Im Herbst 2008 besuchte ich einen Vortrag zum Thema Schwachstellen in SOHO-Routern, also Router für Privatanwender und kleine Unternehmen. Im Zuge seines Vortrags schilderte Sebastian Graf im Detail, wie einfach es ist, in diese Router einzudringen um Beispielsweise Schadsoftware dort zu platzieren (das Paper dazu befindet sich auf seiner Homepage).
Schadsoftware in Routern
Verwundbarer Router Speedport v500.
Bei diesem Gerät konnte man die Authentifizierung umgehen,
und das Gerät nach belieben umkonfigurieren.
Möglicherweise funktioniert das heute noch…
Diese Schadsoftware könnte beispielsweise Cookies klauen und an den Angreifer weiterleiten. Hat sich nun der Besitzer beispielsweise bei Twitter angemeldet, könnte der Angreifer den Sitzungsschlüssel des Besitzers übernehmen und eigene Nachrichten unter dem Namen des Besitzers posten – ähnlich, wie das bei offenen WLANs mit Firesheep gelingt. Natürlich könnte er auch die Profilseite nach belieben umgestalten.
Natürlich könnte er auch alle E-Mails des Benutzers mitlesen. Damit wäre es ihm beispielsweise möglich, auf der lauer zu liegen, bis der Besitzer das Passwort von irgendeiner Webseite vergisst. Schickt der Seitenbetreiber nun eine E-Mail mit einem neuen Passwort an den Benutzer, kann der Angreifer diese E-Mail abfangen und gelang so an die Zugangsdaten des Besitzers, ohne das dieser etwas davon bemerkt!
Reaktion der Hersteller
Die Sache ist also nicht ungefährlich, weshalb Sebastian versuchte, die Hersteller dieser Router zu informieren. Zu seinem erstaunen musste er jedoch feststellen, dass sich das Interesse der Hersteller in Grenzen hielt. Es stellte sich sogar heraus, dass einige Hersteller unter ihren zahlreichen Lieferenten nicht denjenigen ausfindig machen konnten, der für die Firmware zuständig war. Neulich fand ich in einer XING-Gruppe eine Anfrage eines Studenten, der mit einem Freund eine gravierende Schwachstelle in seinem Router gefunden hatte, was darauf schließen lässt, dass die Hersteller die Probleme immer noch nicht in den Griff bekommen haben.
Hier stellen sich natürlich zwei grundlegende Fragen:
- Warum reagieren die Gerätehersteller nicht?
- Warum hört man nie von Einbrüchen in SOHO-Router?
Wie Sie sich vielleicht denken können, enthält die zweite Frage die Antwort auf die erste, aber beginnen wir bei der ersten und damit beim Einmaleins der IT-Sicherheitsökonomie…
Warum reagieren die Gerätehersteller nicht?
Auf dem Markt für SOHO-Router tobt ein gnadenloser Preiskampf und sichere Firmware für Router zu entwickeln kostet Geld. Dieses Geld kann der Routerhersteller dem ISP aber nicht weiterverrechnen, da sich die ISPs ebenfalls in einem beinharten Preiskampf mit anderen ISPs befinden. Der ISP wiederum kann die Mehrkosten nicht an den Endkunden weiterverrechnen, denn der wechselt sofort den ISP, wenn er ein paar Cent pro Monat mehr bezahlen muss. Die Sicherheit spielt für die Entscheidung, welchen ISP der Kunde wählt, keine Rolle und das hat wiederum folgende Gründe:
- Der Kunde kann nicht beurteilen, welcher Router sicherer ist und was ein unsicherer Router für ihn bedeutet.
- Der Kunde ist der irrigen Meinung, dass der Gerätehersteller von Rechts wegen verpflichtet sei, sich um die Sicherheit seiner Router zu kümmern. Schließlich gibt es für alles und jedes eine EU-Richtlinie, also wird es hier auch irgend eine Regelung geben.
Im letzten Punkt irrt der Kunde: Das Gerät wird zwar geprüft, ob die Abschirmung stimmt und ob der Router bei einem Kurzschluss in Flammen aufgeht, die Software wird aber nicht auf Sicherheit gegen Hackerangriffe geschützt. Das hat wieder damit zu tun, dass SOHO-Router offenbar selten so gehackt werden, dass es einer großen Anzahl von Benutzern auffällt und solange dass nicht passiert, wird kein Politiker aktiv, den welcher Politiker will schon für die Verteuerung von Netzwerkzugängen verantwortlich sein, solange scheinbar ohnehin nichts passiert?
Warum hört man nie von Einbrüchen in SOHO-Router?
Das Folgende wurde aufgrund von berechtigten Einwänden von Herrn Hans Adams korrigiert…
Einbrüche auf SOHO-Router finden tatsächlich statt, diese Vorfälle sind bisher allerdings unterhalb der öffentlichen Wahrnehmungsschwelle geblieben. Das liegt daran, dass Angreifer meist nicht versuchen, die Router lahmzugegen oder den Betrieb zu stören, sondern die Router möglichst unbemerkt für ihre Zwecke zu missbrauchen.
Das ist natürlich nur der gegenwärtige Stand der Dinge, denn die Sicherheitssituation im Internet ändert sich rasch und Angriffe auf SOHO-Router werden von einer breiteren Öffentlichkeit wahrgenommen werden, wenn es den Hackern gelingt, mit gehackten SOHO-Routern das große Geld zu verdienen und wenn dadurch eine größere Anzahl von Geschädigten auf sich aufmerksam macht.
Wenn Sie mehr zu den ökonomischen Aspekten der IT-Sicherheit erfahren wollen empfehle ich Prof. Andersons Paper Why Information Security is Hard – An Economic Perspective. Kapitel 3 meines Buches widmet sich neben den ökonomischen auch den psychologischen Phänomenen der IT-Unsicherheit.
Web-Sicherheit 
Stimmt so nicht.
Ein Unternehmen war zumindest einmal Angriffsziel durch übernommenen Grenzrouter.
Ein Angriff gegen mich ging von einem übernommenen SOHO-Router aus.
Übernommene Router scheinen eine ganz wesentliche Rolle im Ausspionierung / Geheimnisverrat von / gegen Unternehmen zu spielen, denn es werden ja meistens keine auswertbaren Spuren hinterlassen.
mfg HA
Kommentar von Hans Adams — März 13, 2011 @ 10:58 |
Danke! Das stimmt so wirklich nicht. Ich werde das korrigieren.
Kommentar von sebastiankuebeck — März 13, 2011 @ 14:19 |
[…] einiger Zeit habe ich versucht zu erörtern, warum es so viele Schwachstellen in SOHO-Routern (Small Office, Home Office) gibt und wenn Sie […]
Pingback von Weitere Schwachstellen in SOHO-Appliances « Web-Sicherheit — Mai 5, 2011 @ 08:17 |