Sicherheits-Lücke bei Heimrouter-Passwörtern gefunden

Bei verschiedenen Heimrouter-Herstellern werden sehr schwache Passwörter verwendet, die sich zudem per Fernzugriff ermitteln lassen.

Betroffen sind laut Golem.de Router folgender Hersteller: Asus, Digicom, Observa Telecom, Philippine Long Distance Telephone (PLDT) und ZTE – der Angriffsvektor ist dabei recht einfach. Das Passwort besteht aus den letzten vier Stellen der MAC-Adresse plus das Wort „airocon“. Das dazugehörige Nutzerkonto ist „admin“.

Da sich de MAC-Adresse über die SNMP-Schnittstelle auch Remote abfragen lässt, ist es für einen Angreifer sehr einfach, die entsprechende Usernamen-/Passwort-Kombination zu ermitteln und darüber Zugriff auf einen der betroffenen Router zu erlangen. Einige Routerhersteller wie ZTE wurden bereits 2013 über die Lücke informiert, bisher gibt es jedoch noch keine Updates.

Als einzige Lösung kann man aktuell nur den Telnet-Zugang sowie die SNMP-Schnittstelle über die Firewall des Routers deaktivieren. Auf ein Update braucht man wohl nicht unbedingt hoffen, nachdem es bereits mehrere Jahre bekannt ist. Eine Alternative mit häufigeren Updates und schneller Reaktion bei Sicherheitslücken bietet AVM mit der Fritz!Box-Serie in verschiedenen Preisklassen.

Gesetz gegen Routerzwang im Kabinett beschlossen!

Der Gesetzgebungsprozess zur Abschaffung des Routerzwangs ist zu einem positiven Ende gekommen: am Mittwoch wurde der Gesetzesentwurf vom Bundeskabinett beschlossen!

Dabei wurde der Gesetzesentwurf vom Februar 2015 zur Abstimmung gebracht – dies ist einer Mitteilung des zuständigen Bundesministerium zu entnehmen. Das wesentliche Element der Gesetzesänderung betrifft den „Netzabschlusspunkt“ – dieser soll in Zukunft passiv sein, was ein Gerät welches selbst Strom verbraucht (und aktiv ist) ausschließt.

Als nächstes muss die Änderung jetzt noch vom Bundestag beschlossen werden – dies soll noch in diesem Jahr passieren. Danach soll es laut dem Entwurf eine Übergangsfrist von 6 Monaten geben, danach wird eine Strafe von bis zu 10.000,- Euro fällig, wenn der Anbieter die nötigen Zugangsdaten nicht zur Verfügung gestellt werden.

Gerade für Kabelnetzbetreiber wird es jetzt kompliziert: bisher war das ganze Modell darauf ausgerichtet, dass der Router bzw. das Modem der Netzabschlusspunkt war. Nur so konnte Kabel Deutschland z.B. die WLAN-Funktion als gegen Aufpreis freischaltbares Extra anbieten.

Offen ist auch, wie es sich auf den Markt für Router auswirkt – Deutschland wird jetzt deutlich attraktiver für Hersteller von Routern, AVM dürfte davon sehr deutlich profitieren.

Gesetz gegen Routerzwang: aktueller Stand KW 29/2015

Nachdem es recht lange Still um das geplante Gesetz gegen Routerzwang war, habe ich eine Anfrage beim Bundesministerium für Wirtschaft und Energie gestellt.

Die Pressestelle hat auf meine Nachfrage zum aktuellen Stand im Gesetzgebungsprozess auch reagiert:

Das europäische Notifizierungsverfahren ist nunmehr abgeschlossen. Es ist beabsichtigt, den Gesetzentwurf im August dem Kabinett zur Beschlussfassung vorzulegen. Das parlamentarische Verfahren kann dann nach der Sommerpause beginnen.
(Quelle: Pressestelle Bundesministerium für Wirtschaft und Energie)

Die genannte Sommerpause endet im September (Kalenderwoche 37/2015). Angesichts der Dauer des parlamentarischen Verfahren sehe ich es als recht unrealistisch an, dass das Gesetz gegen Routerzwang noch in diesem Jahr Realität wird – die Prozesse in der Gesetzgebung sind dafür wahrscheinlich schlicht zu kompliziert bzw. dem Thema wird wahrscheinlich nicht die selbe Priorität beigemessen, wie andere Themen die gerade auf der Agenda stehen. Aber immerhin ist der Prozess nicht eingeschlafen und das Koalitionsziel, die Wahl des Endgeräts wirklich dem Kunden zu überlassen scheint immer noch möglich.

SPD spricht sich für Vorratsdatenspeicherung aus

Wer darauf gehofft hat, dass die SPD sich beim Konvent an diesem Wochenende gegen die geplante Vorratsdatenspeicherung, wurde enttäuscht. Die Partei hat eine Mehrheit für die anlasslose Speicherung von Internet-Daten gefunden.

Bei einem kleinen Parteitag in der Berlin stimmten 124 Delegierte mit „Ja“, 88 Delegierte lehnten das Vorhaben ab. Sieben Delegierte enthielten sich. Damit ist eine weitere Hürde des Vorhabens, IP-Adressen und Telefondaten bis zu zehn Wochen sowie Handy-Standortdaten bis zu vier Wochen zu speichern, genommen.

Kritiker sehen in dem Gesetzesentwurf nur einen weiteren Schritt in Richtung eines beschränkten Internet. Zwar ist es das Ziel der Vorratsdatenspeicherung, vor allem Terrorismus eine Stirn zu bieten, die gesammelten Daten können aber auch auf anderes Ausgewertet werden. Zudem ist es offen, ob die Internet-Provider die geforderten technischen Voraussetzungen überhaupt erfüllen können – das einfachste wäre es wahrscheinlich, die Mehrkosten auf die Kunden umzulegen, natürlich entsprechend ausgewiesen. Ob den Bürgen dann es Wert wäre, für die Vorratsdatenspeicherung 5,-€ mehr im Monat zu berappen wenn es ums Internet geht oder ob dann doch Parteien Zulauf bekommen, die sich klar gegen die Datenspeicherung aussprechen.

Offen ist nach wie vor, ob das neue Gesetz überhaupt vor dem Bundesverfassungsgericht bzw. dem Europäischen Gerichtshof bestand haben wird – die ursprüngliche Regelung war an rechtlichen Hürden gescheitert.

AVM bringt Fritz!Box 4020

AVM bringt mit der Fritz!Box 4020 den bisher kleinsten Router im Sortiment der Berliner. Ideal, wenn man keine großen Ansprüche hat.

FRITZ!Box 4020Ebenfalls ein sinnvoller Einsatzzweck: hinter einem „Routerzwang“-Gerät, welches sich nicht austauschen lässt. Mit der günstigen Fritz!Box 4020 bekommt man wenigstens WLAN nach n-Standard (max. 450 Mbit/s) sowie die üblichen Fritz!Box-Funktionen wie einen privaten Hotspot, VPN und Mediaserver.

Die Fritz!Box 4020 beinhaltet kein eigenes (V)DSL-Modem – hier ist man darauf angewiesen, dass bereits ein entsprechendes Gerät vorhanden ist. Idealer Einsatzort für die kleine Fritzbox, die für 59,50 Euro bei Amazon verfügbar ist, sind auch Ferienwohnungen – mittels eines UMTS-Sticks kann man die Fritz!Box 4020 leicht in einen Hotspot verwandeln, der über mobile Datenverbindungen den Zugang zum Internet herstellt. Anders als das aktuelle Top-Modell, die Fritz!Box 7490 (aktuell ab 199,- Euro bei Amazon), bekommt man den Einstieg in die AVM-Welt für gut ein viertel Preises – etwas unverständlich ist nur, warum AVM der kleinen Fritz!Box keine Unterstützung für das 5-GHz-WLAN-Band mitgegeben hat, die Anwendungszwecke wären dadurch noch deutlich breiter gefächert; Außerdem gäbe es weniger Überschneidungen mit bereits vorhandenen WLANs und anderen Geräten.

Zwei neue Router-Exploits

Wie Golem.de berichtet, gibt es zwei neue Exploits für ungeschützte Router. Dies zeigt wieder einmal, warum es so wichtig ist, selbst einen Router wählen zu können.

Malware 1, getauft auf „Moose/Linux“ kann dazu benutzt werden, Social-Media-Logins abzugreifen und auch selbst automatisiert (Fake-)Konten in den Netzwerken anzulegen. Angegriffen werden Linux-basierte Router – was aber ein Gutteil der auf dem Markt befindlichen Geräte betrifft.

