Fon-Hack: Im Netz der Zombie-Router
Der La-Fonera-Hack zeigt die Probleme zentralistisch organisierter Netzwerke auf. Ein Gespräch mit den deutschen Studenten Stefan Tomanek und Michael Kebe, die vergangene Woche gezeigt haben, wie Fon-Benutzer die Kontrolle über ihre Router erlangen können.
Im Interview mit ORF.at äußern die beiden Studenten die Befürchtung, dass erfolgreiche Angreifer über die zentrale Steuerung des Fon-Netzwerks schnell über alle Router die Kontrolle erlangen könnten. Die so übernommenen La-Fonera-Router könnten als Virenschleudern oder für Distributed-Denial-of-Service-Attacken missbraucht werden.
Die von ihnen genutzte Lücke im System wurde, so Tomanek und Kebe auf ihrer Website, von Fon am 8. November geflickt.
Tomanek und Kebe studieren derzeit Angewandte Informatik am Campus Duisburg der Universität Duisburg-Essen.
ORF.at: Wie sind Sie auf die Idee gekommen, sich den Fon-Router näher anzusehen?
Tomanek/Kebe: Der La-Fonera-Router basiert auf der Open-Source-Software OpenWRT. Dieses Projekt hat sich das Ziel gesetzt, ein freies Betriebssystem für WLAN-Router zu schaffen. Frei bedeutet in diesem Sinn nicht nur "kostenlos", sondern auch frei in dem Sinne, dass jeder die Quelltexte der Software einsehen, modifizieren und so auf Sicherheit und Korrektheit prüfen kann.
Das ist doch wünschenswert.
Ja. Diese Vorgehensweise ist Kern der gesamten Open-Source- und Free-Software-Kultur: Durch das Prinzip der "vielen Augen" sollen Fehler schnell gefunden und beseitigt werden. Fon schob diesem Prinzip einen Riegel vor, indem es zwar - gemäß den Bedingungen der GPL - die Quelltexte der Routersoftware veröffentlichte, es jedoch unmöglich machte, eine aus diesen Quellen erstellte Betriebssoftware auf den gelieferten Router zu installieren. Dadurch war es nicht möglich, zu überprüfen, ob die auf dem Router installierte Software wirklich den publizierten Quellen entstammt.
Warum stoßen Sie sich daran?
Was vielen Leute nicht bewusst ist, ist die Tatsache, dass mit La Fonera ein vollständiger Computer Einzug in ihr privates Netzwerk hält, der aufgrund seiner zentralen Rolle als Router über Zugriff auf sämtlichen Datenverkehr verfügt.
Diese sicherheitsrelevante Position - schließlich passieren unter Umständen auch vertrauliche Daten das Gerät - verlangt unserer Meinung nach nach einem Gerät, dem Anwender Vetrauen entgegenbringen können: Eine "Black-Box"-Lösung, wie von Fon offeriert, bringt Ebenjenes nicht mit.
Das könnte man von jedem Router eines anderen Anbieters auch sagen.
Es liegt uns fern, Fon unlautere Absichten zu unterstellen, vielmehr missfällt uns der Gedanke, dass sämtliche La-Fonera-Router Befehle von einem zentralen Server entgegennehmen, der jederzeit völlige Kontrolle über sie hat.
Ein Angreifer könnte so durch einen erfolgreichen Angriff auf diesen einzelnen Punkt (nämlich den zentralen Fon-Server) sämtliche Fon-Router weltweit auf einen Schlag unter seine Kontrolle bringen.
Was könnte der Angreifer dann mit dem Netz anstellen?
Durch die weitgehende Abschottung der Router zu Seiten des Anwenders bekäme dieser vermutlich nichtmal etwas davon mit, der Angreifer hätte sich ein weltweit verteiltes Bot-Netz geschaffen, dessen Knoten ständig aktiv und breitbandig an das Internet angeschlossen sind: Missbrauch wie Datenausspähung (z.B. nach Kreditkarteninformationen), Versand von Spam-Nachrichten oder DoS-Attacken auf andere Systeme wären damit jederzeit möglich.
Es ist daher leicht ersichtlich, dass durch diesen zentralen Angriffspunkt die Sicherheit des lokalen Netzes mit der Sicherheit der Fon-Server fällt. Aus diesem Grunde wollten wir erfahrenen Benutzern ermöglichen, die Geschicke ihres La Foneras selbst in die Hand zu nehmen, und dadurch die Kontrolle über ihr eigenes Netz zu behalten.
