[OT][Rant] Sympathie für RPi-Hasser

Am 07.11.2013 16:36, schrieb Edzard Egberts:

Open-Source? Wirklich? Auch die Treiber?

das ist wohl eine frage des gewünschten funktionsumfangs. wenn ich einen datensammler und -darsteller für ein paar temperatursensoren brauch, wo noch kein PC steht (und wegen stromverbrauch auch nicht hinsoll), ist so ein webserver schon praktisch.

nix mehr mit seltsamen NVRAM-variablen?

CPAN ist auf winzig-kisten auch nicht so prickelnd, XS-module wollen da einen compiler haben.

ja gut. das letzte mal, als ich eine WRT-box konfiguriert hab, war die auswahl an paketen noch nicht so prickelnd.

die kiste ist übrigens "fire and forget" in deinem sinne -- ein WRT54G als reiner AP. das ist OK, da gibt's wenig angriffsfläche.

das problem ist, daß solche mit dem netz verbundenen embedded-systeme gern im wesentlichen aus ausnutzbaren sicherheitslücken bestehen, und das auch bleiben, weil sie eben in keinen systemadministrations-workflow eingebunden sind.

das mag bei dir zuhause wurscht sein, aber in firmennetzen findet man gern eine menge davon (man denke nur an drucker, haustechnik, zutrittssysteme, waschmaschinen...).

cm.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/ 
> Konzept Kunde/König? 
Ist deren Internet kaputt oder meines? Kann ich das wieder hinbiegen 
oder die? -- Ralph Angenendt in dasr

Wenn man ein "Desktop-Linux" mit GB-weise verwundbarem Code draufkloppt, dann tritt dieser Zustand sicher ein, ja.

Ein OpenWRT besteht aus wenigen hundert Dateien und ein bis zwei Dutzend Paketen. Das ist genau der Punkt: Was nicht da ist, kann auch keine Vulnerabilites haben. Insbesondere die Anzahl der Zero-Day-Lücken dürfte um mehrere Größenordnungen kleiner sein.

Wenn man es richtig macht, dann kann man bei so einer Kiste bei schreibgeschütztem Flash höchstens die Ramdisk ownen und mit einem Powercycle den Angreifer entsorgen.

Joseph

"Die" Anlaufseite für solche Fragen ist wobei die aber teilweise recht veraltet ist. Hier z.B. gibt' s aktuelleres:

Persönlich nutze ich trinity sowie auf meinen älteren/schwächeren Rechnern Xfce.

Gruß, Paul

Doch, aber diese Probleme waren meist schnell behoben. Derart massive Probleme hatte ich weder mit dem ZX81 noch C64, noch Amiga usw.

Gruß

Gregor

es ist ja wohl irrelevant, über welchen paketmechanismus du die services, die du auf der kiste anbietest, installierst. bei einem wlan-router zb typischerweise httpd, dhcpd, sshd, ntpd, dns-forwarder. das sind die potentiellen einfallstore für den angriff, ob da noch

1000 zusätzliche pakete installiert sind, interessiert den angreifer vielleicht, wenn er schon zugriff auf die kiste hat und nach einer privilege escalation sucht.

von zero-day-lücken reden wir ja nicht, weil du die software eh nicht aktualisierst. also können's auch gern 5-year-lücken sein.

welche der WRT-kompatiblen hardware unterstützt das denn?

dem angreifer reicht es, wenn er das system owned -- du wirst dir damit vielleicht keine persistente malware eintreten, aber irgendein DDoS/spam-tool macht sich's auch gern in deiner ramdisk gemütlich. gern auch nach dem powercycle nochmal, die lücke hat der powercycle ja nicht behoben.

ob dieses problem real ist, steht übrigens nicht mehr zur diskussion:

cm.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/ 
Wos hast "der ordner ist leer"? - Franz 
Wahrscheinlich is nix drin - Tom 
Vielleicht wär a Computerführerschein doch ka so schlechte Idee - Hubsi

Das ist halt der grundlegende Unterschied. Nur, daß die Textdateien oft genug weder selbsterklärend noch überhaupt einfach auffindbar sind.

Du hast schon lange kein Windows mehr auf der Konsole bedient, wie es scheint.

Klar, Kaufware halt. Dafür gibt es genug Dinge, die es für Linux schlichtweg nicht gibt, friss oder stirb, nimm Windows, oder laß es ganz bleiben.

Auch hier klar, Kaufware halt.

