Quis custodiet ipsos custodes?

At sige at det er et problem at en router ikke har nogen firewall er da temmelig dumt. Den er jo firewall for det bagvedliggende net. Hvad så hvis vi stiller en firewall op foran routeren - den har jo heller ikke nogen firewall. Rekursion.

Det der er det virkelige problem er så vidt jeg kan se at man ved at angribe AP'er kan omgå firewallen i routeren og få adgang til indersiden af folks hjemmenetværk ved at sprede en virus på denne måde.

Re: Quis custodiet ipsos custodes?

Nu er billige routere som udgangspunkt ikke kendt for at være de mest skudsikre firewalls. Det skyldes flere ting:

- Det er ikke et meget brugt selling point. Der bliver derfor ikke ofret tid på at tænke på sikkerhedsaspekter i forbindelse med udviklingen af firmware til de fleste routere.

- Når der bliver fundet svagheder i de softwarekomponenter der bliver brugt i routerne er der mange af producenterne der ikke tager ansvar for at levere opdaterede firmwares der udbedrer hullet. Markedet er derimod i ret høj grad præget af en hit-and-run mentalitet hvor mange producenter ikke udvikler opdateret firmware til produkter de har fået betaling for.

- Hvis endelig der er lavet en opdatering der løser problemet gør den ingen gavn så længe den ikke bliver lagt ud på routerne. Langt de færreste ejere af trådløse routere sørger for regelmæssigt at checke efter opdateringer til deres router.

I forhold til at du fremhæver at routeren kører en firewall skal du huske at du igennem det trådløse interface kommer ind på LAN-siden af routeren. Der vil typisk være åbnet i firewallen til den webserver der kører på routeren til administrationsinterface. Hvis denne webserver har et sikkerhedshul vil man altså kunne benytte dette hul hvis der ikke er nogen beskyttelse på det trådløse interface.

På trods af alle disse indvendinger er jeg dog tilbøjelig til at give dig ret i at ubeskyttede virusinficerede routere smittet over deres trådløse interface ikke vil blive noget større problem. Mit argument for dette er imidlertid at det er et udpræget heterogent miljø at denne virus skal brede sig igennem, da ikke mange routere vil have samme svaghed. Der skal altså være tale om en svaghed på en af de allermest solgte modeller og man skal befinde sig i et meget tæt bymiljø før at der er noget håb om at en virus vil kunne sprede sig mere end bare enkelte hop til naboen.

Re: Quis custodiet ipsos custodes?

Jeg er ganske enig med dine betragtninger om routere som udpræget lavkvalitetsprodukter der sjældent bliver opdateret. Men det er jo også et problem for angreb på disse routere fra WAN-siden.

I forhold til at du fremhæver at routeren kører en firewall skal du huske at du igennem det trådløse interface kommer ind på LAN-siden af routeren.

Det var det jeg prøvede at skrive i min anden paragraf - tilsyneladende uden held :)

Der vil typisk være åbnet i firewallen til den webserver der kører på routeren til administrationsinterface. Hvis denne webserver har et sikkerhedshul vil man altså kunne benytte dette hul hvis der ikke er nogen beskyttelse på det trådløse interface.

Ja, men det behøver man jo ikke en decideret virus for at udnytte. Hvis der ikke benyttes WPA på AP'et kan alle og enhver jo prøve at bruteforce routeren (og hvis der benyttes WPA er det så vidt jeg forstår stadig ikke svært, det kræver bare lidt mere tålmodighed) og rode med dens indstillinger ad den vej.

Problemet er overdrevet

Hvis samtlige APer kørte med samme software og et standard login ville det være et problem, men jeg tvivler på at deres undersøgelse har taget højde for dette. At de nævner svag eller ingen kryptering ville potentielt give adgang til LAN siden af routeren, men igen skulle virusen være i stand til at manøvrere rundt på en HTML side og firmwareopgradere sit offer med sin egen kode eller kunne telnette og logge ind, finde ud af hvilken router det var og så uploade det image der passede til den pågældende router.. Det ville betyde at selve viruskoden skulle være kollosal stor og allerede dér ville virusen dø da de fleste APere har 8-16MB ram at arbejde med.

Den største risiko idag er, at 60% af alle APere er ukrypterede og dermed åbner op for misbrug af folks internet forbindelser til afsendelse af f.eks. SPAM. Et kæmpe overset problem og en ting der burde gøres noget ved, da de fleste ikke ved at de rent faktisk er juridisk ansvarlige for de ting deres internet forbindelser bliver brugt til.

Re: Problemet er overdrevet

Den største risiko idag er, at 60% af alle APere er ukrypterede og dermed åbner op for misbrug af folks internet forbindelser til afsendelse af f.eks. SPAM.

Du tror da vel ikke at spammerne holder i en Ford Transit nede foran en lejlighed med et åbent AP? Det foregår ved organiseret udlejning af botnets - mange af dem placeret i Asien - der er blevet overtaget af vira og trojanere. Ikke ved misbrug af folks åbne trådløse netværk.

