei mir vor ca. 1 Jahr Zugang zum Wlan gemacht und Anrufe ins Ausland getätigt. Vodafone war aber damals so kulant und hat die Kosten erstattet.

[DMW007]

Wenn du in ein fremdes WLAN eindringst trifft dich doch keine Schuld? Es ist doch die Blödheit des Routerbesitzers / Anschlussinhabers wenn der Router auf "Free 4 All Happy Hour" steht oder ein 0815 Passwort hat.

Das kann man nicht pauschalisieren, rechtlich muss zwischen unverschlüsseltem und geschütztem WLAN unterschieden werden. Wenn du dich in ein komplett ungeschütztes WLAN-Netzwerk einloggst machst du dich als Nutzer nicht strafbar. Das reine umgehen von Schutzmaßnahmen ist allerdings bereits verboten. Ob die stark oder schwach sind ist dabei unerheblich, WEP zu knacken ist genau so strafbar wie WPA oder eben das Ausnutzen von Sicherheitslücken. Ob die aus Unwissenheit entstanden sind oder der Besitzer seinen Router schlicht und einfach nicht regelmäßig updatet spielt dementsprechend ebenfalls keine Rolle. Sobald eine Schutzmaßnahme umgangen werden muss, ist es illegal.

Dasselbe gilt nebenbei gesagt auch für Privatkopien von CDs, Filmen etc. So lange sie nicht kopiergeschützt sind ist das erlaubt, aber sobald ein Kopierschutz umgangen werden muss um kopieren zu können macht man sich rein rechtlich strafbar.Bezüglich des WLANs ist korrekt, dass grundsätzlich jeder für sein WLAN verantwortlich ist. Wenn also beispielsweise WEP-Verschlüsselung eingesetzt wird oder ein minderwertiger Schlüssel kann der Anschlussinhaber möglicherweise ebenfalls wegen Verletzung seiner Sorgfaltspflicht haftbar gemacht werden.

Das ändert aber nichts an der Tatsache, dass du dich selbst strafbar machst, wenn du Schutzvorkehrungen umgehst. Eine Straftat wird nicht durch das Fehlverhalten eines anderen ausgelöscht. Sonst könnte man ja auch einfach jedes nicht abgeschlossene Auto klauen, ohne bestraft zu werden. In dem Fall ist es aber nicht anders: Der Fahrzeuginhaber hat sich falsch verhalten und genießt dadurch z.B. keinen Versicherungsschutz, aber als jemand der dieses Auto unbefugt nutzt hast du es trotzdem geklaut und dich damit strafbar gemacht.

[freulein]

@ jusu,

sowas passiert immer noch verbreitet... siehe z.B. folgenden Zeitungs-Artikel von gestern:

Teure Südsee-Telefonate: Immer mehr Betrugsopfer / Stadt Wolfsburg / Wolfsburg - WAZ/AZ-online.de

Es wird ja immer gesagt, daß die Fritzboxen ziemlich sicher sind... und was WPA-Default-Password angeht (bei den aktuellen Geräten mittlerweile eine 20-stellige Zahl, die nicht aus anderen Parametern der Box berechnet wird, sondern bei der Herstellung zufällig berechnet und geflashed wird), sowie die konservativen Default-WPS-Einstellungen, stimmt das wohl auch. Dennoch gibt es eine größere Lücke mancher Fritzboxmodelle im Bereich des Fernzugriffs, von der auch heise schon eingehend berichtete. Da der illegal Zugriff übers Internet stattfindet und nicht lokal über WLAN ("Zugang zu WLAN verschafft" ist hier die falsche Beschreibung), wird er weniger genutzt, um sich illegal einen Internetzugang zu verschaffen (den hat der, der in dem Moment auf die Fritzbox illegal zugreift, ja sowieso gerade schon), sondern größtenteils, um kostenlose Telefonate führen zu können.

[DMW007]

Eigentlich sollte es selbstverständlich sein, dass ein WPA-Schlüssel aus möglichst zufällig generierten Zeichen erzeugt wird. Dort Daten wie die Seriennummer zu verwenden halte ich für sehr dumm. Gerade in Kombination mit WPS, was ja bei modernen Routern nicht selten standardmäßig aktiviert ist.

