On 05/16/2016 02:17 PM, Erich N. Pekarek wrote:
> Am 2016-05-16 um 13:18 schrieb David Hopfmueller:
Hi,
AirOS ist nicht in der Gesamtheit eine Black-Box, nur Teile, wie
proprietäre WLAN-Treiber, für die man als Programmierer ein NDA
unterzeichnen müsste.
Das heisst, AirOS ist open-source? Das waere mir neu. Hast Du einen Link
zum Quellcode?
Und ein deutlicher Reminder, uns als Community um eine
Update-Strategie und ein Sicherheitskonzept zu kümmern.
Die Update-Strategie nützt wenig, wenn es sich um einen Zero-Day-Exploit
handelt - und somit begriffsgemäß Herstellerpatches fehlen.
... was in diesem Fall nicht zutrifft und auch kein generelles Argument
gegen eine solche Strategie sein kann.
Es geht nicht darum, Betreiber zu ihrem Glueck zu zwingen. Aber
wenigstens die Chance sollte man ihnen geben, indem man auf moeglichst
wartbare Software setzt, ueber (abschaltbares) Auto-Update nachdenkt,
sinnvolle Defaults setzt und Tipps gibt, wie man die Angriffsflaeche
minimiert.
Auf einem oeffentlich erreichbaren Geraet per default einen loechrigen
Webserver ohne ACL zu betreiben, den ich nicht einzeln updaten kann und
der noch dazu offensichtlich mit root-Rechten laeuft, ist aus
Security-Sicht schlicht eine Katastrophe. Diverse OpenWRT-basierende
Deployments sind da, nota bene, nicht auszunehmen.
So etwas duerfen wir einfach nicht als Standard-Loesung billigen oder
gar empfehlen.
Besinnnen wir uns auf diese Fragen, bevor wir uns auf konkrete
strategisch-technische Maßnahmen festlegen, die über ein Stopfen von
Löchern hinausgehen:
Gerne, aber nicht ich && in diesem Thread.
CU,
David
--
Discuss mailing list
[email protected]
https://lists.funkfeuer.at/mailman/listinfo/discuss
