Kan een IT-er eens aangeven in hoeverre de Fritzboxen met de in het artikel beschreven problematiek te maken hebben of krijgen?
https://cyberinsider.com/new-airsnitch-attack-bypasses-client-isolation-in-wi-fi-networks/
Net zo van toepassing als ook niet. Het grootste voordeel voor normale gebruikers maar ook manco voor gevorderden; is dat de FritzBox geen (actieve) controle/monitoring biedt om valselijk gebruik te detecteren.
In de Fritz kan je bmw een risico beperkend vinkje zetten dat Wifi stations onderling niet met elkaar kunnen/mogen communiceren, nieuwe Wifi-clients niet zijn toegestaan en daarmee een inbraak inperkt tussen de expliciet toegestaan wifi-client zelf en base-station.
In een ver verleden kon je als “beheerder” nog een firewall/routine aanleggen die daarmee controle gaf. Helaas is die mogelijheid sinds firmware 7.x als “verbetering” door AVM niet meer mogelijk en kan je ook niet het verkeer actief monitoren. Om bv (log)bericht te krijgen wanneer iemand zich toegang probeert te verschaffen.
Kern is dat Wifi (radio) per definitie altijd een (afluister)risico geeft.
Wifi ansich, ook in Fritz, heeft in de basis de bescherming van o.a. unieke communicatiesleutels die als je maar lang genoeg de tijd hebt, tzt kunnen worden gebroken en iemand zich op die wijze een weg kan verschaffen.
Bij inbraak via Wifi zijn er drie risico’s:
- iemand die zich toegang weet te verschaffen
- Het verkeer van en naar andere Wifi-clients kan beluisteren
- Kan deelnemen namens of als gauthoriseerde aan dat verkeer.
Tenzij je met hoogrisco dingen bezig bent, zou ik mij met de standaard Wifi-versleuteling en natuurlijk blokkeren dat clients onderling mogen communiceren; niet al te druk maken. Zonodig, periodiek de logging opvragen met welke wifi-stations zich (wanneer) hebben verbonden.
Wel zit er een routine in, die gaat blokkeren als er verdachte pogingen worden gedaan.
Die is hier wel eens af gegaan in het verleden, zonder dat ik het door had.
Totdat het duidelijk is, een sterk wachtwoord gebruiken.
Veel mensen hebben ook een te simpel wachtwoord op hun gast netwerk.
Het onhandige is, net als bij andere blokkades, dat je van de Fritz!Box daarvan geen bericht krijgt en je vooralseerst bij issues dan in het donker een weg moet zien te vinden.
Probleem met sterk wachtwoord is dat het zo sterk kan zijn, dat je als gebruikers niet meer weet wat het was.
Dit nog even los dat beveiliging door (alleen) een wachtwoord - als enige keuze - wmb hedentendage echt onvoldoende is.
Het kenmerk van een gastennetwerk is - hier dan - dat het toegangswachtwoord daarvan relatief makkelijk moet zijn om te kunnen verstrekken.
Bedankt voor de uiteenzetting. Ik heb AVM het artikel ook toegestuurd met dezelfde vraag naar dat artikel te kijken en mij te berichten of men met het development team van de FB eens deze zaken wil analyseren en wellicht iets inbouwen.
Ben benieuwd naar hun reactie. Met input van gebruikers kan de FB dan weer iets beter worden.
Tip hiervoor:
Zet de wifi inloggegevens op een NFC-tag of print hem uit als QR code; dan hoeft helemaal niemandhet uit zijn hoofd te weten. Dat werkt hier prima voor het gast-netwerk, voor smartphones althans.
Ik zie het topic ook op de lijst van FRITZ! zelf staan: https://fritz.com/nl-nl/apps/service/security-information-about-updates/4147_Current-security-topics
3 likes
Dank je wel Bastiaan voor dit bericht. Heb URL opgenomen om te raadplegen.