In Fritz! Boxen wurde Anfang des Jahres eine Lücke in der Fernzugriffsfunktion entdeckt, das ist richtig. Diese bot kompletten Zugriff auf die Konfiguration und somit theoretisch auch auf das WLAN-Passwort, was in dem Fall für einen Einzelnen aber recht unbrauchbar sein dürfte. AVM hat hier allerdings absolut vorzeigemäßig reagiert und innerhalb weniger Tage entsprechende Updates veröffentlicht. Soweit ich das in Erinnerung habe sogar über das Wochenende, die Lücke wurde Freitag/Samstag bekannt und am Montag war das Update draußen. Zumal das Update etliche Modelle betraf, was den Aufwand vergrößern dürfte. Meinen Respekt haben sie dafür.

Davon können sich Firmen wie Apple und Sony, die hochbrisante SQL-Injections und andere gefährliche Lücken nicht nur Monatelang offen stehen lassen, sondern diese sogar trotz mehrfacher freiwilliger Meldungen der Entwickler ignorieren, mehr als nur eine Scheibe abschneiden... Es dauerte bei den Fritz! Boxen zwar eine Weile bis das Update Verbreitung gelang, aber dafür kann man AVM nicht wirklich die Schuld geben. Grade bei den Kabelnetzbetreibern werden beispielsweise oft mit vom Anbieter modifizierter Firmware ausgeliefert, sodass es nach einem Update seitens AVM dort noch mal eine Weile dauert, bis die ihren Kram auch angepasst haben. Selbst als informierter und sicherheitsbewusster Kunde sind einem hier also die Hände gebunden, was für mich ein Grund darstellt solche Kabelanbieter zu meiden.

Wer als Softwarehersteller freiwillige Meldungen die Zugriff auf die gesamten Kundendaten ermöglichen nicht ernst nimmt, dem ist echt nicht mehr zu helfen. Ich als verantwortlicher würde dem den roten Teppich ausrollen. Er hätte nämlich genau so gut die Lücke für sich behalten oder im schlimmsten Fall sogar in zwielichtigen Kreisen verkaufen und eine Menge Geld verdienen können. Andere Firmen setzen nicht umsonst teils recht hohe Prämien aus, wenn man brisante Schwachstellen findet und meldet.

Als Kunde sollte man sich daher ernsthafte Gedanken darüber machen, ob man einer Firma für die Sicherheit irgendwo recht weit unten auf der Liste steht seine Daten anvertrauen und dessen Handlungen durch einen Kauf auch noch unterstützen möchte. Sicherheitslücken kommen nämlich in den besten Produkten/Firmen vor. Es stellt sich daher eher weniger die Frage ob eine bestimmte Software verwundbar ist, sondern wie die Hersteller damit umgehen. Gerade Router sind wichtige und daher recht sicherheitskritische Komponenten. Wenn sich die meisten Kunden nicht darum scheren wird sich nichts ändern. Im Gegenteil, die Hemmschwelle wird bei anderen sogar sinken, auch mehr Profite auf Kosten der Sicherheit zu erwirtschaften. Angesichts steigender Datenmengen und zunehmender Verbreitung von IT im Alltag würde ich so eine Entwicklung als äußerst gefährlich einstufen.

[freulein]

Es gibt massenhaft Rentner, aber auch jüngere Leute, die von Computern nichts verstehen, und auch nichts verstehen wollen. Mails von Providern drücken sie weg, wenn da was drinsteht, was sie auf Anhieb nicht verstehen. Computermagazine lesen sie nicht, weil Computer sie nicht interessieren. Sie wollen im Internet sörfen, die Mediatheken oder youtube anschauen, bei Amazon was bestellen, und das wars. Die würden nie im Leben in die Routerkonfiguration gehen, weil sie in der Routeranleitung gar nicht bis zur Stelle kommen, wo deren Initial-User/Password angegeben sind. Die Routeranleitung lesen sie nämlich gar nicht. Auf dem Router steht hinten groß nen Passwort, und das geben sie ein, fertig... WENN ÜBERHAUPT. Ich habe z.B. einen Nachbarn, der weiß gar nicht, daß sein Router WLAN hat. Der hat einfach seinen Lappi mit Netzkabel an den Router angeschlossen, weil ihm das der Vermieter so gesagt hat, und fertig. Wenn man dem was von WLAN erzählt, das er auch abstellen könnte, kriegt er Fragezeichen in den Augen.

