Nach großem DDoS: Hersteller der Botnetz-Router verzweifelt an Usern

[o1] CullenTrey am 17.09. 06:40
+16 -
Was nützt da der beste Appell, wenn die Informationen schlicht über die falschen Wege kommuniziert wird?
Ich kann mich jedenfalls nicht erinnern, dass die Problematik dass man doch bitte seinen Router mit aktueller Firmware und einem neuen Passwort versehen möge irgendwo in den Medien durchgesickert wäre.
Habe das lediglich auch verschiedenen Tech-Kanälen gefunden.
[re:1] rallef am 18.09. 00:33
+2 -
@CullenTrey: Wenn dann auch noch ein Auto-Update als grundsätzlich böse angesehen wird, hat man auch nicht mehr viele Optionen als Hersteller.
[re:1] Mikel7 am 20.09. 09:10
+ -
@rallef: was meistens darauf zurückzuführen ist das auf einmal hersteller ihre Geräte im Funktionsumfang beschneiden mit dem zuvor geworben wurde...

Das führt dazu das Benutzer paranoid werden was updates betrifft.
[o2] wlorenz65 am 17.09. 06:42
Für meine Fritzbox gibt es ein Update, und ich habe Angst, es einzuspielen. Weil die News voll sind von Horrormeldungen über durch Updates zerschossene Konfigurationen. Die Fritzbox läuft so, wie sie soll, also why change a running system?

Würden Feature-Updates und Security-Updates getrennt sein, dann würde ich es einspielen. Security-Updates vielleicht sogar ohne Anwenderinteraktion automatisch einspielen. Aber nicht mal das sonst so vorbildliche AVM bekommt das hin.

Also wer könnte mir meine Angst nehmen, durch ein für mich nutzloses Feature-Update meinen funktionierenden Router zu zerschießen?
[re:1] wlorenz65 am 17.09. 07:01
+1 -
@wlorenz65: EDIT: Ich habe mich nochmal in der Fritzbox Oberfläche umgesehen, und es scheint, ich muss gar nicht updaten! AVM hat das sehr wohl richtig gelöst, nämlich bei Auto-Update ist folgende Einstellung vorangewählt:

> Über neue FRITZ!OS-Versionen informieren und notwendige Updates automatisch installieren (Empfohlen)

> Die FRITZ!Box informiert Sie über neue FRITZ!OS-Versionen. Updates, die für den weiteren sicheren und zuverlässigen Betrieb (z.B. Sicherheitsupdate) von AVM als notwendig gekennzeichnet sind, werden automatisch installiert. Die FRITZ!Box wählt dazu einen geeigneten Zeitpunkt aus, z.B. nachts. Während der Installation werden die Internet- und Telefonieverbindungen kurzzeitig unterbrochen.

Da fällt mir doch ein Stein vom Herzen.
[re:1] Mitsch79 am 17.09. 07:29
+ -
@wlorenz65: AVM betrachtet aber alle Updates als notwendig :) Meine Fritte hat automatisch alle Updates bekommen, die jeweils vorher hier veröffentlicht wurden.
[re:1] DON666 am 17.09. 07:42
+13 -
@Mitsch79: Und, hat's die jemals durch ein Update zerlegt? Ich hatte mittlerweile diverse FritzBoxen, die ich jeweils immer auf dem neuesten Stand gehalten habe, und da ist NIE auch nur irgendwas gewesen, was auch nur im Geringsten was an meiner Konfiguration zerschossen hätte.

Da würden mich wlorenz65s "Horrormeldungen, mit denen die News voll sind", ja mal ernsthaft interessieren... ;)
[re:1] Mitsch79 am 17.09. 08:54
+ -
@DON666: Noch nie. Mir sind einmal meine Portfreigaben weggeflogen. Aber das ist nichts, was nicht in 5 Minuten wieder eingespielt ist.
[re:2] DON666 am 17.09. 10:26
+ -
@Mitsch79: Ja, ich exportiere sicherheitshalber auch bei jedem Update die Konfiguration in eine Datei, habe die aber noch nie gebraucht, außer wenn ich ein neues Gerät in Betrieb genommen habe, um nicht alles wieder manuell einstellen zu müssen.
[re:2] Eistee am 17.09. 08:00
+1 -
@wlorenz65: Konfiguration sichern und das kleine Tool mit dem man die Firmware auf die Fritzbox flashen kann mit dazu ablegen (gibt es auf dem AVM FTP-Server). Sollte wirklich mal was sein dann kann man die Fritzbox über ein Netzwerkkabel immer wieder Flashen und die Konfiguration einspielen die man gesichert hat.
[re:3] tomsan am 17.09. 10:31
+2 -
@wlorenz65:

"Weil die News voll sind von Horrormeldungen über durch Updates zerschossene Konfigurationen"
..... also es gibt BEDEUTEND mehr "Horrormeldungen" bei ungepatchten Systemen, oder? ;)

"why change a running system?"
Hast Du denn die News oben überhaupt gelesen? Also wenn man den Router plus das ganze WLAN übernehmen kann..... dann kann man so ziemlich ALLES machen, zu Deinem Schaden/Rechnung.

Bei der Fritzboxen allerdings recht unwahrscheinlich, bzw würde so eine Lücke schon "lauter" bekannt werden
[o3] zivilist am 17.09. 08:12
+ -9
wenn das so immens wird wäre es gut wenn Microsoft standardmäßig die Version der Firmware des Routers prüft und dann auswirft ob hier massive Lücken existieren und hier Firmwareupdates einspielen oder das Gerät getauscht werden soll (ohne Empfehlungen abzugeben).
[re:1] Alphawin am 17.09. 09:23
+1 -1
@zivilist: Nur Doof das Microsoft nicht auf jeden System läuft, sondern auch noch andere gibt.
Und ohne Zugangsdaten der Box könnte auch MS nichts Flashen.
[re:1] zivilist am 17.09. 11:29
+ -1
@Alphawin: es geht nur um den Versionsstand prüfen. Einloggen ist was Sicherheit angeht viel zu gefährlich, geschweige dann automatisch flashen.
[re:1] Bautz am 17.09. 21:36
+ -
@zivilist: Wie soll es das machen? Der Router rückt doch nicht an den Client seinen Versionsstand mit?
[re:1] zivilist am 17.09. 22:42
+ -
@Bautz: teilweise kann das nmap ermitteln. Egal wie: wäre ne Idee das den Herstellern vorzuschreiben.
[re:2] Kondar am 17.09. 09:46
+4 -2
@zivilist:
Ironie bzw. Sarkasmus?
gerade MS traue ich was Sicherheit angeht keinen mm über dem Weg.
=> siehe akt. Meldungen über Passwort
[re:3] tomsan am 17.09. 10:33
+ -
@zivilist:
Wäre aber dann wohl eine sehr grosse Datenbank, die ja dann auch von den Hardwareherstellern über Jahre/ Jahrzehnte gepflegt werden muss.

Grübel... bekommt "Mircrosoft" denn überhaupt mit, welcher Router mit welcher Firmware im Netzwerk ist?
[re:4] Rashiade am 17.09. 10:54
+1 -
@zivilist: Es ist ganz gut, dass Microsoft und andere Betriebssystemhersteller das (mit wenigen Ausnahmen wie Microcode-Updates) nicht machen. Wenn man die Systeme unnötig mit Updates von Fremdhardware vollmüllen müsste würde mich das stören. Zudem müsste das System ja dann permanent das Netzwerk auf eventuelle Geräte abscannen, nur weil ein paar User zu faul sind, ihre Router zu aktualisieren bzw. sich Router anzuschaffen, die eine Autoupdate-Funktion haben.
[o4] Spacerat am 17.09. 08:52
+ -
Bei Routern stelle ich mir das noch einfach vor. Wenn es eine kritische Sicherheitslücke gibt einfach, wenn man eine Seite aufruft, einen Hinweis vom Router anzeigen, den der Nutzer bestätigen muss.
[re:1] Rashiade am 17.09. 11:06
+1 -1
@Spacerat: Naja, so einfach ist das wohl nicht:
Wenn du eine https-Seite ansteuerst, müsste der Router entweder ein Zertifikat faken, was zu einer Sicherheitswarnmeldung im Browser führen würde oder die Verbindung irgendwie zu einer http-Verbindung downgraden, was ebenfalls mindestens eine Warnmeldung zur Folge hätte oder einen Aufruf ganz verhindern würde (HSTS, HPKP, etc.).
In Zeiten von unverschlüsselten Webseiten wäre das noch gegangen, aber heute wohl nicht mehr so einfach.
[re:1] FurRail am 17.09. 12:02
+2 -
@Rashiade: Man kann auch ein Captiveportal aktivieren.
Captiveportal-erkennung haben die meisten Endgeräte schon und geben entsprechende Meldungen.
'Login notwendig für dieses Netzwerk, Klicke um auf die Anmeldeseite zu gelangen'
[re:2] Jon2050 am 17.09. 13:59
+4 -
@Spacerat: Ja, irgendwelche Popups, oder Seiten, zu denen man gar nicht wollte, die sich auf einmal öffnen, sind natürlich immer sehr vertrauenserweckend. "Klicken Sie hier, um ihr System wieder sicher zu machen." Hoffentlich kommen da nie unseriöse Leute darauf sowas zu verbreiten. Oh warte...
[o5] starship am 17.09. 12:15
+2 -1
Ich werde sicher gleich wieder gesteinigt, aber das Problem beweist eigentlich nur einmal mehr, daß komplexe Technik nichts in der Hand von Lieschen Müller oder Max Mustermann zu suchen hat. Denn genau sowas kommt dann eben _immer wieder_ dabei raus.

