Hallo,
ist es eigentlich ein Sicherheitsrisiko wenn das LCOS mit einer OS_PANIC abstürzt? Weiß jemand, ob sich diese Abstürze evtl. sogar dazu ausnutzen lassen, um Fremd-Code in den Router einzuschleusen? Für das Ziel eines DOS-Angriffs sind diese Abstürze auf jeden Fall gut.
Frage deshalb, weil es eben einen 1724er-Router beim Versuch eine VoIP-Verbindung aufzubauen, mit einer OS_PANIC zerlegt hat und dies leider nicht die einzige OS_PANIC ist/war... Sicherheitsbedenken habe ich deshalb, weil über's Internet z.B. über die VoIP-Verbindung zum SIP-Provider alles mögliche reinkommen kann, was ggf. eine OS_PANIC auslösen könnte.
Bei anderen Betriebssystemen wird der kleinste derartige Absturz gleich mit einer Sicherheitslücke in Verbindung gebracht für die es dann auch ziemlich schnell "Beispielcode" zum Ausnützen gibt. Da ich schon bei allen möglichen Situationen os_panic's hatte (vor allem der Call-Router tut sich hier hervor), habe ich mittlerweile meine Zweifel bezüglich der Sicherheit und auch Qualität des LCOS.
Gruß
Gm
Sicherheitsrisiko "os_panic" ?
Moderator: Lancom-Systems Moderatoren
Moin,
os_panics sind ärgerlich und sollten schleunigst behoben werden und das mit dem DoS ist
sicher auch richtig. Um gezielt Code in ein Gerät einzuschleusen, ist aber sehr genaue
Kenntnis der jeweiligen Plattform notwendig. Eine LANCOM-Firmware ist ein monolithisches
Image ohne jegliche Symbolinformationen oder Schnittstellen zum Nachladen von Code, und
bei jedem Gerät und jeder Firmware liegen
die Adressen woanders - und es ist noch nicht einmal in jedem Gerät der gleiche
Prozessor. Das ist nicht unmöglich, aber lohnt sich für einen Angreifer nicht
wirklich, weil es im Zweifelsfall immer einfacher ist, sich einen PC dahinter zu suchen und
dort den Trojaner zu installieren
Des weiteren wird nach dem os_panic die Firmware wieder neu aus dem Flash geladen, und
ein Angreifer müßte schon einiges an Code ins Gerät hineinbekommen, um das komprimiert im Flash
liegende Image zu verändern (es ist gzip-komprimiert, d.h. wer permanent die Firmware
verändern will, muß das Image auslesen, irgendwohin entpacken, verändern und wieder
zurückkomprimieren).
Solche os_panics im LCOS treten entweder dann auf, wenn die Software über einen NULL-Zeiger
zugegriffen hat (so etwas wie eine Schutzverletzung unter Windows) oder das LCOS selber
festgestellt hat, daß irgendetwas im Speicher und den Datenstrukturen inkonsistent ist und es
besser ist, von vorne anzufangen.
Call-Router in der 7.x ist allerdings ein ziemlich neues Stück Software, für die Gruppenruffunktionen
ist so ziemlich alles umgeschrieben worden - gar nicht zu reden von dem IP-Stack, in dem für
ARF auch einiges 'auf links' gedreht wurde. Daß in der ersten Version noch nicht alles so perfekt
paßt, wie es sollte, ist nicht so ganz verwunderlich...wenn man so ein kompliziertes Stück Software
wie LCOS in allen Details und Lebenslagen testen wollte, gäbe es vielleicht alle anderthalb Jahre eine
neue Firmware - und dann wärst Du auch wieder nicht zufrieden...
Hast Du die ganzen os_panics denn auch gemeldet?
