Ergebnis 1 bis 10 von 13
-
16.04.2017, 09:34 #1
- Registriert seit
- 10.04.2017
- Beiträge
- 5
- Thanks (gegeben)
- 1
- Thanks (bekommen)
- 2
- Total Downloaded
- 0
- Total Downloaded
- 0
Box 1:Octagon SF138 E2 HD REDImage bereits im Auslieferungszustand absichern
Vor einigen Tagen habe ich den Octagon SF 138 erworben. Ich hatte mich vorher noch nie mit openATV beschäftigt, bin von der Funktionalität aber sehr begeistert, wenn das Image nicht aus Sicherheitsperspektive ein Desaster wäre.
Nach der ersten Inbetriebnahme fiel mir mit Schrecken auf, dass der Zugriff auf sämtliche sicherheitsrelevante Services als User root komplett ungeschützt erfolgt. Zunächst dachte ich, das sei eine der bekannten Nachlässigkeiten, die Gerätehersteller zu verantworten haben. Aber leider ist es nicht der Hersteller der Box, sondern die openATV-Entwickler-Community, die sich den Vorwurf gefallen lassen muß, potentielle Mitglieder böser Botnetze zu erzeugen.
Die folgenden Services sind besonders betroffen:
- telnetd.busybox
- dropbear
- vsftpd
- samba
- openwebif
Ich gehe davon aus, daß fast niemand nach dem Aufspielen des Images die erforderlichen Maßnahmen ergreift, den Zugriff abzusichern. Diese Standardeinstellung ist einfach nicht akzeptabel. Stellt Euch vor, in Eurem Netzwerk befindet sich auch nur ein infiziertes Gerät, wie eine Überwachungskamera, ein Windows-PC, ein Kühlschrank etc. Diesen Geräten ist es so mittels automatisch laufender Routinen ein Leichtes, sich Zugriff auf Euer openATV-Gerät zu verschaffen und von dort aus das Internet unsicher zu machen.
Ich fordere die Entwickler auf, einen sinnvollen Zugriffsschutz bereits in das Image einzubauen. So könnten alle o.g. Services in der Standardeinstellung deaktiviert und erst über das Menü freischaltbar sein. Ein Setzen des Passwortes über das Menü wäre ebenfalls mehr als wünschenswert.
Ein passwortloser Account ist gerade noch zu verschmerzen, wenn von genannten Services ausschließlich dropbear mit Key-Authentifizierung aktiviert ist. Alles Andere ist leichtsinnig bis verantwortungslos.
Für alle nicht Linux-Kundigen, die das jetzt aufschreckt, folgen hier minimale Anweisungen zum Absichern der Box. Telnet, FTP und Samba werden erstmal komplett abgeschaltet. Wer's wirklich braucht, kann das später wieder anschalten, sofern er/sie ein Passwort für root gesetzt hat. SSH (Dropbear) wird mit einem Key gesichert.
- # SSH Verbindung zur Box herstellen und folgende Befehle absetzen
- /etc/init.d/telnetd.busybox stop
- update-rc.d -f telnetd.busybox remove
- /etc/init.d/vsftpd stop
- update-rc.d -f vsftpd remove
- /etc/init.d/samba stop
- update-rc.d -f samba remove
- mkdir /home/root/.ssh
- chmod 700 /home/root/.ssh
- # ersetze "DEIN SSH PUBLIC KEY" durch Deinen ssh public key
- echo "DEIN SSH PUBLIC KEY" >> /home/root/.ssh/authorized_keys
- # verbiete dem SSH-Server Passwort basierte Logins
- echo 'DROPBEAR_EXTRA_ARGS="-s"' > /etc/default/dropbear
- # restarte den Server
- /etc/init.d/dropbear restart
Außerdem darf der Zugriff auf openwebif niemals, auch nicht im lokalen Netzwerk, ohne Passwort erfolgen - auch dieses Interface bietet ungeschützten Zugriff auf ein Terminal als "root".Geändert von tabbs (16.04.2017 um 10:21 Uhr)
-
Danke - 2 Thanksnecrophagist, manti7 bedankten sich
-
Advertising
-
12.11.2018, 12:29 #2
- Registriert seit
- 09.11.2018
- Beiträge
- 8
- Thanks (gegeben)
- 6
- Thanks (bekommen)
- 0
- Total Downloaded
- 0
- Total Downloaded
- 0
Box 1:VU+ Uno 4k SEHallo tabbs,
ich schließe mich deiner Meinung an, dass die Sicherheitsperspektive von den Entwicklern vernachlässigt wurde und die Box so tatsächlich ein Sicherheitsrisiko darstellt. Allerdings will sicherlich die Community auch Nutzer erreichen, diese gar keine Ahnung von den Services unter Linux haben. Damit werden die Services vollkommen ungeschützt und aktiv belassen, so dass jeder Laie ohne Hindernisse darauf zugreifen kann.