Re: Problemet er overdrevet

Den største risiko idag er, at 60% af alle APere er ukrypterede og dermed åbner op for misbrug af folks internet forbindelser til afsendelse af f.eks. SPAM.

De fleste AP sidder på et net, hvor man ikke kan sende ud til port 25.
Jeg tror ikke det kan betale sig for spammere at køre rundt og finde åbne AP.

Et kæmpe overset problem og en ting der burde gøres noget ved, da de fleste ikke ved at de rent faktisk er juridisk ansvarlige for de ting deres internet forbindelser bliver brugt til.

Når de ikke ved det, er nok fordi det er forkert.
Man er ikke ansvarlig for hvad andre bruger ens forbindelse til (medmindre man selv medvirker til noget ulovligt).

Re: Re: Problemet er overdrevet

Når de ikke ved det, er nok fordi det er forkert.
Man er ikke ansvarlig for hvad andre bruger ens forbindelse til (medmindre man selv medvirker til noget ulovligt).

Der er bare lige den hage ved det, at "bevismaterialet" for myndighederne peger på din ADSL linie. Det er så op til dig at påvise, at det ikke er en person i din hustand der har f.eks. downloadet 500 GB børneporno, men en eller anden dig ukendt, som har siddet ude bag naboens hegn og downloadet. Er han vaks ved havelågen, kan kan oven i købet fake en af dine egne MAC adresser, så det vil være helt umuligt at vise at det ikke er din egen laptop.

Du vil have en dårlig sag.

Re: Problemet er overdrevet

Der er bare lige den hage ved det, at "bevismaterialet" for myndighederne peger på din ADSL linie. Det er så op til dig at påvise, at det ikke er en person i din hustand der har f.eks. downloadet 500 GB børneporno, men en eller anden dig ukendt, som har siddet ude bag naboens hegn og downloadet. Er han vaks ved havelågen, kan kan oven i købet fake en af dine egne MAC adresser, så det vil være helt umuligt at vise at det ikke er din egen laptop.

Du vil have en dårlig sag.

I straffesager påhviler bevisbyrden anklageren. Hvis du kan sandsynliggøre at man - qua at du har et åbent netværk - ikke kan sige præcis hvem der har downloadet børneporno (som sjovt nok altid bliver hevet frem i den her diskussion), så burde det være et gyldigt forsvar. Om dommerstanden her i landet så er i stand til at forstå forsvaret er et åbent spørgsmål ...

Det er lidt ligesom fartbøder fra fartfælder. Hvis politiet ikke kan identificere føreren - og du er ikke som ejer af bilen forpligtet til at hjælpe dem hvis det inkriminerer dig selv eller dine nærmeste - kan de ikke udlevere bøden.

Meta: Er det virkelig nødvendigt at systemet indsætter "Re:" flere gange i emnelinien? Det minder mig om en vis MUA, der burde være aflivet for længst ... :-(

Re: Re: Re: Problemet er overdrevet

Kristian Thy skrev:

Den er jo firewall for det bagvedliggende net

Nej, en router er ikke en firewall. Hvis du tror det skulle du overveje at finde dig en IT-ordbog.

Michael Deichmann skrev:

Du vil have en dårlig sag.

Alene det faktum at en MAC-adresse kan klones gør MAC-adresser til dårlige beviser. Så et simpelt alibi for aftenen ("jeg var i Belgien på ferie den uge", eller "jeg var på druk med drengene") er nok til at vinde den sag. Du skal nemlig vise at vedkommende faktisk har været i gang med at downloade de 500 GB børneporno, ikke blot at vedkommendes computer måske/måske ikke har været indblandet i det kriminelle foretagende.

Re: Problemet er overdrevet

Kristian Thy skrev:

Den er jo firewall for det bagvedliggende net

Nej, en router er ikke en firewall. Hvis du tror det skulle du overveje at finde dig en IT-ordbog.

Og du skulle overveje at optræde med et ordentligt navn før jeg tager dine ad hominem-kommentarer alvorligt.

Hvis vi ser på hvad HAL9000, øh, Google mener en firewall er (http://google.com/search?q=def...wall), så kan vi for eksempel se definitionen fra Harvard: "A firewall is a hardware or software solution to enforce security policies."

En router der kører NAT med optional port forwarding (som jeg vil skyde på er tilfældet for 99.9% af alle de trådløse routere artiklen omhandler) kan således opfattes som en "fattigmands-firewall", en simpel boks der fungerer som en rudimentær firewall mellem mit LAN og det store, uhyggelige internet.

Re: Quis custodiet ipsos custodes?

"Hvis der ikke benyttes WPA på AP'et kan alle og enhver jo prøve at bruteforce routeren (og hvis der benyttes WPA er det så vidt jeg forstår stadig ikke svært, det kræver bare lidt mere tålmodighed) og rode med dens indstillinger ad den vej."

Så skal de sgu' osse være tålmodige...