Gruß Alfred
os_panics sind ärgerlich und sollten schleunigst behoben werden und das mit dem DoS ist
sicher auch richtig. Um gezielt Code in ein Gerät einzuschleusen, ist aber sehr genaue
Kenntnis der jeweiligen Plattform notwendig. Eine LANCOM-Firmware ist ein monolithisches
Image ohne jegliche Symbolinformationen oder Schnittstellen zum Nachladen von Code, und
bei jedem Gerät und jeder Firmware liegen
die Adressen woanders - und es ist noch nicht einmal in jedem Gerät der gleiche
Prozessor. Das ist nicht unmöglich, aber lohnt sich für einen Angreifer nicht
wirklich, weil es im Zweifelsfall immer einfacher ist, sich einen PC dahinter zu suchen und
dort den Trojaner zu installieren
Des weiteren wird nach dem os_panic die Firmware wieder neu aus dem Flash geladen, und
ein Angreifer müßte schon einiges an Code ins Gerät hineinbekommen, um das komprimiert im Flash
liegende Image zu verändern (es ist gzip-komprimiert, d.h. wer permanent die Firmware
verändern will, muß das Image auslesen, irgendwohin entpacken, verändern und wieder
zurückkomprimieren).
Solche os_panics im LCOS treten entweder dann auf, wenn die Software über einen NULL-Zeiger
zugegriffen hat (so etwas wie eine Schutzverletzung unter Windows) oder das LCOS selber
festgestellt hat, daß irgendetwas im Speicher und den Datenstrukturen inkonsistent ist und es
besser ist, von vorne anzufangen.
Also mein R800+ hat eine Uptime von fast 4 Monaten...ich benutze aber auch kein VoIP. DerDa ich schon bei allen möglichen Situationen os_panic's hatte (vor allem der Call-Router tut sich hier hervor), habe ich mittlerweile meine Zweifel bezüglich der Sicherheit und auch Qualität des LCOS.
Call-Router in der 7.x ist allerdings ein ziemlich neues Stück Software, für die Gruppenruffunktionen
ist so ziemlich alles umgeschrieben worden - gar nicht zu reden von dem IP-Stack, in dem für
ARF auch einiges 'auf links' gedreht wurde. Daß in der ersten Version noch nicht alles so perfekt
paßt, wie es sollte, ist nicht so ganz verwunderlich...wenn man so ein kompliziertes Stück Software
wie LCOS in allen Details und Lebenslagen testen wollte, gäbe es vielleicht alle anderthalb Jahre eine
neue Firmware - und dann wärst Du auch wieder nicht zufrieden...
Hast Du die ganzen os_panics denn auch gemeldet?
Gruß Alfred
Hallo alfred,
am Anfang habe ich noch einige os_panic's gemeldet, dann ist es mir irgendwann zu "blöd" geworden, da diese z.T. nur sporadisch aufgetreten sind und der Support immer alle möglichen Infos noch haben wollte und mir das dann zu aufwändig geworden ist. Ich habe ja schließlich ein fertiges Produkt und keine Dauerbaustelle gekauft.
Also viele dieser Fehler hätte LANCOM beim QS-Check des LCOS selbst feststellen müssen. Schließlich gibt's am Markt sehr viele Tools (Testautomatisierung) die einem da sehr viel abnehmen können. Man definiert einmal die Testfälle und lässt diese dann einfach immer wieder automatisiert abtesten. Bei uns in der Arbeit entwickeln wir (120 Leute DV, 2500 Leute in der Firma) auch Software und da ist dieses Vorgehen gang und gäbe!
Gruß
Gerhard
Edit:
Unwahrscheinlich, dass jemand die Lücke nutzen kann ist im Bezug auf Sicherheit bei einem Router im professionellen Umfeld eigentlich ein K.O.-Kriterium für das Gerät. Gut, Bugs gibt's überall, aber die Menge lässt mich etwas nachdenklich werden. Bei einer ausgewachsenen Maschine kann ich nicht vertrauenswürdige Prozesse so weit es geht einsperren (BSD-Jails oder SELinux oder AppArmor oder ...), aber bei diesen Kleingeräten ist so etwas leider anscheinend nicht so leicht möglich.
am Anfang habe ich noch einige os_panic's gemeldet, dann ist es mir irgendwann zu "blöd" geworden, da diese z.T. nur sporadisch aufgetreten sind und der Support immer alle möglichen Infos noch haben wollte und mir das dann zu aufwändig geworden ist. Ich habe ja schließlich ein fertiges Produkt und keine Dauerbaustelle gekauft.