Ich finde man sollte mit dem passwd-Befehl ein Passwort erstellen und so kann z.B. der vsftpd aktiviert bleiben (die Box läuft im LAN und nicht im Internet).
passwd
OpenWebif Passwort Passwortabfrage aktivieren:
Menu-Taste -> Erweiterungen -> OpenWebif -> Authentifizierung für HTTP aktivieren -> Ja
Hier nun meine Dienste diese ich deaktiviert habe:
/etc/init.d/telnetd.busybox stop
update-rc.d -f telnetd.busybox remove
# update-rc.d -f shellinabox start 20 2 3 4 5 . stop 20 0 1 6 .
/etc/init.d/shellinabox stop
update-rc.d -f shellinabox remove
# update-rc.d -f nfscommon start 19 2 3 4 5 . stop 11 0 1 6 .
/etc/init.d/nfscommon stop
update-rc.d -f nfscommon remove
# update-rc.d -f nfscommon start 13 2 3 4 5 . stop 13 0 1 6 .
/etc/init.d/nfsserver stop
update-rc.d -f nfsserver remove
Bei Samba würde ich ebenfalls etwas selektiver herangehen:
cp /etc/samba/distro/smb-shares.conf /etc/samba/distro/smb-shares.bak
/etc/samba/distro/smb-shares.conf:
Code:[Audio] comment = Musikdateien path = /media/hdd/audio guest ok = Yes read only = No valid users = root kids admin users = root force create mode = 0600 force directory mode = 0700 wide links = yes follow symlinks = yes [Movie] comment = Filme path = /media/hdd/movie guest ok = Yes read only = No valid users = root kids admin users = root force create mode = 0600 force directory mode = 0700 wide links = yes follow symlinks = yes
Informationen wie der Passwortschutz aktiviert wird befindet sich hier: Sambafreigaben und Sicherheit
-
12.11.2018, 15:30 #3
- Registriert seit
- 06.04.2013
- Ort
- Malediven
- Beiträge
- 321
- Thanks (gegeben)
- 105
- Thanks (bekommen)
- 295
- Total Downloaded
- 11,61 MB
- Total Downloaded
- 11,61 MB
Box 1:AX HD61 mit openHDF 7.0Box 2:GB Quad 4k mit openHDF 7.0Box 3:OSMio 4k mit openHDF 7.0Box 4:Mut@ant HD51 mit openHDF 7.099% der User brauchen diese Maßnahmen ja auch nicht, weil die Box im lokalen Netzwerk betrieben wird.
Das Teil ist immer noch zum TV schauen gebaut und soll kein Linux PC oder eine Konsole darstellen.
Und so eine Box ist in wenigen Minuten neu geflasht. Also stört der sogenannte Root Zugriff auch nicht.
-
Danke - 1 ThanksUrian bedankten sich
-
12.11.2018, 15:51 #4
- Registriert seit
- 10.04.2017
- Beiträge
- 5
- Thanks (gegeben)
- 1
- Thanks (bekommen)
- 2
- Total Downloaded
- 0
- Total Downloaded
- 0
ThemenstarterBox 1:Octagon SF138 E2 HD REDLeute, solchen Aussagen sind bedenklich:
"Also stört der sogenannte Root Zugriff auch nicht."
Warum?