Ja ich weiß, so einfach isses nich, und quasi auch nicht zu vermeiden... aber es gibt eben zuviele Leute da draußen, die entweder keine Ahnung haben (was nicht abwertend gemeint ist!), oder denen es einfach scheißegal ist, solange sie ihr Gesichtsbuch benutzen können. Diese Leute werden aber damit auch zum Problem für alle anderen, wie ja wieder mal bewiesen wurde.

Ich mach mal den Jehova: komplexe Technik, wie z.B. Router, Computer, Smartphones oder Tablets, sollten nur noch an Leute verkauft und oder von Leuten genutzt werden dürfen, die mindestens einen Grundkurs im Umgang mit den Geräten nachweisen können. Auto fahren darf man ja auch nur mit einem solchen Nachweis (Führerschein). Und warum? Weil's sonst zu gefährlich ist. Diese ständigen Schäden in Millionenhöhe durch unfähige oder ignorante Anwender sind nicht weniger brisant. Erpressungstrojaner in Behörden und Krankenhäuser gehören auch in diese Kategorie... wie gelangen die wohl in diese Netzwerke? Eben...
[re:1] Breaker am 17.09. 12:28
+1 -
@starship: Wo zieht man da die Grenze? Darf ein smarter Fernseher oder Receiver noch an Lieschen Müller oder Max Mustermann verkauft werden? Eine Waschmaschine? Der Kühlschrank? Geschirrspüler?
Das sind im Endeffekt mittlerweile alles kleine Rechner.
Warum ist überhaupt der Endanwender dafür verantwortlich deines Erachtens, und nicht der Hersteller selbst? Selbst Profianwender (von mir aus auch mit Grundkurs) haben keine große Chance was gegen Sicherheitslücken zu tun, wenn es herstellerseitig nichts gibt, das die Lücke schließt. Der Hersteller hingegen kann recht problemlos automatische Updates aufspielen.
[re:1] starship am 17.09. 12:41
+1 -
@Breaker: Der Artikel geht doch auf genau das ein, was Du vorbringst. Natürlich sind auch die Hersteller gefragt, aber an denen liegt es ja nicht allein.

