Das kotzt mich auch tierisch an. Sieht man auch schön bei Mobiltelefonen- ein Hersteller, drei Modelle, fünf forks, alles zusammengeschustert- keins läuft vernünftig. Arbeitet denn jetzt wenigstens google endlich mit den Linux Kernel-Entwicklern zusammen?
das ist wohl eine frage des gewünschten funktionsumfangs. wenn ich einen datensammler und -darsteller für ein paar temperatursensoren brauch, wo noch kein PC steht (und wegen stromverbrauch auch nicht hinsoll), ist so ein webserver schon praktisch.
nix mehr mit seltsamen NVRAM-variablen?
CPAN ist auf winzig-kisten auch nicht so prickelnd, XS-module wollen da einen compiler haben.
ja gut. das letzte mal, als ich eine WRT-box konfiguriert hab, war die auswahl an paketen noch nicht so prickelnd.
die kiste ist übrigens "fire and forget" in deinem sinne -- ein WRT54G als reiner AP. das ist OK, da gibt's wenig angriffsfläche.
das problem ist, daß solche mit dem netz verbundenen embedded-systeme gern im wesentlichen aus ausnutzbaren sicherheitslücken bestehen, und das auch bleiben, weil sie eben in keinen systemadministrations-workflow eingebunden sind.
das mag bei dir zuhause wurscht sein, aber in firmennetzen findet man gern eine menge davon (man denke nur an drucker, haustechnik, zutrittssysteme, waschmaschinen...).
cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
> Konzept Kunde/König?
Ist deren Internet kaputt oder meines? Kann ich das wieder hinbiegen
oder die? -- Ralph Angenendt in dasr
Wenn man ein "Desktop-Linux" mit GB-weise verwundbarem Code draufkloppt, dann tritt dieser Zustand sicher ein, ja.
Ein OpenWRT besteht aus wenigen hundert Dateien und ein bis zwei Dutzend Paketen. Das ist genau der Punkt: Was nicht da ist, kann auch keine Vulnerabilites haben. Insbesondere die Anzahl der Zero-Day-Lücken dürfte um mehrere Größenordnungen kleiner sein.
Wenn man es richtig macht, dann kann man bei so einer Kiste bei schreibgeschütztem Flash höchstens die Ramdisk ownen und mit einem Powercycle den Angreifer entsorgen.
es ist ja wohl irrelevant, über welchen paketmechanismus du die services, die du auf der kiste anbietest, installierst. bei einem wlan-router zb typischerweise httpd, dhcpd, sshd, ntpd, dns-forwarder. das sind die potentiellen einfallstore für den angriff, ob da noch
1000 zusätzliche pakete installiert sind, interessiert den angreifer vielleicht, wenn er schon zugriff auf die kiste hat und nach einer privilege escalation sucht.
von zero-day-lücken reden wir ja nicht, weil du die software eh nicht aktualisierst. also können's auch gern 5-year-lücken sein.
welche der WRT-kompatiblen hardware unterstützt das denn?
dem angreifer reicht es, wenn er das system owned -- du wirst dir damit vielleicht keine persistente malware eintreten, aber irgendein DDoS/spam-tool macht sich's auch gern in deiner ramdisk gemütlich. gern auch nach dem powercycle nochmal, die lücke hat der powercycle ja nicht behoben.
ob dieses problem real ist, steht übrigens nicht mehr zur diskussion:
formatting link
cm.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
Wos hast "der ordner ist leer"? - Franz
Wahrscheinlich is nix drin - Tom
Vielleicht wär a Computerführerschein doch ka so schlechte Idee - Hubsi
Das ist auch für Alltagsanwendungen der eine Knackpunkt, der vor zehn Jahren oder so die Rechner einen ordentlichen Tacken beschleunigte - der zweite Kern. Der andere Knackpunkt ist etwas neuer, die SSD. Ein eher moderat getakteter C2D-Rechner mit SSD und genug RAM ist auch heute noch eine absolut taugliche Kiste, egal, ob Linux, Win XP, Vista, 7 oder 8.
-ras
--
Ralph A. Schmid
http://www.schmid.xxx/ http://www.db0fue.de/
http://www.bclog.de/ http://www.kabuliyan.de/
Die Pakete wären zusammen schon viel zu fett für einen Router, deshalb findest Du:
- dropbear (SSH, by default abgeschaltet)
- dnsmasq (caching DNS Server, DHCP, TFTP)
- hostap (WiFi)
Und das war's dann auch schon. HTTP ist optional, reguläre Konfiguration erfolgt per Konsole oder SSH mit dem Texteditor.
Von innen, Richtung WAN ist so eine Kiste eh komplett dicht.
Oder gern einen Exploit kompilieren möchte, weil er den MIPS- Crosscompiler gerade nicht greifbar hat. Da ist so ein voll ausgerüstetes Debian schon sehr praktisch.
Das sind nunmal die interessanten, welche man die nicht präventiv fixen kann.
Hab ich das behauptet? Ich habe nur gesagt, daß ich so eine Kiste mit tausenden Paketen dauernd betüdeln möchte. Wenn alle paar Jahre mal ein Advisory reinkommt, daß mich betrifft, geht das schon okay.
Allerdings muß Embeddedhardware eben auch nicht zwangsweise durchlaufen, kann also problemlos regelmäßig powercycled werden, z. B. täglich, um die DSL-Zwangstrennung auf Zeitpunkt 4 Uhr morgens zu legen.
Und das macht das ganze dann doch als Botnetzclient recht uninteressant. Wird deswegen auch eher anders angegriffen, siehe unten.
Ja, Router werden inzwischen angegriffen, um URLs und Namensauflösungen umzubiegen, womit Leuten dann irgendwelches Zeug im Browser untergejubelt wird, also letztlich werden dann doch wieder Windows-PCs angegriffen. Das läuft bekannte Lücken in proprietärer Firmware stark verbreiteter Routermodelle.
