Und wieder eine Sicherheitslücke in unserer Hardware

Heute macht die Nachricht die Runde [ und HIER und HIER], das eine Liste veröffentlich wurde die die IP-Adressen von einigen tausend ASUS-Routern beinhaltet. Diese Router sind über eine Firmware-Lücke angreifbar die bereits seit sechs Monaten geschlossen wurde.

Worum geht es im Detail? Bei ASUS war man einst der Meinung das es eine gute Idee ist dem eingebauten FTP-Server ein Anonymus-Konto mit auf den Weg zu geben. So konnte jeder von extern ohne Passwort auf den FTP-Bereich des Routers zugreifen. Schon mal ziemlich blöd für die Daten die ein Nutzer dort abgelegt hat. Noch blöder wird das, wenn der Router Passwörter und Zugangsdaten ebenfalls in diesem Bereich ablegt. Kann man ASUS dafür einen Vorwurf machen? Nein… man MUSS es sogar! So was ist an Dämlichkeit kaum noch zu toppen. Höchsten durch geheime Backdoors von Fremdherstellern die über Jahre hinweg ignoriert wurden…
Aber ASUS hat schnell reagiert und für die betroffenen Modelle ein Update bereit gestellt. Und hier beginnt das Problem mit solch komplexer Hardware.

Auch wenn das die meisten User nicht gerne lesen – in Wirklichkeit haben sie keine Ahnung von dem was sie da tun. Es wäre durchaus ersichtlich gewesen das der Router auf FTP-Anfragen von extern reagiert. Und auch das man ohne Anmeldung Zugriff auf die Stores hat. Man hättes es nur mal testen müssen. Aber man kauft sich denn coolsten Schnickschnack der im Mediamarkt so rumsteht, stöpselt es zusammen und ist froh wenn es läuft. Wenn ich für jeden Router nen Euro kriegen würde der nicht über ein Passwort verfügt – ich würde diesen Text hier von einer netten Insel aus schreiben! Die meisten Menschen wissen nicht was sie tun wenn sie sich mit derart komplexer Technik rumhantieren. Sie lesen auch nicht die einschlägigen Medien die auf solche katastrophalen Lücken hinweisen. Deswegen erfahren diese Menschen auch nicht, das es eine aktuelle Firmware für ihr System gibt. Wobei ich mich wirklich frage ob diese Lücken tatsächlich ein Hauptproblem sind. Ich könnte mir vorstellen das Fehlkonfiguration eben so häufig vorkommt.

Jetzt mag sich manch einer Fragen, warum ein simpler (Modem)Router eigentlich so komplex sein muss. Eigentlich soll er doch nur die Einwahl zum Netz des ISP machen… oder manchmal sogar nur dafür sorgen das mehrere Systeme Daten untereinander austauschen können. Das ist stark vereinfacht, geht aber in die richtige Richtung. Statt dessen haben die Systeme heute USB-Anschlüsse, FTP und Cloud-Zugang. Sie steuern die Telefone im Haus und verteilen Musik und Filme wohin auch immer.
Ich verstehe wie es zu dieser Entwicklung gekommen ist. Letztlich muss es auch einen Markt dafür geben. Eben weil die oben beschriebenen User jedes noch so schräges Feature haben wollen… Hauptsache es ist so einfach wie möglich implementiert. Die Folgen davon sehen wir hier.

Ich habe einen FTP-Server. Mehrere sogar… aber einer läuft auf meinem Rechner. Ich habe mir Portweiterleitungen eingerichtet. Auf unübliche Ports. Ich habe mir Scripte geschrieben um diesen Dienst manuell zu steuern. Ich habe Benutzer angelegt. Ich habe sämtliche Funktionen in meinem (ASUS)Router diesbezüglich deaktiviert. Und weil ich einem Webinterface grundsätzlich nicht über den Weg traue, habe ich noch von extern getestet ob irgendwas offen ist. Und wenn ich einen 24/7 Zugang brauche, dann nehme ich diese Website. Oder ich kaufe mir ein NAS.
Ich kann so was weil ich es gelernt habe. Und weil ich jeden Tag mehr darüber lerne. Weil ich viele Stunden meines Lebens dafür aufbringe, mit der Technik Schritt halten zu können. Mein Leben ist dieser Job! Und dieser Job ist mein Leben. Und selbst mit dieser Mentalität wird man immer wieder überrascht. Heute erst… weil ein Hersteller noch mehr Funktionen in ein einziges Gerät gepackt hat. Und weil wieder ein Benutzer darauf hingewiesen werden musste das der Ausfall einer einziger – unwichtiger – Komponente bei einem gemieteten Gerät bedeutet das die Familie Tage lang ohne Internet, Telefon und TV da sitzt. Wenn jemand draußen das Kabel durchtrennt ist das Pech. Wenn Zuhause der All-in-One-Kasten unter dem Fernseher – wo er zwecks WLAN auch noch schrecklich falsch steht – kaputt geht ist das einfach nur fahrlässig.

