1. Foren
  2. Kommentare
  3. PC-Hardware
  4. Alle Kommentare zum Artikel
  5. › AVM im Interview: Vier externe…

Sehr unglaubwürdig

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Sehr unglaubwürdig

    Autor: hw75 13.03.14 - 08:16

    Irgendwelche unbenannten "Sicherheitsfirmen" hätten nichts gefunden, alles klar.

    Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen Portscan laufen lassen und kurz mal schauen was an dem Ding offen ist und zugänglich. Ein Admin Zugang kann wohl kaum "tief vergraben" sein. Für wie blöd halten die die Leute eigentlich?

  2. Re: Sehr unglaubwürdig

    Autor: Oldschooler 13.03.14 - 08:20

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Ein Admin Zugang kann wohl kaum "tief vergraben" sein.

    Und wieso nicht? Admin-Zugänge sollten immer tief vergraben sein. Portscans sind gegen gut versteckte Hintertüren oder für das finden vieler Probleme übrigens total unnütz.

  3. Re: Sehr unglaubwürdig

    Autor: MisterProll 13.03.14 - 08:22

    "Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es leider auch gefunden hat."

    Und das wiederum heißt, daß die externen Firmen udn AVM nicht allzuviel Energie reinstecken um sowas zu finden.

  4. Re: Sehr unglaubwürdig

    Autor: Anonymer Nutzer 13.03.14 - 08:25

    wie konkret sah denn die Sicherheitslücke aus, also was nutzte der Exploit?

  5. Re: Sehr unglaubwürdig

    Autor: Neko-chan 13.03.14 - 08:32

    Wenn ichs richtig verstanden habe (und ich hab mich mit der Sache nicht wirklich beschäftigt) wurde ein Fehler in der Fernzugriffsfunktion so ausgenutzt, dass die Box eine Mehrwertnummer zur Einwahl benutzt.
    Wobei .. so im Nachhinein erinnert mich das an diese Dialer aus den Modemzeiten wo man noch über eine Telefonnummer eingewählt hat *schmunzelt*

    ----------------------------------
    Kopf -> Tisch -> Bumms

  6. Re: Sehr unglaubwürdig

    Autor: ICH_DU 13.03.14 - 08:35

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Irgendwelche unbenannten "Sicherheitsfirmen" hätten nichts gefunden, alles
    > klar.
    >
    > Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen
    > Portscan laufen lassen und kurz mal schauen was an dem Ding offen ist und
    > zugänglich. Ein Admin Zugang kann wohl kaum "tief vergraben" sein. Für wie
    > blöd halten die die Leute eigentlich?

    Klar die Lücke ist via Portscan auffindbar.... ich kenn da son Spruch: Wenn man keine Ahnung hat einfach mal die Fresse halten ;)

  7. Re: Sehr unglaubwürdig

    Autor: hackCrack 13.03.14 - 08:44

    +1

  8. Re: Sehr unglaubwürdig

    Autor: 0xDEADC0DE 13.03.14 - 08:50

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen
    > Portscan laufen lassen und kurz mal schauen was an dem Ding offen ist und
    > zugänglich. Ein Admin Zugang kann wohl kaum "tief vergraben" sein.

    Falls du den anderen Kommentar nicht verstanden haben solltest: Es war kein offener Port.

    > Für wie blöd halten die die Leute eigentlich?

    Eigentor...

  9. Re: Sehr unglaubwürdig

    Autor: dimorog 13.03.14 - 08:54

    Du glaubst auch noch an den Osterhase und an die Zahnfee oder?
    Auch wenn ich mich damit bislang weniger beschäftigt habe ist so ein exploit eine komplizierte Angelegenheit, ein Portscaner dafür zu benutzen ist so sinnvoll wie mit dem Einkaufswagen in die Waschstraße zu fahren. Wie der Name schon sagt werden ja nur Ports gescant - wer sagt nicht das ein regulär offener Port für sagen wir ... telnet oder ssh, also für den Fernzugriff nicht den exploit beinhaltet? Es ist also legitm das ssh oder telnet offen ist, wie erkennst du dann den Bug/Exploit ?

  10. Re: Sehr unglaubwürdig

    Autor: Anonymer Nutzer 13.03.14 - 08:55

    meine Frage war eher nach dem _Wie_
    Das von hw75 klang danach, als hätte an über einen bestimmten Port auf die Box zugreifen können?

  11. Re: Sehr unglaubwürdig

    Autor: Sarkastius 13.03.14 - 09:04

    MisterProll schrieb:
    --------------------------------------------------------------------------------
    > "Das heißt aber auch, dass da jemand mit sehr viel Energie gesucht und es
    > leider auch gefunden hat."
    >
    > Und das wiederum heißt, daß die externen Firmen udn AVM nicht allzuviel
    > Energie reinstecken um sowas zu finden.

