Frage:
Kauf eines "gebrauchten" Routers
GWR
2019-02-19 23:23:47 UTC
view on stackexchange narkive permalink

Ich kaufe einen "neuen" Router bei einem Open-Box-Verkauf bei einem Unternehmen, das E-Commerce-Retouren liquidiert. Planen Sie, es für ein Heimnetzwerk in der Hütte zu verwenden.

Ich bin etwas nervös, dass es von demjenigen geändert werden könnte, der es zuletzt hatte.

  1. Was sind die wichtigsten Risiken in diesem Szenario?
  2. Welche spezifischen Schritte sollten vor und während der Einrichtung eines neuen Routers ausgeführt werden, auf den in der Vergangenheit möglicherweise jemand anderes Zugriff hatte?
    3. ol>

    Update : Das Gerätemodell ist ein TP-Link AC4500 (Archer) -Router.

@R .. Beim Kauf gebrauchter Waren geht es nicht unbedingt nur darum, Geld zu sparen
Die Antworten sprechen hauptsächlich von Firmware.Möglicherweise gibt es eine benutzerdefinierte Firmware, die schädlich sein kann, die jedoch durch Zurücksetzen auf die Werkseinstellungen oder Installieren der neuesten Firmware des Herstellers behoben werden kann.Aber wie kann man sicher sein, dass es keine Hardwareänderungen gibt?Ich denke nicht, dass es viel braucht, um den Verkehr zu lesen oder zu ändern.Wenn Sie neue Firmware herunterladen und installieren möchten, müssen Sie diese zuerst anschließen. Sind Sie dann nicht bereits gefährdet?Ich würde niemals etwas anderes als unberührte Router kaufen.
@Kapten-N natürlich zwingt Sie niemand, solche Firmware mit diesem speziellen Schalter herunterzuladen.Man kann es bei der Arbeit (wenn die Unternehmensrichtlinien dies zulassen), im Internetcafé, im kostenlosen WLAN, im Mobiltelefon usw. tun.Der Rest Ihres Kommentars sieht aus wie eine separate Frage.
@Mołot Sie müssen noch mit dem Gerät verbunden sein und es während der Installation mit Strom versorgen.Wer weiß, dass das Gerät dann tut?Ein kompromittiertes Gerät kann andere Geräte infizieren, mit denen es verbunden ist.
Überprüfen Sie einfach die Ausrichtung und kaufen Sie alle neuen Bits dafür.
Manchmal kann man neuen Routern nicht einmal vertrauen: [Fotos eines NSA-Upgrades zeigen, wie ein Cisco-Router implantiert wird] (https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-Upgrade-Factory-Show-Cisco-Router-Get-Implantat /).
@user2390246 Welchen anderen * möglichen * Grund könnten Sie bei einem Router haben?Ich meine, vielleicht, wenn Sie ein bestimmtes Modell wollten, das nicht mehr hergestellt wird, aber das scheint ein sehr extremer und ungewöhnlicher Anwendungsfall zu sein, und Sie könnten es wahrscheinlich irgendwo neu finden.
@only_pro Abfallreduzierung
@user2390246 Lol.Wenn du es sagst...
Wenn Sie besorgt sind, dann tun Sie es nicht.Sie könnten riskieren, dass jemand Zugriff auf Ihr Cottage-IT-Netzwerk hat.
Wenn ich Ihnen einen gebrauchten Router mit einer zusätzlichen RPI-Null verkaufe, funktioniert ein Zurücksetzen auf die Werkseinstellungen immer noch?;-P
Neun antworten:
ThoriumBR
2019-02-19 23:57:47 UTC
view on stackexchange narkive permalink

Kurze Antwort: Führen Sie einen Werksreset durch, aktualisieren Sie die Firmware, und schon kann es losgehen.

Das Risiko ist sehr gering und grenzt an Null. Der Vorbesitzer hat möglicherweise eine benutzerdefinierte Firmware installiert oder deren Konfiguration geändert, aber ein Firmware-Upgrade und ein Zurücksetzen auf die Werkseinstellungen reichen aus, um fast jede Änderung zu berücksichtigen.

Das Risiko, dass der Vorbesitzer den Router und seine manipuliert Änderungen können sogar ein Firmware-Upgrade überstehen, und das Zurücksetzen auf die Werkseinstellungen ist vernachlässigbar.

