Daten vom Hacker verschlüsselt

[FrAntje]

Du hast Recht, es gibt keinen Grund, das nicht zu tun. Bequemlichkeit vielleicht.
Aber dennoch ist das Risiko um einiges geringer, wenns lokal bleibt.
WLAN Geräte kommen nicht auf mein iobroker. Wieso auch?¿
LAN Geräte gibt es nur mich.
Ok, außer vielleicht meine Tasmota Steckdose. Ja und selbst die könnte theoretisch Schadcode enthalten, was ich einfach mal jetzt nicht annehme

 

[the other]

Moinsen,
Da geb ich dir vom ersten bis zum letzten Buchstaben recht.
Besonders aber den ersten beiden Sätzen...

 

[blurrrr]

Najo, da reicht aber theoretisch schon ein entsprechendes Script auf einer Website o.ä. (man erinnere sich mal an den Router-GAU vor etlichen Jahren, woraufhin die Hersteller dann doch mal angefangen haben, entsprechende Passwörter vorzugeben, anstatt so Dinge wie 123456 und so und die Dinger waren auch nur aus dem LAN erreichbar) ??

EDIT: Allerdings laufen die Sachen dann meist ins Leere, wenn die Dinge in anderen LANs sind, da i.d.R. auch nur das Netz des Clients im Schnelldurchlauf durchforstet wird (wenn es nicht sowieso schon eine Netzvorgabe gibt).

 

[LutzHase]

Ist im übrigen die selbe E-Mail Adresse wie bei mir ...
Ich habe nach der Bezahlung meines Lehrgeldes auch den Schlüsel erhalten...

 

[tproko]

Aber auf die Idee gekommen den nach aussen hin frei zu machen bin ich natürlich nicht

Heißt jetzt im Konkreten, dass du keine Portweiterleitung nach außen hattest?! Oder verstehe ich dich da falsch.

Wenn du iobroker nicht ins Internet gestellt hast, würde ich mir noch Gedanken machen, wie der Angreifer in dein Netz kam.

 

[framp]

Ok. Das Kind ist in den Brunnen gefallen :-( Hat jemand beim iobroker die rote Fahne gehisst und diese auf deren bloede Standardkonfiguration hingewiesen dass das nicht weiterhin passiert?

 

[blurrrr]

@framp Natürlich nicht...?

 

[Jim_OS]

- Installation von IoBroker: Standardmässig ohne Admin-Kennwort, muss nachkonfiguriert werden

Ich habe eben auch mal testweise ioBroker auf meiner DS218+ installiert. Während oder nach der Installation wird man nicht, wie eigentlich üblich, aufgefordert das Admin PW zu setzen/ändern. So weit so schlecht, aber ist das - in Verbindung mit dem Synology Adapter und entsprechender Portfreigabe - tatsächlich die "Lücke" die benutzt wurde? Ich meine - wenn ich eine Software mit Administrations-/User-Rechten installiere, dann ist doch eigentlich das erste was man - oder zumindest ich - macht/mache, diese Rechte zu überprüfen und auch PW zu (er)setzen.



Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

VG Jim

 

[tproko]

was man - oder zumindest ich - macht/mache

Was du machst - okay.

„Was man macht“ - sicher nicht jeder macht das. Nicht umsonst gab es schon genug Probleme mit zigtausenden Routern oder anderer Hardware wo der Default admin/password war und nie geändert wurde...

 

[blurrrr]

@tproko Hätte man jetzt nicht besser formulieren können. ?

Genau wegen sowas gab es ja vor Jahren dieses riesen Trara über die Router-Passwörter und dass nu alles "random" sein muss. Fritzboxen hatten gar kein Passwort, Easyboxen so geile Logins wie root/123456 und Telekom hatte (meine ich) auch nicht wirklich was mit Passwörtern an der Mütze. Bei so ziemlich allen anderen sah es dann so aus wie von @tproko beschrieben, da war man dann als "böser hacker" (uiuiuiuiui!!!) nach ungefähr spätestens 2 Versuchen drin... (admin/password, root/password, danach kamen noch die "üblichen Verdächtigen", also maximal 10 Sekunden, wenn man schnell tippen konnt4e) ?

 

[apollon77]

Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

Da bin ich bei Dir.

