[Wien] (IT Security Tip) Busybox remote code execution + Password tips

L. Aaron Kaplan (spam-protected)
Mo Feb 27 17:21:55 CET 2012


Hallo!

Das folgende betrifft nicht unbedingt das Funkfeuer Netz, aber es mag trotzdem fuer den einen oder anderen hier interessant sein:

Dropbear SSH Server Use After Free Remote Code Execution Vulnerability:

  http://www.securityfocus.com/bid/52159/discuss

Hintergrund
===========
Dropbear ist der SSH Server, der bei uns in openwrt / Freifunk Firmware drinnen ist.
Nachdem es aber bei uns nur einen einzigen User (root) gibt, ist der Exploit fuer uns eher egal. 
Denn man muss schon als irgend ein User angemeldet sein, um den Exploit starten zu koennen
(dann aber koennte man als Root Befehle ausfuehren). Wie gesagt, bei uns ist das egal. Wenn jemand einen Zugang hat, dann hat er bei uns eh schon root. 
In der openwrt gibt es per default keine anderen User.
Wir sollten sicher trotzdem dropbear in openwrt updaten (--> hint hint ;-) )


*Aber* was nicht egal ist: oft sind im Funkfeuer Netz die Passwoerter zu kurz.
Man denkt sich initial oft, dass das eh nur ein Testaccount ist und alles ist ein Experiment.
Dann wandert der Router aber auf's Dach und hat eine public IP Adresse. Und es wird nirgends gefiltert ;-) 
Diesen Fehler machen auch viele Profis.


Empfehlung
==========
Nachdem nun im Netz eine Menge SSH Scan-Aktivitaeten da sind, ist die Wahrscheinlichkeit hoch, dass so ein schwaches Passwort erraten wird.

Deshalb der Tipp: nehmt mindestens 10-, besser 12-stellige Passwoerter, die 
a) nur ihr kennt 
b) in keinem Woerterbuch sind.


Gute Schemen fuer Passwoerter sind zB die Anfangsbuchstaben eines Satzes. Saetze kann man sich leicht merken.
zB:
 "Heute logge ich m1ch in meinen FF Router ein!"
  -     -     -   ---- -  -      -- -      -  -

=> "Hlim1chimFFRe!"
14 Zeichen und trotzdem leicht zu merken. So was ist nicht leicht brute-forcebar.
Bitte auch Ziffern und Sonderzeichen verwenden.

BTW: leet speak Passwoerter sind in so einer Konstruktion auch ziemlich gut. 

Noch besser waeren ssh-keys. Aber das ist dann wohl ein Thema fuer den Security Vortrag ;-)

Weiterfuehrendes: http://www.skullsecurity.org/wiki/index.php/Passwords#Statistics
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20120227/c669229b/attachment.sig>
-------------- nächster Teil --------------
--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien


Mehr Informationen über die Mailingliste Wien