Machen Sie sich also keine Sorgen, es sei denn, Sie sind eine Person von besonderem Interesse : Arbeiten an streng geheimen Dingen oder privilegierte Finanzinformationen über ein großes Unternehmen haben. Aber wenn Sie einen gebrauchten Router kaufen, sind Sie bestimmt ein gewöhnlicher Typ und würden kein Ziel für diese Angriffe sein.

Wären nicht die meisten Leute auf Stackoverflow / Serverfault Personen von Interesse?Sie stellen Software her, die an vielen Orten bereitgestellt wird, oder verwalten Systeme für Unternehmen.Trotzdem stimme ich Ihrer Antwort darin zu, dass "das Risiko sehr gering ist und an Null grenzt", aber die Kategorie "Person von besonderem Interesse" breiter ist, als die Menschen oft erkennen.Es ist bekannt, dass Geheimdienste insbesondere auf Systemadministratoren abzielen.Als Sicherheitsberater, der Schwachstellen kennt, bevor sie behoben werden, kann ich mir vorstellen, welches Interesse ich auf mich ziehen könnte, und Junge, fühle ich mich im Vergleich zu den interessanten Personen auf dieser Website normal.
Die Evil Organization müsste vorhersagen, wann ich einen Router kaufen werde, vorhersagen, welche Marke / welches Modell ich kaufen werde, wo ich kaufen werde, dorthin gehen, vorher alle Router auf dem Platz kaufen, jedem eine Hintertür aufsetzen, zurückkehrenund warten Sie, bis ich den kompromittierten Router kaufe.Ich halte das nicht für plausibel ...
Möglich, ja, aber so unwahrscheinlich, dass entlassen werden kann.Es ist um Größenordnungen einfacher, einen Zero-Day auf dem Router auszunutzen, den ich derzeit habe ...
@ [.] (//) ThoriumBR Du hast recht.Ich habe nicht darüber nachgedacht, wie viel Arbeit es sein würde: Selbst wenn wir allgemein interessante Ziele sind, skaliert dies nicht.
Vertrau mir, du bist nicht so interessant.
Berücksichtigen Sie auch das Rauschen.Wenn die Evil Org nicht kontrollieren kann, wer diese gehackten Router bekommt, werden sie eine Menge Lärm verursachen.Am besten entführen Sie Sie einfach und schlagen Sie mit einem 5-Dollar-Schraubenschlüssel, bis Sie die Bohnen verschüttet haben, wenn es sie überhaupt interessiert.
@Nelson meinst du https://xkcd.com/538/?
Du bist nicht so interessant.Der Evil Organization ist es auch egal, sie möchte nur Zugang zu zufälligen Menschen in Massen haben, neue Router kaufen und sie an ein Unternehmen weiterverkaufen, das E-Commerce-Renditen liquidiert. Dann ist dies plausibel
@Mehdi müssen sie keine Router kaufen und später weiterverkaufen.In einigen Ländern kann die Evil Organization den Hersteller dazu zwingen, Hintertüren an seinen Produkten anzubringen und niemandem davon zu erzählen.
* "Die Evil Organization müsste vorhersagen, wann ich einen Router kaufen werde, vorhersagen, welche Marke / welches Modell ich kaufen werde, wo ich kaufen werde ..." * Kaufen jetzt nicht viele Leute Sachen online?Das Abfangen eines Pakets sollte für eine böse Organisation ein Kinderspiel sein, daher spielt es keine Rolle, was Sie kaufen oder von wo.Und sie könnten wahrscheinlich etwas Schändliches tun, um Ihren vorhandenen Router so aussehen zu lassen, als wäre er kaputt
Solange Sie den Kauf einleiten (das heißt, Sie werden nicht angefragt; der Verkäufer übt keine * Selektivität * in der Tatsache aus, dass Sie der Kunde sind), ist dies wahrscheinlich nicht riskanter als der Kauf eines Produkts von der Stange.Es ist nicht so, dass der Rohstoff-IT-Markt zunächst ein Paradebeispiel für Sicherheit ist.
@Xen2050 Wenn sie meinen Router kaputt erscheinen lassen können, bedeutet dies, dass sie ihn bereits kompromittiert haben ... Es ist, als ob Sie das Root-Passwort benötigen, um einen Keylogger zu installieren, der zum Stehlen des Root-Passworts verwendet wird ...
@Xen2050 Sie werden zweifellos nicht überrascht sein zu erfahren, dass dies bereits geschieht: https://www.theguardian.com/books/2014/may/12/glenn-greenwald-nsa-tampers-us-internet-routers-snowden
Ich habe eher daran gedacht, Ihren Internetzugang vor Ihnen zu sabotieren oder zu blockieren oder einen subtilen Angriff durchzuführen. Ein vernünftiger Schritt zur Fehlerbehebung wäre daher, einen anderen Router zu versuchen, der Ihren alten Router jedoch nicht gefährdet hat.
@James_pic Interessant, und das stand auch in einem Bericht von 2010.Das ist fast genau das, worum es dem OP geht, außer dass es anstelle von "gebrauchtem Router" fast "jeder Router aus einem anderen Land" ist.
@hft Ich mag selbst nicht so interessant sein, aber ich arbeite für Leute, die so interessant sind.
Viele Leute sprechen von einer "bösen Organisation".Aber die Sache ist, was ist, wenn jemand nur einen Router als Bot (DDOS) verwenden oder Ihre Identität verwenden möchte.
@DT In diesem Fall gibt es unzählige einfachere und billigere Möglichkeiten, ein System als Zombie zu verwenden oder eine Identität zu stehlen.Phishing ist der einfachste Weg - mit geringem Aufwand unzählige Opfer anzusprechen.Einen Router zerlegen, seine Hardware ändern, als Openbox zurückkehren?Wie würde es skalieren?
schroeder
2019-02-19 23:30:09 UTC
view on stackexchange narkive permalink

