Sicherheit: Backdoor in einigen Routern?

SicherheitDass in vielen Routern dicke Sicherheitslöcher klaffen, hatte ich hier im Blog ja häufiger thematisiert. Meist wurden diese aber schnell geschlossen. Nun gibt es aber Anzeigen, dass Router-Hersteller erst die Bereitstellung von Sicherheitsupdates verzögern und bei genauem Hinsehen die Lücken auch nicht beseitigen, sondern verstecken.


Anzeige

Auf den Fall bin ich gestern in diesem Welt.de-Artikel gestoßen, der diesen Artikel von Eloi Vanderbeken vom 18. April 2014 aufgreift. Worum geht es? Bereits im Januar war eine schwere Sicherheitslücke in Routern der Hersteller Cisco, Netgear und Linksys durch Vanderbeken entdeckt worden (ich habe hier berichtet). Eine versteckte Funktion ermöglichte es Dritten über den Netzwerk-Port 32764 auf das Konfigurationsinterface der betreffenden Router zuzugreifen. Damit waren Änderungen an der Konfiguration sowie der Zugriff auf die Kennwörter möglich. Auch das Ausspionieren der Benutzer des lokalen Netzwerks ist möglich.

Soweit so schlecht – normalerweise würde man nun annehmen, dass diese Lücke schnellstmöglich gefixt würde. Der deutsche Hersteller AVM hat binnen eines Wochenendes auf die bekannt gewordene Lücke reagiert und Firmware-Updates herausgegeben. Nicht so bei den oben genannten Router-Anbietern. Die Welt fasst es ziemlich gut zusammen: Die Hersteller behaupteten, dass die Lücke nur innerhalb des lokalen Netzwerks problematisch sei – heise.de wies aber nach, dass Tausende Router im Netz über diesen Port ansprech- und angreifbar sind.

Von Netgear gab es das Update für den DGN 1000 Router erst am 7. April 2014. Der Sicherheitsspezialist Eloi Vanderbeken hat sich nun die betreffende Firmware vorgenommen und fand zu seiner Überraschung nun erneut die Sicherheitslücke bei Port 32764 (konkret gibt es wohl Code, der den Zugriff auf den Port freigibt). Geht man den Welt.de-Artikel durch, kristallisiert sich heraus, dass diese Lücke seit 2003 in Foren thematisiert wurde – also über ein Jahrzehnt offen steht.  Es wird kolportiert, dass der taiwanesische Fertiger Sercomm die Firmware für diverse Routerhersteller entwickelt. Nachdem sich die Funktion zum Öffnen des Ports seit über einem Jahrzehnt in der Routerfirmware befindet, von Cisco in einem Sicherheitsbulletin gar als "undokumentierte Testfunktion" bezeichnet wird und nun in einem Firmware-Update erneut auftaucht, ergibt sich die Frage: Wem nutzt das? Die Spekulation geht nun eindeutig dahin, dass das eine Backdoor sein kann, die auf Druck von Geheimdiensten eingebaut wurde. [Update: Im PDF-Dokument von Vanderbeken lassen sich die Details nachlesen. Die Redaktion von heise.de hat zwischenzeitlich diesen Artikel veröffentlicht, die die Sachlage in deutscher Sprache zusammenfasst.]

Hier hatte ich Heartbleed als "Tschernobyl der IT-Industrie" bezeichnet und prompt einen Kommentar der Art "weit hergeholt" kassiert. Ziehe ich aber die Informationen, die binnen der letzten 6 Monate öffentlich geworden sind, zusammen, leben wir bereits in der "nach Tschernobyl-Zeit" – denn keine Transaktion, keine Kommunikation und keine Information, die irgendwo in IT-Systemen steckt, kann im Grunde genommen als vertraulich, geschützt oder sicher angesehen werden. Firmen, die auf den Schutz ihrer Geschäftsgeheimnisse angewiesen sind, aber Cisco-Hardware einsetzen, laufen genau so ins Risiko wie Privatanwender, die ihre Bankgeschäfte per Internet abwickeln und darauf vertrauen müssen, dass diese Transaktionen nicht auslesbar sind. Und dass (selbst verschlüsselte) Kommunikation zwischenzeitlich nicht mehr als privat anzusehen ist, sollte jedem Nutzer seit den Snowden-Enthüllungen klar sein).


