Thanks Thanks:  3
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Anfänger
    Registriert seit
    10.04.2017
    Beiträge
    5
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    Octagon SF138 E2 HD RED
     
     

    Image bereits im Auslieferungszustand absichern

    Vor einigen Tagen habe ich den Octagon SF 138 erworben. Ich hatte mich vorher noch nie mit openATV beschäftigt, bin von der Funktionalität aber sehr begeistert, wenn das Image nicht aus Sicherheitsperspektive ein Desaster wäre.

    Nach der ersten Inbetriebnahme fiel mir mit Schrecken auf, dass der Zugriff auf sämtliche sicherheitsrelevante Services als User root komplett ungeschützt erfolgt. Zunächst dachte ich, das sei eine der bekannten Nachlässigkeiten, die Gerätehersteller zu verantworten haben. Aber leider ist es nicht der Hersteller der Box, sondern die openATV-Entwickler-Community, die sich den Vorwurf gefallen lassen muß, potentielle Mitglieder böser Botnetze zu erzeugen.

    Die folgenden Services sind besonders betroffen:


    • telnetd.busybox
    • dropbear
    • vsftpd
    • samba
    • openwebif



    Ich gehe davon aus, daß fast niemand nach dem Aufspielen des Images die erforderlichen Maßnahmen ergreift, den Zugriff abzusichern. Diese Standardeinstellung ist einfach nicht akzeptabel. Stellt Euch vor, in Eurem Netzwerk befindet sich auch nur ein infiziertes Gerät, wie eine Überwachungskamera, ein Windows-PC, ein Kühlschrank etc. Diesen Geräten ist es so mittels automatisch laufender Routinen ein Leichtes, sich Zugriff auf Euer openATV-Gerät zu verschaffen und von dort aus das Internet unsicher zu machen.

    Ich fordere die Entwickler auf, einen sinnvollen Zugriffsschutz bereits in das Image einzubauen. So könnten alle o.g. Services in der Standardeinstellung deaktiviert und erst über das Menü freischaltbar sein. Ein Setzen des Passwortes über das Menü wäre ebenfalls mehr als wünschenswert.

    Ein passwortloser Account ist gerade noch zu verschmerzen, wenn von genannten Services ausschließlich dropbear mit Key-Authentifizierung aktiviert ist. Alles Andere ist leichtsinnig bis verantwortungslos.

    Für alle nicht Linux-Kundigen, die das jetzt aufschreckt, folgen hier minimale Anweisungen zum Absichern der Box. Telnet, FTP und Samba werden erstmal komplett abgeschaltet. Wer's wirklich braucht, kann das später wieder anschalten, sofern er/sie ein Passwort für root gesetzt hat. SSH (Dropbear) wird mit einem Key gesichert.


    • # SSH Verbindung zur Box herstellen und folgende Befehle absetzen
    • /etc/init.d/telnetd.busybox stop
    • update-rc.d -f telnetd.busybox remove
    • /etc/init.d/vsftpd stop
    • update-rc.d -f vsftpd remove
    • /etc/init.d/samba stop
    • update-rc.d -f samba remove
    • mkdir /home/root/.ssh
    • chmod 700 /home/root/.ssh
    • # ersetze "DEIN SSH PUBLIC KEY" durch Deinen ssh public key
    • echo "DEIN SSH PUBLIC KEY" >> /home/root/.ssh/authorized_keys
    • # verbiete dem SSH-Server Passwort basierte Logins
    • echo 'DROPBEAR_EXTRA_ARGS="-s"' > /etc/default/dropbear
    • # restarte den Server
    • /etc/init.d/dropbear restart



    Außerdem darf der Zugriff auf openwebif niemals, auch nicht im lokalen Netzwerk, ohne Passwort erfolgen - auch dieses Interface bietet ungeschützten Zugriff auf ein Terminal als "root".
    Geändert von tabbs (16.04.2017 um 10:21 Uhr)

  2. Thanks necrophagist, manti7 bedankten sich
    •   Alt Advertising

       

  3. #2
    Anfänger
    Registriert seit
    09.11.2018
    Beiträge
    8
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    VU+ Uno 4k SE
     
     
    Hallo tabbs,

    ich schließe mich deiner Meinung an, dass die Sicherheitsperspektive von den Entwicklern vernachlässigt wurde und die Box so tatsächlich ein Sicherheitsrisiko darstellt. Allerdings will sicherlich die Community auch Nutzer erreichen, diese gar keine Ahnung von den Services unter Linux haben. Damit werden die Services vollkommen ungeschützt und aktiv belassen, so dass jeder Laie ohne Hindernisse darauf zugreifen kann.

