<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Am 2016-05-16 um 15:30 schrieb David
      Hopfmueller:<br>
    </div>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">On 05/16/2016 02:17 PM, Erich N. Pekarek wrote:
      <br>
      > Am 2016-05-16 um 13:18 schrieb David Hopfmueller:
      <br>
      <br>
      Hi,
      <br>
      <br>
      <blockquote type="cite">AirOS ist nicht in der Gesamtheit eine
        Black-Box, nur Teile, wie
        <br>
        proprietäre WLAN-Treiber, für die man als Programmierer ein NDA
        <br>
        unterzeichnen müsste.
        <br>
      </blockquote>
      <br>
      Das heisst, AirOS ist open-source? Das waere mir neu. Hast Du
      einen Link zum Quellcode?
      <br>
    </blockquote>
    <img src="cid:part1.02050509.04000306@pekarek.at" alt=""><br>
    <br>
<a class="moz-txt-link-freetext" href="https://www.ubnt.com/download/airmax-m/default/default/airos-xw-board-firmware-v565">https://www.ubnt.com/download/airmax-m/default/default/airos-xw-board-firmware-v565</a><br>
    <br>
    "Some of the software in the firmware is licensed under the GNU
    General Public License and other Open Source and Free Software
    licenses. You can find the complete and corresponding source in the
    GPL archive."<br>
    <br>
    Wo dieses GPL-Archiv sein soll, weiß ich nicht. Über die
    Suchfunktion finde ich es nicht.<br>
    <br>
    "*Ubiquiti does not provide downloads of some legacy software and
    firmware, due to regulatory restrictions and security
    considerations. It is always recommended that you run the latest
    software to ensure greatest performance and security. If you require
    older versions of the software, please email <a class="moz-txt-link-abbreviated" href="mailto:support@ubnt.com">support@ubnt.com</a>."<br>
    <br>
    Die GPL erfordert auch nicht (zwingend), dass alles "online"
    downloadbar sein muss. Es genügt, die betroffenen Codeteile auf
    Anforderung -allenfalls auch auf einem Medium herauszugeben, wobei
    hierfür auch Manipulationsgebühren für zulässig erachtet werden.<br>
    <br>
    Also im Zweifel kann man den Support anschreiben, um den Code
    inklusive der proprietären Binaries, die für einen vollständigen
    Build erforderlich sind, anzufordern.<br>
    <br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      <blockquote type="cite">
        <blockquote type="cite">Und ein deutlicher Reminder, uns als
          Community um eine
          <br>
          Update-Strategie und ein Sicherheitskonzept zu kümmern.
          <br>
        </blockquote>
        Die Update-Strategie nützt wenig, wenn es sich um einen
        Zero-Day-Exploit
        <br>
        handelt - und somit begriffsgemäß Herstellerpatches fehlen.
        <br>
      </blockquote>
      <br>
      ... was in diesem Fall nicht zutrifft und auch kein generelles
      Argument gegen eine solche Strategie sein kann.
      <br>
    </blockquote>
    Warum es aus meiner Sicht im konkreten Fall zutrifft, habe ich
    erläutert.<br>
    Auch war es kein generelles Argument, sondern ein auf den Fall
    bezogenes.<br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      Es geht nicht darum, Betreiber zu ihrem Glueck zu zwingen. Aber
      wenigstens die Chance sollte man ihnen geben, indem man auf
      moeglichst wartbare Software setzt, ueber (abschaltbares)
      Auto-Update nachdenkt, sinnvolle Defaults setzt und Tipps gibt,
      wie man die Angriffsflaeche minimiert.
      <br>
    </blockquote>
    Also kein Windows 10-Update mit nervigen Popups? Schade! ;-)<br>
    Scherz beiseite: Konkrete Vorschläge, wie man das realisieren kann?
    Ideal wäre ein Ansatz wie debwrt - der auf Flash-armen Geräten eher
    verfehlt ist.<br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      Auf einem oeffentlich erreichbaren Geraet per default einen
      loechrigen Webserver ohne ACL zu betreiben, den ich nicht einzeln
      updaten kann und der noch dazu offensichtlich mit root-Rechten
      laeuft, ist aus Security-Sicht schlicht eine Katastrophe.</blockquote>
    Zustimmung. Im embedded-Bereich + busybox haben sich multiuser, sudo
    und sonstiges Hardening bisher nicht durchgesetzt. Wünschenswert ist
    es.<br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite"> Diverse OpenWRT-basierende Deployments sind da, nota
      bene, nicht auszunehmen.
      <br>
    </blockquote>
    --verbose? Gargoyle, DD-WRT, Lede, Superwrt, ...? oder doch die
    Überreste von Backfire Vienna oder gar noch älteres?<br>
    <br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      So etwas duerfen wir einfach nicht als Standard-Loesung billigen
      oder gar empfehlen.
      <br>
    </blockquote>
    Alternative? Verbote?<br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      <blockquote type="cite">Besinnnen wir uns auf diese Fragen, bevor
        wir uns auf konkrete
        <br>
        strategisch-technische Maßnahmen festlegen, die über ein Stopfen
        von
        <br>
        Löchern hinausgehen:
        <br>
      </blockquote>
      <br>
      Gerne, aber nicht ich && in diesem Thread.
      <br>
    </blockquote>
    Also business as usual ;-)<br>
    <br>
    Threadende.<br>
    <blockquote
      cite="mid:63319259-dac3-8210-37f7-f05da07a10a4@hopfmueller.at"
      type="cite">
      <br>
      CU,
      <br>
      David
      <br>
      <br>
    </blockquote>
    LG<br>
    Erich<br>
  </body>
</html>