OpenWRT wiederum sind nicht verbreitet genug, daß sich sowas überhaupt lohnt.
Bei "Standard-Distributionen" hingegen kann man wiederum die gleichen Scripte laufenlassen, mit denen auch reihenweise Dedicated Server aufgemacht werden. Wenn man also bspw. dank Debians kaputter SSL- Bibliothek mit einen SSH-Schlüssel mit 16 Bit Länge hat, ist auch die Kiste mit der ARM-CPU aufgemacht.
Wer nicht völlig mit dem Klammerbeutel gepudert ist, macht diese Dienste von draußen nicht zugreifbar, wenn er sie denn braucht.
Ach Unsinn. Das betrifft Hersteller, die unbedingt ihren Kram mit 1000 Diensten standardmäßig in alle Richtungen laufend ausliefern müssen, null auf Sicherheit achten und dann noch eine Verbreitung am Markt haben, daß es sich lohnt, nach Verwundbarkeiten zu suchen. Ein OpenWRT hat dagegen out of the Box einfach keine Angriffsflächen (außer ssh, glaube ich) und ist damit auch ohne dauernde Patcherei verdammt sicher.
hoffentlich in der default-config, nicht unbedingt in der realität -- les den heise-artikel.
außerdem gibt's ganz lustige CSRF-techniken, mit denen man über den browser den angriff reflektieren kann.
sicher, du sprachst doch von installieren und nicht mehr angreifen.
aber egal. wenn bei mir ein debian-advisory reinkommt, reiß ich den apt-dater an, und der macht das dann auf allen systemen.
les doch bitte den artikel, da geht's um dd-wrt und das absaugen von passwörtern per dsniff[0].
sicher, wenn ich mir einen haufen PHP-müll auf meinen raspi packe, dann wird die wahrscheinlichkeit, daß er gepwned wird, drastisch steigen. wenn hingegen ein exploit im dropbear oder dnsmasq vorhanden ist, erwischts den *wrt. so what?
lass uns einfach agreen zu disagreen und das off-topic beenden...
cm.
[0] ich hab das mal zu recherchezwecken an einem offenen AP gemacht -- erschreckend, wieviele leute ihre passwörter im klartext über fremde, unbekannte infrastruktur schicken.
--
** christian mock in vienna, austria -- http://www.tahina.priv.at/
Metallica wasn't affected much, unsurprisingly. You can play lots
of Metallica MP3s at the same time and it still sounds like
Metallica, only more so. -- Dave Brown
auch du darfst den artikel lesen und über "dd-wrt" meditieren.
das ist das alte "openssh hat keine remote root exploits in der default-config"-argument, und das war schon bei openbsd lächerlich.
der punkt ist: ein system hängt am netzwerk, um dort services zu erbringen oder zu nutzen, also gibt es ein minimales set an services, die erreichbar sein müssen und die potentiell buggy sind.
man wird jetzt nach stand der technik diese angriffsfläche reduzieren (keine weiteren services, die services auf die richtigen interfaces binden, iptables-regeln einrichten etc),
das bringt aber immer noch keinen prinzipbedingten vorteil für das eine oder andere system.
cm.
--
>> [1] MSFP nennt das dann "Hooverbutton",
> ^^^^^^ Weils so gut saugt?
Das. Und weil's aussieht wie J. Edgar in Fummel.
Martin Herrmann, Peter J. Holzer, Felix Deutsch in dasr
"Ausnutzen lässt sich die Lücke nur, wenn der Router so konfiguriert wurde, dass das Webinterface auch über das Internet erreichbar ist. Standardmäßig ist das nicht der Fall ? trotzdem listet die Spezialsuchmaschine Shodan über 25 000 DD-WRT-Router auf, die auf Port
80 oder 8080 antworten."
Da haben sich Leute in den Fuß geschossen, und dann tat es weh. Tell news.
Ich weiß nicht mal, ob dem so ist. ssh ist per default erreichbar, aber mglw. nicht aus dem WAN. Weiß ich gerade nicht, ich hab die Config von meinem WRT54G seit 10 Jahren dahingehend nicht mehr angefaßt.
Wenn du nur raus ins Internet willst, muß gar kein Dienst erreichbar sein.
Es ist trotzdem noch minimaler/schlanker. dropbear linkt nicht gegen OpenSSL und ist daher nicht von der aktuellen Verwundbarkeit betroffen. Das kannst du jetzt sehen wie du willst - ich halte das für einen Vorteil.
SSH ist by default aus. Und damit es aus dem WAN erreichbar ist, muß man schon explizit die Firewallkonfig ändern. Und sich _dann_ natürlich auch drum kümmern.
Hehe, und wie oft hättest Du in der Zeit eine Debian-Kiste betüdeln müssen? Inkl. zwangsweiser Dist-Upgrades mit tollen neuen Bugs und Vulnerabilities?
Exakt.
Die Embedded-Philosophie versteht halt nicht jeder.
also wie schon einige geschrieben haben, liegt es vermutlich an der SD-Kart e. Gerade einige Class 10 Karten laufen nicht besonders. Ich hab sehr gute Erfahrungen mit den Samsung Class 6 gemacht. Die Class 10 bringen beim Pi k aum Mehrwert:
formatting link
Probleme treten auch auf, wenn man den Pi über oder untertaktet. Bei mir lief mit 800Mhz alles ok, bei 900Mhz gab es Fehlermeldungen. Unter 400Mhz b in ich auch nicht gegangen.
Wichtig ist auch ein ordentliches Netzteil.
Aktuelle Debian und Firmware-Version sollte auch drauf sein.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.