[Discuss] Node-Security (was: Re: [Wien] Ubiquiti Malware / Virus! Bitte prüft eure Geräte (dzt. nur Antennen betroffen))

[David Hopfmueller]

On 05/16/2016 02:17 PM, Erich N. Pekarek wrote:
 > Am 2016-05-16 um 13:18 schrieb David Hopfmueller:

Hi,

> AirOS ist nicht in der Gesamtheit eine Black-Box, nur Teile, wie
> proprietäre WLAN-Treiber, für die man als Programmierer ein NDA
> unterzeichnen müsste.

Das heisst, AirOS ist open-source? Das waere mir neu. Hast Du einen Link 
zum Quellcode?

>> Und ein deutlicher Reminder, uns als Community um eine
>> Update-Strategie und ein Sicherheitskonzept zu kümmern.
> Die Update-Strategie nützt wenig, wenn es sich um einen Zero-Day-Exploit
> handelt - und somit begriffsgemäß Herstellerpatches fehlen.

... was in diesem Fall nicht zutrifft und auch kein generelles Argument 
gegen eine solche Strategie sein kann.

Es geht nicht darum, Betreiber zu ihrem Glueck zu zwingen. Aber 
wenigstens die Chance sollte man ihnen geben, indem man auf moeglichst 
wartbare Software setzt, ueber (abschaltbares) Auto-Update nachdenkt, 
sinnvolle Defaults setzt und Tipps gibt, wie man die Angriffsflaeche 
minimiert.

Auf einem oeffentlich erreichbaren Geraet per default einen loechrigen 
Webserver ohne ACL zu betreiben, den ich nicht einzeln updaten kann und 
der noch dazu offensichtlich mit root-Rechten laeuft, ist aus 
Security-Sicht schlicht eine Katastrophe. Diverse OpenWRT-basierende 
Deployments sind da, nota bene, nicht auszunehmen.

So etwas duerfen wir einfach nicht als Standard-Loesung billigen oder 
gar empfehlen.

> Besinnnen wir uns auf diese Fragen, bevor wir uns auf konkrete
> strategisch-technische Maßnahmen festlegen, die über ein Stopfen von
> Löchern hinausgehen:

Gerne, aber nicht ich && in diesem Thread.

CU,
David