Das Hauptrisiko besteht darin, dass die Firmware durch eine schädliche Version ersetzt wurde, die es ermöglichen könnte, den gesamten Datenverkehr in Ihrem Netzwerk abzufangen. Kennwörter, Injizieren von Malware, Weiterleiten an schädliche Websites usw. Dies ist ein Worst-Case-Szenario, das jedoch für jemanden einfach zu bewerkstelligen ist.

Sie möchten das Gerät auf die Werkseinstellungen zurücksetzen, um zu versuchen, alle vom Vorbesitzer gelöschten Daten zu löschen Möglicherweise in der werkseitigen Firmware eingerichtet.

Noch wichtiger ist jedoch, dass Sie feststellen möchten, ob die Firmware geändert wurde, indem Sie prüfen, ob das Gehäuse geöffnet oder manipuliert wurde, und ob das Betriebssystem vorhanden ist des Routers hat sich geändert. Aber das könnte nicht genug sein. Es ist einfach, das Betriebssystem und die Website auf einem Router zu simulieren.

Sie können die Firmware durch eine eigene ersetzen. Dadurch sollte jede schädliche Firmware auf dem Gerät gelöscht werden. Es gibt Open-Source-After-Market-Firmware, die Sie verwenden können.

Was ist mit dem Herunterladen einer neuen Firmware von der Support-Site des Routers (anstelle von openWRT)?
Wenn es einen vom Hersteller des Routers gibt, sollte es der bevorzugte sein!
Sicher, falls verfügbar.
Angesichts der Häufigkeit von Angriffen durch authentifizierte Befehlsinjektion / Codeausführung (z. B. durch Firmware-Aktualisierung oder nur schlechte Codierung) in Routern bin ich mir nicht sicher, ob die Überprüfung auf Hardware-Manipulationen ausreicht.Und wenn ein Angreifer die Firmware manipuliert hat, sollte er in der Lage sein, Firmware-Updates zu fälschen oder eine Hintertür in eine neu installierte Firmware zu platzieren.Für ein Update über die Webschnittstelle des Routers sollte dies trivial sein, für ein Update über die serielle Schnittstelle oder das Zurücksetzen der Firmware wahrscheinlich etwas schwieriger (obwohl ich nicht sicher bin, wie viel mehr; wenn Sie weitere Informationen dazu hinzufügen könnten, daswäre großartig).
"... Sie möchten sehen, ob die Firmware geändert wurde, indem Sie prüfen, ob der Fall geöffnet oder manipuliert wurde ..." Ich bin gespannt, welche physischen Anzeichen ich in dem Fall sehen würde, um das zu wissenDie Firmware (Software) wurde in irgendeiner Weise geändert.Ich habe die Firmware auf einigen Routern aktualisiert und sogar DD-WRT installiert. Ich habe den Router-Fall nie geöffnet und nach meinem besten Wissen keine physischen Beweise hinterlassen.Was habe ich verpasst?
@FreeMan, wenn Sie die Software-Update-Funktion verwenden, die, wenn sie kompromittiert wird, nicht die sicherste Route ist.Wenn direkt auf die Hardware zugegriffen wurde, sollten Anzeichen vorhanden sein.
Wie können Passwörter verfügbar gemacht werden, wenn sie auf dem Client SSL-verschlüsselt sind?
@Jean Wenn der Router als Mitm arbeitet, kann er SSL beschädigen.
-1
bta
2019-02-20 01:55:45 UTC
view on stackexchange narkive permalink

Ihr Hauptrisiko beim Kauf eines "Open Box" -Routers besteht bei weitem darin, dass der Router geringfügige Schäden aufweist, die der Hersteller nicht erkannt hat, die jedoch letztendlich die Lebensdauer des Geräts verkürzen. Dies ist einer der Gründe, warum sie häufig reduzierte Garantien haben.