Niemand wird hundertprozentig garantieren können, dass in seinem lokalen Netzwerk kein kompromitiertes Gerät herumgeistert - und wenn es nur ein Kühlschrank sein sollte. Jedes netzwerkfähige Gerät im LAN ist potentiell gefährdet. Stellt Euch vor, Euer Kühlschrank, Fitness-Tracker oder was-auch-immer ist anfällig für Angriffe von außen und ist infiziert. Zwar mag das infizierte Gerät nur ein sehr eingeschränktes Betriebssystem haben, aber ein minimal agierender Schädling lässt sich relativ leicht implementieren und auf einem solchen infizierten Gerät installieren. Dieser Schädling nun sucht das Netzwerk nach verfügbaren Diensten. Trifft er auf einen offenen Telnet-Port, jubelt der Angreifer. Er hat nun mit einer openatv-Box ein viel leistungsfähigeres Gerät gefunden, von dem aus er seine Angriffe in das lokale Netzwerk und in das Internet ausführen kann. Er könnte mit den auf der Box verfügbaren Tools ohne Probleme einen viel leistungsfähigeren Schädling aus dem Internet herunterladen und auf der Box starten. Was dieser Schädling machen kann? Er könnte Euren Speicher formatieren - lol. das war 1995. Nein, er wird sich in ein einschlägiges Botnetz einklinken und brav jeden Befehl ausführen, der ihm übermittelt wird. Weiter ins Detail muss hier niemand gehen. Eure Box ist stark genug, alles Erdenkliche zu tun, und wenn der Angreifer schlau ist, kriegt Ihr davon gar nix mit.
-
12.11.2018, 15:56 #5
- Registriert seit
- 28.09.2014
- Ort
- Rhein-Main
- Beiträge
- 573
- Thanks (gegeben)
- 72
- Thanks (bekommen)
- 106
- Total Downloaded
- 167,06 MB
- Total Downloaded
- 167,06 MB
Box 1:GB UHD Quad 4KBox 2:GB UHD UE 4KBox 3:GB HD Quad PlusBox 4:GB HD X2koivo hat alles - richtig - gesagt. Der Rest? Seid ihr Localhosthacker?!
Beste Grüße
Schorsch
--------------------------------------------------------------------------------
E2Shell - E2Info - DDNS-Client - My Keymap - NFS Speed-Test - Div. Skripte
-
12.11.2018, 18:18 #6
- Registriert seit
- 10.04.2017
- Beiträge
- 5
- Thanks (gegeben)
- 1
- Thanks (bekommen)
- 2
- Total Downloaded
- 0
- Total Downloaded
- 0
ThemenstarterBox 1:Octagon SF138 E2 HD RED@schorschi, wenn Deine Box nur auf localhost lauscht, kannst Du sie kaum bestimmungsgemäß benutzen. Du hättest sie Dir vermutlich nicht gekauft.
Ich habe seit 25 Jahren beruflich mit dem Internet zu tun und habe schon viele infizierte Clients und Server gesehen. Manches war lustig, Vieles nicht. Abgesehen davon macht sich vermutlich mittlerweile strafbar, wer wissentlich seine mit dem Internet verbundenen Geräte nicht nach dem aktuellen Stand der Technik absichert. Ob das Gerät nur in das Internet sendet oder im Internet, also von außen, erreichbar ist, ist zweitrangig.
Es wäre amüsant, wenn es hier um einen Localhost-Hack gehen würde, geht es aber nicht.
-
12.11.2018, 19:11 #7
- Registriert seit
- 09.11.2018
- Beiträge
- 8
- Thanks (gegeben)
- 6
- Thanks (bekommen)
- 0
- Total Downloaded
- 0
- Total Downloaded
- 0
Box 1:VU+ Uno 4k SEIch glaube nicht daran das eine Position absolut richtig oder falsch ist, sondern das man das differenzierter betrachten muss.
Es geht auch nicht darum das die Box irgendwie unsicher ist, also jemand Daten stehlen kann. Nein, es geht um die Manipulation des System um weitere Angriffe realisieren zu können. Sei es im eigenen Netzwerk oder z.B. wie damals bei Netgear Routern, um das bilden eines Angriff-Botnetzes.
Systeme von Privatleuten werden nur dann für weitere Angriffe verwendet, wenn diese leicht zu infiltrieren sind. Das wäre hier mit ungeschützten SSH der Fall.
