CCC en OpenWRT hekelen routerrichtlijnen Duitse overheid
De veiligheidsrichtlijnen die de Duitse overheid vorige week voor routerfabrikanten publiceerde zijn een farce en schieten ernstig te kort, zo stellen de Duitse hackersvereniging CCC en de ontwikkelaars van OpenWrt, populaire opensourcefirmware voor routers.
Afgelopen vrijdag kwam het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, met technische beveiligingsrichtlijnen voor routers. Doordat routers zo'n belangrijke rol in de netwerken van mensen spelen is het belangrijk dat de apparaten veilig zijn, aldus het BSI. Door het publiceren van de richtlijnen wil de Duitse overheidsinstantie fabrikanten zover zien te krijgen dat ze veilige producten gaan aanbieden.
Zo moeten routers updates kunnen ontvangen, moeten fabrikanten melden hoelang ze de router blijven ondersteunen en moeten ze ernstige kwetsbaarheden patchen. Ook moet de router over een firewall beschikken, geen onnodige diensten draaien en moet elke router een eigen uniek "preset" wachtwoord krijgen. Tevens mag de router geen verborgen accounts bevatten.
De richtlijnen zijn echter onvoldoende, aldus de CCC en OpenWrt. Zo hebben gebruikers nog steeds geen zinvolle manier om veilige en duurzame apparaten van risicovolle routers te onderscheiden of de mogelijkheid om de veiligheid in hun eigen handen te nemen. Bij het opstellen van de regels heeft het BSI met allerlei partijen overlegd. Tijdens verschillende inspraakmomenten hebben de CCC en OpenWrt voor toevoegingen gepleit, maar die zijn niet in de richtlijnen opgenomen.
De beide organisaties willen dat er alleen routers mogen worden verkocht waarop duidelijk staat vermeld hoe lang de fabrikant het apparaat met beveiligingsupdates blijft ondersteunen. Om na de ondersteuningsperiode van de fabrikant toch veilig gebruik te kunnen blijven maken van het apparaat moeten gebruikers de optie hebben om een alternatief besturingssysteem op de router te installeren, zoals OpenWrt.
Door deze twee principes toe te voegen zou elke gebruiker kunnen zien hoe lang de router op een veilige manier is te gebruiken en de optie hebben om veilige, gratis firmware te installeren als de fabrikant geen updates meer uitbrengt, aldus OpenWrt en de CCC. "Het feit dat de richtlijn niet voorschrijft om veilige firmware zoals OpenWrt te kunnen installeren doet ons twijfelen over hoe serieus de Duitse overheid it-security neemt", aldus Hauke Mehrtens van het OpenWrt-project.
Volgens Mirko Vogt van de CCC beschikken alle lampen en wasmachines tegenwoordig over kleurenschema's waardoor mensen eenvoudig kunnen zien hoeveel stroom ze verbruiken. Bij routers, die voor grote aanvallen op internet kunnen worden gebruikt, ontbreken dergelijke onderscheidingscriteria, waardoor onveilige routers op grote schaal binnen thuis- en bedrijfsnetwerken zullen blijven worden uitgerold.
Van tevoren is niet gemakkelijk te bepalen hoe succesvol een bepaald routermodel zal worden en voor hoe lang.
Wel is er meestal een minimale firmware ondersteuningsgarantie.
Daarbij heeft een open firmware doorgaans zelf een lijst van routers op het web die er op willen draaien.
Iemand die hier in is geïnteresseerd kan ook van te voren opzoeken of een router die men op het oog heeft open firmware kan draaien.
Ten slotte kan het ook wel eens omslachtig en risicovol zijn voor een klant om open firmware op sommige routermodellen
te krijgen. Staat het op de doos dat er open firmware wordt ondersteund, dan moet de verkoper daar vermoedelijk ook ondersteuning op geven (of anders krijgt men een ontevreden klant die misschien nooit weer komt).
Dat stuwt vervolgens de routerprijzen op, en dit is ongewenst.
Commercieel belang... Die fabrikant heeft er helemaal geen belang bij dat het apparaat lang in leven gehouden wordt. Die fabrikant heeft er veel meer belang bij om na 3 jaar een nieuwe te verkopen..."
In het hele artikel wordt nergens een fabrikant van router producten genoemd?
Err zijn gelukkig een boel user-fora die dat bekend maken, maar het blijft allemaal bij reverse engineering, terwijl het gewoon in de basis bekend zou moeten zijn. Dan heb je als eindgebruiker tenminste keuze, inplaats daarvan wordt je nu een type router door je strot geramd waar je misschien totaal niets aan hebt.
Nee, "Wij van OpenWrt adviseren dat er een (opensource) alternatief mogelijk moet zijn."