In Bezug auf die Sicherheit ist das Risiko vernachlässigbar, wenn Sie die Werkseinstellungen auf die Werkseinstellungen zurücksetzen und erneut flashen. Das sollte alles in den programmierbaren Speicher neu schreiben und alles bösartige löschen, was ein vorheriger Benutzer möglicherweise geladen hat. Dies ist sogar für neue Router eine bewährte Methode. Ich habe mehrmals neue Router gekauft, nur um zu erfahren, dass sie noch für ein Testnetzwerk im Werk programmiert waren.

Persistente Malware ist eine echte Sache, aber es ist kein Grund zur Sorge . Schließlich könnte auf einem "brandneuen" Router im Werk persistente Malware geladen worden sein, sodass Sie dieses Risiko nicht vollständig mindern können.

Nobody
2019-02-20 16:56:44 UTC
view on stackexchange narkive permalink

Kurz gesagt: Wenn Sie sich wirklich für solche Dinge interessieren, gehen Sie in ein Einzelhandelsgeschäft und kaufen Sie einen neuen Router, der auf Lager ist. Das Risiko ist gering, aber Sie können es nicht einfach mindern.

Ich könnte mir vorstellen, dass ein paar Leute viele Router kaufen, sie zurückgeben und dann die Leute ausspionieren, die sie nur für den Kick gekauft haben. Oder natürlich eine böse Organisation. Dieses Risiko ist sicher gering.

Aber ich möchte die Behauptungen der anderen Antworten über das "Zurücksetzen" des Routers bezweifeln. Sicher, ein erneutes Flashen der Firmware sollte so ziemlich jede schlechte Sache löschen, die darauf sein könnte. Aber wie würden Sie das machen? Sie können das Webinterface nicht verwenden (das wäre das erste, was jemand deaktivieren / fälschen würde) und eine physische Schaltfläche sendet wahrscheinlich auch nur ein Signal an die aktuelle Firmware, dass sie sich selbst zurücksetzen sollte. Die serielle Übertragung wird auch von der aktuellen Firmware übernommen, die ich erwarten würde.

Wenn Sie die Firmware nicht über eine JTAG-Schnittstelle neu flashen, die möglicherweise vorhanden ist oder nicht (oder etwas Ähnliches), bin ich mir ziemlich sicher Das Zurücksetzen ist nicht viel besser, als nur darauf zu vertrauen, dass das Gerät im Grunde in Ordnung ist (natürlich sollten Sie es trotzdem zurücksetzen, um die Einstellungen der Vorbesitzer zu entfernen).

Und ich weiß nicht genug über JTAG Um die Sicherheit zu beurteilen, bin ich mir nur sicher, dass Fälschungen weniger trivial sind als die Weboberfläche / Schaltfläche.

"und eine physische Taste sendet wahrscheinlich auch nur ein Signal an die aktuelle Firmware" - normalerweise gibt es eine Reset-Taste, um in den Bootloader-Modus zu wechseln und dann eine neue fw zu laden.Wenn die GUI nach einer solchen Vorinstallation ein neues System anzeigt, können Sie davon ausgehen, dass es aktualisiert wurde.Sie können dann eine zweite Neuinstallation durchführen.Es wird zu schwierig sein, eine spezielle Firmware vorzubereiten, mit der jede mögliche alternative Firmware zum Zeitpunkt des Flash-Patches gepatcht werden kann und die sowohl ausgeführt als auch bereit ist, das nächste Update zu reparieren / zu knacken.
Sjoerd
2019-02-20 15:49:27 UTC
view on stackexchange narkive permalink

Was sind die Hauptrisiken in diesem Szenario?

