Geheimer Schlüssel in AVM-Routern gefunden – Zertifikate werden bereits ausgetauscht

Krümelmonster

Legende
Thread Starter
Mitglied seit
02.12.2005
Beiträge
8.431
Ort
Verweilverbotszone - Bitte gehen Sie weiter!
Eigentlich zeigt es nur, wie unfassbar langsam Provider auf gemeldete Sicherheitslücken reagieren, die absolut trivial zu beheben sind, wie in diesem Falle mit einem Zertifikatstausch.

Das man natürlich nicht sofort sämtliche Zertifikate tauschen konnte, versteht sich von selbst, sonst hätte man Kunden ausgesperrt, aber seit Anfang 2015 noch nicht vollständig abgeschlossen? Das ist einfach ein Armutszeugnis.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

oooverclocker

Semiprofi
Mitglied seit
29.08.2012
Beiträge
5.621
Es zeigt vor allem, wie gut es ist, eigene Router einsetzen zu dürfen, die etwas weniger Spielzeug und etwas mehr Werkzeug sind.
Und es zeigt, wie schade es ist, dass der Großteil der Bevölkerung mangels Fachwissen davon nicht profitiert.
 
G

Gelöschtes Mitglied 172838

Guest
Ohje, "verweißt" darauf... Immerhin erst im zweiten Satz.
 

Hyrasch

Banned
Mitglied seit
10.12.2012
Beiträge
2.643
" ... fremde Anschlüsse übernehmen."
Munkel, munkel nsa ... räusper, räusper bnd ... hust, hust!
 

Mr.Mito

Admiral, Altweintrinker
Mitglied seit
03.07.2001
Beiträge
26.527
Ort
127.0.0.1
Den Zusammenhang musst du mir auf technischer Ebene erklären, bin gespannt! :)

Im Übrigen war das keine Panne, sondern eine (selten dämliche) Designentscheidung von AVM. Wie weitreichend die Folgen sein können, wurde damals wohl einfach ausgeblendet.
Der private Schlüssel ist auch noch in 6.50 enthalten, nur eben AES256 verschlüsselt. Einfach rausnehmen geht ja dank den KNB nicht, da deren Reaktionsgeschwindigkeit bei Problemen ja irgendwie zwischen nicht vorhanden und unfassbar langsam liegt.

Wer genaueres zu der Problematik wissen will:
PeterPawn / heise / IPPF

Z.B.:
https://www.heise.de/forum/heise-Se...bei-den-Fakten-bleiben/posting-29485086/show/

Es gibt noch mehr Posts von ihm zu dieser Thematik, darin finden sich einige Hintergrundinfos. Wer im IPPF aktiv ist, sollte Peter ja schon kennen, also auch seinen Sachverstand bei diesen Themen.

EDIT:
Warum der dazugehörige Krypto-Schlüssel aber auf der FRITZ!Box gespeichert wird, bleibt unklar
Das ist nicht unklar - das war Absicht und gewollt. Die Box erstellte die Zertifikate (Werkeinstellungen, erster boot) nämlich selbst.
AVM weiß ganz genau, wieso der private Schlüssel in den Kisten ist/war. Ihr könnt da ruhig mal etwas tiefer bohren und AVM damit konfrontieren. ;)
 
Zuletzt bearbeitet:

oooverclocker

Semiprofi
Mitglied seit
29.08.2012
Beiträge
5.621
Das ist nicht unklar - das war Absicht und gewollt. Die Box erstellte die Zertifikate (Werkeinstellungen, erster boot) nämlich selbst.
AVM weiß ganz genau, wieso der private Schlüssel in den Kisten ist/war. Ihr könnt da ruhig mal etwas tiefer bohren und AVM damit konfrontieren. ;)

Kann man sich doch denken, warum in Consumergeräten immer wieder solche Lücken auftauchen... Wobei es durch Windows 10 seltener nötig wird...
 

Mr.Mito

Admiral, Altweintrinker
Mitglied seit
03.07.2001
Beiträge
26.527
Ort
127.0.0.1
Ich bin jemand, der jeglichen sinnvollen Aluhuttheorien gegenüber aufgeschlossen ist. Hier aber sehe ich keinerlei Logik.
Aber du kannst mich gerne aufklären, inwiefern ein privater Schlüssel zur Zertifikatsignierung/ausstellung (hinterlegt in Fritzboxen) mit Geheimndiensten oder sonstigem im Zusammenhang stehen sollte und viel wichtiger, was das bitte mit Windows 10 zu tun haben soll.

PS:
Die Dienste hätten den Schlüssel einfach, den würde und müsste niemand in jedes Gerät packen. Wozu denn? Damit es jeder mitbekommt?
 
Zuletzt bearbeitet:

Mr.Mito

Admiral, Altweintrinker
Mitglied seit
03.07.2001
Beiträge
26.527
Ort
127.0.0.1
Kleiner Nachtrag bei heise zu dem Thema.

https://www.heise.de/newsticker/meldung/Entfleuchter-FritzBox-Schluessel-zum-Ausstellen-falscher-Zertifikate-missbraucht-3465065.html
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Oben Unten