Sluit aan bij mijn ingestuurde bericht met de link naar AVM. Ik wacht hun officiële antwoord af. Maar dit is al mooi te weten. Laat onverlet dat het wel prettig zou zijn bij een inbraakpoging dat de FB geblokkeerd wordt en alleen met een bij de gebruiker bekende sleutel weer actief gemaakt kan worden. Ik zal dat verzoek eens doen bij AVM.
Ik zag overigens dat je de FB met een vinkje ook kunt verbergen; geldt alleen voor de FB zelf. De gasttoegang blijft zichtbaar. Wat betreft Passwords. Ik gebruik al jaren 1PW en heb de ww van de FB aardig verlengd; ook voor de gasttoegang. Ben ook deel van het Odido lek geworden en ze zijn al aardig bezig met mailen.
Iedereen let dus op en gebruik een wachtwoordmanager met lange ww. Bij voorkeur aanvullend met 2FA.
Goed bericht dat AVM zich een AirSnitch misbruik op haar apparatuurlijn niet kan voorstellen en het gros van gebruikers dat verder kunnen vertrouwen.
//–//
De onderliggende paper aangaande AirSnitch, was vooral om vast te stellen dat er een gebrek is aan standaardisatie aangaande beveiliging bij fabrikanten om “wifi-clients” van elkaar te kunnen isoleren. Plat gezegd: Iedereen doet zelf maar wat en hoop daar dan het beste van.
Net wat beter zou imo zijn geweest dat AVM vertelt in hoeverre “AirSnitch” bij haar producten onmogelijk/onaannemelijk zou zijn en aangeeft welke maatregelen zijzelf specifiek tot haar isolatie heeft genomen voor
- bescherming van broadcast keys
- afschermingsmogelijkheden op MAC en gelijktijdig de IP laag
- bescherming synchronisatie sessiekeys met verschillende netwerk stacks.
Het zou mij verbazen dat AVM op de onderzochte elementen geen risico heeft waar haar geduchte concurrenten t/m Enterprise, in de test, elk op tenminste één element kwetsbaar bleken.
Zelf vind ik dat één van de manco’s bij de FritzBox anno nu, dat Wifi clients niet in hun eigen netwerk (VLAN) zijn te scheiden en/of het Wifi-verkeer specifiek (firewall) kunt bewaken.
Nu zal de geavanceerde AirSnitch (MiTm penetratie/bypass) hack voor de gemiddelde thuisgebruiker onbelangrijk in doel zijn en zoals ik eerder (veronder)stelde; dat de Fritz daarin net zo kwetsbaar zal zijn als was vastgesteld bij andere merken.
Iemand die thuis controleerbare zekerheid in gebruiksveiligheid wil hebben, zal imo geen FritzBox inzetten of zelfs Wifi willen gebruiken.
De term ‘Struisvogelknopje” mag wat mij betreft woord van het jaar worden. 
3 likes
Hallo Larry,
Even voor mijn beeldvorming want jij hebt de techniek beter in het oog dan ik merk ik; hoe kom jij zonder router op het internet of gebruik je een router met simkaart?
AVM bedankt mij en stuurde zojuist een bericht. Zij verwezen naar het antwoord van het team dat naar het artikel had gekeken (dus de link van Bastiaan).
Larry heeft zinvollere punten ingebracht en ik had ook verwacht in het antwoord iets meer te lezen over de getroffen maatregelen voor de FB (zonder geheimen prijs te geven).
Zojuist nog een aanvullend bericht gekregen van AVM. Iedereen die altijd de laatste updates erop zet moet veilig kunnen slapen. Nou ja, dat staat te bezien. Maar laten we wel zijn met AI zal er nog wel meer op ons afkomen dan alleen codeerders die zelf minder hoeven te doen. De aanvallen op onze data, machines, routers en wachtwoordmanagers zullen slimmer worden en zeker toenemen. Gelukkig zijn er dan onderzoekers die zwakke plekken blootleggen. Het blijft uiteindelijk ook mensenwerk.
AVM lijkt toch een afwachtende houding aan te nemen (we hebben geen gebruikers gehoord die dit hebben ervaren).
