Mediendeponie Rotating Header Image

Februar, 2014:

[UPD] Langeweile? Einfach mal die Anschlüsse von ein paar UnityMedia-Kunden hacken!

VN:F [1.9.22_1171]
Rating: 4.3/5 (6 votes cast)

Wie Heise Online gestern veröffentlicht hat ist die seit einigen Wochen bekannte Sicherheitslücke in AVM Fritz!-Boxen nicht, wie zunächst angenommen, nur für Boxen mit aktivierter Fernwartung gefährlich, sondern für alle, die nicht kürzlich aktualisiert wurden.

"Für Ihre FRITZ!Box ist ein Sicherheitsupdate verfügbar." - Leider kann ich es nicht installieren....

“Für Ihre FRITZ!Box ist ein Sicherheitsupdate verfügbar.” – Leider kann ich es nicht installieren….

Das ist ziemlich übel und hat mich dazu veranlasst prompt zu versuchen, die Firmware meiner Boxen zu aktualisieren. Mindestens bei der Box, die ich von UnityMedia als Kabelmodem zur Verfügung gestellt bekommen habe, die ich also auch nicht vorübergehend gegen ein anderes Gerät tauschen könnte, ist dies leider ohne weiteres nicht möglich.

Die von UnityMedia zu hunderttausenden1 verbaute AVM Fritz!-Box 6360 lässt sich laut AVM nicht durch den Benutzer selbst, sondern nur durch den Internetanbieter, also UnityMedia, updaten. Zu meinem Entsetzen hat aber niemand meine Box aktualisiert. Ich habe also bei der Hotline angerufen und dort erfahren, daß das Problem bekannt sei, man aber lieber noch etwas abwarten würde, weil man sich noch nicht sicher sei, ob die Updates funktionieren. “Möglicherweise Ende der Woche” (sic!) sei mit einer Aktualisierung zu rechnen. Beschleunigen könne man das nicht, auch nicht auf konkreten Kundenwunsch.

" Für FRITZ!Box 6360, 6340 und 6320 Cable wird das Update auf Version 6.03 bzw. 6.04 direkt vom Internetanbieter durchgeführt."  -  Oder eben auch nicht ...

” Für FRITZ!Box 6360, 6340 und 6320 Cable wird das Update auf Version 6.03 bzw. 6.04 direkt vom Internetanbieter durchgeführt.” – Oder eben auch nicht …

Fazit: UnityMedia-Kunden, die zwangsläufig eine Fritz!-Box nutzen müssen, können diese selbst nicht aktualisieren und auch UM hat keine Lust, das zu übernehmen. Auf der anderen Seite warnen Heise & Co. vor den Gefahren, die lauern, wenn ohne aktuelle Firmware gesurft wird. Die Anwahl teurer Service-Rufnummern im Ausland für “mehrere Hundert Euro in wenigen Minuten” oder das Ausspähen vertraulicher Informationen und des gesamten Internetverkehrs (Login-Daten, Kreditkarten-Daten, Online-Banking-Traffic, etc.) sind mögliche Risiken, gegen die man sich nur schützen kann, in dem man “bis vorraussichtlich Ende der Woche” auf die Internet-Nutzung verzichtet. Ich bin gespannt, ob UnityMedia in den durch sie verschuldeten Fällen für die entstandenen Schäden aufkommt… man darf gespannt sein.

 

Fußnote 1: Das sagte zumindest neulich einer der Techniker, der im Auftrag von UnityMedia die Teile täglich und massenhaft installiert.

[UPD]

Im Vergleich die Telekom: Als ich heute morgen in’s Büro kam, hat Heise mich mit der Meldung angesprungen, daß auch Speedport-Router der Telekom betroffen sein. Also den Tag mit einem Firmware-Update beginnen… oder auch nicht – denn die Telekom hat schon gepatched und die neue Firmware per Remote installiert. Danke schön!

Derweil bei UnityMedia: Immer noch kein Update.

VN:F [1.9.22_1171]
Rating: 4.3/5 (6 votes cast)

Gemailde

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votes cast)

Ich beantrage, das Wort “Gemailde” als “E-Mail ohne Text mit Bild-Anhang” zu etablieren.

VN:F [1.9.22_1171]
Rating: 5.0/5 (3 votes cast)

[UPD 7.2.] Inkonsistenter Namensraum für Sparkassen Onlinebanking – oder: Warum zum Teufel kann ich keine SEPA-Überweisungen ausführen?

