Claudia am 07. März 2014 — 5 Kommentare

Hallo Strick-, Koch-, Mode-, Garten- und sonstwas-Blogger/innen: Router updaten!

Vermutlich wissen die meisten von Euch von der schweren Sicherheitslücke bei massenhaft verbreiteten Internet-Routern? Ich spreche heute speziell Hobby-Blogs an, denn sie sind es, die ihre Leserinnen und Leser warnen können: Menschen, die Tech-Blogs eher ignorieren, also vielleicht noch gar keine Ahnung haben, was ihnen droht, wenn sie jetzt weiter NICHTS TUN!

Nicht nur die beliebte Fritzbox ist betroffen, auch etliche sehr verbreitete Speedport-Modelle der Telekom sind in Gefahr, von außen „feindlich übernommen“ zu werden, ganz ohne dass man etwas davon merkt. Erstmal nicht, denn Betroffene haben es dann schon schmerzlich gespürt, wenn über ihren Router für hunderte oder tausende Euro irgendwohin telefoniert wurde – auf ihre Rechnung.

Seit Wochen bekannt, doch jetzt noch gefährlicher!

Die Sicherheitslücke in den genannten Geräten ist zwar seit Wochen bekannt, doch erst jetzt kursieren im Netz auch Anleitungen, wie man sie ausnutzt. Wie Heise News meldet, kann mit der Beschreibung

„jetzt im Prinzip jeder Betreiber einer Webseite – oder auch ein Eindringling – dort Code einbauen, der die Fritzboxen aller Besucher attackiert. Ab dann werden alle Besucher der Webseite, die eine noch verwundbare Fritzbox benutzen, angegriffen. …. Obwohl zumindest die meisten Frizbox-Updates bereits seit über einem Monat angeboten werden, war bei jüngsten Tests von heise Security die Verbreitung noch dürftig: Wie die c’t in ihrer kommenden Ausgabe 7/14 berichtet, sind immer noch Millionen AVM-Geräte ungeschützt. Ein Kurztest von heise Security zeigte, dass etwa die Hälfte der Fritzboxen die Versionsinformationen preis gaben, immer noch mit einer verwundbaren Firmware-Version laufen.“

Millionen Router sind also noch immer „in Gefahr“, weil die Info offenbar all jene Menschen nicht erreicht, die sich weniger oder gar nicht für die technischen Seiten des Internets interessieren.

Liebe Leute, wacht auf! Einfach „nur nutzen“ und sich um sonst nichts kümmern kann äußerst teuer werden! Und nicht nur teuer: wer unbemerkt kostenpflichtige Telefonnummern anrufen kann, kann über diesen Weg auch illegale Geschäfte betreiben und Straftaten begehen. Jegliche Ermittlungen landen dann erstmal beim Anschluss-Inhaber bzw. der Inhaberin, gar nicht spaßig!

Was tun?

Um die Gefahr abzuwenden, muss die in den Geräten laufende Software geupdatet werden: Für Fritzboxen gibt es beim Hersteller AVM eine Anleitung, für Speedports auf einer Info-Seite der Telekom. Man muss kein Technik-Freak sein, um die Updates zu installieren, wirklich nicht!

Und in Zukunft: Immer wieder gibt es Sicherheitslücken – am Router, auf PCs, Tablets und auch auf Handys. Es führt kein Weg daran vorbei, zumindest EIN RELEVANTES TECH-MEDIUM zu verfolgen, um mitzubekommen, wann man etwas unternehmen muss. Ich empfehle dafür HEISE Security aus dem Heise Zeitschriften Verlag – seit vielen Jahren eine verlässliche und kompetente Quelle für derlei Informationen. Man kann den Newsfeed abonnieren oder sich den Newsletter bestellen, der dann immer Montags und Donnerstags kommt.

Ich schreibe diesen Aufruf, weil es mich nervt, wenn dann über das „böse gefährliche Internet“ geschimpft wird, wenn der Schaden eingetreten ist – aber ZUVOR wollte man von all dem „technischen Zeugs“ nichts wissen.
Alle Strick-, Koch-, Mode-, Garten- und sonstige Hobby-Blogger/innen, die diese Info verbreiten, erweisen ihren Leserinnen und Lesern einen wichtigen Dienst. Danke dafür!

Diskussion

Kommentare abonnieren (RSS)
5 Kommentare zu „Hallo Strick-, Koch-, Mode-, Garten- und sonstwas-Blogger/innen: Router updaten!“.

  1. Deine Worte „Einfach “nur nutzen” und sich um sonst nichts kümmern kann äußerst teuer werden!“ sollten fett gedruckt auf jedem Router und am Anfang jedes Internetprovider-Vertrags stehen. Leider wird das eher im mehr oder weniger verständlichem Juristendeutsch in der seitenlangen kleingedruckten Textwüste der Verträge zu finden sein, die kaum jemand liest.

