---

Sidste nyt fra fronten:

http://blogs.pcmag.com/securitywatch/2009/03/new_botnet_runs_on_dsl_modems.
php

Kort link:

http://tinyurl.com/cmrubx

Teoretisk set må det altid have været muligt.

Hvad kan man gøre mod det? Fjern muligheden for remote administration? Det
er sikkert ikke nok, når det gøres i softwaren. Bruge et stærkt password?
Det er nok det eneste man kan være nogenlunde sikker med.


--
Oops!... I did it again

---

Axel Hammerschmidt <hlexa@hotmail.com> wrote:

>http://tinyurl.com/cmrubx
>
>Teoretisk set må det altid have været muligt.
>
>Hvad kan man gøre mod det? Fjern muligheden for remote administration? Det
>er sikkert ikke nok, når det gøres i softwaren. Bruge et stærkt password?
>Det er nok det eneste man kan være nogenlunde sikker med.

Hvis man læser lidt videre, så kan denne exploit undgås hvis man ikke
åbner telnet, SSH eller web administration for hele Internet og/eller
man bruger stærke passwords.

... så hvis adsl-routeren er konfigureret med clue, er der overvejende
sandsynlighed for at man ikke rammes!

--
Gustaf Hyllested Serve

---

Gustaf Hyllested Servé <nospam@serve.dk> wrote:

> Axel Hammerschmidt <hlexa@hotmail.com> wrote:
>
> >http://tinyurl.com/cmrubx
> >
> >Teoretisk set må det altid have været muligt.
> >
> >Hvad kan man gøre mod det? Fjern muligheden for remote administration? Det
> >er sikkert ikke nok, når det gøres i softwaren. Bruge et stærkt password?
> >Det er nok det eneste man kan være nogenlunde sikker med.
>
> Hvis man læser lidt videre, så kan denne exploit undgås hvis man ikke
> åbner telnet, SSH eller web administration for hele Internet og/eller
> man bruger stærke passwords.
>
> .. så hvis adsl-routeren er konfigureret med clue, er der overvejende
> sandsynlighed for at man ikke rammes!

Er det ikke det samme som der ellers hedder "fjern muligheden for remote
administration"?

---

Axel Hammerschmidt wrote:

> Er det ikke det samme som der ellers hedder "fjern muligheden for remote
> administration"?

Hvilken del af "stærke passwords" var det du ikke læste?


--
Mvh
Jesper Poulsen

---

Jesper Poulsen <nospam@ingensteder.dk> wrote:

> Axel Hammerschmidt wrote:
>
> > Er det ikke det samme som der ellers hedder "fjern muligheden for remote
> > administration"?
>
> Hvilken del af "stærke passwords" var det du ikke læste?

: så kan denne exploit undgås hvis man ikke åbner telnet, SSH eller web
: administration for hele Internet og/elle...

HTH


--
I believe in having an open mind, but not so open that your brains fall
out.

---

hlexa@hotmail.com (Axel Hammerschmidt) wrote:


>> Hvis man læser lidt videre, så kan denne exploit undgås hvis man ikke
>> åbner telnet, SSH eller web administration for hele Internet og/eller
>> man bruger stærke passwords.
>>
>> .. så hvis adsl-routeren er konfigureret med clue, er der overvejende
>> sandsynlighed for at man ikke rammes!
>
>Er det ikke det samme som der ellers hedder "fjern muligheden for remote
>administration"?

Nej. I mange hjemmekasser kan man godt tillade specifikke sources
adgang - eller gøre det vha. VPN.

--
Gustaf Hyllested Serve

---

Axel Hammerschmidt wrote:

> Hvad kan man gøre mod det? Fjern muligheden for remote administration? Det

Anvende en router der ikke er baseret på Debian-mipsel

På kortere sigt er det nok at genstarte routeren.


--
Mvh
Jesper Poulsen

---

Jesper Poulsen <nospam@ingensteder.dk> wrote:

> Axel Hammerschmidt wrote:
>
> > Hvad kan man gøre mod det? Fjern muligheden for remote administration? Det
>
> Anvende en router der ikke er baseret på Debian-mipsel

Det er vel bare et spørgsmål om tid inden de finder sikkerhedshuller i
de øvrige. Som Peter Toft skriver på sin blog på Version2, Av - kan jeg
få nyt firmware til min router:

: Naturligvis er det langtfra alle fejl, som ville kunne udnyttes - men
: hvem holder øje med det, og hvem patcher routeren?

> På kortere sigt er det nok at genstarte routeren.

Det hjælper ikke når det er firmware der er blevet ændret.


--
I believe in having an open mind, but not so open that your brains fall
out.

