http://192.168.178.1/data.lua?sid=xxxxxxxxxxxxxxxx&lp=calls

Update 27 August 2013:
Dies ist ein update zu meinem blog post vom 6. Dezember 2009 über das AVM Fritz!Box challenge-response Verfahren. Ab Fritz!OS 5.50 (Firmware Version xx.05.50) wurden von AVM einige Änderungen vorgenommen, die nachfolgend berücksichtigt werden:

Hier meine Perl Implementation des Login-Verfahrens ab Fritz!OS 5.50.
AVM hat das neue Verfahren endlich auch mit Beispiel-code dokumentiert.

Das Prinzip hat sich nicht geändert

Man erfragt in der Fritzbox einen „challenge“ string. Dieser wird mit dem Passwort gehasht und das Ergebnis als „response“ an die Box gesendet. Wenn die response valide war, erhält man eine login session ID mit 10 Minuten timeout. Diese wird ausgelesen und sie kann innerhalb des timeout-Intervals mit GET oder POST an jede weitere geschützte Seiten übergeben werden.

Perl code

Es werden folgende Perl modules benötigt:

use LWP 5.64;
use Digest::MD5 'md5_hex';

Den challenge string erfragt man durch Aufruf der folgenden URL:
http://fritz.box/login_sid.lua

my $user_agent = LWP::UserAgent->new;
my $http_response = $user_agent->get('http://fritz.box/login_sid.lua');

Die XML response enthält einen challenge string:

<SessionInfo>
<SID>0000000000000000</SID>
<Challenge>36c3b87f</Challenge>
<BlockTime>0</BlockTime>
<Rights/>
</SessionInfo>

Dieser string kann einfach extrahiert werden:

$http_response->content =~ /<Challenge>(\w+)/i and my $challengeStr = $1;

Im nächsten Schritt wird die challenge mit dem Fritzbox Passwort gehasht. AVM hat dies sehr kompliziert gemacht. Offenbar wollte man „script kiddies“ den Zugang zur Box erschweren. Es ist in Perl nicht einfach, den MD5 hash einer UTF-16LE kodierten Bytefolge zu erzeugen. Zum einen ist mir nicht gelungen, für ActiveState Perl ein CPAN Modul zu installieren, mit dem man UTF-16 kodieren kann. Zum anderen kann das Perl MD5 Modul keine anderen Eingaben als Text strings verarbeiten.
Athanasios Douitsis hat diese Problematik gelöst. Wer eine bessere UTF Implementation sucht, sollte sich sein Perl script anschauen.
Ich habe der Einfachheit halber aus der UTF 16 Bytefolge einen Text-String erzeugt. Dieser kann dann mit MD5 gehasht werden.

Beispiel:
ASCII = a
Dezimal = 97
Hexadezimal = 61
UTF-16 = 6100

$string = ‚a‘;
$decimal = ord($string);
$hexadecimal = sprintf(„%02lx“, $decimal);
$utf16 = $hexadecimal . ’00‘;

Das hier verwendete einfache UTF-16 „encoding“ ist nicht mehr als das Anhängen von 2 Nullen an den HEX Wert des Zeichens. Dieses Vorgehen ist nur möglich, wenn das zu kodierende Zeichen (insbesondere die Sonderzeichen) ein solches Format in UTF-16 aufweist.

Der challenge string enthält ohnehin nur die Zeichen [a-f0-9], die in UTF-16 Kodierung die 2 Nullen aufweisen. Das Fritzbox-Passwort muss ebenfalls aus Zeichen bestehen, die mit dem gezeigten einfachen Verfahren nach UTF-16 konvertiert werden können. Ich habe nicht alle Zeichen getestet, aber das script arbeitet mit a-z, A-Z, 0-9, Ausrufezeichen, Semikolon, und Punkt ohne Probleme. Damit können Passwörter wie J7hdH!k;4gZ! ohne weiteres verwendet werden.

Hier die verwendete einfache ASCII nach UTF-16 Umformung als Perl one-liner. Mit chr(hex()) werden gleichzeitig aus dem 16 bit UTF Zeichen 2 ASCII Zeichen als input für das Perl MD5 Modul erzeugt:

s/(.)/chr(hex(sprintf("%02lx", ord $1))) . chr(hex("00"))/eg;

Tja, und das ist nichts anderes als:

s/(.)/$1 . chr(0)/eg;

Damit können wir zur challenge eine response gemäß der AVM Dokumentation erstellen:

my $boxpasswort = 'geheim';
 my $ch_Pw = "$challengeStr-$boxpasswort";
 $ch_Pw =~ s/(.)/$1 . chr(0)/eg;
 my $md5 = lc(md5_hex($ch_Pw));
 my $challenge_response = "$challengeStr-$md5";

Das Ergebnis ist eine auf die challenge passende response, die im nächsten Schritt an die Box übertragen wird:

$http_response = $user_agent->get( "http://fritz.box/login_sid.lua?user=&response=$challenge_response");

Als Erbebnis einer validen challenge response wird von der Box die session ID mitgeteilt:

<?xml version=“1.0″ encoding=“utf-8″?>
<SessionInfo>
<SID>6386ded004736215</SID>
<Challenge>b3abe4bc</Challenge>
<BlockTime>0</BlockTime>
<Rights>
<Name>Dial</Name>
<Access>2</Access>
<Name>HomeAuto</Name>
<Access>2</Access>
<Name>BoxAdmin</Name>
<Access>2</Access>
<Name>Phone</Name>
<Access>2</Access>
<Name>NAS</Name>
<Access>2</Access>
</Rights>
</SessionInfo>

Diese session ID kann ausgelesen werden…

$http_response->content =~ /<SID>(\w+)/i and my $sid = $1;

…und von nun an in weiteren requests mittels GET oder POST übertragen werden (timeout=10 min), zum Beispiel für den Aufruf der Seite System-Ereignisse:
http//fritz.box/system/syslog.lua?sid=6386ded004736215
Ein komplettes Perl script zum Testen des Login:

use strict;
use LWP 5.64;
use Digest::MD5 "md5_hex";
my $boxpasswort = "geheim";
my $user_agent = LWP::UserAgent->new;
# challenge string holen
my $http_response = $user_agent->get("http://fritz.box/login_sid.lua");
$http_response->content =~ /<Challenge>(\w+)/i and my $challengeStr = $1;
# response zur challenge generieren
my $ch_Pw = "$challengeStr-$boxpasswort";
$ch_Pw =~ s/(.)/$1 . chr(0)/eg;
my $md5 = lc(md5_hex($ch_Pw));
my $challenge_response = "$challengeStr-$md5?;
# Session ID erfragen
$http_response = $user_agent->get( "http://fritz.box/login_sid.lua?user=&response=$challenge_response");
# Session ID aus XML Daten auslesen
$http_response->content =~ /<SID>(\w+)/i and my $sid = $1;
# Ereignisse-Seite mit SID als GET Parameter aufrufen und html ausgeben
$http_response = $user_agent-get("http://fritz.box/?sid=$sid&lp=xxxxx");
print $http_response->content;

Das  xxxxx steht in den neueren Fritzboxen für Seiten wie overview,  inet, tel, lan, wlan, dect, diag, sys (siehe lp Parameter der URL in der Statusleiste des browsers beim Selektieren eines Menüeintrags mit der Maus).

Ich hoffe, du findet dieses Perl script hilfreich. Mir hätte es jedenfalls einige Stunden Arbeit erspart. Falls du Fritzbox-Daten mit Perl auslesen willst oder Anmerkungen/Fragen hast, würde ich mich über eine Email freuen.

I also changed the blog’s design, giving it a nice contemporary template. Hope you like it.

Nach der Installation des Programms wird über den New Site button eine neue Verbindung definiert. Als Protokol WebDAV einstellen und https://sd2dav.1und1.de/ als URL definieren. Als Account und Password die im 1&1 Control Center bei Online Speicher aufgeführten Daten für Benutzername (E-Mail Adresse) und Dienstekennwort eintragen. 443 ist auch bei 1&1 der Standard-Port für SSL Verbindungen. Er wird eingestellt, wenn im Advanced Fenster „Use HTTPS“ selektiert wird.
Wenn alles wie im screen shot eingestellt ist, nur noch speichern (Save) und verbinden (Connect). Danach sollte das Laufwerk im Windows Explorer erscheinen, in diesem Fall mein Laufwerk P: auf das ich mein Cloud Backup bei 1 und 1 speichere:

Viel Spaß beim Einrichten eures eigenen Netzlaufwerks!

Apple’s developer support avoids clear answers on questions about the guidelines. If your question is a tricky one, they will much rather refer back to the guideline or recommend you simply submit you app and give it a try.

When an app is rejected there is often only a very general statement about why this happened. Usually it’s just a boilerplate message referring to a section in the guideline, including a brain dead recommendation to rectify the issue, like taking out a feature altogether.
The most annoying experience I had with Apple recently was a discussion on the phone with an employee who suggested that closing an app programmatically may be acceptable if we were to change it from a free app to a paid one. The app concerned is a free program to promote a pharmaceutical product with a cool Google Maps based reporting tool. Being a pharma app, the tool must have a one-time disclaimer message which the user needs to agree to before using the tool. But what if the user does not want to accept the terms? We thought it would only be logical to close the app, even though this may not be in compliance with Apple’s interface guidelines. The app was nevertheless accepted on first time submission. The rejection occurred however when we uploaded another release about one year later:

Don’t Quit Programmatically!

We decided not to accept this decision and started a debate, telling Apple that pharma market conditions require promotional tools like apps to be very clear about the legal frameork they operate under. There must be Legal Terms, and if the user rejects them, the app must dutyfully close. That’s what our users expect. If we let them end up in a you-must-accept-these-terms loop, they might feel like being tricked into accepting something they don’t like. Also, there are multiple apps out there which terminate when you reject the one-time disclaimer.

After having read our justifacation, Apple decided to escalate the issue. I received a phone call from an employee who did not seem to be very interested in discussing the Guidelines and our initial response. Instead, he suggested that closing this app would make more sense if we were to charge for it, „like 99 cents“.
What? Why would a charge justify this? I tried not to express my annoyance and I explained in much detail that this is a free promotional tool, and that under no circumstances we would ever charge for it. The Apple person patiently listened, but his response was no more than a suggestion to resubmit the app and await a decision. I thought „That’s it“. The app will never get approved again. All that money was wasted. So I once again tried to convice this guy, no less dedicated, and no less detailed. He again listened patiently, he again did not comment, and he again just recommended to resubmit.

Guess what happened? When I resubmitted the app, it was approved in no time. I of course cannot tell whether it was Apple’s sole intention to change the app into a paid one, but what I was told during this phone call made no sense to me at all.

Das System ist für den durchschnittlichen Internet-Benutzer sicher viel zu kompliziert. Die Installation auf einem Win XP Rechner einschließlich der Plug-Ins für Firefox und IE war bereits eine echte Herausforderung. Obwohl in der Anleitung nicht so beschrieben, waren Admin-Rechte erforderlich. Das Firefox Add-On wird aus unerfindlichen Gründen doppelt gelistet, einmal aktiv und einmal inaktiv. In Firefox öffnet sich die AusweisApp gar nicht, oder nach Eingabe der PIN wird der Redirect zurück zur Anmeldeseite der Website nicht durchgeführt. Außerdem müssen Cookie aktiviert sein. Der Versuch, sich bei CosmosDirekt.de anzumelden, schlug mit beiden Browsern fehl. Es ist mir lediglich ein mal gelungen, mit dem System einzuloggen. Das war bei der Bundesagentur für Arbeit, und nur mit Internet Explorer.

Die AusweisApp braucht sehr lange für den Programmstart. Die Eingabe der ersten 5-stelligen „Transport-PIN“ Nummer war zunächst gar nicht möglich, weil der entsprechende „Aktivieren“ Button inaktiviert war (grayed out). Erst nach mehrmaligem Aufrufen des Menüpunktes erschien der Button in seiner aktiven Form.
Zu allem Überfluss ist die AusweisApp nicht Open Source. Security through obscurity? Sicherheitslücken wurden aber trotzdem bereits entdeckt und geschlossen.
Besonders weit verbreitet hat sich das System offenbar im Web auch nicht nicht. Bei den großen Webfirmen ist es jedenfalls noch nicht zu finden. Ich nehme an, dort scheut man weniger die Kosten der Implementation als den technischen Support, den dieses System in seiner jetzigen Form sicher erforderlich machen würde.