VN:F [1.9.22_1171]
Rating: 4.5/5 (4 votes cast)

Seit Monaten versuche ich, auch mit meinem Privatkonto bei der Sparkasse “SEPA-Ready” zu werden. Vergeblich. Ich habe auch schon das eine oder andere Dutzend Telephonate mit der SEPA-Hotline geführt – ohne Erfolg. Auf die rettende Idee brauchte mich letztlich ein Beitrag im online banking forum. Aber langsam – so fing’s an:

  •  Ich kann mit meiner Banking-Software (Hibiscus / Jameica) seit Jahren wunderbar HBCI-Online-Banken. Mit der Sparkasse und mit der GLS-Bank. Klappt toll. Jetzt kommt SEPA. Kein Problem – mit der GLS-Bank. Doch die Sparkasse verweigert den Dienst. Permanent erhalte ich die Fehlermeldung “[error] HBCI error code: 9130:Die SEPA-Nachricht enthält unerlaubte Zeichen.“. Klingt komisch – passiert nämlich auch bei Verwendungszwecken wie “test” oder einem leeren Verwendungszweck.
  • Die Sparkasse sagt, andere Kunden, auch mit der gleichen Software, hätten keine Probleme.

Was soll man dazu sagen? Die Software scheint zu funktionieren – schließlich habe ich keine Probleme mit der GLS-Bank und normale Überweisungen funktionieren ja auch mit der Sparkasse – und bei der Sparkasse scheint auch alles glatt zu laufen – schließlich klappt es ja bei anderen Kunden…

Doch die Lösung liegt auf einer gaaaanz anderen Ebene…

Vor vielen, vielen Jahren, als die Dinosaurier noch Schwarz-Weiß-Fernsehen geschaut haben und Maggie Thatcher noch eigenhändig Sklaven ausgepeitscht hat, damals also, in den Anfängen des Internet… musste ich mir Login-Daten für mein neues Sparkassen-Online-Banking ausdenken. Die Regeln für die Wahl des Passworts waren recht restriktiv. Genau 5 Zeichen mussten es sein, nur Kleinbuchstaben und Ziffern. Das fand’ ich damals schon unmöglich und desaströs unsicher – glücklicherweise konnte ich aber einen etwas komplexeren Benutzernamen wählen. Einen mit einer Raute darin. Hat auch die letzten Jahre wunderbar funktioniert.

Die Dinausaurier (leider) und Maggie (zum Glück) sind mittlerweile tot, das Online-Banking aber nur wenig verändert. Nun kommt SEPA. Und mit SEPA eine striktere Spezifikation bezüglich der zugelassenen Zeichen. Kein Problem, ich muß ja keinen Programmcode im Verwendungszweck einer Überweisung unterbringen (Wobei es mich nicht wundern würde, wenn man auf diese Weise bei der Sparkasse SQL-Injektions unterbringen könnte ;-)).

Und jetzt der Clou: Die Sparkasse prüft den gesamten HBCI-Stack auf Kompatibilität mit SEPA-Zeichen – und meldet, daß in der Überweisung ungültige Zeichen verwendet wurden. URGS! Wie dumm kann man denn sein?! Hat da jemand den Zettel verlegt auf dem steht “Bitte sauber arbeiten, wir hantieren hier mit sensiblen Daten.” und sich gedacht “Aaaach was, für die Idioten, die bei uns Konten haben, reicht es wenn wir immer den Standard verwenden, auf den wir gerade Lust haben. Ist ja langweilig, wenn man jeden Tag die gleichen Zeichen für Eingaben erlaubt!”

OK. Also habe ich jetzt einen neuen Sparkassen-Anmeldenamen und: TADAAA! Kann endlich SEPA-Überweisungen ausführen. Einmal mit Profis arbeiten ….

Oder wie das ganze kurz und treffend kommentiert wurde:

(22:21:37) Michael: standards. die sparkasse. was stellst du dir noch vor?
(22:21:51) Michael: eher hält M$ standards ein als die spaßkasse

[Update 7.2.]

Die Arbeitswoche ist fast `rum. Getan hat sich nichts. Auch habe ich auf meine Anfrage bei der Sparkasse keine Antwort erhalten. Gerade habe ich nochmal angerufen und nachgefragt, was denn da Sache ist – es kann ja schließlich nicht angehen, daß eine Bank bei solchen einfachen Fehlern nicht in der Lage ist nachzubessern. Ergebnis: Ja, meine Anfrage ist angekommen, ob und wie sie bearbeitet wurde ist nicht einsehbar. Auch wäre nicht unbedingt davon auszugehen, daß der Fehler beseitigt würde, man würde ihn aber auf jeden Fall zur Kenntnis nehmen. And I was like…WTF?!

Und ein paar Stunden später kam er doch noch: Der Rückruf der Fachabteilung. Dort konnte man meine E-Mail leider nicht finden, entschuldigt sich aber für die Verzögerung, ist dankbar für den Hinweis und wird sich darum kümmern. Na hoffen wir’s. 😉

VN:F [1.9.22_1171]
Rating: 4.5/5 (4 votes cast)