Menü
Avatar von van Grunz
  • van Grunz

mehr als 1000 Beiträge seit 27.12.2007

TR-069? Auf keinen Fall!

Schacko schrieb am 16.11.2018 14:56:

Hackito ergo Sum schrieb am 16.11.2018 09:50:

Im Bauch dieses wunderschönen geschenkten Gauls verbirgt sich verpflichtendes TR-069.

Schöne neue Welt, in der mir die Schlapphüte und Filtertüten vorschreiben dass sie einen Nachschlüssel zu meinem Router erhalten.

Generell wäre ich sogar dafür, TR-069 beim Router eingeschaltet zu haben, sofern die Sicherheit damit gegeben ist (es also keine Angriffsmöglichkeiten gibt - zumindest nicht so, dass nicht ein erheblicher Aufwand nötig ist).

Wer (unnötig) Dienste anbietet, der vergrößert damit die Angriffsfläche. Da das TR-069-Protokoll de facto eine Fernwartung darstellt, die für den ISP gedacht ist, gehört sie zwingend abgeschaltet, weil nicht sichergestellt werden kann, daß nicht Dritte dieses Protokoll für ihre Zwecke mißbrauchen.

Jeder Dienst, der bereitgestellt wird, muß auf den Prüfstand und bei einer negativen Risiko-Nutzen-Abwägung deaktiviert werden.

Wenn ein Endkunde dann der Meinung ist, doch so etwas zu brauchen, dann soll er es von sich aus aktivieren. Dann, aber, ist er selbst für die Sicherheit seines Gerätes verantwortlich.

So sollten übrigens auch Betrübssysteme vorkonfiguriert werden. Gerade Microsoft hat im Laufe der Jahrzehnte durch die ständige Erweiterung von Diensten und Schnittstellen nicht wirklich etwas dazugelernt, außer, das Ganze etwas besser gegen Mißbrauch zu schützen. Ein wirkliches Konzept ist das aber nicht.

Das würde aber auch bedeuten, dass ich diesen Service komplett deaktivieren oder besser noch löschen kann. Pluspunkt wäre, wenn ich gewisse Teile aktiv lassen kann oder anschalten kann, falls es Probleme gibt (d.h. Diagnosedaten z.b.).

Löschen wird wohl kaum möglich sein, da die Dienste in der Regel ins Flash-ROM gegossen sind. Eine Abschaltung sollte nicht nötig sein, wenn man solche Dienste explizit als Opt-In ausführt, sprich: alles deaktiviert, bis man es explizit aktiviert.

Denke hier muss man klar zwischen Nutzen und Vorsicht unterscheiden. Ich kenne kaum einen, der auch nur ANSATZWEISE Plan von dem Ding hat, was da bei ihm rumsteht. Die wissen höchstens, dass das Teil WLAN bringt und wie man sich da einloggt. Update? Adminoberfläche? "Da kenn ich mich doch eh nicht mit aus.".

Und genau von diesen Personen geht die Gefahr aus, Teil eines Botnetzes zu werden. Aber genau DAS müsste sicher verhindert werden.

Von diesen Leuten geht keine Gefahr aus. Solange Hersteller damit werben, wie "einfach" ihre Produkte seien und man sie einfach nur "hinstellen und vergessen" könne, solange geht von den Herstellern eine Gefahr aus. Einen Unwissenden zu einer Gefahrenquelle zu machen, wenn es etablierte technische Möglichkeiten gibt, auch unerfahrene Anwender an die Hand zu nehmen (wie das etwa AVM oder auch LANCOM mit seinen Assistenten machen, gepaart mit sinnvoller Vorkonfigurierung), kann man nicht den Bock zum Gärtner machen.

Zumindest beim Router finde ich TR-069 damit gar nicht mal verkehrt für die Masse der Bevölkerung. Bei IOT Geräten funktioniert das eh nicht. Hier wäre wirklich eine Art Verfallsdatum und Sicherheit by Design sinnvoller.

Jedes automatische Update, und vor allem Fernwartung, sind exploit-fähig. Ich rate eindringlich davon ab.

IoT wird IMHO völlig über-hypet. Auch hier wird eine "Intelligenz" und eine "Einfachheit" versprochen, mit der man sich quasi High-Tech für lau ins Haus holen kann, ohne sich mit der Technik auseinanderzusetzen. Und hier beginnt der Knackpunkt, an dem auch schon Microsoft scheiterte. Man kann kein komplexes Produkt mit einem Scheuklappenblick verkaufen, der essentielle und vor allem manuelle Updates nicht als Teil des Systems mitvermarktet. Das, aber, macht die Produkte auf dem Werbezettel komplexer, und dann kauft man lieber eins, mit dem man weniger Ärger hat.

Man muß sich in der heutigen Zeit mit Technik auseinandersetzen, und der erste Anlaufpunkt sind vor allem gute Handbücher, gerne auch wieder seitenstark in gedruckter Form, wie das etwa noch in den 1990ern bei Hardware der Fall war. Dort konnte man genau nachlesen, wie etwas funktioniert. Heute sind die meisten Sachen Blackboxen, von denen nicht einmal die Verkäufer genau wissen, wie sie funktionieren.

Bewerten
- +
Anzeige