Kabelmodems in gevaar door lek privésleutel AVM
Fabrikanten van kabelmodems en internetproviders die hier gebruik van maken zijn gewaarschuwd dat door de diefstal van een privésleutel en certificaat van de Duitse fabrikant AVM, kwaadwillenden illegale kabelmodems kunnen neerzetten die voor netwerkproblemen en het illegaal afnemen van diensten kunnen zorgen. De waarschuwing is afkomstig van CableLabs, de organisatie die voor de DOCSIS-kabelmodemstandaard verantwoordelijk is.
De DOCSIS-standaard laat fabrikanten interoperabele apparatuur maken. De standaard vereist dat elke kabelmodem over een uniek certificaat beschikt om de kabelmodem bij de internetprovider te authenticeren. Dit certificaat is gesigneerd door de certificaatautoriteit van de fabrikant, die weer is gesigneerd door de DOCSIS-certificaatautoriteit. Internetproviders kunnen op deze manier kabelmodems met een geldig gesigneerd certificaat vertrouwen.
Eind vorig jaar werd bekend dat de Duitse fabrikant AVM zowel het certificaat van de eigen certificaatautoriteit als de bijbehorende privesleutel aan de eigen firmware had toegevoegd. "Daardoor kan nu iedereen een certificaat creëren dat door alle internetproviders wordt vertrouwd die de DOCSIS-certificaatautoriteit vertrouwen", zegt Johannes Ullrich van het Internet Storm Center.
Vervolgens is het mogelijk om hiermee een kabelmodem neer te zetten waarmee diensten illegaal kunnen worden afgenomen of die voor netwerkproblemen kan zorgen. CableLabs heeft nu het advies gegeven dat alle partijen het gecompromitteerde certificaat van AVM op een blacklist zetten, ongeacht of ze AVM-apparatuur in hun netwerk gebruiken. Volgens het Duitse Heise is er al misbruik van het certificaat gemaakt.
In Duitsland worden de kabel boxen wel veel gebruikt.
Wederom een slechte beurt van AVM en het wordt tijd dat ze daar in Berlijn de boel op orde krijgen.
Het lijkt me eerder dat de inkomsten van internet providers in 'gevaar' zijn, voor zover je dat zo kunt noemen.
Het enige mogelijke gevaar wat ik hier zie zijn de mogelijke netwerkproblemen, maar daar is te weinig informatie over.
Het gaat hier om DOCSIS, zoals te lezen in het artikel betreft het kabelmodems. Zover ik weet heeft xs4all alleen maar FTTH (glasvezel) en koperverbindingen via adsl/vdsl. Echter is AVM wel de maker van de Fritz!Box en als kwaadwillende de private sleutel hebben zou het kunnen zijn dat het niet alleen om kabelmodems gaat maar ook om de Fritz!Box.
Echter snap ik niet waarom xs4all nog steeds de Fritz!Box gebruikt, er zijn betere routers te vinden voor minder, ik noem een microtik bijvoorbeeld.
voorbeelden van incompetentie bij de AVM software ontwikkelings afdeling.
Op den duur zou een keer het lampje moeten gaan branden dat bij AVM de bezem er eens goed door moet en dan komt
er misschien eindelijk fatsoenlijke software.
[....]
Echter snap ik niet waarom xs4all nog steeds de Fritz!Box gebruikt, er zijn betere routers te vinden voor minder, ik noem een microtik bijvoorbeeld.
De communicatie gaat via het forum en updates/implementaties vliegen de om de oren en je kunt er over meepraten en er wordt ook daadwerkelijk geluisterd.
AVM deed dit ook maar dat was meer dan 10 jaar geleden voordat zij gingen leveren aan de grote jongens die minder vrijheden voor staan voor de eindgebruiker.
Ik kom weg bij AVM en ben zielsgelukkig met Mikrotik.Als je een Mikrotik wil gaan inzetten dan moet toch zeker wat kennis hebben routers en firewalls want het is serieus spul maar dan voor een aantrekkelijke prijs.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
