Daten vom Hacker verschlüsselt

FrAntje

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
359
Punkte für Reaktionen
17
Punkte
18
Du hast Recht, es gibt keinen Grund, das nicht zu tun. Bequemlichkeit vielleicht.
Aber dennoch ist das Risiko um einiges geringer, wenns lokal bleibt.
WLAN Geräte kommen nicht auf mein iobroker. Wieso auch?¿
LAN Geräte gibt es nur mich.
Ok, außer vielleicht meine Tasmota Steckdose. Ja und selbst die könnte theoretisch Schadcode enthalten, was ich einfach mal jetzt nicht annehme :)
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Da geb ich dir vom ersten bis zum letzten Buchstaben recht.
Besonders aber den ersten beiden Sätzen...
:cool::p
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, da reicht aber theoretisch schon ein entsprechendes Script auf einer Website o.ä. (man erinnere sich mal an den Router-GAU vor etlichen Jahren, woraufhin die Hersteller dann doch mal angefangen haben, entsprechende Passwörter vorzugeben, anstatt so Dinge wie 123456 und so und die Dinger waren auch nur aus dem LAN erreichbar) ??

EDIT: Allerdings laufen die Sachen dann meist ins Leere, wenn die Dinge in anderen LANs sind, da i.d.R. auch nur das Netz des Clients im Schnelldurchlauf durchforstet wird (wenn es nicht sowieso schon eine Netzvorgabe gibt).
 
  • Like
Reaktionen: the other

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Aber auf die Idee gekommen den nach aussen hin frei zu machen bin ich natürlich nicht

Heißt jetzt im Konkreten, dass du keine Portweiterleitung nach außen hattest?! Oder verstehe ich dich da falsch.

Wenn du iobroker nicht ins Internet gestellt hast, würde ich mir noch Gedanken machen, wie der Angreifer in dein Netz kam.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69
Ok. Das Kind ist in den Brunnen gefallen :-( Hat jemand beim iobroker die rote Fahne gehisst und diese auf deren bloede Standardkonfiguration hingewiesen dass das nicht weiterhin passiert?
 
  • Haha
Reaktionen: blurrrr

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.258
Punkte
259
- Installation von IoBroker: Standardmässig ohne Admin-Kennwort, muss nachkonfiguriert werden
Ich habe eben auch mal testweise ioBroker auf meiner DS218+ installiert. :D Während oder nach der Installation wird man nicht, wie eigentlich üblich, aufgefordert das Admin PW zu setzen/ändern. So weit so schlecht, aber ist das - in Verbindung mit dem Synology Adapter und entsprechender Portfreigabe - tatsächlich die "Lücke" die benutzt wurde? Ich meine - wenn ich eine Software mit Administrations-/User-Rechten installiere, dann ist doch eigentlich das erste was man - oder zumindest ich - macht/mache, diese Rechte zu überprüfen und auch PW zu (er)setzen.

ioBroker_admin.png

Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

VG Jim
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
was man - oder zumindest ich - macht/mache

Was du machst - okay.

„Was man macht“ - sicher nicht jeder macht das. Nicht umsonst gab es schon genug Probleme mit zigtausenden Routern oder anderer Hardware wo der Default admin/password war und nie geändert wurde... ;)
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@tproko Hätte man jetzt nicht besser formulieren können. ?

Genau wegen sowas gab es ja vor Jahren dieses riesen Trara über die Router-Passwörter und dass nu alles "random" sein muss. Fritzboxen hatten gar kein Passwort, Easyboxen so geile Logins wie root/123456 und Telekom hatte (meine ich) auch nicht wirklich was mit Passwörtern an der Mütze. Bei so ziemlich allen anderen sah es dann so aus wie von @tproko beschrieben, da war man dann als "böser hacker" (uiuiuiuiui!!!) nach ungefähr spätestens 2 Versuchen drin... (admin/password, root/password, danach kamen noch die "üblichen Verdächtigen", also maximal 10 Sekunden, wenn man schnell tippen konnt4e) ?
 
  • Like
Reaktionen: the other

apollon77

Benutzer
Mitglied seit
27. Jan 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

Da bin ich bei Dir.