Da bleibt leider nur ein Fazit: Derzeit wenig brauchbar! Ich bin gespannt ob es gelingen wird, diese Technik in Deutschland zu etablieren.

DSL 6000 funktioniert noch nicht 100%. Anscheinend wird die Bandbreite auf 3456 kBit/s gedrosselt. Ich habe den 1&1 support gebeten, das zu korrigieren. Die FRITZ!Box hängt im Netzwerkschrank im Keller. Tolles Gerät mit vielen features. Endlich haben wir den beiden großen Kindern auch ihre eigenen Rufnummern und DECT Telefone verpasst. Kein stundenlanges Blockieren der Leitung mehr.

Ich habe Perl scripts geschrieben, die via HTTP ein mal täglich mit der FRITZ!Box verbinden. Ein script liest die ein- und ausgehenden Anrufe aus und speichert die neuen Anrufe in eine CSV Datei. Ein anderes script liest die öffentliche IP Adresse aus, schickt sie mit HTTP an meine dynamic DNS provider (selfhost.de, dyndns.com) und mit FTP an eine Seite auf meiner Website. Ich weiß dadurch immer, wie ich meinen Laptop im Keller erreichen kann, auf dem die Photovoltaikdaten gespeichert und auf einer nicht-öffentlichen Website angezeigt werden. Alle paar Stunden werden sie von dort auch auf die soldierer.com Photovoltaikseite übertragen.

Der WLAN Empfang reicht leider nicht bis in den Garten. Ohne Repeater ist die Reichweite bescheiden, noch nicht einmal vom Keller in die erste Etage. Zum Glück haben wir in allen wichtigen Räumen LAN Dosen. Typisch Deutschland… alles was funkt muss so schwach wie möglich sein. Das Signal wird von den Stahlbetondecken geschluckt.

Das Web-Interface des Routers ist gegenüber der alten Version deutlich verbessert worden. Auch wartet die Hardware der FRITZ!Box mit einer Reihe nützlicher Neuerungen auf. DECT Telefone können z.B. direkt mit der Box kommunizieren, und ein USB Anschluss ermöglicht das Anschließen einer externen Festplatte oder eines Druckers.

Alles in allem eine lohnenswerte Investition. DSL 6000 flat rate (hoffentlich bald auch in voller Bandbreite), Telefon flat rate, Handy Deutschland flat rate, 4 VoIP-Telefonnummern mit eigener mailbox, toller Router, und alles zu einem Preis mit dem ich zu meiner Studienzeit noch nicht einmal die Telefonkosten decken konnte.

Computer and network security is a big issue, don’t underestimate the risks. I first noticed this years ago when I installed a free personal firewall on my PC. Only seconds after the program started to do its job, it alerted me of suspicious activity on ports and protocols that I even didn’t know existed. Steve Gibson calls this activity Internet Background Radiation. Much of this is not merely junk but malicious traffic. To protect my personal computers, data, and privacy, I have taken a number of simple security measures which I want to share with you.

Hardware

Use a router
No matter whether you have a cable, DSL, or ISDN connection, buy a router and let it block all unwanted traffic. Modern routers include a hardware firewall which will close or „stealth“ all machine ports that do not need to listen for incoming network traffic. Make sure that all network ports are stealth (invisible), or at least closed (unresponsive). You can use the Shields Up online tool to challenge your computer’s ports.

Security tokens
Paypal/Ebay implements two-factor authentication. For very little money you can purchase a small device (see image above) which generates a unique key each time you log in. So even if somebody knows your password, they cannot log into your account because they don’t know the extra number which changes each time. Verisign offers a similar system which you can use to secure your OpenID account. Many online banks have similar tokens or devices that generate one-time keys using the bank’s card.