    Ich finde man sollte mit dem passwd-Befehl ein Passwort erstellen und so kann z.B. der vsftpd aktiviert bleiben (die Box läuft im LAN und nicht im Internet).

    passwd

    OpenWebif Passwort Passwortabfrage aktivieren:
    Menu-Taste -> Erweiterungen -> OpenWebif -> Authentifizierung für HTTP aktivieren -> Ja


    Hier nun meine Dienste diese ich deaktiviert habe:

    /etc/init.d/telnetd.busybox stop
    update-rc.d -f telnetd.busybox remove

    # update-rc.d -f shellinabox start 20 2 3 4 5 . stop 20 0 1 6 .
    /etc/init.d/shellinabox stop
    update-rc.d -f shellinabox remove

    # update-rc.d -f nfscommon start 19 2 3 4 5 . stop 11 0 1 6 .
    /etc/init.d/nfscommon stop
    update-rc.d -f nfscommon remove

    # update-rc.d -f nfscommon start 13 2 3 4 5 . stop 13 0 1 6 .
    /etc/init.d/nfsserver stop
    update-rc.d -f nfsserver remove


    Bei Samba würde ich ebenfalls etwas selektiver herangehen:

    cp /etc/samba/distro/smb-shares.conf /etc/samba/distro/smb-shares.bak

    /etc/samba/distro/smb-shares.conf:
    Code:
    [Audio]
            comment = Musikdateien
            path = /media/hdd/audio
            guest ok = Yes
            read only = No
            valid users = root kids
            admin users = root
            force create mode = 0600
            force directory mode = 0700
            wide links = yes
            follow symlinks = yes
    		
    [Movie]
            comment = Filme
            path = /media/hdd/movie
            guest ok = Yes
            read only = No
            valid users = root kids
            admin users = root
            force create mode = 0600
            force directory mode = 0700
            wide links = yes
            follow symlinks = yes

    Informationen wie der Passwortschutz aktiviert wird befindet sich hier: Sambafreigaben und Sicherheit

  4. #3
    Avatar von koivo
    Registriert seit
    06.04.2013
    Ort
    Malediven
    Beiträge
    192
    Total Downloaded
    11,61 MB
    Total Downloaded
    11,61 MB
    ReceiverDankeAktivitäten
    Box 1:
    Mut@nt HD51 mit openHDF 6.4
     
     
    Box 2:
    GB Quad 4k mit openHDF 6.4
     
     
    Box 3:
    OSMio 4k mit openHDF 6.4
     
     
    Box 4:
    SF8008 mit openHDF 6.4
     
     
    Box 5:
    HD60 mit openHDF 6.4
     
     
    99% der User brauchen diese Maßnahmen ja auch nicht, weil die Box im lokalen Netzwerk betrieben wird.
    Das Teil ist immer noch zum TV schauen gebaut und soll kein Linux PC oder eine Konsole darstellen.
    Und so eine Box ist in wenigen Minuten neu geflasht. Also stört der sogenannte Root Zugriff auch nicht.

  5. Thanks Urian bedankten sich
  6. #4
    Anfänger
    Registriert seit
    10.04.2017
    Beiträge
    5
    Themenstarter
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    Octagon SF138 E2 HD RED
     
     
    Leute, solchen Aussagen sind bedenklich:
    "Also stört der sogenannte Root Zugriff auch nicht."