Wir lachen über diese Fälle. Aber in Wahrheit ist es echt die Frage, ob das nicht sogar die Mehrheit aller User ist, die so ein praktisch nicht vorhandenes Computerverstehen haben.

Das wird man auch nie völlig wegbekommen. Diese Menschen wollen nämlich auch gar nicht informiert werden. Wenn man ihnen sagt, sie müssten dies oder jenes tun, kriegen sie augenblicklich einen Leidensausdruck im Gesicht. Sie haben nämlich ein wenig Angst vorm Computer, vor der Überforderung. Sie scheuen daher die Auseinandersetzung mit technischen Dingen am Computer wie der Teufel das Weihwasser. Gefahren werden verdrängt.

Es ist also wirklich so, daß die Verantwortung der Hersteller und/oder Provider, schon im Auslieferungszustand der Netz-Hardware ein möglichst sicheres System zu bieten, riesengroß ist... denn je "dümmer" die Leute, desto größer ist sie nun mal.

Beim Auto ist es ähnlich. Die Anzahl der Toten im Straßenverkehr sank in den letzten Jahrzehnten drastisch... am geänderten Fahrverhalten, einer größeren Um- und Vorsicht der Autofahrer liegt es wohl kaum... sondern die Autohersteller haben immer stabilere und sicherere Autos hergestellt... deswegen.

[DMW007]

Das ist ein Grund, weshalb solches Verhalten der Hersteller zu verurteilen ist. Router die für den Privatbereich gedacht sind sollten eine ab Werk aktivierte automatische Updatefunktion für Sicherheitsupdates bieten oder wenigstens den Nutzer über Updates informieren. Manuelles updaten macht hier auch für versierte User nicht wirklich Sinn. Zumal neue Firmwares bei vernünftigen Routern ordentlich getestet werden, sodass es unwahrscheinlich ist, dass dadurch etwas zerschossen wird. Etwas derartiges habe ich bisher auch noch nie erlebt.

Einen ähnlichen Effekt hatte ja die Einführung von ab Werk verschlüsselten WLANs. Früher war es üblich, dass WLAN-Router ab Werk unverschlüsselt sind. Der 0815 User hat den Router eingesteckt, an seinem PC auf verbinden geklickt, hat funktioniert und damit war die Sache für viele erledigt und es gab dementsprechend viele offene WLANs. Seit einiger Zeit sind selbst Billig-Geräte ab Werk verschlüsselt, daher ist die Anzahl unverschlüsselter WLAN-Netze in den letzten Jahren immer weiter zurückgegangen.

Komplett Entschuldigen kann man die Unwissenheit der Leute damit aber nicht. Wer einen Computer mit Internetanschluss besitzt muss ein gewisses Maß über die von ihm eingesetzte Technik besitzen, um damit nicht zur Gefahr für sich selbst und andere zu werden. Technik kann dem Nutzer nicht alles abnehmen und da wo es möglich ist wie beispielsweise automatische Sicherheitsupdates für Router wird es nur sehr zögerlich umgesetzt, weil man wohl Kosten sparen will. Dementsprechend sollte ein mündiger Nutzer momentan auch darüber bescheid wissen.

Ist und soll liegt leider aber auch hier noch viel zu weit auseinander. Eine sinnvolle Lösung dafür wäre entsprechenden IT-Unterricht in den Schulen einzuführen, wie ich bereits an anderer Stelle mehrfach vorgeschlagen hat. IT ist im Alltag nicht mehr wegzudenken und ein gewisses Grundwissen gehört daher meiner Meinung nach zur Vorbereitung aufs Leben definitiv dazu. Zumal das heutzutage nicht mal mehr aufs Spätere sondern eher auf das momentane Leben vorbereitet, PC und Smartphone sind ja teilweise schon für Grundschüler Normalität.