Ok, zugegeben ioBroker könnte bei der Installation immer SSL aktivieren (ja mit selbst signiertem Zertifikat - sieht dann auch wieder sehr phishy aus für unbedarfte User ... hilft der Browser zeigt ne Warnung an ... huii) und auch die Authentifizierung direkt aktivieren (ach wie war doch gleich das Standardpasswort; muss man das ändern??). Aber sind wir doch mal ehrlich:

Wenn ich im heimischen Netzwerk HTTP nutzen kann und nach keinem Login gefragt werden dann ist das bestimmt mit einem weitergeleiteten Port aus dem Internet anders ... gell? ;-)

@Fitti: Also ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen. Ja man kann Dinge verbessern, aber der Einsatz einer Software (egal welcher) entbindet niemanden vom mitdenken finde ich ... Port Weiterleitungen sollten verboten werden in meinen AUgen -oder hinter 20 "Ja ich weiss was ich tue" Dialogen versteckt sein.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69
ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen
Es gehoert aber mittlerweile zum guten Ton bei der Installation einer Software beim ersten Login in das Admin- wie auch das BenutzerUI den Benutzer sofort zu zwingen das Passwort - und noch besser auch den Adminbenutzernamen - zu aendern. Dann auch zusaetzlich zu pruefen dass das PWD nicht trivial ist ;)
 
  • Like
Reaktionen: the other

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Gebe dir Recht dabei, dass nicht das Programm als solches eine Sicherheitslücke darstellt.
Aber es ist dahingehend eben (wie soviel andere Produkte in der IT) dermaßen gestaltet, dass man nicht unterstützt wird, offensichtliche no gos zu vermeiden. Schon bei der Einrichtung. Ist aber eine verbreitete Diskrepanz. Die Produkte werden einerseits für den out of the Box Einsatz verkauft, IT will heute jeder daheim irgendwie nutzen, Vorahnung gleich null. Andererseits war all das vor gar nicht allzu langer Zeit eine Nische für Technik nerds, die sich vieles selber erarbeiten mussten. Nix out of the Box und los geht's.
Das sollten die werten Hersteller und Qualitätsverantwortlichen dabei mal Bedenken. Der heutige User ist erstmal bei den grundlegenden Sicherheitsdingen als noob zu betrachten. Dementsprechend sollte der Konfigurationsprozess gestaltet werden.
Jm2c
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69
Dementsprechend sollte der Konfigurationsprozess gestaltet werden
Also sollte eine SW fuer den Noob mit StandardUID und StandardPWD laufen wenn die SW per Internet zugreifbar ist? :mad:

Auch Tante Emma kann einem Panelworkflow folgen der bei der Einrichtung einer SW zu durchlaufen ist und verlangt dass ein PWD - und moeglichst auch eine UID - fuer den Admin zu aendern ist und dabei pruefen dass das PWD nicht trivial ist.
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Nein, er sollte so gestaltet sein, dass auch ein noob gezwungen wird vernünftig seine credentials einzurichten, alle ports erstmal zu zulassen, usw.
Das meinte ich.
Eben nicht mit user name gleich admin und Standard Passwörter bis zum jüngsten Gericht zu haben.
So dass eben gerade jemand der keine ahnung hat gezwungen wird die Basics zu beachten.
Fand ich eigentlich nicht missverständlich... ;)
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Dann ist doch gut, dass du gefragt hast. Vermute mal wieder mein Problem von das denke ich und so schreib ich... ;)
Inhaltlich bin ich da voll bei dir. Das könnte man vernünftig programmieren und fertig. Und den User eben (Vorgabe mindest Passwort Stärke zb) an die Hand nehmen.
 
  • Haha
  • Like
Reaktionen: blurrrr und framp

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Ps @framp ...
Weil du ja viel im raspi forum machst (nebenbei, coole Projekte dabei).. . Openmediavault hatte da doch noch ne ganz andere unart am start. Das hat doch sogar einfach mal so was an den ssh Einstellungen verändert, wenn ich mich recht entsinne...
Das ist nochmal anderes Kaliber.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
967
Punkte für Reaktionen
102
Punkte
69
Es hat auch bei den raspberry.org Entwicklern gedauert bis ihnen das Licht aufging doch ssh per default zu disablen und eine Anederung der ?WDs von pi zu enforcen. Besser waere noch sie wuerden auch noch die Aenderung der UID verlangen.
 
  • Like
Reaktionen: the other

apollon77

Benutzer
Mitglied seit
27. Jan 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
1
Wie ja schon geschrieben bin ich dabei das hier in jedem Fall am Installationsassistenten verbessert werden sollte. Ist glaube auch schon auf dem Plan.
Dennoch bin der vollen Meinung das jeder der eine Port-Weiterleitung einrichtet wissen muss was er tut - unabhängig davon auf welche Software oder was er gerade freigibt. Und das ist für mich das weit größere Problem ... und keiner Hier meckert gerade das die Router-Hersteller sowas unwissenden Usern ohne genügend Aufklärung erlauben ... vor allem wenn wir annehmen das der "normalo User" ein Noob ist :)

Aber ich denke wir sind uns generell hier einig :)
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat