Dipl.-Inform. Carsten Eilers

Die Anonabox ist eigentlich ein ganz normaler Router - mit dem Unterschied, dass die Daten nicht normal über das Internet, sondern über das Tor-Netzwerk übertragen werden. Lars Boegild Thomsen hat sich im April seine Anonabox genauer angesehen. Das wenig überraschende Ergebnis: Wie in so vielen anderen SOHO-Routern gibt es auch in der Anonabox Schwachstellen (sonst würde sie hier ja auch nicht auftauchen).

Lars Boegild Thomsen könnte als nicht völlig unvoreingenommen gelten, da er am mit der Anonabox konkurrierenden Cloak-Projekt beteiligt ist. Seine Ergebnisse wurden aber später sowohl von unabhängigen Dritten als auch den Anonabox-Entwicklern bestätigt.

Wozu private IP-Adressen, wenn auch öffentliche gehen?

Zunächst mal verwendet der Router keinen der drei für die private Nutzung vorgesehenen IP-Adressbereiche, wie es eigentlich üblich und vorgesehen ist, sondern den einem japanischen Unternehmen gehörenden Bereich. Was noch keine Schwachstelle, aber zumindest unhöflich ist (falls man nicht die Zustimmung des zuständigen Admins hat).

WLAN-Verschlüsselung stört doch nur

Die erste Schwachstelle lässt aber nicht lange auf sich warten: Die WiFi-Verbindung ist unverschlüsselt, so dass sich jeder in Funkreichweite mit dem Router verbinden und alle Daten mitschneiden kann.

Die Anonabox basiert auf OpenWrt, besitzt aber nicht die dafür übliche Weboberfläche zur Konfiguration. Der Benutzer kann also nicht mal selbst die Verschlüsselung aktivieren.

Das Ding ist dicht. Halbwegs.

Darüber hinaus scheint der Router ansonsten recht gut abgesichert zu sein, denn es gibt keinerlei offenen Ports, also weder eine Weboberfläche noch einen SSH- oder Telnet-Zugang. Unter IPv4.

Da der Router aber auf Linux und OpenWrt basiert, ist IPv6 defaultmäßig aktiviert und die Anonabox verwendet die Default IPv6 Firewall und eine funktionsfähige Link Local Adresse. Und dort sind Port 80 und Port 32891 offen.

Immer wieder gerne genommen: Feste Passwörter!

Über Port 80 ist, wie zu erwarten, die Weboberfläche zu erreichen. Während OpenWrt normalerweise ohne gesetztes Passwort ausgeliefert und das vom Benutzer bei der Inbetriebnahme gesetzt wird, verlangt die Anonabox nach einem Passwort. Das vom Benutzer nicht änderbare, hart-kodierte Root-Passwort ist... (Tusch bitte): admin. Aber warum sollte der Benutzer es auch ändern wollen, er weiß ja gar nichts davon!

Mit diesem Passwort ist auch der Zugriff über den SSH-Zugang auf Port 32891 problemlos möglich.

Ist das nun Bug (Schwachstelle) oder Feature (Backdoor)?

Schwachstellen mit Ansage und trotz Warnungen

Das war übrigens nicht das erste feste Root-Passwort, in den vorab veröffentlichten Konfigurationsdateien war auch schon eins enthalten, passenderweise lautete es damals developer!. Und auch das WLAN war damals bereits unverschlüsselt, was beides kritisiert wurde. Die Entwickler waren also gewarnt und wussten sehr genau, was sie da tun.

WLAN-Name wechsle dich

Es gibt wenigstens ein "Sicherheitsfeature": Die SSID wird bei jedem Start neu erzeugt. Was das soll? Vielleicht die Benutzer frustrieren, die sich so jedes Mal mit einem anderen WLAN verbinden müssen, nachdem sie den Router neu gestartet haben? Ein Angreifer hält das jedenfalls nicht davon ab, das ansonsten völlig offene WLAN zu nutzen.

Andererseits: So oft startet man seinen Router ja nun auch nicht neu. Vor allem dann nicht, wenn man nicht mal irgend was dran ändern kann. Warum sollte man die Anonabox überhaupt neu starten? Außer, man nimmt sie irgend wo mit hin, was ja im Allgemeinen bedeutet, dass man sie ausschalten muss.

Moment mal: Die Anonabox ist ja auch dafür gedacht, dass man sie mitnimmt, um auch von Unterwegs problemlos Tor nutzen zu können. Wenn das Ding aber jedes Mal seine SSID wechselt, woher weiß man denn, welche der womöglich mehreren Anonaboxen in Reichweite die eigene ist? Mangels Passwortschutz kann man ja jede nutzen. Das schreit ja geradezu nach einer Rogue Anonabox statt eines Rouge AP!

Geräte ausgetauscht und Besserung gelobt

Die betroffenen Geräte, nur eine geringe Anzahl aus der ersten Produktion (350 von ungefähr 1.500), wurden ausgetauscht.

Der Hersteller wurde in der Zwischenzeit von einem anderen Unternehmen übernommen und kündigte die neuen (eher wohl sicher konfigurierten) Geräte in einer Pressemitteilung an.

In der steht, dass jedes Gerät ein individuelles, aber weiterhin nicht änderbares Passwort erhält. Das ist bei anderen Herstellern in der Vergangenheit schon gewaltig daneben gegangen, weil sich die Passwörter erraten oder bilden ließen. Hoffen wir mal, dass dieser Fehler hier nicht auftritt. Bisher ist nichts derartiges bekannt geworden. Da auch ein Code-Review durch externe Fachleute angekündigt wurde, könnte es also gut ausgegangen sein.

In der nächsten Folge geht es um weitere SOHO-Router und ihre Schwachstellen.

Carsten Eilers