Malware 2 funktioniert über einen verschlüsselten Javascript-Code, den der Nutzer eingebettet auf einer Webseite auch unbemerkt aufrufen kann. Dieser Code versucht dann, den Router zu finden und dort die gängigen Sicherheitslücken auszunutzen. Klappt das, werden die DNS-Einstellungen geändert, sodass nicht die gewohnten Webseiten aufgerufen werden – der Nutzer kann sich so weitere Schadsoftware einfangen.
Weiterlesen

Gesetz zur Vorratsdatenspeicherung in Vorbereitung

Wie Netzpolitik.org berichtet, ist aktuell ein Gesetzesentwurf zur anlasslosen Vorratsdatenspeicherung in der Umsetzungsphase. Ernsthafter Widerstand regt sich derzeit nur von Seiten der Opposition im Bundestag.

Bereits am 27. Mai soll der aktuelle Entwurf in einer Kabinetssitzung der Bundesregierung auf den Weg gebracht werden. Das ganze Gesetz, welches eine anlasslose und massenhafte Überwachung der Telekommunikation in Deutschland ermöglichen würde, soll noch vor Beginn der Sommerpause am 03. Juli beschlossen werden.

Will man seinen Unmut gegenüber der Vorratsdatenspeicherung, die auf EU-Ebene nach wie vor Umstritten ist, zum Ausdruck bringen, sollte man sich an den jeweiligen Abgeordneten wenden. Sascha Lobo hat die Vorgehensweise für einen gezielten Protest auf Spiegel Online gepostet.

Sollte das Gesetz beschlossen werden bleibt kaum etwas anderes übrig als VPN-Dienstleister zu nutzen – alleine um den Aufwand der Datenerfassung möglichst ineffizient zu gestalten, letzten Endes ist es ja auch eine Kostenfrage, in welchem Maße Daten tatsächlich gespeichert werden.

Aktueller Stand zur freien Routerwahl

Das Thema „Routerzwang“ wird uns noch eine Zeit beschäftigen: der Gesetzes-Entwurf muss jetzt noch alle Stationen, die im Gesetzgebungsprozess vorgesehen sind.

Aktuell ist der Gesetzesentwurf laut Bundesministerium für Wirtschaft und Energie nach der Richtlinie 98/34/EG notifiziert. Die Stillhaltefrist läuft jetzt bis zum 8. Juli 2015.

Ebenfalls bereits abgelaufen ist die Frist, bis zu der Verbände und Unternehmen ihre Stellungnahmen zum aktuellen Gesetzesentwurf abgeben konnte. Was es an Rückmeldung bis zum 20. März 2015 gab ist ebenfalls auf der Webseite des Ministeriums zu lesen.
Weiterlesen

Störerhaftung: Frage-/Antwortkatalog erschienen

Das Bundeswirtschaftsministerium hat einen Frage- und Antwortkatalog zum Gesetzesentwurf zur Verbesserung der Rechtssicherheit veröffentlicht. Der zeigt: ein wirklicher Fortschritt bei der Störerhaftung ist nach wie vor nicht zu erwarten.

Golem.de geht mit dem Gesetzesentwurf und der jetzt erschienenen FAQ hart ins Gericht: einige im Gesetzesentwurf enthaltene Änderungen seien nur vorgeschoben und würden die Verbreitung freier WLAN-Netze verhindern. Die Freifunker sehen sich ebenfalls bestätigt, gerade die Frage wann genau ein WLAN-Hotspot „geschäftsmäßig“ betrieben wird – nach Interpretation der Freifunker kann auch eine Privatperson ein „geschäftsmäßiger“ WLAN-Betreiber sein, wenn man das WLAN dauerhaft zur Verfügung stellt.
Weiterlesen

Störerhaftung: Offenes WLAN bleibt gefährlich (Update)

Eigentlich wollte die Bundesregierung das Betreiben eines offenen WLANs einfacher gestalten und die Störerhaftung abschaffen bzw. zumindest einschränken, um die WLAN-Abdeckung zu verbessern. Ein Gesetzesentwurf macht jedoch wenig Hoffnung.

So berichtet der Spiegel, dem das Dokument vorliegt, dass das Telemediengesetz dahingehend geändert werden soll, dass auch „Dienstanbieter, die Nutzern den Internetzugang über ein drahtloses lokales Netzwerk (W-Lan) zur Verfügung stellen“ von der Haftung für „fremde Informationen, die sie in einem Kommunikationsnetz übermitteln oder zu denen sie den Zugang zur Nutzung vermitteln“ freigestellt werden. Bisher gilt dies nur für Internetprovider, die damit z.B. nicht für Urheberrechtsverstöße ihrer Kunden haftbar gemacht werden können.
Weiterlesen