Nachdem ich gestern aber wieder gelesen habe, dass die IT-Ausstattungen von den Schulen immer schlechter wird und auch sonst kaum wirkungsvolle Anstrengungen in die Richtung unternommen werden, sehe ich hier in absehbarer Zeit eher eine Verschlechterung als Verbesserung. Dementsprechend werden viele Leute also weiterhin erst lernen wenn es knallt, wenn überhaupt.

Naja zurück zum eigentlichen Thema: AVM hat aus der schweren Sicherheitslücke Anfang des Jahres Konsequenzen gezogen und eine automatische Updatefunktion eingebaut:



Finde ich gut, dass die Funktion ab Werk aktiv ist und man recht umfangreich einstellen kann was diese tun soll. Bei anderen Herstellern ist das leider noch Zukunftsmusik... Es wird also wohl noch ein paar Jahre dauern bis das zum Standard geworden ist, und dann wiederum noch mal einige Jahre bis das auch bei den ganzen Anwendern ankommt. AVM bietet diese Funktion zwar auch für etwas ältere Modell an. Allerdings stecken die problematischen Leute eben in einem Teufelskreis: Sie müssen Updaten um diese Funktion nutzen zu können, aber ihre Geräte sind unsicher weil sie eben nicht updaten. Und wer von selbst updatet, dem nimmt die Funktion Arbeit ab aber ist eher eine Komfort-Verbesserung, da so jemand ohnehin von sich aus Aktualisierungen einspielt.

Es gibt also mittlerweile einen wichtigen Punkt mehr, der für den Kauf einer Fritz! Box anstelle eines anderen WLAN-Routers spricht.
Trotz allem werden wir wohl noch einige Sicherheits-Skandale erleben bei denen etliche Router ungepatcht im Internet rumgeistern, bis alle Hersteller das einbauen und die Altgeräte nicht mehr verwendet werden...

[zeroycb]

Ist ja kein neuer Fall in diesem Sinne. sondern das neue sicherheitssystem wurde nur entschlüsselt.
Und in diesem Fall gehst du ja nicht ausversehen rein sondern gezielt weil du ja den pin gezielt erstellst aus den vorgaben somit zählt es unter illegal

[DMW007]

Ein Fehler sollte dauerhaft behoben werden. Wenn dein Wasserrohr undicht ist wirst du dieses Problem auch nicht durch herunterstellen eines Eimers lösen, den du bis an dein Lebensende ständig leeren musst, sondern das Rohr vernünftig reparieren (lassen) damit es wieder dicht ist. Sicherheitslücken sind die schlimmsten Varianten von Fehlern, dementsprechend ist rumflicken dort vollkommen inakzeptabel, als Dauerlösung sowieso.

Der springende Punkt ist, dass die WLAN-Schlüssel aus Seriennummer und anderen Infos generiert werden, die mit vergleichsweise geringem Aufwand von jedem ermittelt werden können der sich in Reichweite befindet. Und dass man selbst einen selbst erzeugten sicheren WLAN-Schlüssel umgehen kann, in dem man per WPS einen sehr einfachen PIN eingibt.

Das ist vom Konzept her zum Scheitern verurteilt. Eine vernünftige Lösung würde in einer zufälligen Zeichenfolge aussehen. Und bei WPS in der Deaktivierung von einfachen PINs. Andere Hersteller wie AVM beweisen bereits seit längerem, dass es besser geht. Dementsprechend geht es nicht darum, dass das neue System "nur" entschlüsselt wurde. Sondern darum, dass die "Lösung" äußerst mangelhaft ist, wodurch sich das neue System umgehen ließ.

Um beim Wasserrohr-Beispiel zu bleiben hat der Hersteller einfach nur den Eimer geleert. Dass der Eimer irgendwann wieder voll sein wird war abzusehen, und das ist in letzter Zeit passiert. Hätte der Hersteller das Problem vernünftig behoben wie oben beschrieben, hätte ein Klemptner das Rohr abgedichtet und das Problem wäre erledigt gewesen.

Natürlich ist das illegal. Nur wird das Leute die in diesem Gewerbe ihr Geld verdienen nicht weiter interessieren, da das für die Alltag ist. Zumal es praktisch unmöglich ist den Täter auszumachen, wenn dieser mit einem Fahrzeug durch die Gegend fährt um verwundbare Geräte zu finden und von der Schwachstelle zu profitieren.