SOHOpelessly BROKEN - otthoni routerek biztonságát firtató vetélkedő

Titkosítás, biztonság, privát szféra

A Las Vegasban jövő hónapban megrendezésre kerülő Defcon biztonsági konferencia ideje alatt kerül sor a "SOHOpelessly BROKEN" hacking versenyre. A verseny célja az, hogy 10 elterjedt, népszerű, vezetéknélküli SOHO router biztonságát vizsgálja a legfrissebb firmware-ek futtatása mellett. A versenyben résztvevő routerek:

  • Linksys EA6500 [Ver.1.1.40 (build 160989)]
  • ASUS RT-AC66U (HW Ver. A2) [Version 3.0.0.4.374.
  • TRENDnet TEW-812DRU (H/W: v1.0R) [Version 2.0.6.0]
  • Netgear Centria WNDR4700 [Version V1.0.0.52]
  • Netgear WNR3500U/WNR3500L [Version V1.2.2.48_35.0.55]
  • TP-Link TL-WR1043ND (Ver. 1.10) [Version V1_140319]
  • D-Link DIR-865L (HW Ver. A1) [Version 1.05]
  • Belkin N900 DB (Model: F9K1104v1) [Version 1.00.23]
  • EFF Open Wireless Router [Details forthcoming]

Mivel ezek közül több készülék itthon is szép számban előfordul a végfelhasználóknál, a verseny kimenetele számunkra sem érdektelen. A részletek elolvashatók a kiírásban.

( trey | 2014. 07. 20., v – 20:38 )

Kíváncsi leszek. Az itthoni egyik routerem:

Model No. TL-WR1043ND
3.13.15 Build 140319 Rel.41339n

--
trey @ gépház

Már egy jó ideje default be van kapcsolva a wps, viszont kitilt 5-10 rossz próbálkozás után. Ha jól emlékszem a tp-link firmware nemcsak hogy mac alapján kitilt, de letiltja az egész wps-t is, amig az admin vissza nem kapcsolja a webes felületen. Szóval a reaver nem segit ilyenkor.

A "sima firmware upgrade" alól kivétel lehet a 1043nd, ahol is egy figyelmetlen user könnyen tud téglát gyártani házilag... :P
Egyébként azért mertem venni magamnak is ilyen routert anno, mert több helyen is kiválóan vizsgáztak, mái napig tökéletesek - azok 1.5-1.6 körüliek. Na hát nekem már csak 1.10 (vagy 1.11? már nem is emlékszem pontosan) jutott és az biza csalódást okozott nálam :(

Ha eszébe jut. De amikor nem is tud róla, hogy eltérő hardver jött ki azonos néven... Asszem, netgear szopatott meg majdnem, mert a v1, v2 támogatott volt a kiszemelt típusból, már kis híján megvettem, mikor kiderült, hogy van belőle v3 és itthon csak az kapható és totál más a belseje, mint a korábbiaké :(
Wdr3700 volt, ha igaz.

Igen, már felhívja. Csak az a gáz, hogy mikor tervezni kezdtem a vásárlást, még nem volt v3. Mire oda jutottam, hogy megvenném, már nem néztem az openwrt lapját, csak óvatos voltam és rákérdeztem a boltban, hogy melyik verzió? Mikor közölték, hogy v3, akkor kezdtem vakarni a fejem, hogy olyanról nem is hallottam... És ezzel követték el azt a merényletet, hogy míg a v1, v2, v4 Atheros chipes, addig a v3 Broadcom-os, ami vélhetőleg sohasem lesz openwrt kompatibilis.

Ezzel nem mondtál semmit. Én akkor kezdtem tervezni, hogy HP Microservert veszek, amikor megjelent az N36L. És akkor vettem meg, amikor már az N54L-ről cikkeztek. Én meg megvettem az N40L-et. De nyilvánvalóan sem az előd 36, sem az utód 54 doksija nem volt 100%-osan mérvadó a vásárlás pillanatában a 40-re nézve. Szóval szerintem az emberek nem frissítenek (cserélnek) a routerükön fw-t. Aki igen, attól meg annyi elvárható, hogy a fw-frissítést megelőző utolsó pillanatban azért legalább egy verzióellenőrzést megejtsen. Lássuk be, ha dízelolajat tankolok a benzines kocsimba, az se a gyártó hibája, és ha fordítva teszem, az se. Mint ahogy a mosógépben tisztított csecsemő és a mikróban szárított macska sem. Hiába próbálják az ellenkezőjét elhitetni.