Encryption

Use encrypted connections to the Internet whenever possible. If a web shop or service offers a secure (SSL, https) connection, use it. Try to set up your email client with a secure connection (TLS, SSL) to the mail server. Encrypt sensitive emails or email attachments.

If you run a WLAN, encrypt your traffic. Do not use WEP to do this as this protocol can be cracked within minutes! All modern routers have WPA which is much more secure. If your access point and connecting machines support WPA2, often also referred to as AES or CCMP, use this. For regular WPA encryption (a.k.a. WPA1 or TKIP) a vulnerability was recently reported which could allow a hacker to decrypt very small data packets under certain circumstances. With both WPA1 and WPA2 your WLAN is definitely protected from eavesdropping as long as you use a secure password. Generate a strong password here.

My Laptop’s harddisk is encrypted with TrueCrypt [comment Nov 10, 2014: Truecrypt is no longer supported by its developers, see truecrypt.sourceforge.net]. Should it ever get stolen, nobody will be able to see the data.

I never connect my private Laptop to a wireless access point in an Internet Café or hotel. On my company Laptop I can use a secure VPN connection. If you don’t have company VPN, use a service like OpenVPN to get your data encrypted before it is aired on an insecure WLAN.

Software

Operating system updates

Always install all security patches immediately.

Firewall

Since service pack 2 of Windows XP every windows machine fortunately runs Microsoft’s software firewall. It only blocks incoming traffic though which is why I run the Sygate free software firewall. Sygate alerts me when a program on my computer wants to connect to the Internet. I would therefore be able to quickly identify and block any trojans that try to phone home. Once malicious software finds its way into your computer it can disable the software firewall. A hardware router therefore provides better protection.

Antivirus programs

I run Avast free Home Edition on my PC. Needless to say that every computer should have Antivirus software installed. Computer viruses ar no longer ditributed via floppy discs or email attachments. Most infections happen on websites these days so you better have virus tool scan the incoming traffic

Anti Malware tools

Next to Avast I run Spybot Search & Destroy. There is much more junk out there than just viruses.

Virtual machines

A virtual machine will protect you from any damage caused by viruses and malware because it is a self-contained operating system environment which can be easily reset to a previous state if it was compromised. If you like to surf the darker corners of the Internet, get yourself a copy of VMware.

Web browser

Use the most recent version of your web browser of choice. Don’t stick to older versions as they have known security vulnerabilities that got fixed in more recent releases. Configure the browser to block 3rd party cookies. Delete permanent cookies from time to time. Do not allow unknown or even dubious websites to run Javascript in your browser. Use Internet Explorer’s trusted zones or the Firefox NoScript add-on.

Secunia PSI

This useful tool helps you to always run the most recent and secure versions of software. It scans your PC and reports programs that should be updated.

Good security practice

A number of additional simple measures will significantly increase your security and privacy.

Do not work and surf with your computer’s Admin account, create a less privileged user account.

Make your hosts file read-only to prevent malware from tampering with it.

To prevent keystroke logging, copy-paste user names and passwords, don’t type them.

To prevent cross site request forgery, log out on a passwor protected website before you surf to another one.

Some USB drives (SanDisk, Lexar, Kingston, IronKey) have hardware encryption built in, but when it comes to encryption, I prefer to stay away from proprietary implementations.

Well, the Ironkey is proprietary of course. However, after Steve’s interview with Ironkey’s CEO I was very curious how the thing would actually work. For my daily needs Ironkey’s level of security is more than I need anyway. And I’m not a big fan of conspiracy theories. Ironkey is very likely not a subsidiary of the NSA. And should I ever be concerned about some government agency breaking into it, I can still encrypt the data on my Ironkey with PGP. Call me paranoid but actually I run a copy on the Ironkey and use it to encrypt the hundreds of entries in my master passwords file.

Gnu Privacy Guard

So do I encrypt all my email? No. I wish I could, but none of my friends and colleagues uses email encryption. There is only two things I can do: Download my mail with a secure protocol to at least encrypt the last hop, and never forget that emails are like paper postcards that not only the postman can read.

Free encryption software (1): Introduction
Free encryption software (2): File encryption on USB flash drives
Free encryption software (3): Hard disc encryption