Also viele dieser Fehler hätte LANCOM beim QS-Check des LCOS selbst feststellen müssen. Schließlich gibt's am Markt sehr viele Tools (Testautomatisierung) die einem da sehr viel abnehmen können. Man definiert einmal die Testfälle und lässt diese dann einfach immer wieder automatisiert abtesten. Bei uns in der Arbeit entwickeln wir (120 Leute DV, 2500 Leute in der Firma) auch Software und da ist dieses Vorgehen gang und gäbe!
Gruß
Gerhard
Edit:
Unwahrscheinlich, dass jemand die Lücke nutzen kann ist im Bezug auf Sicherheit bei einem Router im professionellen Umfeld eigentlich ein K.O.-Kriterium für das Gerät. Gut, Bugs gibt's überall, aber die Menge lässt mich etwas nachdenklich werden. Bei einer ausgewachsenen Maschine kann ich nicht vertrauenswürdige Prozesse so weit es geht einsperren (BSD-Jails oder SELinux oder AppArmor oder ...), aber bei diesen Kleingeräten ist so etwas leider anscheinend nicht so leicht möglich.
Hi gm
Da die Firmware eines Lancom - wie Alfred schon schreib - keine Schnittstelle hat um Software zu installieren, erübrigt sich diese Diskussion hier...
Ach ja: auch in diesen Sandboxes können Fehler sein, die ein Ausbrechen der vermeindlich sicher eingesperrten Software ermöglichen...
Gruß
Backslash
dann darfst du aber auch keine neuen Features einsetzen...Ich habe ja schließlich ein fertiges Produkt und keine Dauerbaustelle gekauft.
nur hast du das Problem, daß die meisten os_panics im SIP-Umfeld auftauchen und auch nur in besonderen Konstellationen, die man u.U gar nicht automatisch abdecken kann - und schon gar nicht im Vorfeld, bevor sie bekannt sind...Schließlich gibt's am Markt sehr viele Tools (Testautomatisierung) die einem da sehr viel abnehmen können. Man definiert einmal die Testfälle und lässt diese dann einfach immer wieder automatisiert abtesten.
Ich gehe mal davon aus, daß z.B. auch Microsoft solche Tests durchführt (und das es dort ebenso gang und gäbe ist) und trotzdem gibt es jede Woche neue Fehler...Bei uns in der Arbeit entwickeln wir (120 Leute DV, 2500 Leute in der Firma) auch Software und da ist dieses Vorgehen gang und gäbe!
bei einer "ausgewachsenen" Maschine hast du auch die Möglichkeit, beliebige Software zu installieren - das geht bei "diesen Kleingeräten" meist erst gar nicht - daher gibt es dort auch keine Notwendigkeit für solche Sandboxes. Erst wenn auf "so einem Kleingerät" z.B. ein Linux läuft - also ein komplettes general purpose Betriebssystem (mit eben der Möglichkeit Software zu installieren), dann brauchst du ggf. auch diverse Sandboxes.Bei einer ausgewachsenen Maschine kann ich nicht vertrauenswürdige Prozesse so weit es geht einsperren (BSD-Jails oder SELinux oder AppArmor oder ...), aber bei diesen Kleingeräten ist so etwas leider anscheinend nicht so leicht möglich.
Da die Firmware eines Lancom - wie Alfred schon schreib - keine Schnittstelle hat um Software zu installieren, erübrigt sich diese Diskussion hier...
Ach ja: auch in diesen Sandboxes können Fehler sein, die ein Ausbrechen der vermeindlich sicher eingesperrten Software ermöglichen...
Gruß
Backslash