Akkor érthetőbben: nekem szerencsém volt, mert még vásárlás előtt észrevettem a változtatást.
De egyrészt ezekkel a firmware-ekkel nem csak olyanok játszanak, akik eléggé értenek hozzá, másrészt semmi biztosíték rá, hogy egyáltalán értesülsz a változásról. A kedves gyártók egy része nem tünteti fel elég feltűnően a verzió váltást.
Nem tudom, melyik routernél volt, uogy a gyártási számból lehetett kibogarászni.
Egyébként eredetileg is csak annyit írtam, hogy vigyázni kell ha ilyesmire készülsz. :)

( Zahy v | 2014. 07. 20., v – 22:49 )

ÉS miért nem raktak be a készletbe egy up-to-date OpenWRT-t is?

( artifex | 2014. 07. 21., h – 07:28 )

1043nd érint, kíváncsi vagyok mit találnak benne. Mondjuk nekem már OpenWRT van rajta, de azért érdekel mennyire érte meg váltani a gyáriról.

"Belépés díjtalan, kilépés bizonytalan."
"Vajon mit várok a sorstól, ha hányok az édestől, és izzadok a sóstól."

Mondjuk az OpenWRT-nek meg egyátalán NINCS security update-je.

Így ha valaki stabil ágat használja, akkor az eslő publikált security probléma után vagy vált a fejlesztői ágra vagy a továbbiakban együttél a kiderült hibákkal.

Nekem egyik opció sem tetszik :(
de idő hiányában az utóbbit választottam, mert még midig jobb mint a gyári firmware-ek, a beépített backdoor-okkal.

--
zrubi.hu

Szerintem a PC esetében a hardverrel van leginkább a probléma:
- túl nagy
- túl hangos
- túl sok áramot fogyaszt.

- ha a mégis fentiek teljesülnek akkor pedig túl drága :o

Az OpenWRT-hez kellene inkább egy security update szolgáltatás. Ezzel meg (gondolom) az a baj, hogy ahány féle hardver, annyi féle build kellene - ellentétben az x86 architektúrával ahol max 64/32 bit-re kell külön build.

--
zrubi.hu

Nincs szükség új PC-re jó egy kiszolgált P3 is bőven. Ilyen pedig minden irodában akad. A többi PC mellett fel sem tűnik, ha van szerverszoba ott meg pláne nem zavar sok vizet. Egyedüli hátrány az áramfogyasztás, de egy Cisco sincs ingyen, és annak sem kicsi a fogyasztása bár a PC alatt van.

Ahol Cisco routert használnának (ha most nem a Linksys ágra gondolunk) az jellemzően nem SOHO. Home Office-ban ritka a szerverszoba, egy zúgó, nagy, ronda P3-as meg zavar a nappaliban, a hálószobában, és a dolgozó szobában is, a konyha meg nem ideális hely neki. Az áramfogyasztása meg sokkal több, mint a jellemzően 800 MHz-es ARM procival szerelt cuccoké (== a SOHO routerek), amik kevesebbet esznek, mint a mobilok manapság.

Nem tettem kérdőjelet a kettővel feljebbi hozzászólásban de a "Lehetségessel" arra utaltam, hogy kérdés melyik a jobb megoldás. Vagy ha úgy tetszik kisebbik rossz.
?
Egy biztonsági hibás de legalább kicsi, halk és keveset fogyasztó (inkább MIPS, néha ARM) router?
Vagy egy általános kiszolgált PC router disztribúcióval?

Szerintem nem nagy eredmény az, hogy keveset fogyaszt a router ha közben feltörik és a lassított internet miatt mindenkinél esik a munka hatékonysága.
Egy P3 notebook egyébként keveset fogyaszt és halk, viszont usb-ethernettel kell megoldani a Wan portot és AP módra képes wifi is csak usb kapcsolattal megy. De lehet underclockolni egy P3 gépet és passzív hűtésre állítani. Fogyasztásban egyébként a P4 volt a horror nem a P3 úgy tudom. És szerintem 10-20 áramfogyasztó PC mellett már nem zavar sok vizet +1 PC ami történetesen routerként működik.

