Prof. Dr.-Ing. Günter Schäfer, 15. Juni 2018
Bezüglich der Stellungnahme der Firma Ecos Technology GmbH zu unserer Sicherheitsuntersuchung des Ecos Secure Boot Stick vom 14.06.2018 möchten wir die nachfolgenden Hinweise ergänzen.
Das Unternehmen schreibt unter Punkt "1.) Angebliche „Hintertüren“ per SSH-Root-Zugang", dass die von uns aufgedeckten Root-Zugänge "aber vom Kunden im Management explizit freigeschaltet werden" müssen. Weiterhin wird ausgeführt:
Da es sich dabei um dokumentierte Features unserer Produkte
handelt und ECOS ohne explizite Freischaltung durch den Kunden
keinerlei Zugriffsmöglichkeiten hat, fragt man sich, warum die
Autoren dies als „Hintertür“ oder „Sicherheitsrisiko“ bezeichnen.
Diese Darstellung ist inkorrekt, da in der Management Appliance V5 lediglich der SSH-Zugang für die Nutzer "remotesetup" und "remotebackup" aktiviert bzw. deaktiviert werden kann. Der Nutzer "root" ist in den SSH-Konfigurationen gemäß unserer Untersuchung sowohl in der Management Appliance als auch im Secure Boot Stick jedoch immer aktiviert, wie auch aus Abschnitt 2.1 und Abschnitt 2.9 der veröffentlichten Sicherheitsanalyse hervorgeht (inkl. Erklärung wie diese Lücken nachvollzogen werden können).
In der uns zur Verfügung stehenden Produkt-Dokumentation (ECOS System Management Appliance V5, Revision 0111 vom Dezember 2017) wird weiterhin zu einem potentiellen "root"-Account lediglich in Abschnitt 3.4.5 ausgeführt:
Im Reiter „Lokale Wartung“ werden die Einstellungen für den
lokalen Wartungszugang konfiguriert. Ein Haken bei „Kennwort
für Konsole aktivieren“ aktiviert das benutzerdefinierte
Kennwort für die Anmeldung an der Konsole. Die Anmeldung
erfolgt mit dem Benutzernamen „setup“. Ist kein Kennwort
gesetzt, lautet das Standardkennwort „bb5000“. In jedem Fall
ist über die Konsole kein Shell- oder Root-Zugang möglich,
sondern nur zu einem Menü, das grundlegende Wartungsaufgaben,
wie z. B. Setzen der IP-Adresse oder Senden eines ping etc.,
erlaubt.
Suchen nach dem Wort "root" in der PDF-Datei des Handbuchs ergibt keine weiteren Treffer, so dass wir die Argumentation der Ecos in der Stellungnahme nicht nachvollziehen können. Sollten wir jedoch einen entsprechenden Hinweis in der Dokumentation übersehen haben, bitten wir das Unternehmen um eine entsprechende Quellenangabe, damit wir unsere Sicherheitsanalyse entsprechend anpassen können.
Weiterhin schreibt das Unternehmen Ecos in seiner Stellungnahme:
Den konkreten Nachweis ihrer Exploits mittels Exploitcode haben
die Autoren mit Hinweis auf §202 StGB verweigert. Auch ansonsten
haben sie jegliche Zusammenarbeit die uns hätte helfen können die
entsprechende Sicherheitspatche zu erstellen komplett verweigert.
Stattdessen stellen sie Videomaterial zur Verfügung, welches die
Exploits zeigen soll. Ob es sich dabei wirklich um echte Exploits
oder lediglich um nachgestellte Szenen handelt, ist aus den Videos
nicht zweifelsfrei ersichtlich. Insofern sind wir darauf
angewiesen, die Exploits, soweit aus dem Text der Angriff nicht
genau hervorgeht, aus dem vorliegen Informationen zu
rekonstruieren und nachzustellen.
Es ist korrekt, dass wir grundsätzlich keinen Schad-Code veröffentlichen, um in jedem Fall konform mit §202 (insbesondere dem in diesem Zusammenhang relevanten §202c) zu handeln. Die Aussage, dass wir "jegliche Zusammenarbeit [...] komplett verweigert" haben, ist jedoch nicht zutreffend.
Das Unternehmen Ecos hat uns nach Kenntnisnahme der von uns am 13.04.2018 bereit gestellten Sicherheitsanalyse mehrfach per Email mit konkreten technischen Nachfragen kontaktiert, wobei alle Emails von uns jeweils innerhalb von zwei bis drei Arbeitstagen beantwortet wurden. Konkret wurden an den folgenden Tagen technische Fragen an uns gerichtet (F) bzw. von uns mit entsprechenden Erklärungen beantwortet (A): 19.04.2018 (F), 19.04.2018 (A), 20.04.2018 (F), 24.04.2018 (A), 24.04.2018 (F), 26.04.2018 (A). Die in unseren Antworten enthaltenen Erklärungen wurden dabei zusätzlich auch als Präzisierungen in die Sicherheitsanalyse eingearbeitet. Nach dem 24.04. haben wir von Ecos keine technischen Anfragen zu der Sicherheitsanalyse mehr erhalten. Im Rahmen des geführten Email-Dialogs wurde das Vorhandensein der nicht-dokumentierten Root-Zugänge (siehe oben) von dem Unternehmen nicht in Frage gestellt.
Sollte die Ecos Technology GmbH ihr Einverständnis hierzu erklären, sind wir gerne bereit, den ausgetauschten Email-Verkehr an dieser Stelle vollständig zu veröffentlichen.