Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsD-Link-Router DIR-300 und DIR-600 mit Sicherheitsproblemen
Wie der Sicherheitsexperte Michael Messner bereits im Dezember 2012 entdeckte, sind die beiden D-Link-Router DIR-300 und DIR-600 unsicher. Nachdem er den Hersteller D-Link im Dezember informiert hatte, wiegelte die Firma ab – es sei ein Problem des Browsers. Weitere eingesandte Details führten bisher nicht zu einer Antwort.
Da stellt sich die Frage was dieser "Sicherheitsexperte Messner" eigentlich bezweckt.
Sicher ist es wichtig die breite Masse auf ein Sicherheitsproblem der genannten Routermodelle und die Herstelleruntätigkeit hinzuweisen.
Allerdings wissen zeitgleich auch Cracker relativ genau bescheid welche Lücke sie nutzen können. Im Endeffekt hat der "Sicherheitsexperte" damit nur alle Nutzer der genannten Router gefährdet.
@Sublogics: Damit hat Messner D-Link quasi das Messer an die Kehle gesetzt, damit D-Link jetzt handelt. Dass Messner die Sicherheitslücke veröffentlicht bedeutet eben nicht, dass vorher keiner drüber Bescheid wusste (und diese Lücke wohlmöglich bereits ausgenutzt hat).
Heise hat die Lücke erst heute publik gemacht, Meßner bereits gestern
(oder ich überseh was)
btw:
Bei einem kurzen Test von heise Security stellte sich heraus, dass sich viele der Geräte sogar aus dem Internet ansprechen lassen. Uns gelang es auf Anhieb, auf einem der Router einen harmlosen Befehl abzusetzen
Ei-ei-ei... Wieviel DIR-300/600 haben die Kabelbetreiber gleich noch mal im Einsatz? 1 Milliarde?
Feuer ins Öl: Wenn es doch nur eine zentral gesteuerte Möglichkeit von außerhalb gäbe um eine neue Firmware einzuspielen, ohne dass der unbedarfte Kunde sich damit befassen muss...
Also im LAN würde ich einmal behaupten, dass die Sicherheitslücke zwar peinlich ist, aber in den meisten Fällen nicht wirklich kritisch. Größere Firmen haben solche Teile sowieso nicht im Einsatz und bei kleineren Firmen/Privatleuten ist die Gefährdung nicht so hoch.
Über das Internet ist das jedoch eine ganz andere Angelegenheit. Hier könnte man wirklich durch ein Skript alle Router hacken bzw. Viren darüber verteilen. Ich stell mir schon die nächste DoS Attacke von Anonymous vor mit Millionen von Routern eines größeren Providers.
Dass eine aktualisierte Firmware heraus gebracht wird, ist zwar löblich, löst aber nicht das Problem, da 99,99% der Kunden ihre Firmware nicht updaten werden. Bei den Providern wird das auch nur passieren, wenn es einen Remote Zugang von außen gibt und selbst dann werden die es mit dem Firmware flashen meistens bleiben lassen, solange der Kunde nicht anruft, dass er ein Problem hat.
Das wäre echt ein nicht zu unterschätzendes Risiko. Ich weiß das Unitymedia die Geräte massenhaft mit ausgeliefret hat. Ich selbst habe auch lange den DIR-300 genutzt. War immer zufireden mit der Leistung des teils, "zum Glück" ist mir aber das Netzteil hops gegangen und ich bin direkt auf einen n-Standard Router umgesattelt.
Selbst wenn D-Link ein Update raus bringt, werden 99% der Kunden das nie einspielen. Eine Auto-Update Funktion bietet die Firmware afak auch nicht. Finde es daher auch eher sehr kritisch von diesem Messner das so publik zu machen.
Allerdings wissen zeitgleich auch Cracker relativ genau bescheid welche Lücke sie nutzen können. Im Endeffekt hat der "Sicherheitsexperte" damit nur alle Nutzer der genannten Router gefährdet.
Das schlimmste ist in meinen Augen ja das Verhalten von D-Link. Die müssten sich normalweise für die Arbeit und den Fund bedanken und die Lücke mal ganz schnell schließen.
Aber schön daß sich auch CB drum kümmert, die werden doch hoffenlich bald auf die Knie fallen und das Problem lösen, schliesslich weiß jetzt jeder wie man die Dinger findet und komprimittiert.
Kann nicht jemand mal ein Script ala Search & Destroy schreiben, damit die Welt wieder sicherer ist !?
Mutmaßlich/äußerst wahrscheinlich bestehen die ersten drei Paare der MAC aus denselben 3 Paaren wie WAN/LAN-MAC. Eventuell sind alle 3 MACs bis auf die letzte Ziffer identisch.
Ein Router ist immer noch besser als kein Router als Gateway.
So wie ich das sehe, wird der Router von innen heraus kompromittiert, weil der Browser Javascript ausführt. An Noscript scheitert das dann. Eine Backdoor ist aber doch das K.o. für die Sicherheit.
Router für 20€ und die reiche Welt beklagt sich über Sicherheitslücken oder besser gesagt einfache Betriebssoftware.
T-Shirts für 1€ und die reiche Welt beklagt sich über schlechte Arbeitsbedingungen und den Lohn.
In beiden Fällen machen die Hersteller Gewinn und das wird den Hersteller als Auftraggeber, solange Kunde nur diese Preise zahlen will nicht veranlassen etwas zu verbesseren. In beiden Fällen mehrmalige Doppelmoral. Ihr dürft gerne eure Arbeitsmoral für den gleichen Lohn mit freiwilligen Zusatzleistungen am Kunden auf den Prüfstand stellen, die auch noch dem AG gut bekommen.
Vor dem Routerwahn hat sich der normale Internet Nutzer auch um eigene Freigaben in Windows nicht geschert und man konnte einfach per IP auf Rechner zugreifen. Dann kam irgendwann die W-Lan Panik.
Was ist das? Wie offen seit Werk, nicht verschlüsselt?
2006 waren mit der Suche gut 90% aller W-Lan offen. Wer es sich sogar eingerichtet hat, hat die SSID mit seinem Namen oder Telefonnummer versehen.
Niemand ist gezwungen Sicherheitslücken oder offene Türen auszunutzen.
Falsch. Die reiche Welt beklagt sich das D-Link auf Sicherheitslücken nicht reagiert. Und sagt: wir kaufen eben von 20€ Routerherstellern die ihre Produkte auch pflegen. Das ist Kapitalismus: der Bessere gewinnt den Kunden.
