[Discuss] Node-Security
Erich N. Pekarek
(spam-protected)
Mo Mai 16 17:29:33 CEST 2016
Am 2016-05-16 um 15:30 schrieb David Hopfmueller:
> On 05/16/2016 02:17 PM, Erich N. Pekarek wrote:
> > Am 2016-05-16 um 13:18 schrieb David Hopfmueller:
>
> Hi,
>
>> AirOS ist nicht in der Gesamtheit eine Black-Box, nur Teile, wie
>> proprietäre WLAN-Treiber, für die man als Programmierer ein NDA
>> unterzeichnen müsste.
>
> Das heisst, AirOS ist open-source? Das waere mir neu. Hast Du einen
> Link zum Quellcode?
https://www.ubnt.com/download/airmax-m/default/default/airos-xw-board-firmware-v565
"Some of the software in the firmware is licensed under the GNU General
Public License and other Open Source and Free Software licenses. You can
find the complete and corresponding source in the GPL archive."
Wo dieses GPL-Archiv sein soll, weiß ich nicht. Über die Suchfunktion
finde ich es nicht.
"*Ubiquiti does not provide downloads of some legacy software and
firmware, due to regulatory restrictions and security considerations. It
is always recommended that you run the latest software to ensure
greatest performance and security. If you require older versions of the
software, please email (spam-protected)"
Die GPL erfordert auch nicht (zwingend), dass alles "online" downloadbar
sein muss. Es genügt, die betroffenen Codeteile auf Anforderung
-allenfalls auch auf einem Medium herauszugeben, wobei hierfür auch
Manipulationsgebühren für zulässig erachtet werden.
Also im Zweifel kann man den Support anschreiben, um den Code inklusive
der proprietären Binaries, die für einen vollständigen Build
erforderlich sind, anzufordern.
>
>>> Und ein deutlicher Reminder, uns als Community um eine
>>> Update-Strategie und ein Sicherheitskonzept zu kümmern.
>> Die Update-Strategie nützt wenig, wenn es sich um einen Zero-Day-Exploit
>> handelt - und somit begriffsgemäß Herstellerpatches fehlen.
>
> ... was in diesem Fall nicht zutrifft und auch kein generelles
> Argument gegen eine solche Strategie sein kann.
Warum es aus meiner Sicht im konkreten Fall zutrifft, habe ich erläutert.
Auch war es kein generelles Argument, sondern ein auf den Fall bezogenes.
>
> Es geht nicht darum, Betreiber zu ihrem Glueck zu zwingen. Aber
> wenigstens die Chance sollte man ihnen geben, indem man auf moeglichst
> wartbare Software setzt, ueber (abschaltbares) Auto-Update nachdenkt,
> sinnvolle Defaults setzt und Tipps gibt, wie man die Angriffsflaeche
> minimiert.
Also kein Windows 10-Update mit nervigen Popups? Schade! ;-)
Scherz beiseite: Konkrete Vorschläge, wie man das realisieren kann?
Ideal wäre ein Ansatz wie debwrt - der auf Flash-armen Geräten eher
verfehlt ist.
>
> Auf einem oeffentlich erreichbaren Geraet per default einen loechrigen
> Webserver ohne ACL zu betreiben, den ich nicht einzeln updaten kann
> und der noch dazu offensichtlich mit root-Rechten laeuft, ist aus
> Security-Sicht schlicht eine Katastrophe.
Zustimmung. Im embedded-Bereich + busybox haben sich multiuser, sudo und
sonstiges Hardening bisher nicht durchgesetzt. Wünschenswert ist es.
> Diverse OpenWRT-basierende Deployments sind da, nota bene, nicht
> auszunehmen.
--verbose? Gargoyle, DD-WRT, Lede, Superwrt, ...? oder doch die
Überreste von Backfire Vienna oder gar noch älteres?
>
> So etwas duerfen wir einfach nicht als Standard-Loesung billigen oder
> gar empfehlen.
Alternative? Verbote?
>
>> Besinnnen wir uns auf diese Fragen, bevor wir uns auf konkrete
>> strategisch-technische Maßnahmen festlegen, die über ein Stopfen von
>> Löchern hinausgehen:
>
> Gerne, aber nicht ich && in diesem Thread.
Also business as usual ;-)
Threadende.
>
> CU,
> David
>
LG
Erich
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20160516/717b9699/attachment.htm>
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : dgdaffhf.png
Dateityp : image/png
Dateigröße : 33970 bytes
Beschreibung: nicht verfügbar
URL : <http://lists.funkfeuer.at/pipermail/discuss/attachments/20160516/717b9699/attachment.png>
Mehr Informationen über die Mailingliste Discuss