Wie sicher ist eine Dream 7020 mit Netzwerkanschluss?

Zitat

Original von NuschelKopp

Ich bin ja grundsätzlich ein Freund von offenen Quellen. Wenn Du zudem noch Programmieren kannst, ists halt noch geiler. Aber alles von jetzt auf gleich geht nicht. Du hast unter Windoze so viele Möglichkeiten, die es unter den verschiedenen Derrivaten eben nicht gibt.

Ein Beispiel: Die Registry - geniale Erfingung von Winzigweich. Bei Mac und Linux wird das wiederum ein wenig anders gelöst...

enjoy,

NuschelKopp (bitte keinen Glaubenskrieg)

Alles anzeigen

Hmm, die Registry als genial zu bezeichnen is schon recht verwegen. Eine so unübersichtliche, fette und aufgeblasene Struktur in der selbst nur wenige Admins durchblicken ist eigentlich eine Zumutung.

Aber mich würde schon mal interessieren, was für Windows-Derivate es gibt, ich kenn keins. Sollte es auch nicht geben, da das ja bedeuten würde, der Windows-Code würde verwendet, was MS wohl nicht zulassen würde.

Zitat

Original von Gunner007
Bei Open Source ist leider nur das Problem dass wenn man nicht gerade ein Computerfreak ist es sich schwer tut etwas zum laufen zu bringen. Ausserdem gibt es ja fast immer 2 Varianten der SW, 1. die SW zum Kaufen mit meistens 90 Tagen Support oder 2. die Variante die offen ist und somit auch kein Support gewährleistet ist.

Hach, da spricht ein SuSE-Nutzer...

Deine Definition trifft aber nicht auf OSS zu, und SuSE hat nicht mehr viel damit zu tun.

Das heisst ned Suse-Nutzer, das heisst Suse-Opfer. Is wie bei Micos... sind auch keine User sonder Opfer.

Zitat

Original von Franc

Hmm, die Registry als genial zu bezeichnen is schon recht verwegen. Eine so unübersichtliche, fette und aufgeblasene Struktur in der selbst nur wenige Admins durchblicken ist eigentlich eine Zumutung.

Aber mich würde schon mal interessieren, was für Windows-Derivate es gibt, ich kenn keins. Sollte es auch nicht geben, da das ja bedeuten würde, der Windows-Code würde verwendet, was MS wohl nicht zulassen würde.

Die Registry ist eine Katastrophe, so daß sich der Begriff "Systemadministration" schon gänzlich verbietet.

ReactOS ist eine Art Derivat, aber noch nicht so weit, das man damit arbeiten könnte...

Was meinste warum ich so lange gebraucht hab ein Wort für die Registry zu finden und mir dann schliesslich nur Struktur eingefallen ist. Wollte den Mist jetzt nicht wirklich als Systemadministration adeln.

Ich hol den Fred hier mal aus der Versenkung:

Also mein lieber Herr Gesangsverein!

Ich geb meiner Vierjährigen Tochter auch gerne die geladene Schrotflinte in die Hand, hat ja eh zu wenig Kraft den Abzug zu ziehen!

Bei dem was ich hier so gelesen habe, fasse ich mir an den Kopf!

Ein paar Tips auf die schnelle, vielleicht findet sich ja jemand mit dem man das ein wenig ausbauen kann, und mal als FAQ veröffentlicht.

1. Passwort der Dreambox ändern

Wie schon oft beschrieben, per telnet einloggen und ein Passwort setzen. Damit wird z.B. auch das Passwort fürs WebIf geändert.

2. Router überprüfen

Ist ein Passwort gesetzt? Ist die Fernkonfiguration deaktiviert?

3a. Zweiten Router kaufen

Das funktioniert, grob gesprochen, so:

Router A versorgt das vorhandene Netzwerk, an dem die Rechner des Haushalts bislang schon hingen. Router A wird mit dem neuen Router B verbunden, am dem wiederum das DSL Modem UND die Dreambox hängt.

Auf Router B werden dann die Ports 22 und 80 für ssh/sFTP und Web an die Dreambox weitergereicht.

3b. Zweiten Router kaufen, der von sich aus VPN beherrscht

Wie 3a, nur daß dann z.B. auch der Zugriff auf das WebIf verschlüsselt läuft.

Mit 3. ist wenigstens schon mal sicher gestellt, daß die Dreambox nicht so ohne weiteres das vorhandene LAN kompromitieren kann.

Das sind so die absoluten Mindestanforderungen, die erfüllt werden sollten.

Zitat

Original von fizzbixx
Ich hol den Fred hier mal aus der Versenkung:

Also mein lieber Herr Gesangsverein!

Ich geb meiner Vierjährigen Tochter auch gerne die geladene Schrotflinte in die Hand, hat ja eh zu wenig Kraft den Abzug zu ziehen!

Bei dem was ich hier so gelesen habe, fasse ich mir an den Kopf!

Ein paar Tips auf die schnelle, vielleicht findet sich ja jemand mit dem man das ein wenig ausbauen kann, und mal als FAQ veröffentlicht.

1. Passwort der Dreambox ändern

Wie schon oft beschrieben, per telnet einloggen und ein Passwort setzen. Damit wird z.B. auch das Passwort fürs WebIf geändert.

2. Router überprüfen

Ist ein Passwort gesetzt? Ist die Fernkonfiguration deaktiviert?

3a. Zweiten Router kaufen

Das funktioniert, grob gesprochen, so:

Router A versorgt das vorhandene Netzwerk, an dem die Rechner des Haushalts bislang schon hingen. Router A wird mit dem neuen Router B verbunden, am dem wiederum das DSL Modem UND die Dreambox hängt.

Auf Router B werden dann die Ports 22 und 80 für ssh/sFTP und Web an die Dreambox weitergereicht.

3b. Zweiten Router kaufen, der von sich aus VPN beherrscht

Wie 3a, nur daß dann z.B. auch der Zugriff auf das WebIf verschlüsselt läuft.

Mit 3. ist wenigstens schon mal sicher gestellt, daß die Dreambox nicht so ohne weiteres das vorhandene LAN kompromitieren kann.

Das sind so die absoluten Mindestanforderungen, die erfüllt werden sollten.

Alles anzeigen

lustige Beispiele nennst du da. Ist das mit der Schrotflinte und deiner Tochter so, wie mit Windoofs und unbedarften Usern?
Unbestritten stellen Schrotflinten, vor allem in geladenem Zustand, eine potentielle Gefahrenquelle dar. Allerdings weitaus eher für jene, die sie nicht selbst in der Hand haben. Trotzdem bleibt es statistisch doch erfreulich unwahrscheinlich, dass etwas passiert. Meist sind die Dinger auch noch gesichert und selbst, wenn diese Hürde genommen ist, fällt es auch noch schwer damit zu treffen, auch, wenn das erklärte Absicht ist und nicht dem Zufall überlassen wird. Rein zufällig abgefeuert ist ja viel mehr Platz um ein Ziel herum vorhanden und deshalb auch die Wahrscheinlichkeit hoch, dass vorbei getroffen wird.

Wie auch immer, selbst mit tausend Verboten kann solch eine Situation nicht vorab geregelt werden. Und Schadsoftware, die in deinem Netz auf einem rechner gelandet ist, juckt die Anzahl der router nicht, die durchlaufen werden muss. Wenn ein Programm Kontakt zu einer entfernten Stelle aufnimmt, kann es das durch alle router hindurch tun. Du bekommst davon gar nichts mit.
Gerade aktuell passen ja die Spionage-Aktionen des BMI zu dieser Thematik.
Die vielen Router schützen nur vor Angriffen von außen und die sind meist nicht direkt geführt. Sobald du einen Schädling aufgenommen hast, ist deine Welt transparent.
Die Box ist wirklich eher harmlos und als Brutstelle des Bösen ungeeignet, da besteht kaum die Möglichkeit, was zu installieren. Alle proprietären Systeme sind weitaus verdächtiger.

Einen Server stellt man nicht ins selbe Subnetz wie die Clients, basta.

Deine Ausführungen bzgl. Schadsoftware sind eine andere Baustelle, und haben mit oben gesagtem nichts zu tun.

Es stellte aber in der Tat eine zusätzliche Hürde dar, wenn unterschiedliche Subnetze vorhanden sind.

Wenn man keine Serverdienste der Dreambox ins WAN weiterreicht, dann genügt auch ein Router. Dann wäre die Box zumindest für mich aber nur noch die Hälfte wert.

Zitat

Original von fizzbixx
Einen Server stellt man nicht ins selbe Subnetz wie die Clients, basta.

dann muss ich doch immer einen router dazwischen schalten und das macht doch wenig Sinn, wenn ich von einem Rechner auf den anderen telnet, ssh oder ftp betreiben will. Jeder Rechner kann doch Server und Client im eigenen Netz sein und der Sinn ist doch auch, mit anderen Unterhaltung zu pflegen. Also, ich würde eher sagen, ein Server gehört ins gleiche Subnetz, wie seine Clienten.

Services, die du ins WAN transportieren möchtest, sind eine ganz andere geschichte und dafür halte ich wiederum die Dreambox für äußerst ungeeignet und scheiden wir uns hier deutlich hinsichtlich der möglichen Verwendungszwecke. Mir dienst die Box im eigenen netz und das ausschließlich und anderes will ich auch nicht und somit sind wir uns da wenigstens halbwegs einig: hinter einem router ist sie recht sicher aufgehoben.
Ich glaube weiter, dass es wesentlich unsicherer ist, irgendwelchen Stoff aus dem Netz vollkommen freiwillig auf einen Rechner zu holen und dort allerhand zuzulassen. Damit bleibt für mich der Anwender der unsicherste Teil und das ganz besonders, wenn er kein vertrauenswürdiges Betriebssystem fährt. In beiden Fällen ist die Box tatsächlich doch als ungefährlich einzustufen, gegenüber einem ganz normal betriebenen Windoofs PC, wie ihn jeder dritte beim Aldi mitgehen lässt und vollkommen unbedarft betreibt.
Was soll denn jemand auf deiner Box anstellen, wenn er sie schließlich erreicht? Oder anders gesagt, was schützen deine vier router vor der Box eigentlich wirklich?

Meine Wette von weiter oben könnte ich ja an dieser Stelle wieder einwerfen: bei mir ist alles offen (außer der router, der darf nur wenig) und ich habe eine feste IP, zwei Boxen und wenigstens ein PC hängen immer am Netz. ich stelle nun mal eine einfache Textdatei auf eine Festplatte der einen Box und nenne sie kuckuk.txt und wir wollen mal sehen, wann sie hier jemand präsentiert um den Beweis meiner löchrigen Sicherheit anzutreten. Oder wünscht jemand sie auf einem PC? Oder braucht noch weitere Angaben? Mal sehen, wie weit ich da mitgehe.

Ein paar Tipps ;):

- Hardware-Firewall, die gegen Denial-of-Service-Attacken ressistent ist oder wenigstens ein gehärtetes Linux
- Internet-Zugriff über Proxy-Server, der in einer DMZ steht (ein anderes Linux wie die Firewall)
- Introdution-Detection-System, noch besser Introdution-Prevention-System (z.B. Snort)
- Verwendung von VLAN´s
- die angreifbaren Systeme nicht auf Festplatte, sondern CardFlash o.ä., Konfigurationen auf schreibgeschützem USB-Stick
- und natürlich alles mitprotokollieren

So, jetzt ist erst einmal der Zugriff aus dem Internet geschützt; im nächsten Beitrag kommen wir dann zum Schutz der internen Systeme; Benutzer, Paßwörter, Freigaben, verschlüsselte Dateisysteme...

pit, ich glaube wir haben uns schon richtig verstanden, oder?

Natürlich meine ich mit 'Server' Dienste, die im WAN, vulgo Internet, angeboten werden.

Und wenn man das im Zusammenhang liest: zwei Router, zwei Subnetze, ist es doch offensichtlich, daß im inneren Netz ebenso Dienste angeboten werden können. Mit zwei Routern führt ein Fehler in der Konfiguration eines Routers allerdings nicht dazu, daß 'private' Services plötzlich vom WAN aus ansprechbar sind.

Um das nochmals, hoffentlich verdaulich, zu umreißen folgendes Szenario:

John Doe, ein leidlich interessierter und durchschnittlicher Anwender, legt sich eine Dreambox zu. Er möchte diese in sein Heimnetzwerk einbinden um im LAN Aufnahmen auf seinen Rechner zu kopieren, er möchte sich den Wetterbreicht ansehen, mal ein Plugin ausprobieren. Er möchte aber auch vom Büro aus einen Timer setzen, wenn ein Kollege ihn auf einen Film aufmerksam macht. Oder im Wochenendurlaub fällt ihm ein, daß er vergessen hat, Desperate Housewives für seine Olle zu programmieren.

John weiß aus der ComputerBild, daß er die Firewall seines XP/Vista Rechners aktivieren soll und einen Virenscanner braucht.

Was muß John noch wissen?

Erstens, daß er die Passwörter ändern soll. Das sollte man immer und grundsätzlich machen: beim schnurlosen Telefon, beim Rouer und auch bei der Dreambox.

Zweitens, daß er den Router anders konfigurieren muß, wenn er vom Internet aus auf seine Box zugreifen will.

Drittens, daß es immer zusätzliche Gefahren birgt, Dienste im Internet anzubieten, und man daher auch ohne konkrete Gefährdungslage Vorkehrungen treffen sollte.

Denn, wenn ER auf die Dreambox entfernten Zugriff hat, dann haben ihn grundsätzlich auch andere. Nur ein Passwort verhindert das, und das ist nicht viel.

Da John das ganze Thema nicht wirklich interessiert, wird er Fehler machen.

Aber mit ein paar einfachen Schritten kommt er trotzdem zu einem befriedigenden Ergebnis, ohne zum Netzwerkspezialisten zu mutieren.

Wie?

1. Sicher stellen, daß die Router ein neues Passwort bekommen, und daß die Fernkonfiguration jeweils deaktiviert ist. Das heißt zwar, daß John sich jeweils in den entsprechenden Router einstöpseln muß wenn er ihn konfigurieren will, aber so oft kommt das ja nicht vor.

2. Er kauft sich einen zweiten Router.

Seinen alten Router, Router A, muß er ein wenig umkonfigurieren. Die Einwahl ins Internet erfolgt nicht mehr über das Moodem (PPPoE), sondern über den neuen Router, Router B.

Als Beispiel:

Router A hat einen DHCP Server am laufen, die IP 192.168.0.1. Nun muß John eine Einstellung ala "default route" suchen, oder auch "Gateway". Diese setzt er auf den neuen Router B, der die IP 192.168.99.1 hat. Der Eintrag PPPoE fliegt bei Router A raus, denn dieser Eintrag kommt nun zu Router B. Router B wird also so konfiguriert, wie es früher Router A war.

Verkabelt wird das dann wie folgt. Modem -> WAN Port des neuen Routers B. Von einem Ethernetanschluß des Routers B -> WAN Port des Routers A.

Hat John alles richtig gemacht, ist er mit seinen vorhandenen Rechnern wie gewohnt online.

Die Dreambox hängt John an einen freien Port des Routers B. Damit John die wichtigsten Dienste der Box, ssh und http nutzen kann, braucht Router B eine Portweiterleitung. Wie das genau geht, steht in der Anleitung des Routers. Wir brauchen port 22 für ssh und port 80 für das WebIf.

Aus seinem Heimnetzwerk kann John die Box wie gewohnt erreichen, nur daß er z.B. nicht mehr die IP 192.168.0.100 sondern 192.168.99.100 verwendet.

Nutzt John z.B. DnyDNS , kann er von jedem Webbrowser aus seine Dreambox unter johnsdreambox.ath.cx erreichen. Oder ein neues Passwort setzen, wenn er sich per ssh einloggt.

Seine bisherigen Rechner sind aber hinter dem 'alten' Router weiterhin sicher aufgehoben - selbst wenn jemand die Dreambox übernimmt, kann diese nicht auf Netzwerkfreigaben in Johns LAN zugreifen.

Wenn man das allerdings will, so muß man noch ein wenig Konfigurationsarbeit leisten. Aber dazu später mehr, wenn Interesse besteht.

X-Men

Wer mit den ganzen buzzwords was anfangen kann, braucht sich hier in dem Fred nicht mehr schlau machen, oder?

Was Not tut, ist ein einfachs Kochrezept mit dem 90% der Durchschnittsanwender etwas anfangen kann.

Was ist eine 'Hardware Firewall'? Außer im Werbeprospekt habe ich eine solche noch nie gesehen. Ein IDS ist genau wie das loggen für die Katz - das muß erst mal jemand lesen aka verstehen können.

Zu VPNs sollte man noch etwas sagen, richtig. Leider bietet Gemini 3.6 das (noch?) nicht out of the box, da sollte man sich die Anschaffung eines passenden Routers überlegen.

Zitat

Wir haben in der Firma eine 10 MBit Leitung in beide Richtungen (Up & Down).

DAS wollen die Bubis haben und hacken!!!!

ALLES andere ist, wie heisst der medizinische Ausdruck nochmal?

Schizophrenie!

(Für den Laien wird eine psychotische Schizophrenie zumeist an der Wahnsymptomatik erkennbar: Ein Betroffener glaubt beispielsweise, von Außerirdischen oder Geistern aus dem Jenseits beobachtet zu werden (sog. Verfolgungswahn), dass Nachbarn oder andere ihn schädigen wollen, dass er nachts im Schlaf von elektronischen Geräten (durch die Wand hindurch) bestrahlt wird, usw.....)

"Normale" Computer sind für Hacker so uninteressant, wie ein Pickel auf Nachbars Hintern.

Und was sollen die in einer Dreambox anstellen???

Wie ein Vorredner schon schrieb muss erst mal der Router überwindet werden. Und wenn da nicht 100 Ports oder UpNp offen sind, ist da schon Schluss mit der Hackerei.

Aber macht Euch ruhig mal weiter Gedanken über ungelegte Eier......

Ich schlage Dir folgendes vor:

WICHTIG: Wir reden hier von privaten Umgebungen

- Deine Fritzbox ist eigentlich ein guter Schutz. Lass keinen Zugriff von aussen nach innen (Websever ö.à., Bittorent et.al). UpNp ausschalten.
- bei der Dream: aktiviere den Dropbear oder SSH
stoppe den telnet
ändere die Passwörter vom WebGui und der Box.
- Zugriff zum Internet. Fahre die Fritz runter, wenn Du sie nicht brauchst

Damit bist Du nicht mehr interessant. Hast Du einen PC im Netz mit Windoof, so würde ich mein Augenmerk darauf stellen (lokaler Firewall,Virenscanner, Spyware).

Es gibt auch Router/FW mit einem eigenen DMZ-Interface. Dies könntest Du für die Dream verwenden oder Du macht den Webzugriff über einen Proxy auf Deiner Fritzbox (privoxy gibt es dafür)

Es gibt für die Dreambox ein Paket für OpenVPN (habe ich einmal hier in einem Thread hochgeladen).

hi,

mal was anderes:
Kann ich eigendlich fehgeschlagene login versuche auf der dream sehen?
werden die mitgeloggt?
habe meine auch mit 80 nach draussen offen.

gruss,
pepe

nach fizzbixx:

in der Tat glaube ich schon, dass ich grundlegend verstanden hatte, worauf du hinauswolltest, auch wenn ich mir das ein oder andere Detail anders vorgestellt hatte.
Die Intention unserer beider Antworten scheint abweichend: ich wollte darauf hinweisen, dass im Sinne der Ausgangs-Frage eine Dreambox in einem Netzwerk kein nennenswerter Unsicherheitsfaktor ist und dass sich jemand, der mit dem gedanken spielt, eine in sein netz einzubinden durchaus viel mehr Sorgen um andere Aspekte seiner Sicherheit, insbesondere innerhalb sein Netzes machen sollte, schon ganz besonders, wenn er hier keine open-source Systeme anwendet. Das ist meiner Meinung nach auch richtig so. Die Dreambox ist nicht der unsicherheitsfaktor in einem Netz, ganz im Gegenteil.
Du wolltest beschreiben, was jemand tun sollte, um ein möglichst sicheres Netz aufzubauen, in das er dann auch eine dreambox stellen kann und von außen zugänglich machen darf.

Ich leugne nicht, dass die von dir geschilderten Maßnahmen den von dir gewünschten Erfolg haben können. Insbesondere ist es vollkommen klar, dass niemand niemals default-Passwörter belassen sollte, die jedermann kennt. Darin stimme ich auch zu und habe keine Einwände.
Nur, nochmal, was würdest du tun oder tun können, wenn ich dir meine (feste) IP gebe, wo immer mein router erreichbar ist, an dem immer zwei Boxen hängen und ein PC und die immer über den Router WAn Kontakt haben? Und das ist ja schon deutlich mehr, als wenn du nur vermutest, jemand könnte eine dreambox laufen haben (natürlich eventuell weil du bekannte Dienste überwacht hast) und es tatsächlich schaffen solltest, auf die Box zu schalten? Also, selbst, wenn du root passwort hast: was könntest du mir antun? Was könntest du auf der Box schlimmeres machen, als meine setting zu zerschießen (die ich gespeichert weiß) oder meine Filme zu löschen?

Das ist alles keine große Gefahr.

Pit: Nun das schwächste Glied in der Kette wird als Startpunkt benutzt. Kennst Du nessus und ähnliche Tools. Als root auf einer Dream könnte man schon Einiges machen - Tools nachladen und auf die weiteren Systeme gehen - Windoof ist da sehr dankbar. Dass sich aber jemand die Mühe für einen Privatanschluss macht, bezweifle ich auch.