Ich vertrete die Ansicht, daß der Anwender grundsätzlich Bestanteil des Sicherheitskonzeptes ist. Aber fast immer ist er das schwächste Glied in der Kette.
[re:1] Breaker am 17.09. 12:47
+2 -
@starship: Sehe ich nicht so. Der Hersteller kann einen Router patchen, ohne den User in die Pflicht nehmen zu müssen. AVM als Beispiel macht das vorbildlich, die Standardeinstellung steht auf automatisch, man kann es aber ändern.
Es gibt aber genug Hersteller, gerade im Smart-Home-Bereich, da hat selbst der größte Profi keine Chance was gegen die Sicherheitslücken zu tun, denn es gibt keine Patches. Ob das jetzt irgendwelche Lampen, Überwachungskameras, Kinderspielzeug oder sonstwas ist, ist da eine Lücke drin, hat man Pech, und meist erfährt man ja nichtmal was von der Lücke, oder erst wenn es längst zu spät ist.
Selbst wenn der Anwender also wollte, er kann nicht und weiß noch nicht einmal was von einer Lücke. Selbst ein "Führerschein" ändert nichts daran - das schwächste Glied ist hier also definitiv der Hersteller.
[re:1] Spacerat am 17.09. 13:13
+ -
@Breaker: Grundsätzlich sollten sich die Geräte selber patchen. Es muss aber auch sichergestellt werden, dass im Fehlerfall ein Rollback passiert.
Zusätzlich kann man den Endanwender aber nicht ganz aus der Verantwortung nehmen. Wenn ein Hack das automatische Update deaktiviert, dann kann der Hersteller auch nichts mehr automatisch machen.
[re:2] starship am 17.09. 14:08
+ -1
@Breaker: Der Hersteller entscheidet nicht, welche Geräte der Kunde einsetzt, der Kunde wählt das in der Regel selbst aus. Und zu diesem Entscheidungsfindungsprozess gehört es meiner Ansicht nach auch, darauf zu achten, wie zuverlässig welche Hersteller Updates liefern. Ich sehe nicht, wo das ein Ü-Ei sein sollte.

Wie die meisten sogenannten Smart-Home bzw. IoT-Geräte jegliche Bemühungen eines adäquaten Sicherheitskonzeptes unterlaufen können, ist kein Geheimnis. Leute, die sich mit der Materie angemessen auseinandersetzen, wissen das. Also sind auch hier keine Überraschungen zu erwarten. Und wieder ist das Problem der Anwender: er setzt sich eben _nicht_ damit auseinander. Kaufen, anstecken, Malwareschleuder sein weil man die Einstellungen nicht wenigstens mal überprüft. Das ist naiv, aber kein Herstellerproblem.
[re:3] Breaker am 17.09. 14:21
+ -
@starship: Ok, ganz anders, stell dir vor, Deutschland (oder gar Europa) macht ab sofort einen Nachweis zum verantwortungsvollen Umgang mit Internetgeräten zur Pflicht.
Wie erklärt man das aber Amerika, Australien, Asien dass die das ab sofort auch benötigen?
Das Internet hört ja nicht an der deutschen/europäischen Grenze auf, es besteht weltweit. Das einzige, was passiert ist, dass wir fähige Leute dann vom Internet abschneiden würden, weil die sich beispielsweise den Nachweis einfach nicht leisten können, keine Zeit haben ihn zu machen oder sonstwas ist.
Derweil gehen die Angriffe aus der Mongolei, Brasilien und Kanada munter weiter, man hat also null gewonnen, aber massig verloren.
[re:4] starship am 17.09. 14:34
+1 -1
@Breaker: Also versucht man es gar nicht erst?

Sollten die anderen Länder nicht ebenfalls ein Interesse daran haben, diese Problematik in den Griff zu bekommen? Immerhin trifft es ja oft genug die Wirtschaft oder gar staatliche Infrastrukturen, und zwar auch außerhalb der EU. Ich meine, grad bei diesen Institutionen dürfte doch das Interesse an einer Lösung noch weitaus größer sein, als zum Beispiel am Klimaschutz, der ja ebenfalls nur funktionieren kann, wenn man endlich mal global zusammenarbeiten würde.

Wir müssen also nur wählen, zwischen "Kopf in den Sand stecken" und "versuchen, das Problem global gemeinsam zu lösen". Die weltweite Zusammenarbeit wird doch sonst auch bei jedem Scheiß in den Himmel gelobt, warum nicht zur Abwechslung auch mal für was sinnvolles? ;-)

