:Rootkit im Router?:

Ein sicherheitsrelevantes Thema mit großem Gefahrenpotential, welches viel zu wenig Aufmerksamkeit bekommt

Obwohl der Normalanwender für den klassischen Internetzugang nahezu täglich die Dienste seines Routers in Anspruch nimmt, ist es doch sehr verwunderlich, wie wenig Hirnschmalz selbst sicherheitsinteressierte Anwender in Fragen der Abdichtung ihres Gerätes investieren. Denn im Router liegen nicht nur eine zunehmende Menge an Chancen, sondern auch eine nicht geringere Menge an Risiken. Hier sind einige Gedanken dazu.

Gleich vorab: Ihr werdet zu diesem Thema nicht gerade viel im Internet finden – was aber nicht bedeuten soll, daß dieses Thema nicht existiert! Im Gegensatz zum Desktoprechner funktioniert der Router[1] ja meistens problemlos – oder tut zumindest so ...

Auch wenn es die tägliche Wahrnehmung anders vermittelt, ist der Router kein in Stein gemeisseltes monolithisches Objekt, sondern ein höchst dynamisches Gerät. Er ist ein eigenständiger Computer mit einem eigenständigen Betriebssystem, der schlichtweg Daten zwischen Ein- und Ausgängen nach einem gut zu konfigurierenden, aber auch zu missbrauchenden Regelwerk hin- und herschiebt. Nicht selten läuft auf den Geräten ein modifiziertes Linux, was ja generell schon ein Qualitätsmerkmal darstellt. :-) Somit gibt es bedingt durch Waschmachinen, Ampelsteuerungen und Getränkeflaschenrückgabeautomaten (So sah ich einmal beim Blick über die Schulter des zufälligerweise gerade anwesenden Servicetechnikers einen „verräterischen“ Pinguin auf schwarzem Grund, der doch sehr nach Knoppix[2] aussah. Ich kommentierte dies mit dem Linus Torvaldsschen Daumengruss[3] und dem Hinweis „... super Betriebssystem ...“, worauf der Techniker vielsagend zurück grinste. :-) ) weitaus mehr Linuxanwender als vermutet. Aber trotz des generell hochwertigen Betriebssystems sollte man sich als sicherheitsinteressierter Anwender ein paar Gedanken zur Routersicherheit machen. Denn: Solange der Router in Betrieb ist, hängt er am Netz und ist, selbst wenn auf dem Desktoprechner die Netzverbindung getrennt ist, trotzdem online und somit potentiell angreifbar! Da die meisten Anwender ihre Geräte hübsch hinter Schränken verstecken und sie daher aus Gründen der Bequemlichkeit stets eingeschaltet lassen, ist für Angreifer genügend Zeit vorhanden, sich mit dem individuellen Zielgerät zu befassen. Wenn man sich vor Augen führt, daß heutige Schadprogramme auf Desktoprechnern im Gegensatz zu jenen der letzten Jahre still und heimlich im Hintergrund agieren, läßt sich ausmalen, welches Gefahrenpotential Schadprogramme auf einem Router bieten, zumal einem dort Virenscanner[4, 5] und Firewall[6, 7] des Desktoprechners herzlich wenig nützen! Da ist es zwar begrüßenswert, daß hochwertige Geräte eine eigene Firewall besitzen, die dann aber auch konfiguriert werden muß, soweit der Anwender das technische Grundverständnis überhaupt besitzt.

Zum Verständnis: Die Firmware[8, 9] – also das Betriebssystem des Routers – liegt nicht in einem nur lesbaren Speicher, sondern in einem schreibbaren Flash-Speicher[10], vergleichbar dem BIOS[11] eines Desktop-Rechners. Das macht soweit Sinn, da sie hierdurch aktualisierbar ist, um Fehler zu korrigieren oder neue Funktionen hinzuzufügen. Was von den Herstellern auch bis zu einem gewissen Punkt gemacht wird. Von der Herstellerseite lassen sich üblicherweise aktualisierte Firmwareabbilder herunterladen und installieren. Bei aktuellen Geräten geht dies direkt innerhalb der Administrationsoberfläche im Browser. Doch dies erfolgt nur bis zu einem gewissen Punkt – für Jahre alte Router werdet ihr keine Aktualisierungen mehr finden, da ihr „gefälligst ein neues Gerät kaufen sollt“. Im Übrigen müsst ihr sicher sein, daß beim Einloggen ins Webinterface eures Routers der Browser selber schadcodefrei ist, was sich beispielsweise über eine LiveCD[12] sicherstellen läßt. Da die Firmware in den seltensten Fällen den gesamten Speicherplatz des Flashspeichers ausfüllen dürfte, ist dort noch Restspeicher vorhanden, in dem sich nach erfolgter Korrumption allerlei binäres Ungemach unterbringen ließe – „verbogene“ DNS-Einträge[13] dürften da noch der harmloseste und am leichtesten zu diagnostizierende Angriffsvektor sein. Da dieses manipulierte System dann abgekoppelt vom Desktop-Rechner läuft und dank Flash-Speichertechnologie auch den Neustart des Routers schadlos übersteht und ausserdem Virenscanner, Firewall sowie Neuinstallation des Hauptrechners nicht greifen können, liegt hier eine für unangenehme Zeitgenossen reizvolle Angriffsstelle.

Es empfielt sich also, bei längerem Nichtgebrauch den Router einfach auszuschalten und darüber hinaus die Firmware sicherheitshalber von Zeit zu Zeit zu flashen, um somit digitalem Ungeziefer präventiv den Garaus zu machen. Einige Geräte können nach individueller Konfiguration diese in eine externe und an einem sicheren Platz aufzubewahrende Datei exportieren, so daß ihr nach dem Flashen das Gerät nicht jedesmal neu konfigurieren müsst. Die Konsistenz dieser gesicherten Konfiguration solltet ihr unbedingt überprüfen.

Wenn ihr eure Internetzugangsdaten statt auf der Festplatte direkt im Router abspeichern wollt (was durchaus empfehlenswert ist, da es Einwahlskripte gibt, die so doof sind, Internetzugangsdaten im Reintext auf die Festplatte zu schreiben), ist es unabdingbar, dass ihr dessen Zugangspasswort zur Administrationsoberfläche ändert, um Standardangriffe abzuwehren. Denn die zum jeweiligen Gerät gehörenden Standardpasswörter stehen (sinnvollerweise) im Netz, was aber natürlich auch leicht auszumalende Gefahren birgt. Speichert euer geändertes möglichst langes und nirgendwo sonst eingesetztes Passwort am sichersten Ort der Welt – in eurem Kopf – ab. Im Notfall könnt ihr euer Gerät aber auch zurücksetzen (zum Beispiel durch ein per Büroklammer erreichbares kleines Loch im Gehäuse des Geräts) und anschließend neu konfigurieren. Verlegt aber bitte nicht die von eurem Provider erhaltenen Internetzugangsdaten ...

:Aktualisierung 2017/01/28:

Nachdem dieses Gedankenspiel jahrelang durch's Netz waberte, ist es inzwischen in Form des „T-Bakels“[14] bittere Realität geworden. Es ist zu vermuten, dass dieser zwar lästige, aber dennoch harmlose Angriff sowohl Inspiration für Kriminelle als auch ein Vorgeschmack auf das ist, was zukünftig möglicherweise auf uns zu kommt und daher einen „Dammbruch“ darstellt.

Status: stable