Ich denke das was tabbs und ich meinen ist, dass es nicht schaden kann in Zukunft die eine oder andere Sicherheitsmaßnahme zu implementieren. Dort wo es Sinn macht und nottut.
Die Entwickler verbringen eine tolle Arbeit und ich kenne das, dass man lieber neue Funktionen schaffen will, als auf die Sicherheit zu achten. Aber dennoch musst das Thema zumindest einmal angesprochen werden. Ein striktes ignorieren oder ablehnen bringt einen da auch nicht weiter, eher mal ein drüber Nachdenken und Erfahrung sammeln.
Auf diesen Beitrag habe ich nur geantwortet, weil ich anderen die Zeit ersparen möchte sich jeden Dienst anzuschauen und zu prüfen ob dieser für Angriffe ausgenutzt werden könnte. Mir war aber die Variante von tabbs zu Holzhammermäßig, weil ohne Dienste ist die Box auch nicht zu gebrauchen.
-
12.11.2018, 20:44 #8
- Registriert seit
- 07.10.2018
- Beiträge
- 1.442
- Thanks (gegeben)
- 395
- Thanks (bekommen)
- 271
- Total Downloaded
- 419,2 KB
- Total Downloaded
- 419,2 KB
hallo
Wenn jemandem sofort die Hose Flattert weil wieder ein Gerät am Internet hängt,der soll halt sein Linuxbox zum TV Schauen vom Internet nehmen.
Keine Linuxbox braucht für den normalen TV Genuss über Sat oder Kabel das Internet,ist doch ganz Einfach.
gruss
-
12.11.2018, 20:48 #9
- Registriert seit
- 10.04.2017
- Beiträge
- 5
- Thanks (gegeben)
- 1
- Thanks (bekommen)
- 2
- Total Downloaded
- 0
- Total Downloaded
- 0
ThemenstarterBox 1:Octagon SF138 E2 HD REDDanke, @manti7, für Deine Friedensworte.
Ich will niemanden angreifen und weiß die Entwicklungsarbeit zu schätzen. Mir geht es in der Tat lediglich darum, potentielle Schwachstellen zu benennen. Ob und wie man sie schließt, können die Entwickler diskutieren. Vermutlich reicht es zunächst vollkommen, alle passwortlosen Root-Zugriffe zu unterbinden. Mit ein bißchen sudoers-"Magie" liessen sich einige der Probleme an der Shell entschärfen.
Was aber - Frieden hin oder her- gar nicht geht, ist, einschlägigen Exploits jede seit Jahren dokumentierte Tür zu öffnen.
Telnet? geht gar nicht. Braucht niemand - der Laie schon gar nicht, weil er nicht mal weiß, was das ist.
ungeschütztes SSH? braucht kein GUI und kein Laie
passwortloses SMB? geht nur dann, wenn die Sandbox klar definiert ist.
FTP? das gleiche in Grün
Bitte, nehmt das nicht auf die leichte Schulter. Mit wenig Aufwand ließe sich das System deutlich besser sichern. Einen Hochsicherheitstrakt will ich auch nicht, nur ein wenig dokumentierte Basis-Sicherheit.
-
13.11.2018, 04:39 #10
- Registriert seit
- 06.04.2013
- Ort
- Malediven
- Beiträge
- 321
- Thanks (gegeben)
- 105
- Thanks (bekommen)
- 295
- Total Downloaded
- 11,61 MB
- Total Downloaded
- 11,61 MB
Box 1:AX HD61 mit openHDF 7.0Box 2:GB Quad 4k mit openHDF 7.0Box 3:OSMio 4k mit openHDF 7.0Box 4:Mut@ant HD51 mit openHDF 7.0Mich interessiert das auch, also nenne mal ein paar Exploitz die wirklich eine Enigma Box mit (abgespecktem) Linux infiziert haben.
Ich habe davon noch nichts gehört bisher, aber kann ja durchaus sein.
Wenn auf diesen Boxen was falsch läuft, dann sind es meißt irgendwelche fremden Plugins die willentlich installiert sind.
Lesezeichen