Wie dem auch sei, wir beide werden den jeweils anderen nicht vom überzeugen. Ich würde sagen, ich verabschiede mich schonmal in's Wochenende. :-)
[re:5] WinYesterday am 17.09. 22:52
+ -
@starship: Ich find den Ansatz aus dem ersten Post völlig richtig! Und bevor ich mir eine Software kaufe oder installiere, hab ich erstmal gefälligst Grundkurs Programmierung zu lernen - in allen relevanten Hochsprachen. Ich muss doch auch in der Pflicht sein, die Bugs im Programmcode selber reversen zu können, die eine Sicherheitslücke darstellen.
Man muss da schon den User in die Pflicht nehmen, die Versäumnisse der Hersteller zu korrigieren. Ich meine, in den meisten Fällen haben wir ja nur eine Menge Geld für die Produkte bezahlt, da kann man doch auch vom Endkunden erwarten, die Probleme selbst zu beheben.
[re:6] Planlos am 18.09. 03:27
+ -
@Breaker: Es braucht eine Stelle, die Geräte auf Sicherheitsstandards überprüft, bevor sie in den Verkehr gebracht werden. Ähnlich wie dem TÜV.
Hierbei werden die GEräte vorab auf Schwachstellen geprüft. Zusätzlich wird der Hersteller gesetzlich verpflichtet für einen bestimmten Mindestzeitraum für Updates und Sicherheit der Software zu sorgen.
Und Hersteller müsen für Schäden haftbar gemacht werden können wenn sie ihren Auflagen nicht nachkommen. Auch die Zeit von Erkennung bis Beseitigung einer Lücke muss zeitlich festgelegt werden. Erfahrungswerte dazu gibts ja mehr als genug. Kann ja nicht sein das eine Lücke über mehrere Monate bestehen bleibt.
Und gerade bei den Smartgeräten ist die Situation ja besonders grauenvoll.
Aber auch die Anwender sind in der Verantwortung. Hier ist weitaus mehr Aufklärung erforderlich. Sowohl bei Kaufentscheidung als auch im Betrieb.
Und diese Aufklärung musss bereits in den Schulen beginnen. In Bildungsstätten ist IT nämlich immer noch ein grosses schwarzes Loch. Und nicht wenige Kiddies können die Lehrkräfte in Sachen IT regelrecht an die Wand fahren. Und diese Thematik drückt man nicht dem vorhandenen Lehrkörper auf, sondern dafür brauchts Fachkräfte.
Vieles in Deutschland und Europa ist eben noch nicht an die neuen Bedingungen angepasst. Und so ganz nebenbei lauern hier noch zehntausende von neuen Arbeitsplätzen. Dazu brauchts aber auch Politiker die das checken und durchsetzen können.
Trotz der ganzen Misere ist hier aber das gemeine Volk weitaus fortgeschrittener als alle Politiker.
Wie Mathematik, Physik, Deutsch, mindestens eine Fremdsprache muss IT zum allgemeinen Grundwissen in die Lehrpläne. Nicht so umfangreich wie bei einem Studium aber die Basics müssen unbedingt vermittelt werden.
[o6] Hanni&Nanni am 17.09. 17:58
+1 -1
Standard-Einstellung eines Routers sollte sein, dass er selbst Aktualisierungen lädt und in der Nacht oder zu Zeiten, bei denen keine Endgeräte aktiv genutzt werden, die Installation durchführt. Bei AVM klappt das doch. Allerdings, warum ein Router von außen überhaupt erreichbar sein muss, wüsste ich auch mal gerne.

Gerade der Router zuhause, sollte doch einfach nur seinen Job machen und routen. Wenn man per IP auf das Heimnetz zugreifen möchte, reicht Portforwarding aus, um zum Ziel zu kommen. Lieschen Müller wird sich wohl kaum ein NAS oder gar einen Homeserver hinstellen, um von Unterwegs aus darauf zuzugreifen. Da sind Technik-Nerds eher die passende Adresse. Und die haben das Fachwissen, um regelmäßig ihre Gerätschaften zu aktualisieren.
[re:1] Bautz am 17.09. 21:42
+2 -
@Hanni&Nanni: Grade "halbwissende", die es mit Anleitung schaffen ne Portfreigabe einzurichten (ist ja net so schwer), wissen aber gar nicht was sie damit anrichten.

Das ist auch der Grund, warum ich bei mir kein linux einsetze - ich weiß nicht wie es ordentlich abgesichert bekomme.
[re:1] Hanni&Nanni am 18.09. 04:17
+ -
@Bautz: Och, Linux absichern ist gar nicht so schwer. SSH-Zugang auf einen anderen Port umleiten, dem Nutzer Root den SSH-Login untersagen und auf Zertifikat anstatt Passwort umstellen. Damit hat man schon den größten Einfallssektor geschlossen.