De még mindig kérdezem. Melyik a jobb?

Nem néztem mélyebben utána, de az OpenWRT-nek úgy emlékszem régóta nem volt kívülről kihasználható hibája (dropbear meg libupnp hibára emlékszem, meg néhány xss sebezhetőségre a webes felületen de ugye alapértelmezésben ezek csak a belső hálózat fele engedélyezettek, esetleg még van előttük egy ostiary.) Szóval annyira nem vészes az a "biztonsági hibás" router, ha ésszel használja az ember.

( legyes | 2014. 07. 21., h – 08:42 )

Emlékszem az időkre, amikor a WRT-54GL routerem törték meg, tettem rá Tomato firmware-t: megtörték. Tettem rá OpenWRT-t, megtörték. DD-WRT-t, azt nem törték meg (gondolom épp szerencsém volt, mert annak is volt sebezhetősége dokumentálva).
Nem WiFi-t törték meg, hanem konkrétan root hozzáférést szereztek: külső elérések tiltva, telnet/SSH tiltva, extra szolgáltatás nem volt telepítve egyikre sem. A jelszó hosszú volt, spec karakterekkel. A Tomato esetében ~5 hónapra rá dokumentálva is volt a módszer, az OpenWRT esetében nem találtam meg mi volt a baj. A keyloggeres téma sem játszott a kliens gépen.

Most épp Mikrotikem van, még nem tudok róla, hogy meg lenne törve. Viszont azt látom, hogy gyűlik a tiltólista a bruteforce és DoS próbálkozásokból.

Nincs olyan játszós router, amire ne létezne törés már - szerintem. Beégetett firmware, az emberek meg ritkán cserélgetik. Morognak hogy vacak a net, szenvednek a routerrel és közben nem veszik észre, hogy fut az armminer és BitCoint bányásznak :D

OK, de itt már nem az OpenWRT törhetőségéről van szó hanem az OpenWRT+Windows kombó törhetőségéről. Ez is probléma de nem ugyanaz.
Önmagában az OpenWRT, illetve belső hálón Linux gépekkel már nem lett volna törhető az OpenWRT router.

Ha sérülékeny Windows gépek vannak bent akkor egy interface-es soho routerek védhetőek a belső támadások ellen úgy, hogy bekapcsolás után mondjuk 5 perccel cronból leállítod a web szerverét és az openssh-t is. Így ugyan nem tudod konfigurálni, de ott ahol soho router van általában úgysincs szükség rendszeresen menet közbeni router állítgatásra. Ha valamit módosítani kell munkaidő után vagy előtt, amikor már nem működnek a Windows pc-k újra kell indítani a routert és az első 5 percben be lehet lépni (+cron lelövés, módosítások, majd reboot)

( zrubi v | 2014. 07. 21., h – 10:36 )

Az nem derült ki számomra, hogy csak külső vagy belső oldalról is ér támadni?

Vajon a gyártó által ismert, de féltve titkolt backdoor demonstrálása az számít? :)
Ilyen ugyanis biztosan mindegyikben van :D

--
zrubi.hu

Nem kell ahhoz NSA ;)

Igaz hogy nem épp router, de:

Épp most vettem egy NAS-t, és használatba vétel előtt megnéztem kicsit alaposabban belülről. Először csak röhögtem, majd pár perc múlva már inkább sírhatnékom lett. Elsőre csak 'custom config' ötletem volt a javítására, de most már látom, hogy csak a full firmware csere jöhet szóba, ha (nem publikus) adatokat is akarok rámásolni :o

--
zrubi.hu

( uid_20269 | 2014. 07. 21., h – 15:54 )

Nekem is OpenWRT van egy 1043-ason, 41657 (egy hetes) trunk egy kis Radius autentikációval megbolondítva az ínyencek kedvéért.. SSH csak belülről, ping / forward tiltva, szóval törhetik..
God bless you, Captain Hindsight..

( uid_20269 | 2014. 07. 22., k – 00:35 )

Amikor mindig eldobálta a wifi-t nagyobb terhelés mellett.. Eddig jónak tűnik ez a trunk és a benti laza 27-28 fokban se hagyja el magát..
God bless you, Captain Hindsight..

( oykawa | 2014. 07. 22., k – 12:57 )

Egy MikroTik-ot megnéztem volna!

Oykawa