    Nein das heist das es einer durch Zufall geschafft hat! Da steht ja wohl nicht das eine Person mit dem Ziel sich hingesetzt hat und es versucht hat. Warscheinlich haben es tausende probiert und sind nicht zum Ziel gekommen.

    >Irgendwelche unbenannten "Sicherheitsfirmen" hätten nichts gefunden, alles klar.

    > Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen Portscan >laufen lassen und kurz mal schauen was an dem Ding offen ist und zugänglich. Ein >Admin Zugang kann wohl kaum "tief vergraben" sein. Für wie blöd halten die die >Leute eigentlich?

    Warum sollte AVM die Firmen nennen?!? Um Mitarbeiter erpressbarer zu machen? Um das Problem zu überspielen? Um sich zu profilieren? Und wie schon erwähnt., ein Portscan hat nichts mit dem Ausnutzen von Softwareschwachstellen zu tun, da hier kein unbekannter Serviceport gefunden wurde der dann genutzt wurde.

  12. Re: Sehr unglaubwürdig

    Autor: User2 13.03.14 - 09:20

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Irgendwelche unbenannten "Sicherheitsfirmen" hätten nichts gefunden, alles
    > klar.
    >
    > Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen
    > Portscan laufen lassen und kurz mal schauen was an dem Ding offen ist und
    > zugänglich. Ein Admin Zugang kann wohl kaum "tief vergraben" sein. Für wie
    > blöd halten die die Leute eigentlich?


    Ein Mann hat Millionen verdient mit einer Wünschelrute welche Sprengstoff finden sollte?
    Na kennt ihr die News noch? War einige Tage bei sueddeutsche und Co.
    Millionen sag ich euch!

    Also stell bitte nicht die offensichtliche Dummheit in Frage. Es gibt Dienstleister, zertifizieert welche mit Billig IR Thermo Kameras ihr Geld damit verdienen den Leuten für teuer Geld zu sagen wo Ihr Häusschen Undicht ist...
    Zu über 50% zwar "verarsche" bzw. wannebe Profis aber dennoch legal...

  13. Re: Sehr unglaubwürdig

    Autor: crmsnrzl 13.03.14 - 09:38

    Daran erkennt man eben, dass du keine Ahnung hast.

    Als ich das letzte mal im Netz unterwegs war und am ssh-Port vobei kam, stand da ein Schild "Exploit >". Das war sozusagen nicht zu übersehen. ;)

  14. Re: Sehr unglaubwürdig

    Autor: hw75 13.03.14 - 09:42

    Ich sagte, dass bereits Kinder Portscans machen können, nicht dass der Bug hier an einem simplen offenen Port lag. Das wäre ja noch schöner, und seitens AVM gar nicht zu rechtfertigen gewesen. Hier wird näheres zum Exploit beschrieben: http://www.heise.de/security/meldung/Jetzt-Fritzbox-aktualisieren-Hack-gegen-AVM-Router-auch-ohne-Fernzugang-2115745.html

    Ich finde es halt weiterhin einfach unglaubwürdig, dass die Herstellerfirma und gleich 4 (!) weitere ganze Firmen da trotz angeblicher Suche nichts gefunden haben.

    Für glaubwürdig würde ich es halten, wenn diese Firmen allesamt US-Firmen gewesen wären und deshalb "nichts gefunden".

  15. Re: Sehr unglaubwürdig

    Autor: gaym0r 13.03.14 - 09:51

    Schön dass auch keiner Portscans durchführen können. Wenn es aber nicht hilft das Problem zu lösen, was hat es dann damit zu tun?

  16. Re: Sehr unglaubwürdig

    Autor: g0r3 13.03.14 - 10:29

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Irgendwelche unbenannten "Sicherheitsfirmen" hätten nichts gefunden, alles
    > klar.
    >
    > Sowas glaubt doch kein Mensch. Das kann jedes Kind heutzutage, einen
    > Portscan laufen lassen und kurz mal schauen was an dem Ding offen ist und
    > zugänglich. Ein Admin Zugang kann wohl kaum "tief vergraben" sein. Für wie
    > blöd halten die die Leute eigentlich?

    Ich halte dich für blöder. Offensichtlich ohne irgendwelches Hintergrundwissen Sprüche wie "Das kann jedes Kind heutzutage, einen %insert_random_haxing_term here%laufen lassen und kurz mal schauen was an dem Ding offen ist" labern und dann wundern, warum die Unternehmen mit Expertise die Kundschaft für dumm halten.

