Millionen DSL-Router hochgradig gefährdet

Schutzmaßnahmen

AVM ist sich der Gefahr durch CSRF-Angriffe seit Längerem bewusst. Doch bislang kann man keinen wirklich sicheren Schutz davor anbieten. Denn egal ob man beispielsweise Session-IDs oder Tokens in die Konfigurationsformulare mit einbettet: Nach Meinung von AVM könnte man diese Daten per Skript auswerten und passend wieder zurückschicken.

Die einzig sichere Lösung derzeit besteht daher aus drei Maßnahmen, die nur in ihrer Kombination helfen. TecChannel rät

• Ein Passwort für das Web-Interface der Fritz!Box vergeben

• Während des Zugriffs auf das Web-Interface der Fritz!Box keine weiteren Browser-Tabs geöffnet haben

• Nach dem Schließen des Web-Interfaces mindestens fünf Minuten lang keine andere Website besuchen und am besten den Browser beenden. Falls das Web-Interface des DSL-Routers einen manuellen Logout zulässt, sollte man diesen auch stets nutzen.

AVM will die Gefährdung jetzt mit hoher Priorität aus der Welt schaffen. Dabei will man sich nicht nur auf eine Risikominimierung etwa mittels eines Logout-Buttons beschränken. Im Extremfall könnte man beispielsweise den kompletten Internetverkehr eines PCs blockieren, wenn dieser auf den Konfigurationsseiten eingeloggt ist. Bis zur technischen Lösung setzt man auch auf die Abschreckung durch das Gesetz, da es eine strafbare Handlung sei, in fremde Computersysteme einzudringen, vor allem wenn es dazu einer gewissen kriminellen Energie bedarf.

Spezialisten für die Sicherheit von Web-Anwendungen wie Stefan Strobel von der cirosec GmbH sind der Meinung, dass es auch etablierte und einfach umzusetzende technische Möglichkeiten gibt, um das Problem zu lösen. Hier setzt man darauf, dass Anfragen, die beispielsweise die Konfiguration ändern, nicht statisch und somit nicht vorhersagbar sein dürfen. Zufällige Tokens würden diesen Zweck erfüllen, sofern die Anwendung nicht auch noch eine Cross-Site-Scripting-Schwachstelle hat.