Maar waarschijnlijk wel onder voorwaarde dat de modemrouter van de provider zodanig kan worden worden ingesteld,
dat het ingebouwde routergedeelte wordt overgeslagen (= bridge mode) zodat je een eigen router kan gebruiken
waarbij het routergedeelte van het apparaat van de provider dus wordt overgeslagen.
In het Europese besluit over keuzevrijheid van eindapparaten lees ik in elk geval het volgende:
maar er bestaat geen wettelijke verplichting om ze toe te passen. Krachtens artikel 17, lid 2, van de kaderrichtlijn
„moedigen de lidstaten het gebruik aan van de (…) bedoelde normen en/of specificaties voor het aanbieden van diensten, technische interfaces en/of netwerkfuncties, voorzover dat strikt nodig is om interoperabiliteit van diensten te waarborgen
en de keuzevrijheid van de gebruikers te verbeteren”.
In deze context dient de lijst van aanbevolen normen en/of specificaties te worden beschouwd als een lijst van normen
en/of specificaties die in aanmerking komen om verplicht te worden gesteld zodra de autoriteiten een verstoring van
de markt signaleren die verband houdt met het onvoldoende in acht nemen van aanbevolen normen en/of specificaties.
Dus volgens deze Europese richtlijn uit 2008 dienen providers weliswaar de keuzevrijheid van netwerk-apparatuur te verbeteren, maar niet ten koste van interoperabiliteit of diensten.
De Nederlandse overheid zit overigens voor wat dit onderwerp betreft nog in een consultatie-periode,
en zal vermoedelijk in de eerste maanden van 2019 met een meer gedetailleerd eindbesluit komen over deze kwestie.
En waarom ook niet? OpenWRT heeft geen commerciëel belang bij het advies, omdat het systeem van OpenWRT gratis is. En bovendien: we moeten eens ophouden met goede apparaten af te danken omdat alleen de software geen update meer ontvangt. Ik vind het juist goed dat ze onderstrepen dat er, na een actieve ondersteuning vanuit de fabrikant van een apparaat, een alternatief voorhanden is als de software niet meer onderhouden wordt.
Weet je wat de grap vaak ook is? Als je die oude firmware van je router af kwakt, er firmware van OpenWRT, DD-WRT of Tomato op zet, de router niet alleen veiliger is dan het ooit geweest is, maar dat de router ook stukken beter werkt.
Ik heb zelf recentelijk mijn TP-Link router voorzien van DD-WRT. Als ik boven was, aan de andere kant van het huis, dan werd het signaal zwak en onregelmatig. Sinds ik DD-WRT op mijn routertje geknald heb is de verbinding ook stukken verbeterd en heb ik in de verste slaapkamer boven gewoon draadloos internet. Om nog maar te zwijgen over de veel betere instellingsmogelijkheden die dergelijke firmware heeft én... de toegenomen veiligheid. De firmware van mijn TP-Link ging tot mei 2015 (had het apparaat 12 maanden eerder gekocht!). Nu zit er de meest recente firmware op die ik maar kan krijgen, heeft een betere werking én is er qua veiligheid stukken op vooruit gegaan.
Het zou een stuk eenvoudiger geweest zijn, als consumenten routers standaard van een micro-SD slot zouden zijn voorzien. Daarmee zou men het eMMC of ROM image een stuk eenvoudiger kunnen flashen.
Chip met image erin, en klaar is kees.
Natuurlijk zou OpenWRT méér gebruikers willen. Lijkt me een gezond streven. Ze steken er niet voor niks zoveel tijd in.
Als je rondsnuffelt op de website OpenWRT dan zie je dat het niet meer is dan een verzameling ontwikkelaars. Het is geen formeel geregistreerde organisatie. De groep heeft zich wel aangesloten bij de non-profitorganisatie SPI (Software in the Public Interest), onder meer om donaties af te handelen. Je kan ook lezen dat hun budget onvoldoende is om alle hardware die ze ondersteunen aan te schaffen, en ze zijn dus ook afhankelijk van donaties van hardware.
Dit is overduidelijk geen commerciële organisatie, handel en winstoogmerk zijn niet waar dit uit voortkomt. Ik weet dat er mensen zijn die niet kunnen bevatten dat mensen dingen doen uit andere motieven dan commercieel eigenbelang, en wie weet ben jij daar een van. Als dat zo is is dit misschien een mooi moment om tot je door te laten dringen dat de mensheid als geheel meer aan boord heeft qua motivatie dan jij persoonlijk kent, en dat dingen daardoor op andere manieren tot stand kunnen komen dan wat jou in beweging zou brengen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