    Meine Erfahrungen sind: Die meisten haben nicht den blassesten Schimmer, was Computer im Allgemeinen und das Internet im Speziellen betrifft und ich verüble das niemanden, da es im Leben wichtigeres gibt. Wenn jemand „Schuld“ hat, dann in erster Linie jene, die Übles tun, das heißt, die Sicherheitslücken für Verbrechen ausnutzen. In zweiter Linie sind es die Provider und Politiker. Letztere tun viel, offensichtlicheren Verbraucherschutz vorzuschreiben, wie Sicherheitsgurte im Auto oder Warnhinweise auf Zigarettenschachteln bis hin zu Unsinn wie Krümmungsradien von EU-Gemüse/Obst, jedoch nicht die Maßnahmen wie oben vorgeschlagen, z.B. deine Worte fett auf jedem Router und Vertrag. Freiwillig wird das nicht geschehen, da es weniger Vertragsabschlüsse beschert.

    Hohe Sicherheit bei großer Flexibilität („Freiheit“) wird es nicht geben, Fehler sind systemimmanent. Wir können die hohe Komplexität von Soft- und Hardware mit allen Wirkmöglichkeiten (Ausführungspfaden -> Statistik) weder vollständig überblicken noch abdeckend testen, schon gar nicht, falls man das Zusammenspiel mit anderen Faktoren betrachtet (Fehler in Compilern, die den Programmcode in Binärcode verwandeln, Fehler im Betriebssystem etc.). Auch nach diesen Router-Updates ist es eine Frage der Zeit, bis die nächste Sicherheitslücke gefunden wird. Automatische Firmwareupdates, die einige Router durchführen, sind ein für Verbrecher attraktives Ziel und eher ungünstig.

    Eine halbwegs sichere technische Lösung sähe so aus – und das überfordert fast alle:

    1. Routerhersteller/Provider hat öffentlichen Schlüssel mit Verfalldatum, beispielsweise OpenPGP
    2. Mit diesem unterschreibt er Sicherheitswarnungen und verschickt sie an alle Kunden
    3. Benutzer hat E-Mailprogramm, das mit diesem Schlüssel Echtheit der Warnung bestätigt
    4. Provider schickt nur relevante E-Mails, weder Werbung noch für andere Geräte und das nicht mehr nach Opt-Out für diese eine spezielle E-Mail
    5. Auf diese Warnung reagiert Benutzer angemessen (Firmware-Update nach Überprüfung des veröffentlichten Firmware-Hashes auf der hoffentlich nicht gehackten Download-Seite)

    Das Problem wird neben gehackten Downloads auch die Zuverlässigkeit des Schlüssels bleiben und die Integration dieses ins E-Mailprogramm.

    Aktuelle Warn-E-Mails sind beliebte Mittel von Verbrechern in allen erdenklichen Formen („Sparkasse“, „Paypal“, „ebay“ etc.) und somit keiner Beachtung wert, bei mir landen alle ungelesen automatisch im Spam. Da sind zum aktuellen Stand RSS-Feeds der Hersteller-/Provider und z.B. Heise sinnvoller. Nur wer hat die schon abonniert bzw. weiß, dass es RSS gibt und nutzt dies auch sinnvoll, zumal RSS gerne auch für Werbung benutzt wird und somit die Wirkung „Beachte mich dringend“ verliert. Oder gibt es einen Feed, der nur aktualisiert wird bei Sicherheitswarnungen genau des Geräts, das ich besitze und mich sonst in Ruhe lässt?

  2. Korrektur: Unterschrieben wird mit dem privaten Schlüssel. Der öffentliche wird benutzt zum Überprüfen, ob die Unterschrift ok ist (anders könnte jeder unterschreiben). Eine Möglichkeit, einen gültigen öffentlichen Schlüssel zu erhalten, ist der Versand per herkömmlicher Post z.B. auf CD oder Abholung, falls es Geschäftsstellen gibt (Sparkassen, Post etc.) – absolut sicher ist auch das nicht. Download-Sites können immer gehackt sein, ein Schlüssel schon falsch, bevor er auf CD/SmartCard etc. gelangt. Dafür gibt es Fingerprints mit den gleichen Fehlerquellen.

  3. Hallo,

    ich habe diesen Apell bei mir verlinkt, die Reise-Blogger wurden nämlich nicht erwähnt ;).
    Meine mobile Fritzbox musste auch ein Update haben. Bis zum nächsten Sicherheitsleck bin ich hoffentlich eine Weile auf der sicheren Seite.

    Gruß
    Henning

  4. […] zunächst muss ich diesen dringenden Apell weiterverbreiten: Router updaten! […]

  5. Was noch wichtiger ist: Passwörter für VoIP ändern. Ein Anruf beim Provider ist da hilfreich, aber das Passwort stand Klartext in der Fritzbox. Und DAS kann richtig Geld kosten, ohne das man irgendwas merkt (bis zur Rechnung).

    Es hilft NICHT, nur das Routerpasswort zu ändern und die Firmware upzudaten, wenn die Betrüger die Daten schon haben.

Was sagst Du dazu?

*) Pflichtfelder. E-Mail wird nicht veröffentlicht