Dann die Firewall so konfiguriert, dass wirklich nur an dem einen Port die Anfragen eintreffen dürfen und alle anderen lauschenden Dienste deaktiviert. Einziger Unterschied zu Windows ist, dass man sich in Windows durch Assistenten klicken kann und bei Linux halt der Editor und einige Config-Files durchgearbeitet werden müssen.
[re:1] GaborDenes am 18.09. 09:25
+ -
@Hanni&Nanni: den Port umstellen nützt genau NICHTS, dauert vllt einige Mikrosekunden länger, den zu finden.
[re:1] Hanni&Nanni am 18.09. 14:00
+ -
@GaborDenes: Gehört aber dazu. Damit entgeht man schonmal den ganzen Bruteforce-Versuchen der Script-Kids.
[re:2] Bautz am 18.09. 11:42
+ -
@Hanni&Nanni: Wie GaborDenes sagte, Ports umleiten bringt genau gar nix. Ich kenne sehr wohl die Theorie, aber eben nicht die Praxis.
[o7] Skylab am 18.09. 03:10
+1 -
Ja klar, MikroTik Router sind Home-Router, weil, die gibt es ja im Media Markt und die Marke und die Modelle sind total bekannt.
Die nutzt kein unbedarfter Benutzer.
Warum schreibt ihr sowas ?.
[re:1] Planlos am 18.09. 03:36
+ -
@Skylab: Also ich kenne diese Router überhaupt nicht. Und es würde mir auch nicht einfallen die so ohne weiteres anzuschaffen.
Ich bleibe da grundsätzlich bei bekannten Herstellern.
Komischerweise scheinen ja Router bekannter Provider (Telekom, 1&1, Vodaphone etc) weitaus sicherer zu sein. Eben wegen der grossen Verbreitung und auch weil da grossse Unternehmen dahinter stehen. Sicher - auch da kann es zu "Unfällen" kommen.
Aber hier dürfte die Reaktionszeit weitaus kürzer sein und vor allem Updates werden ausgeführt oft ohne das es die Anwender überhaupt mitbekommen.
Vor allem die Fritzboxen scheinen da immer recht auf der Höhe zu sein.
Und wenn das alles funktioniert, darfs auch etwas teurer sein.
[re:1] Skylab am 19.09. 03:34
+ -
@Planlos: Diese Router benutzen überwiegend versierte Anwender.
Umso schlimmer, dass diese solch eine Sorglosigkeit an den Tag legen.
Wahrscheinlich sind sie der Meinung, dass das Betriebssystem "RouterOS" über den Dingen steht.
[re:1] Planlos am 19.09. 13:40
+ -
@Skylab: Ja - so ein paar versierte Anwender kenne ich auch......
[re:2] tilly am 18.09. 06:24
+1 -
@Skylab: Genau deinen Gedanken hatte ich auch.

Die Winfuture Redaktion hätte diese Mikrotic Pressemeldung anreichern können: Sind die Geräte vielleicht nur in bestimmten Märkten präsent? Oder werden sie unter anderen Marken verkauft? Spielen sie im deutschsprachigen Markt überhaupt eine Rolle (abgesehen von Einzelstücken)?
[re:1] Skylab am 19.09. 03:38
+ -
@tilly: Ich habe es schon bei "Planlos" eingefügt, dass sind keine Home-Router, man könnte sie eher der Kategorie Profi-Geräte zuordnen.
[re:1] lazsniper2 am 19.09. 10:48
+ -
@Skylab: wie einfach jeder deine ironie im ersten post/ersten satz überlesen hat :(
[o8] burkm am 26.01. 18:17
+ -
Da wäre es sicherlich hilfreich, wenn ein solches (Internet-)Gerät eine optionale Auto-Update Funktion hätte, die das dazu Nötige selbst erledigen würde. Diese wäre immer ab Werk aktiv und der jeweilige Nutzer müsste sie dann selbst deaktivieren, wenn er das nicht möchte. Dann wäre er aber auch für eventuelle Folgen haftbar bzw. zuständig, wenn er dies dann nicht "aktiv" verfolgen würde...
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies