TOP
SSV Software Systems Registrieren  Registrieren
Einloggen, um private Nachrichten zu lesen  Einloggen, um private Nachrichten zu lesen
Startseite FAQ Suchen Mitglieder Profil  Login 
SSV Support-Forum
Prevent the use of TR-069 ...

 
Neues Thema eröffnen   Neue Antwort erstellen    SSV-Forum Foren-Übersicht >>> VHPready
<<< Vorheriges Thema - Nächstes Thema >>>  
Beiträge der letzten Zeit anzeigen:   
Autor Nachricht
kdw



Anmeldedatum: 05.05.2006
Beiträge: 1168

BeitragVerfasst am: 09.04.2018, 06:31    Titel: Prevent the use of TR-069 ... Antworten mit Zitat

Hi Forum.

A VHPready gateway needs an update feature so that the software in the gateway can be kept up to date and any weak points can be eliminated. The update capability is part of VHPready 4.0-Secuirty.

I think we should use the VHPready specifications to make sure for safety reasons that there is no case of using a TR-069-based solution. The TR-069 is currently the most widely used device management solution in the world, see also:

http://ssv-embedded.de/doks/infos/TR-069poster.pdf

The TR-069 is completely missing the "Security-by-Design" idea. A recommended transport encryption via SSL / TLS as the only security component is no longer sufficient from today's point of view. It also no longer corresponds to the state of the art to recommend the use of TLS 1.2 only, but not to demand the use (HTTP Basic Authentication via the Internet with factory-set username / password is actually not a real security building block). In this respect, the TR-069 specifications are no longer up-to-date and the TR-069 use in virtual power plants actually not responsible.



The TR-069 IT security weaknesses in November 2016 were also the cause of the successful hacker attack on tens of thousands of Telekom routers. These routers were integrated into a botnet by unauthorized RCE (Remote Code Execution) by the attacker to attack other servers on the Internet (Mirai attack on countless home routers).

At https://www.youtube.com/watch?v=rz0SNEFZ8h0 you can find a video and the slides for a lecture by Shahar Tal (I Hunt TR-069 Admins: Pwning ISPs Like a Boss), which was a part of the DEF CON22 in 2014.

Regards KDW
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    SSV-Forum Foren-Übersicht >>> VHPready Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht teilnehmen.

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Tel.: +49(0)511 / 40 000-0
Fax: +49(0)511 / 40 000-40

sales@ssv-embedded.de

© 2018 SSV Software Systems GmbH. Alle Rechte vorbehalten.

ISO 9001:2015