Ik had graag iets meer gelezen, maar misschien is er een developer die in Berlijn net even een stap extra gaat zetten en het ergens toch nog een plek krijgt op de AVM agenda. Je weet het nooit.
Hier het antwoord
Hello,
Thank you very much for the enquiry you sent to our FRITZ! support team.
Thank you for bringing the article regarding the AirSnitch attack to our attention. We appreciate your focus on network security.
As standard practice, we continuously monitor new vulnerabilities and release firmware updates for our products to ensure the highest level of security and protection.
Currently, we have not received reports from customers experiencing similar issues, but we recommend ensuring your router is always updated to the latest available version. This ensures that all the latest security patches are applied.
We remain at your disposal for any further assistance.
Best regards from Berlin,
Rocco Felici (FRITZ!-Support)
Wij gebruiken thuis, als consument, een standaard bedrade Fritz voor aansluiting en Internet toegang. Dit in een algemeen advies om te gebruiken wat een leverancier aanraadt cq documenteert.
Dus Fritz, niet zozeer vanwege haar technische (on)wenselijkheid maar dat het apparaat daarmee onverhoopt kan rekenen op standaard (helpdesk)ondersteuning en “wij” thuis geen zelfbedachte vaardigheden - of zorgen - hoeven te hebben.
Een verstandige insteek.
Ik ben in IJsland de enige met een FB. Het merk is geheel onbekend hier en AVM heeft wel plannen uit te breiden maar kunnen niet zeggen wanneer. Was een avontuurlijke stap en investering, omdat niemand mij kon zeggen (ook AVM Berlijn niet) of het wel werkt. TV zal wel wat problemen kunnen geven, vanwege specifieke instellingen maar wij gebruiken die niet. Ook is er geen IJslands providerprofiel in te stellen.
Gelukkig ging alles goed en kan ik wegblijven van alle Huawei spullen die men hier standaard levert. De FB biedt net dat extra meer om instellingen beter in te richten. Mijn volgende stap is een FB met sim; dan bespaar je hier weer glasvezelkosten. Ik testte de simversie van Huawei die het prima deed.
Dus er blijft genoeg te onderzoeken.
2 likes
Er is nog een aanvals mogelijkheid bij WiFi, iedereen (authenticated of niet) kan een dissociatie opdracht geven, waarbij de verbinding verbroken raakt en opnieuw moet worden opgebouwd.
Meer Denial of Service dan wat anders.
1 like
Daar heeft de Fritz!Box tegenwoordig wel beveiliging tegen. Staat standaard niet aan ik weet niet waarom. Wi-Fi > Security en dan een vinkje bij Enable support for protected logins by wireless devices (PMF)
In WPA3 schijnt 802.11w standaard te zijn.
Heb je al eens gekeken naar de Fritzen 6820-LTE en 6860-5G ?
Volgens mij werken die op een SIM .. ..
Ook de wens van een 3e netwerk in de fritzbox voor IoT is bekend bij ze.
Persoonlijk zie ik deze toestellen als het grootste gevaar in een netwerk.
Mijn kwh-p1 meter hangt ook aan het gasten net. Doet alles in de cloud.
Dus mee doen met het lokale netwerk is niet nodig.
Het beheren van deze dingen, zou makkelijker moeten worden.
Veel nieuwe apparaten hebben wifi en app’s
Ga er maar van uit, dat er rotte appels tussen zitten.
Daarvoor zou je dan in dat 3e netwerk extra voorzieningen moeten zitten, die de rechten beperken per toestel.
Ook de fritz app’s op mijn Android, hebben een eigen gebruikersnaam en ww.
Ik laat ze niet mee liften op mijn eigen GUI wachtwoord.
Ik heb ook het gebruikersnamen overzicht bij inloggen uitgezet.
Mijn inlognaam is ook moeilijker voorspelbaar, dus geen Erik meer.
(menu FRITZ!Box Users)
De browser kan dit ook onthouden.
1 like