Ich weiß, dass dies nicht die Absicht Ihrer Frage ist, aber meiner Meinung nach liegt das Hauptrisiko nicht bei Ihnen, aber an den Vorbesitzer. Möglicherweise sind die Anmeldeinformationen des Vorbesitzers noch auf dem Gerät vorhanden. Auf diese Weise können Sie auf das Konto des Vorbesitzers zugreifen. Weiterverkaufte Geräte werden häufig überhaupt nicht gelöscht, sodass vertrauliche Informationen darauf verbleiben.

Du meinst Website-Logins & Passwörter?Cookies gespeichert?Wie und wo speichern Router diese?
Ich meine Dyndns, SMTP- und ISP-Konten, die zuvor in der Router-Weboberfläche konfiguriert wurden.
IPSEC-VPN-Geheimnisse oder Entwurfswissen über den Standort, an dem das Gerät zuvor bereitgestellt wurde, z. B. IP-Bereiche und Gateways, wo Zeitserver oder Drucker angesprochen werden oder welche VLANs möglicherweise vor Ort konfiguriert werden.
jeronino
2019-02-20 19:53:40 UTC
view on stackexchange narkive permalink

Wenn ein Angreifer die Firmware auf mäßig ausgefeilte Weise geändert hat, besteht die einzige Möglichkeit, diese Firmware vollständig zu löschen, darin, sie über jtag oder direktes Flash-Schreiben zu aktualisieren. Wenn Sie sich auf ein softwarebasiertes Firmware-Update verlassen, wird dies von der kompromittierten Firmware gesteuert. Es gibt Online-Tutorials dazu, wenn dies unter Ihr Bedrohungsmodell fällt. Anstatt zu aktualisieren, können Sie die Firmware einfach mit jtag / spi oder was auch immer extrahieren und mit der Firmware-Version vergleichen, die als installiert angezeigt wird.

Natürlich könnte es bei Hardwaremodifikationen noch heimtückischer sein Änderungen an Ort und Stelle, die das überleben würden, aber bis dahin gelangen Sie in den Bereich der TLAs.

Criggie
2019-02-22 09:39:39 UTC
view on stackexchange narkive permalink

Beachten Sie, dass einige Unternehmensgeräte so konfiguriert sind, dass die Kennwortwiederherstellung deaktiviert wird. Dies ist nicht ungewöhnlich für von Telekommunikation bereitgestellte CPE wie Cisco-Router. Möglicherweise kaufen Sie einen Briefbeschwerer oder einen Teilespender.

Halten Sie Ausschau nach Aufklebern, die darauf hindeuten, dass es sich um ein Kundengerät handelt, das von big-local-telco bereitgestellt wird, und vermeiden Sie möglicherweise diese Auflistungen.

Yury Schkatula
2019-02-24 02:50:43 UTC
view on stackexchange narkive permalink

Wie ich verstehen kann, ist das Modell, das wir diskutieren, nicht teuer. Dann müssen Sie sich besser um vorhandene Schwachstellen in der werkseitigen Standardfirmware kümmern (fest codierte Kennwörter, offenes Telnet am benutzerdefinierten Port usw.). Wenn möglich, aktualisieren Sie die Firmware einfach auf DD-WRT oder eine andere Open-Source-Lösung.

Einverstanden.Da die meisten Router keine Updates bekommen, wenn ihre CVEs oder ihre Back-Hintertüren entdeckt werden, ist jeder ältere Router vermutlich unsicher, selbst wenn er in einer abgedichteten Kiste gehalten wurde.
David Refoua
2019-02-24 11:08:32 UTC
view on stackexchange narkive permalink

Nicht, dass dies eine häufige Sache ist, aber ich werde nur noch eine Antwort hinzufügen, die mich überrascht, dass niemand anders richtig erwähnt wird.

Sie müssen den Router öffnen, bevor Sie ihn verwenden können.

Wenn Sie so etwas sehen ...

... dann könnte jemand Ihre Ethernet-Pakete leicht mit einem der folgenden Elemente abhören:

Welches ist keine gute Sache. Dies bedeutet, dass der gesamte nicht gesicherte Datenverkehr für Dritte sichtbar ist. Sie könnten genauso gut auch WiFi-Pakete schnüffeln.

Wenn Sie seltsame Kabel im Router-Paket verbergen, empfehle ich, diese nicht zu verwenden. Sie sind besser dran, es sofort zu werfen.

Ich sage nicht, dass dies häufig vorkommt, aber mit einer einfachen Überprüfung wie dieser können Sie vermeiden, ausspioniert zu werden. Sie wissen nie, woher der Router stammt.

Es wäre ziemlich einfach, einen Router ohne Hardware-Implantat zu kompromittieren.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...