Anzeige

Und Privatanwender? Die rauschen ungebremst gegen die Wand. An allen Ecken und Enden knallen die Telekoms dem Anwender einen (AVM-) Router vor die Wand, damit er nicht nur Internet, sondern auch VoIP kann. Und bezüglich Firmware-Updates herrscht dann Fehlanzeige. Seit vielen Wochen ist die fette Sicherheitslücke in AVMs FRITZ!Box-Routern bekannt – die Firmware-Updates stehen längst bereit. Aber die Nutzer aktualisieren nicht, wie heise.de im Artikel Das Router-Desaster: Fritzbox-Update gerät ins Stocken feststellt.

Wer jetzt noch blauäugig das Internet der Dinge oder "Fabrik 4.0" mit totaler Vernetzung fordert, der hat – in meinen Augen – den Knall noch nicht gehört. Auch wenn bei einigen Protagonisten möglicherweise der Wunsch bzw. die Vorstellung vorhanden ist, das alles "sicher" zu gestalten – der Ansatz ist (durch die menschliche Dämlichkeit) zum Scheitern verurteilt. Mittlerweile wird deutlich die Spitze des Eisberges sichtbar und die Details kommen mehr und mehr zum Vorschein. Oder wie seht ihr das?

Ähnliche Artikel:
a1: Sicherheitslücken: Fritz!Box, D-Link-Modems, Cisco-Router
a2: Sicherheitslücke in O2-Routern
a3:  Steckt Londoner Firma hinter Router-Hack?
a4: Sicherheitslücke bei Linksys-Routern, Befall durch Wurm
a5: Backdoor in diversen Routern?
a6: Telekom Speedport W 921V-Router offen wie ein Scheunentor

b1: Sicherheitslücke in Adobe Flash, Fritz!Boxen angreifbar
b2: AVM empfiehlt: Fernzugriff bei FRITZ!Boxen abzuschalten
b3: FRITZ!Boxen für Telefonie-Missbrauch doch gehackt?
b4: FRITZ!Box-Anwender sollten VoIP-Kennwort ändern
b5: Update: Patches zur AVM FRITZ!Box-Sicherheitslücke

c1: Datenzugriff auf Tor-Exit-Server durch Heartbleet-Lücke


Anzeige

Dieser Beitrag wurde unter Internet, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Sicherheit: Backdoor in einigen Routern?

  1. Helmut sagt:

    Moin

    Momento mal, Günter… das was Du als Kommentar "kassiert" hast, war meine Meinung zum Vergleich mit Tschernobyl. Ich bin noch immer deutlich lieber im Netz unterwegs, als am Unglücksreaktor campen zu gehen. Das sind für mich zwei sehr unterschiedliche Paar Schuhe und Gefahrentypen/ -klassen.
    Sonst hätte ich meinen Internetanschluss schon abbestellt, oder zumindest die Nutzung eingeschränkt.

    Der IT-Gau fand für mich erst dann statt, wenn die Leute und Firmen in größerem Umfang anfangen, auf Netz und Smartphone zu verzichten! Ein Gau löst genau so was nämlich aus.

    Das was im Netz gerade passiert ist kein Gau, sondern ein Störfall um bei der Metapher zu bleiben .
    "Spinner" und "Verschwörungstheoretiker" reden davon schon seit Jahrzehnten. Wir wissen das alles, wir glauben (Hoffnung) es nur nicht und kaufen trotzdem brav alle Handies mit denen jeder Schritt überwacht werden kann und das wird z.B. von der Polizei ja auch genutzt und ausgewertet. "Täter" werden erst am Ende rausgefiltert.
    Persönlich Informiert wird darüber niemand nachträglich, denn das würde zum Nachdenken anregen.

    Firmen und Privatleute haben heute auch keine Wahl mehr, sich aus dem Netz raus zu halten. Wie soll eine Versicherung zum Beispiel so was machen? Wie soll ich verhindern das meine Daten von Versicherungen, oder Behörden, online vorgehalten, oder bearbeitet werden, oder das ein Labor meine Daten online zum Arzt schickt?

