Fragen zum neuestem Update / Sicherheit

  • Fragen zum neuestem Update / Sicherheit

    Hi,

    nach dem neuesten Update kann ich die Bouquetsliste per Console nicht mehr laden.

    Quellcode

    1. root@dm7080:~# wget -q -O - "http://127.0.0.1/web/servicelistreload?mode=2"
    2. wget: server returned error: HTTP/1.1 412 Precondition Failed
    Abhilfe schafft,

    Token-basierte Sicherheit -> an: auf aus
    Einfache Anti-Hijack Maßnahme -> an: auf aus

    Wie macht es denn dreamboxEdit oder der bouqueteditor im webif? Ich schalte die Optionen ungern ab, möchte jedoch trotzdem zu mein Ziel kommen :)
    Ich bin Guybrush Threepwood, ein mächtiger Pirat!
  • Korrektur: So einfach geht das nicht wenn token-basierte security an ist.
    Der Sinn dieser Funktion ist ja gerade, dass man mit einem request alleine nicht mehr ans Ziel kommen kann sondern vorab erst einmal eine session-id holen und diese für den weiteren Verlauf immer mitschicken muss (bis einem die box ggf mitteilt dass man ne neue brauch).

    Eine Möglichkeit wäre die token abzuschalten und dann einen POST Request abzusetzen

    Nachtrag:
    Ihr müsst euch halt immer im klaren sein was ihr da tut. Im Prinzip ist ein von außen erreichbares WebIf mit aktivem https und Authentifizierung gegen unerwünschten Zugriff durch 3. ausreichend geschützt.
    Vorausgesetzt euer Passwort ist nicht trivial.
    Die Änderungen die wir jetzt da gemacht haben sind leider nötig weil viele User sehr unbedacht einfach eine offenen Dreambox ins Internet hängen (hoffensichtlich denken einige "die findet eh keiner").
    Durch die Anpassungen müssen sie aktiv mehrere Optionen Ändern damit dieses vorgehen "unmittelbar fatal" ist.
    Anti-Hijack forciert lediglich POST-Requests was gegen simple fake-image basierte CSRF-Attacken hilft.

    Das in Kombination ist eigentlich für den "Normalen Hausgebrauch" schon ziemlich ausreichend.
    mfg ,
    Reichi
  • Das muss der Entwickler der App einbauen. Als Alternative bleibt dir nur die beiden Security-Maßnahmen wieder auszuschalten.
    Solange die Box nur aus vertrauenswürdigen Netzwerken erreichbar ist, kann man das schon so machen. Dann kann man auch auf HTTPS und Authentifizierung verzichten (Auth mit HTTP bietet wiederrum auch absolut 0 Sicherheit). Den Port der Box ins Internet freizugeben ist NICHT vertrauenswürdig!!
    Wie der Author des Exploits/Sicherheitsberichts empfiehlt sollte zumindest VPN genutzt werden: seclists.org/fulldisclosure/2017/Jan/18

    Aber nochmal: Das sind zwei Einstellungen, die seit Jahren für das Original-Webinterface verfügbar sind. Sie wurden offenbar nur von allen Entwicklern (außer @dhwz für DreamboxEdit :thumbsup: ) von Apps und Tools rund um e2 ignoriert, weil das vermutlich einfacher war :cursing:
    Soweit ich weiß bietet das im OpenWebIF solche Funktionen nicht einmal an.
    DMM hat in Reaktion auf die Veröffentlichung eines Exploits für das WebAdmin-Plugin nun die Standard-Einstellungen geändert. Das finde ich sehr gut, weil es ja offensichtlich das Bewusstsein schärft, dass hier ein Problem existiert. Die Einstellungen jetzt wieder auszuschalten mag individuell eine Lösung sein, aber sicher nicht für die Allgemeinheit.

    Und die Warnung des Authors, dass enigma2-Boxen Teil des nächsten Botnetzes sein können, halte ich für untertrieben. Viele sind es nämlich sicher schon heute :thumbdown: Zumindest findet man über die einschlägigen Suchmaschinen jede Menge ungeschützte e2-Boxen im Netz.
    so long
    m0rphU

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von m0rphU () aus folgendem Grund: besser?

  • Wir haben auch den WebAdmin nochmal überprüft, aufgeräumt und etwas verbessert (es gibt nun eine recht coole rein Browser-basierte shell auf Basis von shellinabox).