Wenn Sie die Firmware hacken konnten, dann wäre das theoretisch doch auch einem Angreifer möglich, der auch im Fon-Netz registriert ist oder etwa mit Wardriving-Methoden ins System einsteigt.
Unser Hack ermöglicht es dem Nutzer nur, den eigenen Router zu öffnen. Denn um Programmcode in das Gerät einzuschleusen, benötigt ein "Angreifer" die Fon-Zugangsdaten des Besitzers - ohne diese funktioniert unsere Vorgehensweise nicht.
Verschafft sich jedoch ein Angreifer auf anderen Wegen Kennung und Passwort eines Benutzers, so kann er auch dessen Router unter Kontrolle bringen - das ist jedoch nicht Bestandteil unseres Hacks.
Unsere Vorgehensweise beruht auch nicht auf Wardriving-Methoden, sondern nutzt einfach die Konfigurations-Schnittstelle von Fon: Sie prüft Eingaben nicht sorgfältig genug und erlaubt so, bestimmte Kommandos im Rahmen der stündlich erfolgenden Update-Prozedur zwischen FON-Server und Router einzuschleusen.
Ohne Zugangsdaten geht also gar nichts.
Die Gefährlichkeit des Angriffs ist für den Anwender gering, solange sich niemand seine FON-Zugangsdaten verschafft. Ebenso gehen wir davon aus, dass FON die Lücke im Webinterface recht schnell schließen wird.
Unsere generelle Kritik am Konzept der zentralen Instanz, die vollen Zugriff auf jeden einzelnen Router hat, bleibt jedoch weiterhin bestehen: Ein geglückter Angriff auf ebendiesen Punkt könnte für viele Internet-Anwender, nicht nur für Foneros, umfangreiche Auswirkungen haben.
Wären Ihre Bedenken ausgeräumt, wenn Fon die von Ihnen beschriebene Lücke stopfen würde?
Die Firma Fon hat uns zwei Tage nach unserer Veröffentlichung mit der Intention angeschrieben, mit uns über unsere Ideen zu sprechen. Aufgrund des kurzen Zeitraums steht dieses Gespräch jedoch noch aus.
Wir freuen uns natürlich über das Dialogangebot seitens Fon, da wir die Grundidee des Unternehmens begrüßen. Die Bedenken lassen sich jedoch auch nicht durch die Schließung der von uns genutzten Lücke im Webinterface ausräumen, da diese Lücke für uns nur Mittel zum Zweck war. Das Problem ist vielmehr das Konzept, den Router als Blackbox zu betrachten und Open-Source-Entwicklern die Möglichkeit zu nehmen, die angewandten Verfahren und Programme auf Sicherheit zu überprüfen.
Natürlich begrüßen wir es, wenn FON die Lücke in ihren Webseiten schließt, die sicherheitstechnisch zweifelhaften Aspekte im Gesamtkonzept bleiben dadurch dennoch bestehen.
Zeigt Ihr Hack eher die Schwäche oder die Stärke des Open-Source-Ansatzes in Sachen Sicherheit auf? Sie konnten den Fehler ja nur deshalb finden, weil der Quelltext publiziert war.
Wir müssen hier zwei Aspekte unterscheiden: Der eigentliche Softwarefehler, also die unzureichende Überprüfung von Eingabedaten, lag nicht im Bereich der offenen Routersoftware, sondern hinter der Fon-Website verborgen.
Natürlich haben die offenen Quelltexte es erleichtert, festzustellen, wie Fon und Router die Konfigurationsdaten austauschen. Aber auch ohne die offenen Quellen wäre es nur eine Frage der Zeit gewesen, bis man durch ausprobieren verschiedener Sonderzeichen auf den richtigen Weg gekommen wäre.
Der andere Aspekt liegt daran, dass bei geschlossenen Quelltexten viele Fehler für die Öffentlichkeit verborgen bleiben; offene Quelltexte ermöglichen es einer großen Zahl Personen, Einblick in die Vorgehensweise der Software zu nehmen und so Fehler schnell zu finden - und vor allem zu beseitigen. Das bereits genannte Prinzip der "vielen Augen" sorgt so für eine steigende Sicherheit. Das Konzept geschlossener und nicht einsehbarer Systeme ist in Sicherheitskreisen verpönt und unter dem Stichwort "Security by Obscurity" bekannt - [scheinbare] Sicherheit durch Unklarheit.
(futurezone | Günter Hack)