[Berlin-wireless] WICHTIG/IMPORTANT - freifunk-batman: Sicherheitslücke/security problem

Alina Friedrichsen x-alina-ml
Sa Nov 17 13:22:30 CET 2007 

Hallo Sven-Ola!

> im Prinzip hast du recht. Jeder, der Software zur Verfuegung stellt, kann
> auch 
> Backdoors einbauen. Und nutzen. Geht auch im Quelltext (bei hinreichender 
> Komplexitaet ist das Entdeckungsrisiko recht gering). Und fast alle
> Systeme 
> laden irgendwelche finsteren Binary-Komponenten (Firmwares,
> Binary-Treiber, 
> Bilder etc) drin. Absolute Sicherheit gibt's eben nicht. Nirgendwo.

Da sprichst Du das grosse Problem an. Die Frage ist, wie viele Backdoors sind z.B. in einer ganz normalen Debian installation und wer weiss davon? Selbst wenn sie gefunden werden, sind sie nicht als diese zu erkennen, da sie von versaendlich eingebauten Sicherheitsluecken nicht zu unterscheiden sind.

Und wieviele Backdoors sind in der Freifunk-Firmware?

Hast Du Dir schon mal Gedanken gemacht wie Du ein Backdoor in ein BIOS einbauen kannst? Da kann Dich selbst dein OS nicht mehr vor schuetzen. Von Virtualisierung will ich gar nicht erst reden.

Who can you trust?

> P.S.: Die im Moment mbMn erfolgversprechendsten Angriffsvektoren fuer die 
> OpenWrt bzw. die Freifunk-Firmware duerften diese Komponenten sein:
> 
> * Busybox-Http und dropbear (weil einfach ueberall vorhanden)

Weitere verdaechtige Stellen im httpd hatte ich damals nicht finden koennen. Sah recht gut aus, aber wurd schon wieder einieges veraendert.

Bei den beiden Bufferoverflows hatte ich mich auch gefragt: "Sind sie so bloed, oder war das Absicht"?

> * weit verbreitete Wifi-Treiber (z.B. Atheros-HAL oder Broadcom wl.o),
>    einfach weil alt und undurchsichtig und garantiert Buggy

Ja, das ist grossen Problem, vor allem auch fuer normale PCs.

> * sowie in Einzelfaellen auch spezielle IPKs mit wenig Verbreitung 
>    aber wahrscheinlichen Programmierfehlern in Web-UI-Seiten (wie
>    bei der Batman-UI oder sagen wir mal Geralds Map-Plugin)

Hi, hi, das Map-Plugin ist so kaesig programmiert. Da faellt mir noch ein anderer Angriffsvektor ein, dem sonnst nicht viel Aufmerksamkeit geschenkt wird: Ein Bufferoverflow oder Aehnliches im BusBox wget. Und was passiert eigentlich, wenn die mygoogleirgendwas.txt zich Megabyte gross ist?

> P.P.S. Falls es noch niemand erwaehnt hat. Gegen den aktuellen Fall half 
> erstmal das hier (falls man noch kein Update drauf hat):
> 
> chmod -x $(find /www -name "cgi*bat*")

Also ein Fehler im Webdings und nicht im Daemon selber?

Alina

-- 
Psssst! Schon vom neuen GMX MultiMessenger gehört?
Der kann`s mit allen: http://www.gmx.net/de/go/multimessenger

Mehr Informationen über die Mailingliste Berlin