    Bei all dem Frust in deinem Artikel zu Lücken und Co, über die man sich Aufregen kann, geb ich ja zu… Was sollen wir tun, wenn die Mehrheit eher ans nächste Smartphone denkt und sich die angesprochenen Router verkaufen läßt?
    Die Masse hat noch nicht mal Ansatzweise das nötige technisches Hintergrundwissen, oder Verständnis dafür, was Geschichten wie die von Snowden bedeuten.

    Wir brauchen ja nur auf die Schufa schauen um zu sehen, welche Auswirkungen Daten so haben können, die uns im Alltag dann tatsächlich Probleme bereiten, oder Geld kosten. Da wertet schon allein die Adresse mit positiven, oder negativen Punkten, ohne das man Einfluß darauf nehmen kann.

    Gibt schöne Filme (Bücher), "Staatsfeind Nr. 1" von 1998 und viele andere altere… und da behaupten alle, sie haben es nicht gewußt… Das was dort noch übertrieben wirkt, sieht real heute mit eingesetzten Drohnen und Vorratsdatenspeicherung schon gespenstisch echt aus.

    Welcher Rechner mit welchen Daten am Netz hängt, kann ich zu Hause entscheiden. Bei vielen anderen Alltäglichkeiten (z.B. Arztbesuch) habe ich keine Kontrollmöglichkeit mehr. Diesen Anspruch auf Privat haben wir uns nehmen lassen und sammeln brav an der Kasse Rabattpunkte und Meilen.

    Günter, meckern fällt mir auch leicht… aber was können wir tun? Mal ernsthaft.
    Das Netz heißt so, weil es uns gefangen hat und wir sind abhängig von der modernen Kommunikation geworden. Selbst der private Verzicht schützt nicht vor Schaden durch irgendwo gespeicherte und dort geklaute Daten.

    Wir befinden uns doch gerade in so einer Situation für einen, in meinen Augen, echten IT-Gau.
    Russland, USA und Europa streiten um die Ukraine… Jetzt lass die Amis (mit den Briten) mal bockig den Stecker ziehen und unsere Kommunikation und Wirtschaft geht den Bach runter. Die wirklich großen Banken sitzen ja bei denen und London – New York hat Börsentechnisch eh ne eigene Standleitung zum handeln im Nanosekundentakt…

    Das wäre "der Gau"… man müßte jetzt in die Zukunft reisen, um zu erkennen, obs letztlich ein guter, oder schlechter gewesen wäre… Wirklich sicher bin ich mir da nicht. Letztlich ist das Internet doch nur ein liebgewonnener Luxusartikel und Weltmarktplatz…

    Zitat:
    "Aber die Nutzer aktualisieren nicht, wie heise.de im Artikel Das Router-Desaster: Fritzbox-Update gerät ins Stocken feststellt."

    Weil die meisten "keinen Schimmer" haben, was und wie das ganze funktioniert und auch kein Interesse und Verständnis sich damit auseinanderzusetzen.
    Ich weiß auch nicht ob man das von jedem "Nutzer" erwarten muß. Sein Auto repariert auch nicht jeder "Fahrer" selber, auch wenn es in beiden Fällen sinnvoll wäre, das nötige technische Verständnis, zumindest im Groben, zu besitzen.

    Im Prinzip hast du ja recht. Selbst die Profis landen ja regelmäßig auf der Nase und fixen und patchen hauptberuflich fleißig hinterher und fischen nach den neuesten News und Infos, die es, ironischer Weise, ohne das Netz gar nicht gäbe. Ursache und Lösung liegen nah beieinander.

    Neben der scheinbaren, vernetzten und virtuellen Absicherung existiert auch noch ein reales Leben das es zu führen gilt… In diesem Sinne,

    ich Schaf geh grasen ;)

    Schönen Tag dir

  2. Corny sagt:

    Könnte man nicht theorerisch (ja, ich weiß, sehr aufwendig) den kompletten Internetverkehr mit langen, zufällig generierten, Hardwaregebundenen Passwörtern verschlüsseln?
    Aber der beste Weg um die digitale Spioniererei zu umgehen, wäre, digitale Technik nicht zu benutzen, was nicht möglich ist.
    Ich habe meine Festplatte verschlüsselt (mit Truecrypt) , in der Hoffnung, dass wenigstens das etwas sicherer ist. Denkst du, ich sollte es vor der Aktualisierung auf 8.1 deinstallieren und entschlüsseln ?