-ras

--

Ralph A. Schmid 

http://www.schmid.xxx/ http://www.db0fue.de/ 
http://www.bclog.de/ http://www.kabuliyan.de/

Das ist auch für Alltagsanwendungen der eine Knackpunkt, der vor zehn Jahren oder so die Rechner einen ordentlichen Tacken beschleunigte - der zweite Kern. Der andere Knackpunkt ist etwas neuer, die SSD. Ein eher moderat getakteter C2D-Rechner mit SSD und genug RAM ist auch heute noch eine absolut taugliche Kiste, egal, ob Linux, Win XP, Vista, 7 oder 8.

-ras

--

Ralph A. Schmid 

http://www.schmid.xxx/ http://www.db0fue.de/ 
http://www.bclog.de/ http://www.kabuliyan.de/

Die Pakete wären zusammen schon viel zu fett für einen Router, deshalb findest Du:

- dropbear (SSH, by default abgeschaltet)

- dnsmasq (caching DNS Server, DHCP, TFTP)

- hostap (WiFi)

Und das war's dann auch schon. HTTP ist optional, reguläre Konfiguration erfolgt per Konsole oder SSH mit dem Texteditor.

Von innen, Richtung WAN ist so eine Kiste eh komplett dicht.

Oder gern einen Exploit kompilieren möchte, weil er den MIPS- Crosscompiler gerade nicht greifbar hat. Da ist so ein voll ausgerüstetes Debian schon sehr praktisch.

Das sind nunmal die interessanten, welche man die nicht präventiv fixen kann.

Hab ich das behauptet? Ich habe nur gesagt, daß ich so eine Kiste mit tausenden Paketen dauernd betüdeln möchte. Wenn alle paar Jahre mal ein Advisory reinkommt, daß mich betrifft, geht das schon okay.

Allerdings muß Embeddedhardware eben auch nicht zwangsweise durchlaufen, kann also problemlos regelmäßig powercycled werden, z. B. täglich, um die DSL-Zwangstrennung auf Zeitpunkt 4 Uhr morgens zu legen.

Und das macht das ganze dann doch als Botnetzclient recht uninteressant. Wird deswegen auch eher anders angegriffen, siehe unten.

Ja, Router werden inzwischen angegriffen, um URLs und Namensauflösungen umzubiegen, womit Leuten dann irgendwelches Zeug im Browser untergejubelt wird, also letztlich werden dann doch wieder Windows-PCs angegriffen. Das läuft bekannte Lücken in proprietärer Firmware stark verbreiteter Routermodelle.

OpenWRT wiederum sind nicht verbreitet genug, daß sich sowas überhaupt lohnt.

Bei "Standard-Distributionen" hingegen kann man wiederum die gleichen Scripte laufenlassen, mit denen auch reihenweise Dedicated Server aufgemacht werden. Wenn man also bspw. dank Debians kaputter SSL- Bibliothek mit einen SSH-Schlüssel mit 16 Bit Länge hat, ist auch die Kiste mit der ARM-CPU aufgemacht.

Joseph

Am 08.11.2013 18:10, schrieb christian mock:

Wer nicht völlig mit dem Klammerbeutel gepudert ist, macht diese Dienste von draußen nicht zugreifbar, wenn er sie denn braucht.

Ach Unsinn. Das betrifft Hersteller, die unbedingt ihren Kram mit 1000 Diensten standardmäßig in alle Richtungen laufend ausliefern müssen, null auf Sicherheit achten und dann noch eine Verbreitung am Markt haben, daß es sich lohnt, nach Verwundbarkeiten zu suchen. Ein OpenWRT hat dagegen out of the Box einfach keine Angriffsflächen (außer ssh, glaube ich) und ist damit auch ohne dauernde Patcherei verdammt sicher.

Hanno

hoffentlich in der default-config, nicht unbedingt in der realität -- les den heise-artikel.

außerdem gibt's ganz lustige CSRF-techniken, mit denen man über den browser den angriff reflektieren kann.

sicher, du sprachst doch von installieren und nicht mehr angreifen.

aber egal. wenn bei mir ein debian-advisory reinkommt, reiß ich den apt-dater an, und der macht das dann auf allen systemen.

les doch bitte den artikel, da geht's um dd-wrt und das absaugen von passwörtern per dsniff[0].

sicher, wenn ich mir einen haufen PHP-müll auf meinen raspi packe, dann wird die wahrscheinlichkeit, daß er gepwned wird, drastisch steigen. wenn hingegen ein exploit im dropbear oder dnsmasq vorhanden ist, erwischts den *wrt. so what?

lass uns einfach agreen zu disagreen und das off-topic beenden...

cm.

[0] ich hab das mal zu recherchezwecken an einem offenen AP gemacht -- erschreckend, wieviele leute ihre passwörter im klartext über fremde, unbekannte infrastruktur schicken.