Die immer noch muntere 'Szene' der SkriptKiddies ist auch und vor allem für Heimanwender nach wie vor ein ernstes Problem.

Dabei geht es weniger um verwertbare Ergebnisse, sondern eher um Vandalismus.

Besehe ich meine alten logs, sind massenhaft Zugriffe auf port 21, 22, 80 und 8080 zu verzeichnen. Netcologne hat durchaus auch dicke Leitungen zu relativ kleinen Preisen im Angebot, so gesehen ein lohnendes Ziel für angehende Blackhats.

Darum muß ich ob den 'Plausibilitätsüberlegungen' schon ein wenig den Kopf schütteln.

Gerade mit DynDNS kann man sich schlecht 'verstecken'.

Und auch der Sport, Standardpasswörter gegen eine Vielzahl von IPs oder DynDNS Adressen laufen zu lassen, ist zumindest nach meiner Erfahrung durchaus noch populär.

Wenn ich Zugriff auf eine Box hätte, würde ich versuchen, Netzwerkfreigaben zu mounten. XP erlaubt wenn ich richtig erinnere in der Standardansicht nicht einmal die Beschränkung der Benutzer.

Wenn möglich, würde ich einen Proxy installieren. Sehr praktisch, für allerlei Unsinn.

Ist das auch nicht möglich, würde ich eben wüten.

Was mir hier sauer aufstößt ist die Rosa Brille, die hier propagiert wird. Ein Router ist schon die halbe Miete, aber auch der will regelmäßig gewartet und geupdated werden. Ein quelloffenes System nutzt nur dem, der die Quellen auch lesen kann. Bzgl. der Dreambox oder auch Gemini ist auf die schnelle die Information über Sicherheitslecks nicht möglich. Zumindest nicht für mich.

Schon alleine aus dem Grund kommt die Box auf die eigene Spielwiese.

Und da ich besseres und interessanteres zu tun habe, als mich den ganzen Tag mit diesen lästigen Detailfragen auseinander zu setzen, die Box auch mal vier Wochen ohne Windelwechsel laufen lasse, greife ich eben zu einem einfachen Mittel.

Und empfehle dies auch anderen. Better safe than sorry.

Was vielleicht einige vergessen, und denen lege ich mal den Besuch der anderen Unterforen hier ans Herz, ist daß eine Anzahl von Käufern der Dream das Teil einfach als (komfortablen) Videorekorder nutzen und nutzen wollen. Und sich nicht mit lästigen technischen und kryptischen Vorgängen befassen wollen.

Zwei Router, die nur grundlegend konfiguriert müssen - kein anstrengendes Rumgefummel mit Firewall Regeln - bieten ein außerordentlich hohes Maß an Sicherheit. Wenn nicht für die Box, dann zumindest für die anderen vorhandenen Rechner.

Genau die Richtung halte ich heutzutage auch für notwendig, fizzbixx.

Schreib doch mal ein HowTo für Newbies, wie man sich am besten absichert.
Router-NAT...,
Es gibt zwar schon einige im Netz, aber die sind teilweise recht alt und überholt.
Das fände ich mal richtig gut!

Gruß Xtommes

Zitat

Original von rarr2005
Pit: Nun das schwächste Glied in der Kette wird als Startpunkt benutzt. Kennst Du nessus und ähnliche Tools. Als root auf einer Dream könnte man schon Einiges machen - Tools nachladen und auf die weiteren Systeme gehen - Windoof ist da sehr dankbar. Dass sich aber jemand die Mühe für einen Privatanschluss macht, bezweifle ich auch.

wie?
du kanst auf die Box selbst als root nicht irgendwelche Tools so einfach einbinden, denn das System liegt im ROM und kann nicht verändert werden. Du müsstest komplett fertig kompilierte Pakete haben und die irgendwo landen und auch starten lassen und auch noch, ohne, dass es mir auffällt, weil die Box lahmgelegt wird. Ich wette, dass kaum einer sich die Mühe macht, für die vielen verschednen IMGs fertige Spyware zu bauen (sofern das möglich wäre).

Natürlich hast du Recht, das root-Passwort rauszugeben ist sträflich und gehört auch bestraft. Die beschriebene Möglichkeit, zusätzliche SW zu installieren, misslingt gänzlich ohne root passwort