    Warum?
    Niemand wird hundertprozentig garantieren können, dass in seinem lokalen Netzwerk kein kompromitiertes Gerät herumgeistert - und wenn es nur ein Kühlschrank sein sollte. Jedes netzwerkfähige Gerät im LAN ist potentiell gefährdet. Stellt Euch vor, Euer Kühlschrank, Fitness-Tracker oder was-auch-immer ist anfällig für Angriffe von außen und ist infiziert. Zwar mag das infizierte Gerät nur ein sehr eingeschränktes Betriebssystem haben, aber ein minimal agierender Schädling lässt sich relativ leicht implementieren und auf einem solchen infizierten Gerät installieren. Dieser Schädling nun sucht das Netzwerk nach verfügbaren Diensten. Trifft er auf einen offenen Telnet-Port, jubelt der Angreifer. Er hat nun mit einer openatv-Box ein viel leistungsfähigeres Gerät gefunden, von dem aus er seine Angriffe in das lokale Netzwerk und in das Internet ausführen kann. Er könnte mit den auf der Box verfügbaren Tools ohne Probleme einen viel leistungsfähigeren Schädling aus dem Internet herunterladen und auf der Box starten. Was dieser Schädling machen kann? Er könnte Euren Speicher formatieren - lol. das war 1995. Nein, er wird sich in ein einschlägiges Botnetz einklinken und brav jeden Befehl ausführen, der ihm übermittelt wird. Weiter ins Detail muss hier niemand gehen. Eure Box ist stark genug, alles Erdenkliche zu tun, und wenn der Angreifer schlau ist, kriegt Ihr davon gar nix mit.

  7. #5
    Senior Mitglied Avatar von schorschi
    Registriert seit
    28.09.2014
    Ort
    Rhein-Main
    Beiträge
    477
    Total Downloaded
    167,06 MB
    Total Downloaded
    167,06 MB
    ReceiverDankeAktivitäten
    Box 1:
    GB UHD Quad 4K
     
     
    Box 2:
    GB UHD UE 4K
     
     
    Box 3:
    GB UHD Trio 4K
     
     
    Box 4:
    GB HD Quad Plus
     
     
    Box 5:
    GB HD X2
     
     
    koivo hat alles - richtig - gesagt. Der Rest? Seid ihr Localhosthacker?!
    Beste Grüße
    Schorsch

    --------------------------------------------------------------------------------
    E2Shell - E2Info - DDNS-Client - My Keymap - NFS Speed-Test - Div. Skripte

  8. #6
    Anfänger
    Registriert seit
    10.04.2017
    Beiträge
    5
    Themenstarter
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    Octagon SF138 E2 HD RED
     
     
    @schorschi, wenn Deine Box nur auf localhost lauscht, kannst Du sie kaum bestimmungsgemäß benutzen. Du hättest sie Dir vermutlich nicht gekauft.

    Ich habe seit 25 Jahren beruflich mit dem Internet zu tun und habe schon viele infizierte Clients und Server gesehen. Manches war lustig, Vieles nicht. Abgesehen davon macht sich vermutlich mittlerweile strafbar, wer wissentlich seine mit dem Internet verbundenen Geräte nicht nach dem aktuellen Stand der Technik absichert. Ob das Gerät nur in das Internet sendet oder im Internet, also von außen, erreichbar ist, ist zweitrangig.
    Es wäre amüsant, wenn es hier um einen Localhost-Hack gehen würde, geht es aber nicht.

  9. #7
    Anfänger
    Registriert seit
    09.11.2018
    Beiträge
    8
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    VU+ Uno 4k SE
     
     
    Ich glaube nicht daran das eine Position absolut richtig oder falsch ist, sondern das man das differenzierter betrachten muss.

    Es geht auch nicht darum das die Box irgendwie unsicher ist, also jemand Daten stehlen kann. Nein, es geht um die Manipulation des System um weitere Angriffe realisieren zu können. Sei es im eigenen Netzwerk oder z.B. wie damals bei Netgear Routern, um das bilden eines Angriff-Botnetzes.

    Systeme von Privatleuten werden nur dann für weitere Angriffe verwendet, wenn diese leicht zu infiltrieren sind. Das wäre hier mit ungeschützten SSH der Fall.

    Ich denke das was tabbs und ich meinen ist, dass es nicht schaden kann in Zukunft die eine oder andere Sicherheitsmaßnahme zu implementieren. Dort wo es Sinn macht und nottut.

    Die Entwickler verbringen eine tolle Arbeit und ich kenne das, dass man lieber neue Funktionen schaffen will, als auf die Sicherheit zu achten. Aber dennoch musst das Thema zumindest einmal angesprochen werden. Ein striktes ignorieren oder ablehnen bringt einen da auch nicht weiter, eher mal ein drüber Nachdenken und Erfahrung sammeln.

    Auf diesen Beitrag habe ich nur geantwortet, weil ich anderen die Zeit ersparen möchte sich jeden Dienst anzuschauen und zu prüfen ob dieser für Angriffe ausgenutzt werden könnte. Mir war aber die Variante von tabbs zu Holzhammermäßig, weil ohne Dienste ist die Box auch nicht zu gebrauchen.

  10. #8
    Senior Mitglied
    Registriert seit
    07.10.2018
    Beiträge
    779
    Total Downloaded
    419,2 KB
    Total Downloaded
    419,2 KB
    ReceiverDankeAktivitäten
    hallo

    Wenn jemandem sofort die Hose Flattert weil wieder ein Gerät am Internet hängt,der soll halt sein Linuxbox zum TV Schauen vom Internet nehmen.
    Keine Linuxbox braucht für den normalen TV Genuss über Sat oder Kabel das Internet,ist doch ganz Einfach.

    gruss

  11. #9
    Anfänger
    Registriert seit
    10.04.2017
    Beiträge
    5
    Themenstarter
    Total Downloaded
    0
    Total Downloaded
    0
    ReceiverDankeAktivitäten
    Box 1:
    Octagon SF138 E2 HD RED
     
     
    Danke, @manti7, für Deine Friedensworte.
    Ich will niemanden angreifen und weiß die Entwicklungsarbeit zu schätzen. Mir geht es in der Tat lediglich darum, potentielle Schwachstellen zu benennen. Ob und wie man sie schließt, können die Entwickler diskutieren. Vermutlich reicht es zunächst vollkommen, alle passwortlosen Root-Zugriffe zu unterbinden. Mit ein bißchen sudoers-"Magie" liessen sich einige der Probleme an der Shell entschärfen.
    Was aber - Frieden hin oder her- gar nicht geht, ist, einschlägigen Exploits jede seit Jahren dokumentierte Tür zu öffnen.
    Telnet? geht gar nicht. Braucht niemand - der Laie schon gar nicht, weil er nicht mal weiß, was das ist.
    ungeschütztes SSH? braucht kein GUI und kein Laie
    passwortloses SMB? geht nur dann, wenn die Sandbox klar definiert ist.
    FTP? das gleiche in Grün

    Bitte, nehmt das nicht auf die leichte Schulter. Mit wenig Aufwand ließe sich das System deutlich besser sichern. Einen Hochsicherheitstrakt will ich auch nicht, nur ein wenig dokumentierte Basis-Sicherheit.

  12. #10
    Avatar von koivo
    Registriert seit
    06.04.2013
    Ort
    Malediven
    Beiträge
    192
    Total Downloaded
    11,61 MB
    Total Downloaded
    11,61 MB
    ReceiverDankeAktivitäten
    Box 1:
    Mut@nt HD51 mit openHDF 6.4
     
     
    Box 2:
    GB Quad 4k mit openHDF 6.4
     
     
    Box 3:
    OSMio 4k mit openHDF 6.4
     
     
    Box 4:
    SF8008 mit openHDF 6.4
     
     
    Box 5:
    HD60 mit openHDF 6.4
     
     
    Mich interessiert das auch, also nenne mal ein paar Exploitz die wirklich eine Enigma Box mit (abgespecktem) Linux infiziert haben.
    Ich habe davon noch nichts gehört bisher, aber kann ja durchaus sein.
    Wenn auf diesen Boxen was falsch läuft, dann sind es meißt irgendwelche fremden Plugins die willentlich installiert sind.


Seite 1 von 2 12 LetzteLetzte

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Diese Website benutzt Cookies
Wir benutzen Cookies um Sitzungsinformationen zu speichern. Dies erleichtert es uns z.B. Dich an Deine Login zu erinnern, Einstellungen der Webseite zu speichern, Inhalte und Werbung zu personalisieren, Social Media Funktionen anzubieten und unser Datenaufkommen zu analysieren. Wir teilen diese Informationen ebenfalls mit unseren Social Media-, Werbe- und Analysepartnern.
     
Alle Zeitangaben in WEZ +1. Es ist jetzt 01:00 Uhr.
Powered by vBulletin® Version 4.2.5 (Deutsch)
Copyright ©2019 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.
Resources saved on this page: MySQL 10,53%
Parts of this site powered by vBulletin Mods & Addons from DragonByte Technologies Ltd. (Details)
vBulletin Skin By: PurevB.com