    • Günter Born sagt:

      Ich habe meine Festplatte verschlüsselt (mit Truecrypt) , in der Hoffnung, dass wenigstens das etwas sicherer ist. Denkst du, ich sollte es vor der Aktualisierung auf 8.1 deinstallieren und entschlüsseln ?

      Es gibt bei mir eine Reihe Troubleshooting-Artikel zum Thema Upgrade auf Windows 8.1. Eine der Maßnahmen, die dringend erforderlich sind, heißt "TrueCrypt-verschlüsselte Volumes müssen vor dem Upgrade entschlüsselt werden".

  3. Günter Born sagt:

    Nachtrag: Gegenüber heise.de hat der Hersteller Netgear zumindest die Prüfung des Falls zugesagt und will herausfinden, wer für die Backdoor beim Zulieferer verantwortlich ist. Die Details finden sich in diesem Artikel.

  4. Alex Fromm sagt:

    Leute! Wer heute nicht will das er irgendwelche Spuren hinterlässt, der darf nicht mal ein Transaktion für Geldeinzahlungen auf einem Banken-Terminal vornehmen. Selbst diese Daten wandern doch heute per Verbindung über das WWW von einem Server der Bank zum Nächsten. Wie sicher die verschlüsselt sind weiss da sicher keiner, bzw. der Geheimdienst der überwacht welche Zahlung wohin geht um einige Gruppierungen zu überwachen die man des Ter……. verdächtigt.
    Aber mal ehrlich. Warum Verschlüsselung? Wenn doch laut einem Mister S. das sowieso nur Makulatur ist. Ich gehe morgensfrüh per Handy on. Checke meine Mails die das Gerät mir reinholt und anzeigt. Warum soll ich mir hier die Mühe machen das per Verschlüsselung zu machen. Nur damit der Geheimdienst dann 5 Minuten länger zum Enschlüsseln benötigt? Warum soll ich über TOR-Server surfen? Damit mein Surf-Verhalten von irgendwelchen Hackern/Crackern die sich hinter einem der vielen Server verbergen mitprotokollieren können um dann Kriminell aktiv zu werden? Ne dann doch lieber ganz normal ins Netz über T-Oma oder welchen Provider auch immer. Den Geheimdienst gleich dabei aber eben um ein paar kriminelle Element weniger, wenn man die Überwachung nicht schon als Kriminell anerkennt. Nichts und das habe ich schon vor 5 bis 6 Jahren in Foren gepostet bleibt dem Staat verborgen und damals tönten einige Gesetzeshüter schon Siegessicher das wir kleinen Schäfchen immer der Überwachung ausgesetzt sein werden, egal was wir tun und wie wir uns schützen. Da wäre genau die Vermutung die hier gemacht wird gar nicht so abwegig. Was wäre denn besser als ein direktes Schlupfloch in den Routern? Sind es doch genau die Geräte die uns die Kommunikation nach Aussen erst ermöglichen. Ich logge den Datenverkehr meines privaten Netzes mit und habe hier schon offt Verbindungen gefunden, die bei Nachforschung im Netz nach Berlin, MountainView, Redmond oder sogar ins Mac-Land (man installiere nur Quicktime oder iTunes für Windows) führten. Also von daher dürfte man wenn man das meiden möchte, kein Handy, keinen PC inkl. Internet haben. Also Abschied von der digitalen Welt. So da ich jetzt nix mehr digital aufzubereiten habe, gehe ich jetzt in die Falle.

    Gute Nacht.

    Alex

    • Günter Born sagt:

      @Alex: Na, dann ist ja alles bestens. Nur komme niemals auf die Idee, eine Firma aufzumachen, die technologisch "on the bleeding edge" agiert oder sonstige Geschäftsgeheimnisse auf den Rechnern hat. Und genau das ist die Intension der Blog-Beiträge hier – die Leute zum Nachdenken zu bringen. Ob wir es aufhalten können, weiß ich nicht. Wenn aber lediglich Lemminge hier rumhampeln und sich am Ende des Tages wundern, warum Dritte alles und jedes wissen sowie Produkte einen Tick schneller rausbringen/kopieren, bleibt nur, sich einen Strick zu kaufen und sich dann zu erschießen. Just my 2 cents.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.