--
** christian mock in vienna, austria -- http://www.tahina.priv.at/ 
Metallica wasn't affected much, unsurprisingly.  You can play lots 
of Metallica MP3s at the same time and it still sounds like 
Metallica, only more so. -- Dave Brown

natürlich.

auch du darfst den artikel lesen und über "dd-wrt" meditieren.

das ist das alte "openssh hat keine remote root exploits in der default-config"-argument, und das war schon bei openbsd lächerlich.

der punkt ist: ein system hängt am netzwerk, um dort services zu erbringen oder zu nutzen, also gibt es ein minimales set an services, die erreichbar sein müssen und die potentiell buggy sind.

man wird jetzt nach stand der technik diese angriffsfläche reduzieren (keine weiteren services, die services auf die richtigen interfaces binden, iptables-regeln einrichten etc),

das bringt aber immer noch keinen prinzipbedingten vorteil für das eine oder andere system.

cm.

--
>> [1] MSFP nennt das dann "Hooverbutton", 
>                           ^^^^^^ Weils so gut saugt? 
Das. Und weil's aussieht wie J. Edgar in Fummel. 
              Martin Herrmann, Peter J. Holzer, Felix Deutsch in dasr

Am 08.11.2013 22:54, schrieb christian mock:

"Ausnutzen lässt sich die Lücke nur, wenn der Router so konfiguriert wurde, dass das Webinterface auch über das Internet erreichbar ist. Standardmäßig ist das nicht der Fall ? trotzdem listet die Spezialsuchmaschine Shodan über 25 000 DD-WRT-Router auf, die auf Port

80 oder 8080 antworten."

Da haben sich Leute in den Fuß geschossen, und dann tat es weh. Tell news.

Ich weiß nicht mal, ob dem so ist. ssh ist per default erreichbar, aber mglw. nicht aus dem WAN. Weiß ich gerade nicht, ich hab die Config von meinem WRT54G seit 10 Jahren dahingehend nicht mehr angefaßt.

Wenn du nur raus ins Internet willst, muß gar kein Dienst erreichbar sein.

Es ist trotzdem noch minimaler/schlanker. dropbear linkt nicht gegen OpenSSL und ist daher nicht von der aktuellen Verwundbarkeit betroffen. Das kannst du jetzt sehen wie du willst - ich halte das für einen Vorteil.

Hanno

SSH ist by default auch aus und die Kiste nur über die serielle oder VGA- Konsole erreichbar, wenn es eine gibt.

Joseph

Da lese ich irgendwas über DD-WRT, das hat mit OpenWRT überhaupt nichts zu tun.

Wobei die meisten dieser Angriffe dann auf Default-IP-Adressen (z. B.

192.168.1.1) zielen und mein LAN ist leider völlig woanders unterwegs. :-)

Das ist genau der Punkt, je weniger Monokultur, desto schwieriger die Massenangriffe. Und gegen gezielte bist Du mit Deinem Debian eh machtlos.

Ich möchte aber nicht mit apt und dpkg herumdallern müssen.

Ich benutze DD-WRT nicht.

Die bieten keine Dienste ins WAN an.

Joseph

SSH ist by default aus. Und damit es aus dem WAN erreichbar ist, muß man schon explizit die Firewallkonfig ändern. Und sich _dann_ natürlich auch drum kümmern.

Hehe, und wie oft hättest Du in der Zeit eine Debian-Kiste betüdeln müssen? Inkl. zwangsweiser Dist-Upgrades mit tollen neuen Bugs und Vulnerabilities?

Exakt.

Die Embedded-Philosophie versteht halt nicht jeder.

Joseph

Hallo,

also wie schon einige geschrieben haben, liegt es vermutlich an der SD-Kart e. Gerade einige Class 10 Karten laufen nicht besonders. Ich hab sehr gute Erfahrungen mit den Samsung Class 6 gemacht. Die Class 10 bringen beim Pi k aum Mehrwert:

Probleme treten auch auf, wenn man den Pi über oder untertaktet. Bei mir lief mit 800Mhz alles ok, bei 900Mhz gab es Fehlermeldungen. Unter 400Mhz b in ich auch nicht gegangen.

Wichtig ist auch ein ordentliches Netzteil.

Aktuelle Debian und Firmware-Version sollte auch drauf sein.

Gruß Jürgen

Am 07.11.2013 13:52, schrieb Edzard Egberts:

Ehr unbenutzbar, nicht zuletzt wegen dem Speicherbedarf - zumindest neben einer XBMC Installation.

Gerald

Am 06.11.2013 14:14, schrieb Gregor Szaktilla:

Es soll aber auch durchaus sinnvolle Anwendungen für den Himbeercomputer geben. ;)