Nach Telekom-Angriff: Router im Sicherheits-Check
Nach der Wurm-Attacke, die eine Million DSL-Nutzer anderthalb Tage vom Netz nahm, ist es Zeit, die Sicherheitskonzepte von DSL-Routern anzusehen.
- Nach Telekom-Angriff: Router im Sicherheits-Check
- Router-Sicherheit: Lancom und Netgear im Check
- Router-Sicherheit: TP-Link, AVM und Telekom + Fazit
Mirai ist eine Wurmfamilie, die es auf eingebettete Linux-Systeme abgesehen hat und mittlerweile verschiedenste Angriffsvektoren nutzt. Im November machte eine Version die Runde, welche auf eine Lücke in einigen Zyxel-Routern zugeschnitten war und einen Fehler in einem Fernwartungsprotokoll ausnutz...
Mirai ist eine Wurmfamilie, die es auf eingebettete Linux-Systeme abgesehen hat und mittlerweile verschiedenste Angriffsvektoren nutzt. Im November machte eine Version die Runde, welche auf eine Lücke in einigen Zyxel-Routern zugeschnitten war und einen Fehler in einem Fernwartungsprotokoll ausnutzte: Über einen geschickt formatierten Zeitserver-Eintrag gelang es, beliebige Befehle auf dem Linux-System des Zyxel-Routers auszuführen. Nun verwendeten die betroffenen Speedports der Telekom gar kein Linux, allerdings stolperten sie über den fehlerhaft formatierten Zeitserver und hingen sich auf. Wo zu Beginn der Wurmwelle schlimmstenfalls ein- oder zweimal am Tag ein Angriffsversuch stattfand, war es auf dem Höhepunkt der Welle (viele betroffene Router eines irischen Providers) etwa ein Angriff pro Minute. Wer seinen Router neu startete, war also spätestens nach zwei Minuten wieder offline.
Schlecht programmierte Firmware trifft unvorbereitete Provider
Der Vorfall wirft nicht nur ein Licht auf die Vorgehensweise der Provider (die Telekom sperrte eingehenden Traffic auf dem verwendeten Port erst spät, der irische Provider EIR ausgehenden bislang gar nicht), sondern auch auf die Sicherheit kritischer Infrastruktur gegenüber eher zufälligen Angriffen: Wo bereits eine nicht zielgerichtete Attacke genügen kann, einen Router zum Absturz zu bringen, besteht die Gefahr, dass ein zielgerichteter Angriff weit größere Schäden verursachen kann. Infrastrukturkritisch kann der DSL-Router deshalb betrachtet werden, weil mit dem Trend zu All-IP und LTE-Microzellen auch zunehmend Telefonie über diese läuft – und schlimmstenfalls nicht einmal Notrufe möglich sind.
Arten von Sicherheit
Im Englischen unterscheidet man zwischen Safety und Security: Security schützt vor gezielten böswilligen Angriffen, es handelt sich also um den Schutz vor Schwachstellen, die beispielsweise dazu ausgenutzt werden können, in ein abgeschottetes Netzwerk einzudringen oder Schadsoftware auszuführen. Safety bezeichnet den Schutz vor Ausfällen, also die Robustheit eines Systems – auch gegen falsche Nutzung. Beide Aspekte betrachten wir.
Das Testfeld: viermal Linux, einmal proprietär
Heute ist Linux das dominierende Betriebssystem im Routerbereich, allerdings gibt es eklatante Unterschiede bei der Art der Umsetzung: Gerade bei sehr billigen Routern kommen oft kaum angepasste Referenzsysteme des Chipsatzherstellers zum Einsatz, die nicht oder nur widerwillig mit Sicherheitsaktualisierungen versehen werden. Diese tragen derzeit zum schlechten Ruf von Linux als Betriebssystem für internetfähige Geräte bei. Je mehr Funktionen mit Alleinstellungsmerkmalen ein Router besitzt (verschiedene Zugangsarten, Funktionalität der USB-Schnittstelle), desto mehr Aufmerksamkeit bekommt die eigene Firmware: Weitgehend im Haus entwickelte Firmware wird in der Regel bei Problemen schnell aktualisiert. Ähnlich sieht es bei proprietären Systemen aus, die nicht auf Linux basieren.
Auf den nächsten Seiten widmen wir uns fünf aktuellen Routern und unterziehen Sie einem Sicherheits-Check.