Ok, zugegeben ioBroker könnte bei der Installation immer SSL aktivieren (ja mit selbst signiertem Zertifikat - sieht dann auch wieder sehr phishy aus für unbedarfte User ... hilft der Browser zeigt ne Warnung an ... huii) und auch die Authentifizierung direkt aktivieren (ach wie war doch gleich das Standardpasswort; muss man das ändern??). Aber sind wir doch mal ehrlich:

Wenn ich im heimischen Netzwerk HTTP nutzen kann und nach keinem Login gefragt werden dann ist das bestimmt mit einem weitergeleiteten Port aus dem Internet anders ... gell? ;-)

@Fitti: Also ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen. Ja man kann Dinge verbessern, aber der Einsatz einer Software (egal welcher) entbindet niemanden vom mitdenken finde ich ... Port Weiterleitungen sollten verboten werden in meinen AUgen -oder hinter 20 "Ja ich weiss was ich tue" Dialogen versteckt sein.

 

[framp]

ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen

Es gehoert aber mittlerweile zum guten Ton bei der Installation einer Software beim ersten Login in das Admin- wie auch das BenutzerUI den Benutzer sofort zu zwingen das Passwort - und noch besser auch den Adminbenutzernamen - zu aendern. Dann auch zusaetzlich zu pruefen dass das PWD nicht trivial ist

 

[the other]

Moinsen,
Gebe dir Recht dabei, dass nicht das Programm als solches eine Sicherheitslücke darstellt.
Aber es ist dahingehend eben (wie soviel andere Produkte in der IT) dermaßen gestaltet, dass man nicht unterstützt wird, offensichtliche no gos zu vermeiden. Schon bei der Einrichtung. Ist aber eine verbreitete Diskrepanz. Die Produkte werden einerseits für den out of the Box Einsatz verkauft, IT will heute jeder daheim irgendwie nutzen, Vorahnung gleich null. Andererseits war all das vor gar nicht allzu langer Zeit eine Nische für Technik nerds, die sich vieles selber erarbeiten mussten. Nix out of the Box und los geht's.
Das sollten die werten Hersteller und Qualitätsverantwortlichen dabei mal Bedenken. Der heutige User ist erstmal bei den grundlegenden Sicherheitsdingen als noob zu betrachten. Dementsprechend sollte der Konfigurationsprozess gestaltet werden.
Jm2c

 

[framp]

Dementsprechend sollte der Konfigurationsprozess gestaltet werden

Also sollte eine SW fuer den Noob mit StandardUID und StandardPWD laufen wenn die SW per Internet zugreifbar ist?

Auch Tante Emma kann einem Panelworkflow folgen der bei der Einrichtung einer SW zu durchlaufen ist und verlangt dass ein PWD - und moeglichst auch eine UID - fuer den Admin zu aendern ist und dabei pruefen dass das PWD nicht trivial ist.

 

[the other]

Moinsen,
Nein, er sollte so gestaltet sein, dass auch ein noob gezwungen wird vernünftig seine credentials einzurichten, alle ports erstmal zu zulassen, usw.
Das meinte ich.
Eben nicht mit user name gleich admin und Standard Passwörter bis zum jüngsten Gericht zu haben.
So dass eben gerade jemand der keine ahnung hat gezwungen wird die Basics zu beachten.
Fand ich eigentlich nicht missverständlich...

 

[framp]

Fand ich eigentlich nicht missverständlich..

Das kam fuer mich aber leider nicht so rueber

 

[the other]

Moinsen,
Dann ist doch gut, dass du gefragt hast. Vermute mal wieder mein Problem von das denke ich und so schreib ich...
Inhaltlich bin ich da voll bei dir. Das könnte man vernünftig programmieren und fertig. Und den User eben (Vorgabe mindest Passwort Stärke zb) an die Hand nehmen.

 

[the other]

Ps @framp ...
Weil du ja viel im raspi forum machst (nebenbei, coole Projekte dabei).. . Openmediavault hatte da doch noch ne ganz andere unart am start. Das hat doch sogar einfach mal so was an den ssh Einstellungen verändert, wenn ich mich recht entsinne...
Das ist nochmal anderes Kaliber.

 

[framp]

Es hat auch bei den raspberry.org Entwicklern gedauert bis ihnen das Licht aufging doch ssh per default zu disablen und eine Anederung der ?WDs von pi zu enforcen. Besser waere noch sie wuerden auch noch die Aenderung der UID verlangen.

 

[apollon77]

Wie ja schon geschrieben bin ich dabei das hier in jedem Fall am Installationsassistenten verbessert werden sollte. Ist glaube auch schon auf dem Plan.
Dennoch bin der vollen Meinung das jeder der eine Port-Weiterleitung einrichtet wissen muss was er tut - unabhängig davon auf welche Software oder was er gerade freigibt. Und das ist für mich das weit größere Problem ... und keiner Hier meckert gerade das die Router-Hersteller sowas unwissenden Usern ohne genügend Aufklärung erlauben ... vor allem wenn wir annehmen das der "normalo User" ein Noob ist

Aber ich denke wir sind uns generell hier einig