Forum: Mikrocontroller und Digitale Elektronik AVR NET-IO (/Embedded devices allgemein) und Web-Sicherheit


von PJ (Gast)


Lesenswert?

Ich hatte eigentlich vor, mein neues AVR NET-IO Board einfach mal 
testweise (oder auch länger) ans Internet zu hängen, just for fun.

Nach dem Lesen der Beschreibung denke ich jedoch, dass das -- im 
Default-Zustand -- keine gute Idee ist, denn darüber könnte ein Cracker 
die Software neu flashen und somit durch die Firewall hindurch eine 
Backdoor ins LAN öffnen.

Wie man hier http://isc.sans.org/port.html?port=50290 sieht, finden 
tatsächlich regelmäßig Zugriffe auf den Port statt, der von dem Board 
mit der Default-Software genutzt wird.

In der mitgelieferten Beschreibung wird somit richtigerweise darauf 
hingewiesen, dass das Board nur für das LAN empfohlen wird.

Die Frage stellt sich sinngemäß natürlich auch bei anderer Software 
sowie anderen Boards.

von Michael U. (amiga)


Lesenswert?

Hallo,

naja, Gegenbeispiel: der Webserver von U.Radig enthält keinen Bootloader 
oder sonstigen Code, der den AVR-Flash beschreiben kann.
Da der AVR Software nur aus dem Flash ausführen kann, mögen Hacker den 
Webserver vielleicht zum Absturz übberreden können, mehr aber auch 
nicht.

Zu Deinem obigen Beispiel: es sitzen vermutlich tausende Script-Kiddies 
im Netz, die krampfhaft nach einem NET-IO im Netz suchen, eine tolle 
Software für dieses Board geschrieben haben und diese unbedingt auf Dein 
NET-IO flashen wollen. Vielleicht ist das aber auch viel zu 
uninteressant...

Ich würde natürlich nicht so unbedingt einen NET-IO mit der 
Standard-Software ins Netz stellen und damit wichtige Sachen steuern.
Das wäre selbst mir zu nervend, wenn da dauern einer das Licht ein- und 
ausschalten würde oder die Rollos hoch- und runter fährt.

Gruß aus Berlin
Michael

von PJ (Gast)


Lesenswert?

> naja, Gegenbeispiel: [...]

Ich meinte nicht, dass alle Geräte verwundbar sind, sondern dass man 
sich bei allen Geräten fragen sollte, ob sie es sein könnten und was 
dabei geschehen könnte. Ich möchte meine Heizung nicht gerne durch 
Außenstehende steuern und meine Daten und Passwörter nicht durch 
Angreifer sniffen lassen.

Sicherheit im Internet ist kein einfaches Thema, wie die zahllosen 
Patches und gewisse Medienmeldungen (und inzwischen auch Gesetze) uns 
seit Jahren vor Augen führen. Und nicht umsonst gibt es Devices mit 
Crypto-Befehlen.

Mit der weiter zunehmenden Verbreitung von Embedded devices, 
insbesondere solcher mit nicht offener Software, wird dieses Thema mit 
Sicherheit ;-) immer mehr Bedeutung erlangen.

von ... .. (docean) Benutzerseite


Lesenswert?

Du hast doch wahrscheinlich einen Router...

Also leitest du einfach nur den Port 80 an das Net IO weiter, dann kann 
keiner eine neue Firmware flashen.

(Ich geh jetzt davon aus das über das Web Interface nicht geflasht 
werden kann)

von Planer (Gast)


Lesenswert?

Ich finde auch das das Thema noch unterschätzt wird. Und wenn das 
Internet der Dinge so wie es das Frauenhofer Institut vorhersagt kommen 
wird sollte es schon etwas mehr beachtet werden. Mal unabhängig vom 
NET-IO.

von Peter D. (pdiener) Benutzerseite


Lesenswert?

Der Bootloader vom originalen AVR Net IO kann nur durch Setzen von einem 
Jumper gestartet werden. Und dann erfolgt der Softwaredownload über die 
serielle Schnittstelle. Dass jemand über das Web Erfolg hat, halte ich 
damit für aussichtsloser als das bei jedem anderen Rechner.

Auf Grund der Codesections und Fuses ist es der Webanwendung 
physikalisch nicht möglich, den Bootloader zu ersetzen. Und der original 
Bootloader versteht kein Ethernet, damit würde man sich seinen eigenen 
Ast absägen...
Genausowenig kann sich die Webanwendung selbst überschreiben.

Grüße,

Peter

von Helge T. (htefs)


Lesenswert?

Wie Michael U. (amiga) schon andeutete, wird sich ausserdem wohl kaum 
jemand mit der Möglichkeit befassen, wie man ein Pollin Net-IO, egal mit 
welcher Software, über das Netzwerk hacken kann. Gleiches gilt für die 
meisten anderen embedded Devices. Die Software und Hardware dieser 
Geräte ist einfach zu unterschiedlich, so daß schon ein enormes 
Interesse dahinter stehen muß, um gerade dieses eine Gerät zu hacken. 
Mal fix aus dem Viren-/Trojaner-/Wurm-Baukasten irgendwas 
zusammenklicken ist dann nicht. Somit ist bei meisten Skriptkiddies 
spätestens an dieser Stelle das Interesse gestorben.

Wer das Gerät zum Schalten wichtigerer Gerätschaften, wie z.B. der 
Heizung verwendet und es dazu noch zum Zugriff aus dem Internet 
freigibt, der möge die wichtigen Funktionen doch bitte wenigstens mit 
Kennwort schützen. Sonst ist er selbst schuld, wenn er im Winter mal im 
kalten Haus sitzt.

Anders sieht das vielleicht in folgendem Fall aus, der auch nur rein 
hypothetisch ist: Ich schreibe eine Superduper-Overkill-Software für den 
Net-IO. Eine Software, die alle Wünsche erfüllt und die unbedingt alle 
haben wollen. Eine Art "eierlegende Wollmilchsau". Ich schreibe diese 
aber als "closed source", sprich, niemand kann die Quellen sehen. Weil 
ich aber von Grund auf böse bin, baue ich in die Software eine 
Netzwerk-Password-Sniffer rein und verstecke diese Funktion so im 
Programm, daß die nicht so einfach durch reassemblieren zu finden ist. 
Nun bekomme ich von allen Leuten, die meine Software einsetzen, 
alltäglich die gesammelten Logins und Kennwörter zugeschickt.

Oben genanntes Problem hat man aber mit jeder Software, zu der man nicht 
die Quellen gesehen hat. Entweder man vertraut dem Software-Lieferanten 
(im Falle von fertigen embedded Lösungen ist das ja meist auch der 
Hardware-Lieferant), oder eben nicht.
Gruß, Helge

von PeterF (Gast)


Lesenswert?

Ich finde das gut, wenn man sich darüber Gedanken macht.

Wir hatten mal einen Temperaturfühler im Serverraum, der bei 
Überschreitung einer einstellbaren Temperatur eine Email versendet hat. 
Warum das Teil eine routebare IP bekommen hatte kann ich nicht mehr 
sagen. Ist auch egal. An einem Wochenende hat jedenfalls jemand raus 
bekommen, daß das Teil als SMTP Relay zu verwenden ist und hat darüber 
etwa 3 GB Spam geschickt (damals wurde der Traffic noch in MB 
abgerechnet).

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.