  17. Re: Sehr unglaubwürdig

    Autor: 3rain3ug 13.03.14 - 11:04

    Neko-chan schrieb:
    --------------------------------------------------------------------------------
    > Wenn ichs richtig verstanden habe (und ich hab mich mit der Sache nicht
    > wirklich beschäftigt) wurde ein Fehler in der Fernzugriffsfunktion so
    > ausgenutzt, dass die Box eine Mehrwertnummer zur Einwahl benutzt.
    > Wobei .. so im Nachhinein erinnert mich das an diese Dialer aus den
    > Modemzeiten wo man noch über eine Telefonnummer eingewählt hat *schmunzelt*

    Ich hatte es viel mehr so verstanden das eine XSS Attacke benötigt wurde...
    Und zwar wurde über eine oder mehrere Webseiten X in einem I-Frame eine URL der im lokalen Netzwerk vielleicht vorhandenen Fritzbox aufgerufen um ein Backup der gesammten Konfiguration herunter zu laden... (URL stand im Zusammenhang mit einem Vorbereitungsschritt für ein Firmwareupdate bei der die Config unverschlüsselt geladen werden konnte...benötigte wohl auch keine Anmeldung am Router) und per JavaScript auf ein Server übertragen... mit der Heruntergeladenen Konfig wurde dann nach dem schon etliche Router zum Opfer gefallen sind geziehlt solche manipuliert in deren Configs Fernzugriffe konfiguriert waren da man die dazugehörigen Adressen und Zugangsdaten nun kannte...

  18. Re: Sehr unglaubwürdig

    Autor: a user 13.03.14 - 11:23

    hw75 schrieb:
    --------------------------------------------------------------------------------
    > Ich finde es halt weiterhin einfach unglaubwürdig, dass die Herstellerfirma
    > und gleich 4 (!) weitere ganze Firmen da trotz angeblicher Suche nichts
    > gefunden haben.
    nun ja, wenn das alles ist, was es dich für so unglaubwürdig macht, dann kann ich nur sagen, dass du absolut keinen schimmer hast wovon du da redest, aber sowas von überhaupt nicht, dass selbst meine 85-jährige oma mehr ahnung hat.

  19. Re: Sehr unglaubwürdig

    Autor: M.P. 13.03.14 - 12:02

    Nutzer ruft Internet-Seite auf.

    In der Internet-Seite steht im Quelltext eine Referenz auf die Fritz-Box.

    http://fritz.box/<kompromittierendes Kommando>

    Das könnten z. B. Einrichtungen von Rufweiterleitungen usw sein.

  20. Re: Sehr unglaubwürdig

    Autor: Grevier 13.03.14 - 13:13

    So ein Quark... Das war doch nur ein ganz normaler Bug in der Router-Software... Was ist daran so unglaublich? Solche Dinge geschehen nunmal wenn man Software entwickelt. Du tust ja gerade so als wäre AVM das einzige Unternehmen, dass jemals seine Software nachbessern musste..

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Go-to-Market Experte "New Work Produkte" (m/w/d)
    Haufe Group, Freiburg im Breisgau, Sankt Gallen (Home-Office möglich)
  2. SAP SuccessFactors Berater (m/w/x)
    über duerenhoff GmbH, Raum Freiburg
  3. Applikationsingenieur (w/m/d)
    B. Braun Melsungen AG, Melsungen
  4. Informatiker*in oder Elektroingenieur*in (m/w/d) mit Spezialisierung im Bereich Data Science und KI-gestützte Softwareanwendungen
    Institut für Arbeitswissenschaft und Technologiemanagement der Universität Stuttgart (IAT), Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 424,99€
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ratchet & Clank Rift Apart im Test: Der fast perfekte Sommer-Shooter
Ratchet & Clank Rift Apart im Test
Der fast perfekte Sommer-Shooter

Gute Laune mit großkalibrigen Waffen: Das nur für PS5 erhältliche Ratchet & Clank - Rift Apart schickt uns in knallige Feuergefechte.
Von Peter Steinlechner

  1. Ratchet & Clank "Auf der PS4 würde man zwei Minuten lang Ladebalken sehen"
  2. Ratchet & Clank Rift Apart Detailreichtum trifft Dimensionssprünge

Lois Lew: Die berühmteste Sekretärin, die IBM je hatte
Lois Lew
Die berühmteste Sekretärin, die IBM je hatte

Lois Lew war Sekretärin bei IBM, als sie die Chance bekam, auf eine große Werbetour zu gehen. Dabei stellte sich heraus: Sie ist ein Gedächtnisgenie.
Ein Porträt von Elke Wittich

  1. Kyndryl IBMs aufgespaltenes Unternehmen bekommt einen neuen Namen
  2. Programmiersprache IBM will mit Cobol in die Linux-Cloud
  3. IBM Deutschland IBM-Beschäftigte wehren sich in Webex gegen Kündigungen

Telefon- und Internetanbieter: Was tun bei falschen Auftragsbestätigungen?
Telefon- und Internetanbieter
Was tun bei falschen Auftragsbestätigungen?

Bei Telefon- und Internetanschlüssen kommt es öfter vor, dass Verbraucher Auftragsbestätigungen bekommen, obwohl sie nichts bestellt haben.
Von Harald Büring