---

Axel Hammerschmidt wrote:

>> På kortere sigt er det nok at genstarte routeren.
> Det hjælper ikke når det er firmware der er blevet ændret.

Og hvordan skal det kunne ændres?


--
Mvh
Jesper Poulsen

---

Jesper Poulsen wrote:

> Og hvordan skal det kunne ændres?

De fleste routere tillader at man uploader nyt firmware ...

---

dennis skrev:
> De fleste routere tillader at man uploader nyt firmware ...

Og hvordan tror du den funktionalitet virker, når en hacker-modificeret
firmware bliver bedt om at overskrive sig selv?

/Lars

---

Lars Kongshøj wrote:

>> De fleste routere tillader at man uploader nyt firmware ...
> Og hvordan tror du den funktionalitet virker, når en hacker-modificeret
> firmware bliver bedt om at overskrive sig selv?

Det er nok mere et spørgsmål om forudgående procedurer for upload af
firmware. På de routere hvortil jeg har uploadet ny firmware har man
skullet lave en manuel funktion direkte på hardwaren (holde en knap inde
i et antal sekunder eller lign.)... Blivende ændringer er derfor umulige
at foretage og en power cycle er nok til at slippe af med den ubudne
gæst...


--
Mvh
Jesper Poulsen

---

On 2009-03-29, Jesper Poulsen <nospam@ingensteder.dk> wrote:
>
>>> De fleste routere tillader at man uploader nyt firmware ...
>> Og hvordan tror du den funktionalitet virker, når en hacker-modificeret
>> firmware bliver bedt om at overskrive sig selv?
>
> Det er nok mere et spørgsmål om forudgående procedurer for upload af
> firmware. På de routere hvortil jeg har uploadet ny firmware har man
> skullet lave en manuel funktion direkte på hardwaren (holde en knap inde
> i et antal sekunder eller lign.)...

Jeg kan ikke komme på en eneste CPE, hvor det har været tilfældet, og
jeg vil skyde på at jeg har haft fat i over 100 forskellige efterhånden.
Derudover er det sandsynligvis kun en begrænsning der er til stede når
de kører den originale software, og ikke når de først er blevet rootet.

--
Andreas

---

Andreas Plesner Jacobsen wrote:

> Derudover er det sandsynligvis kun en begrænsning der er til stede når
> de kører den originale software, og ikke når de først er blevet rootet.

Begrænsningen på jeg jeg har haft i hånden har været der uanset hvad der
har været på den af software. Det er simpelthen en hardwaresikring der
gør at der ikke kan skrives direkte til flash'en.


--
Mvh
Jesper Poulsen

---

On 2009-03-29, Jesper Poulsen <nospam@ingensteder.dk> wrote:
>
>> Derudover er det sandsynligvis kun en begrænsning der er til stede når
>> de kører den originale software, og ikke når de først er blevet rootet.
>
> Begrænsningen på jeg jeg har haft i hånden har været der uanset hvad der
> har været på den af software. Det er simpelthen en hardwaresikring der
> gør at der ikke kan skrives direkte til flash'en.

På hvilke routere har du set dette?

--
Andreas

---

Andreas Plesner Jacobsen wrote:

> På hvilke routere har du set dette?

Linksys WRT54G(L). Jeg har flashet begge typer og har skullet aktivere
reset-knappen uanset om der har været den originale firmware på eller om
der har været en "uoriginal".

Ingen reset - ingen flash.


--
Mvh
Jesper Poulsen

---

On 2009-03-30, Jesper Poulsen <nospam@ingensteder.dk> wrote:
>
>> På hvilke routere har du set dette?
>
> Linksys WRT54G(L). Jeg har flashet begge typer og har skullet aktivere
> reset-knappen uanset om der har været den originale firmware på eller om
> der har været en "uoriginal".
>
> Ingen reset - ingen flash.

Mener du det de har beskrevet her:
http://www.dd-wrt.com/wiki/index.php/Installation#Flashing_with_Web_GUI_.28Not_for_Buffalo_devices.29
for så handler det blot om at nulstille konfigurationen. Jeg har smidt
dd-wrt på WRT54GS uden at være i lokale med den.

--
Andreas

---

Lars Kongshøj wrote:

> Og hvordan tror du den funktionalitet virker, når en hacker-modificeret
> firmware bliver bedt om at overskrive sig selv?

Det var til:

"På kortere sigt er det nok at genstarte routeren."

(firmware bliver renset ikke ændret ved nulstilling)

"Det hjælper ikke når det er firmware der er blevet ændret."

"Og hvordan skal det kunne ændres?"

.... mit svar ...