Man muss den Herstellern den Vorwurf machen, das sie gegenüber dem Benutzer den Anschein erwecken als wäre diese ganze IT-Geschichte tatsächlich nur eine Lachnummer. Und man muss den Benutzern den Vorwurf machen das sie auf diese „Beschreibung“ voll und ganz anspringen. Aber es sind die Benutzer die aufhören sich mit ihrer Technik zu beschäftigen sobald das Internet läuft. Die zufrieden sind wenn der Fernseher Videos vom Rechner empfangen kann. Es sind diese Nutzer die nicht mitbekommen wenn ihre Freigaben aus Versehen ins Internet geroutet werden. Und es auch nicht merken wenn es eine aktuelle Firmware gibt die dieses Problem löst.

ASUS hat das Problem in wenigen Tagen gelöst. Aber viele tausend Menschen haben das nicht mitbekommen. Und sicherlich sind darunter auch viele „Profis“… Die interessieren sich nämlich auch erstaunlich wenig für eine Anlage die läuft. Ich selbst kenne mehrere D-Link-Router die noch über die erste Firmware verfügen… und selbst wenn man es ihnen anbietet, ignorieren die Besitzer einen. Es wäre ja mit Aufwand verbunden. Aber für jemanden für den schon das festlegen eines Passwortes zu viel ist, darf man vielleicht auch einfach nicht mehr erwarten?!
Deswegen muss man die Benutzer wieder entmündigen! Sie wollen diese Features… das ist ein Leid das man nicht mehr aus der Welt bekommt. Da sie aber offenkundig mit der Einrichtung und Pflege ihrer Spielzeuge überfordert sind, muss das wieder der Hersteller übernehmen. Jedes Gerät das Kontakt zu Internet hat, muss täglich prüfen ob es Updates gibt. Und sollte diese Prüfung ergeben das es da was neues gibt, müssen die ersten Websiteaufrufe auf eine Seite mit einem überdeutlichen Hinweis umgeleitet werden. Der Nutzer muss auf einen Blick erkennen können das es eine neue Software für seine Maschine gibt. Und er muss sich im klaren darüber sein, das das Update mitunter mehr als nur neue Funktionen mitbringt.
Die Firmware-Pflege muss mindestens zwei Jahre nach dem End of Life der Hardware fortgesetzt werden. Und wird sie eingestellt so muss das Gerät auch das deutlich anzeigen.

Hinweise darauf das die Programmierung ordentlicher sein sollte… oder einfacher… oder sicherer… so was spare ich mir jetzt mal. Das müsste eigentlich jedem Hersteller klar sein. Und doch sehe ich jeden Tag das das Gegenteil der Fall ist. Was ASUS zum Beispiel bei meinem Router abgeliefert hat ist ein ziemlicher Witz. Deswegen ist es wichtig das man überprüft was das Webinterface aus den Anweisungen wirklich gemacht hat. Aber es ist auch genau so wichtig das ein Benutzer erkennt das er vielleicht überfordert ist. Das er sich eingesteht das er vielleicht super Patienten behandeln kann… oder prima darin ist Autos zu reparieren… oder ein herausragender Autor ist… das aber die moderne EDV einen mitunter überfordert. Ich traue mir auch so vieles im Leben nicht zu! Einfach weil ich keine Ahnung davon habe. Ich verstehe oft nicht, warum es so vielen Menschen schwer fällt sich das ebenfalls einzugestehen. Gerade wenn es darum geht ihre Daten zu sichern.

Fragt einfach mal jemanden der sich damit auskennt. Selbst dann bleiben wahrscheinlich noch genug Fehlerquellen offen die dann wieder der Hersteller stopfen kann. Ich kann es nur jedem empfehlen.

Benny

[Edit 12.05.2015 – Aufgrund auffallend hohem Kommentarspam habe ich die Funktion temporär deaktiviert. Wenn es den Bots zu doof geworden ist, nehme ich das wieder zurück.]