13.01.2015 10:56

Embedded Device Security - heute bez. diverser Geräte von Snom

Die Researcher von SEC Consult haben viele, viele Bugs - auch kritische - in VoIP-Telephonen der deutschen Firma Snom gefunden - das entsprechende Advisory findet sich hier.

Solche Embedded Devices finden sich mittlerweile zu Hauf, vom Privathaushalt bis zum Grossunternehmen. Und wir können nur darauf hinweisen, dass es gerade bei solchen "Black Boxes" eminent wichtig ist, sich um die Security zu kümmern - und das heisst nicht nur Ändern von Default-Passwörtern, sondern auch aktiv nach Software-Updates zu suchen. Im Gegensatz zu gängigen Betriebssystemen suchen solche Embedded Devices meist nicht selbst nach neuer Software, und haben auch keine Mechanismen, den Benutzer/Administrator auf Update-Bedarf hinzuweisen.

Je nach Hersteller ist das mehr oder weniger mühsam (Mailing Listen, RSS-Feeds, oder doch regelmässig auf der Homepage nachsehen) von Updates Kenntnis zu erlangen, und es kann auch sein, dass Hersteller den Software-Support irgendwann einstellen und einfach keine Updates mehr zur Verfügung stellen. In diesem Fall sollte man sich bereits im Vorfeld überlegen, wie dann mit der Situation umgegangen wird. Das kann von "ersetzen durch aktuelles Modell" über extra Wartungsvertrag bis zu netzwerktechnischer Abschottung reichen.

Autor: Robert Waldner