Forensic Investigations / Fi Blog / RuggedCom - Hersteller von Netzwerktechnik im industriellen und militärischen Bereich boykottiert Behebung von Sicherheismängeln


RuggedCom - Hersteller von Netzwerktechnik im industriellen und militärischen Bereich boykottiert Behebung von Sicherheismängeln

RuggedCom, Hersteller von Netzwerktechnik, die besonders für den Einsatz in den kritischen Bereichen Energie, Militär, Transportwesen und produzierendem Gewerbe angepriesen wird, schreibt die neueste Posse bei den nicht abreißenden Pannenserien in der Leittechnik.

Bereits vor über einem Jahr war der Hersteller von dem Sicherheitsforscher Justin W. Clarke benachrichtigt worden, dass sich die Zugangspassworte zu seinem mit dem "Rugged Operating System" (ROS) ausgerüsteten Geräten ganz leicht anhand deren MAC-Adressen berechnen lassen. Der Hersteller räumte die Sicherheitslücke zwar offenbar ein, boykottierte aber deren Beseitigung. Nicht einmal die Einschaltung des US-CERT konnte den Hersteller dazu bewegen, diesen Mangel zu beheben, obwohl dessen Beseitigung -zumindest für den Hersteller- sicherlich trivial und mit vergleichsweise geringem Aufwand verbunden gewesen wäre.

Die Bezeichnung "Rugged" (dt. robust, stabil) mutet in diesem Kontext deshalb einmal mehr wie ein schambefreiter Marketing-Hype an. Es lässt sich nicht genau festmachen, ob es mangelndes Sicherheitsbewusstsein, Fehlorganisation, mangelnde Kultur beim Umgang mit eigenen Fehlern, bloße Ignoranz, gar Absicht oder eine Kombination dieser Faktoren ist, die dazu führen, dass hier nicht gehandelt wird. Vielleicht sollten sich solche Herstellerfirmen hier an den Weisheiten der Shaolin-Mönche orientieren:

  • Lernen ohne zu denken ist umsonst,
    denken ohne zu lernen ist gefährlich.
    Einen Fehler zu begehen und ihn nicht zu korrigieren,
    erst das heißt wirklich einen Fehler zu begehen.

Es ist eigentlich fast unmöglich, dass einem ein solcher gravierender Mangel selbst bei einer nur einigermaßen gewissenhaften Prüfung der eigenen Produkte "durch die Lappen" geht. Das ein solch gravierendes Problem aber nach über einem Jahr nicht abgestellt wurde, kann selbst mit Unfähigkeit schwerlich noch erklärt werden. Dabei kann es sich fast nur noch um gezielte Politik oder integrale, unter Umständen die eigene Existenz bedrohende Strukturmängel innerhalb des Unternehmens handeln.

Diese Politik kommt schon in der verwendeten Sprache zum Ausdruck - im Hersteller-Advisory spricht man lieber von einem "Problem" statt von einer knallharten Sicherheitslücke und sichert natürlich zu, dass dies überprüft wird. Es ist für mich äußerst fraglich, was man -nach mehr als einem Jahr- noch überprüfen möchte und noch nicht weiß, oder längst hätte wissen müssen.

Womöglich wird einmal mehr solange überprüft, bis wieder Gras über das "Problem" gewachsen ist, wenn das Thema wieder aus den Medien verschwunden ist. Dem Sicherheitsforscher, den man bei Dutzenden Zuschriften kaum mehr als ignoriert hat, dankt man noch recht höflich oder erklärt gar, dass diesem der Einblick in die Materie oder das Wissen um die Zusammenhänge fehle. Diese Strategien riechen irgendwie nach einem Deja Vu.

Ironie des Schicksals: RuggedCom war erst kürzlich von SIEMENS übernommen worden. Na dann - auf das zusammenwächst, was zusammen gehört!

UPDATE 30.04.2012: Das ICS-CERT hat ein aktualisiertes Advisory veröffentlicht, lt. dem der Hersteller beabsichtigt, innerhalb des nächsten Monats einen Patch zu veröffentlichen. RuggedCom hat seine Advisory-Seite aktualisiert und spricht nun klar von einer "factory backdoor". Der Hersteller will zudem die unsicheren (und in aller Regel unnötigen) Telnet- und RSH-Zugänge standardmäßig abschalten. Warum nicht gleich so.

Kommentare

Bitte melden Sie sich Logan oder registrieren Sie sich um kommentieren zu können.



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31