Deshalb TR-069 ausschalten!
Vor einiger Zeit habe ich gebloggt, wie man TR-069 auf der Fritzbox ausschaltet. Ich habe aber nie geschrieben, weshalb man das tun sollte.
Nun, Anfang der Woche gab es einen groß angelegten Angriff auf Speedport-Router der Telekom – über eine Schwachstellen in deren TR-069-Implementierung. Nun haben diese Speedport-Router nichts mit den Fritz!Boxen zu tun. Dennoch wurde ich in einer Zuschrift gebeten, darauf hinzuweisen, dass, wenn TR-069 ausgeschaltet ist, der Provider keinen Zugriff auf den Router mehr hat und damit auch keine Firmware-Updates mehr einspielen kann.
Das ist korrekt. Und das ist auch genau die Absicht, wenn ich TR-069 abschalte: Der Provider soll keinen Zugriff mehr auf meinen Router haben.
Natürlich kann er damit auch keine Firmware-Updates einspielen. Aber
das tut er sowieso nicht schnell genu, wie der aktuelle Fall zeigt, und
kann das die Fritzbox selbst.
Wenn ich TR-069 eingeschaltet habe, erreiche ich nur eines: Ich habe ein weiteres Einfallstor für Angreifer geschaffen.
Wer ein Fritzbox hat, sollte dort natürlich einstellen, dass sie selbst nach Updates sucht. Wenn Ihre Fritzbox was noch nicht kann, schauen Sie, ob es eine neue Firmware gibt, die das kann. Dazu müssen Sie nur in der Benutzeroberfläche der FRITZ!Box auf "System", dann auf "Update" bzw. "Firmware-Update" und dann auf "Neue Firmware suchen" klicken.
In einem anderen, bislang unveröffentlichten Blogbeitrag nenne ich noch in paar andere Gründe, weshalb man TR-069 deaktivieren sollte.