    Zum Anderen sind ja die Default-Einstellungen im WebIf nun so, dass man aus dem LAN ohne Benutzer/Passwort zugreifen kann, von außen jedoch eine Anmeldung benötigt.
    Die weiteren Sicherheitsoptionen schützen gegen CSRF Attacken
    1. Es ist IMMER die Same-Origin-Policy aktiviert
    2. Anti-Hijack schützt zusätzlich gegen <img>-tag basierte CSRF Attacken.
    3. Token-Basierte Sicherheit sorgt dafür dass man nen richtigen Client schreiben muss damit's überhaupt geht und in Verbindung mit 1 und 2 sorgt es dafür dass man sich für echte Attacken schon ordentlich anstrengen muss
    Bei aktivierter HTTP-Authentifizierung mit nem ordentlichen Passwort hat man nach unserem aktuellen Kenntnissstand so gut wie keine Chance überhaupt so weit zu kommen es zu versuchen :)
    Damit keiner eine Box mit leerem Passwort im Netz hängt ist das ab sofort im WebInterface nicht mehr erlaubt

    Gegen grobe Mißkonfiguration ist im Prinzip kein Kraut gewachsen aber man kann zumindest sinnvolle Standards vorgeben und den User so zwingen aktiv "nachlässig" zu sein.
    mfg ,
    Reichi
  • m0rphU schrieb:


    Wie der Author des Exploits/Sicherheitsberichts empfiehlt sollte zumindest VPN genutzt werden: seclists.org/fulldisclosure/2017/Jan/18
    Mal noch ein Wort zu diesem Bericht. Wahrscheinlich war es der erste „Exploit“ des Autors und es war sicher aufregend für ihn, ihn zu entdecken. Nun sucht er nach etwas Anerkennung. Dabei hat er einiges übersehen.

    1.) Normalerweise kontaktiert man heutzutage den Hersteller, bevor man an fulldisclosure schreibt. Ja, wir sind nicht die Autoren des Plugins, aber die Dreambox wird in dem Bericht mehrmals erwähnt, d.h. wir haben die Konsequenzen zu tragen.

    2.) Er vergisst zu erwähnen, dass das webadmin-Plugin manuell installiert werden muss.

    3.) Er hat einen Programmierfehler im webadmin entdeckt, der es erlaubte, Shell-Befehle auszuführen, sofern kein Passwort verlangt wurde. Das absurde daran ist, dass das webadmin-Plugin dazu da ist, Shell-Scripts hochzuladen und auszuführen, .deb-Pakete hochzuladen und zu installieren und die Pakete zu verwalten. Objektiv betrachtet ist das Konzept des webadmin-Plugins schon eine Sicherheitslücke an sich.

    Nun haben wir etwas Aufwand betrieben, damit man uns nicht nachsagen kann, nichts getan zu haben. Ich denke auch, dass es sinnvolle Änderungen waren, und unter anderem dürfte der Programmierfehler beseitigt worden sein, der zu dem Bericht führte. Leider schränkt es einige Funktionen in den neuen Standard-Einstellungen ein, aber auf lange Sicht dürfte das von Vorteil sein. Es werden vermutlich noch einige Änderungen folgen, aber keine tiefgreifenden.

    P.S.: Es stellt sich im Übrigen generell die Frage, wieviele der im Internet öffentlich zugänglichen Dreamboxen keine Honeypots sind. Es dürfte den meisten Besitzern doch ziemlich schnell übel aufstoßen, wenn Fremde oder Suchmaschinen-Bots sich durch das Menü hangeln und Sender wechseln, Timer ändern oder die Box ausschalten.
  • Mein UserScripts Plugin WebIf war schon ewig ein Problem wenn man den webif Port weitergeleitet hat, weil wie wobi richtig sagt es ist dafür da sachen scripts auf der box auszuführen, da kann man zwar herumproggen um nicht jedes script sondern nur die installierten zu erlauben, aber 100%ig kann das nie sein.

    Insofern macht Euch keinen Stress. Wobei die meisten hacks um einen box zu machen derzeit nur auf /mp scripte ablegen die dann Dinge nachladen bis /tmp oder der Flash voll ist, was aber schon unangenehm genug sein kann.
    Einmal Rupert und Zurück