Daten vom Hacker verschlüsselt

[blurrrr]

1) Nur Noobs sprechen von Noobs... (erste Regel des Fight...ähm...Admin-Clubs!)
2) Mit weitergeleiteten Ports hat das eigentlich wenig zu tun, aber irgendwann wird auch das mal verstanden...
3) ...mal sehen... ??

Aber ansonsten Herr F., wenn wir mal von der 77 ausgehen, biste ca. gleichalt wie ich. Wie kommst Du dazu von "Noobs" zu sprechen? Ich mein, ich sag ja auch nicht "Du bist halt ka**e, weil eure Bude da nur Müll baut was die Sicherheit angeht". Davon ab: Da gibt es auch kein Argument gegen und das SPÄTESTENS seit den 1990-2000ern (so "ganz grob" der Rahmen, wo man die Allgemeinheit so RICHTIG auf's Internet losgelassen hat mit jedem Mist). Spätestens ab da muss klar gewesen sein: Ihr entwickelt nicht einfach irgendwas, was man bedienen können muss. Es besteht heutzutage schlichtweg die "Pflicht" (bei "vernünftiger" Arbeit) den Kunden vor sich selbst zu schützen. Da braucht man nicht wie geistig minderbem***elt mit Begriffen wie "Noob" um sich zu werfen und versuchen den Fehler auf den User abzuwälzen. Die haben "bekanntlich" keine Ahnung und genau das mit dem "bekanntlich" ist der springende Punkt dabei - also: auch keine Ausreden

und keiner Hier meckert gerade das die Router-Hersteller sowas unwissenden Usern ohne genügend Aufklärung erlauben

Wir erinnern uns mal "etwas" weiter zurück... da gab es eine Zeit der Standardpasswörter... root/123456 (Easybox), etc. Woraufhin dann auch div. "Problemchen" aufgetaucht sind (u.a. sind deswegen "Portfreigaben" auch überhaupt garnicht das große Thema, aber kommste auch noch hinter) und die Provider allesamt die Voreinstellungen geändert haben. Lieber einen Sticker mit irgendwas kryptischem hinten auf dem Gerät, anstatt ein 0815-Passwort, was überall gleich ist. Insofern HABEN die Routerhersteller schon entsprechendes getan.

Und dieses "Ihr seid doof weil" mit einem "mimimimi aber die anderen!" zu beantworten ist irgendwie auch nicht so der Bringer ??

Wie ja schon geschrieben bin ich dabei das hier in jedem Fall am Installationsassistenten verbessert werden sollte. Ist glaube auch schon auf dem Plan.

Genau, belass es einfach dabei - beste Antwort (typische Supportantwort - "Haben Sie auf jeden Fall Recht! Ich glaube, dass das sogar schon auf dem Plan steht!") und jut ist, mit allem anderen kann man sich nur noch tiefer in .... naja, lassen wir das... ?

EDIT: Der Spruch "entbindet nicht vom mitdenken".... Genau, nicht den Usern in die Tasche schieben (die haben ja bekanntlich keine Ahnung und wissen somit auch garnicht WORAN sie überhaupt denken sollten), somit bleibt das "mitdenken" dann beim Entwickler/Hersteller kleben ?

 

[tproko]

Aber ich denke wir sind uns generell hier einig

Das denke ich auch.

Installationsassistenten verbessert werden sollte

Ein Bekannter ist selber Elektriker (aber eben wenig Berührung mit IT), hat sich in seinem Haus alles ver-smart-homed mit einem nicht so kleinen Smart-Home Anbieter. Dort fand sich tatsächlich auf der Homepage die Anleitung für Zugriff von Unterwegs: "Leiten sie Port 80 von extern nach intern auf den Smart-Home Server" weiter. Er hat mir das gesagt, ich hab ihm kurz meine Meinung dazu gesagt, und er hat denen dann auch eine Mail dazu geschickt . Jetzt wurde es mal zumindest auf 443 geändert, und den Hinweis das wohl VPN besser wäre. Aber ja, die meisten interessiert das nicht wirklich.

Ich sag nur meine relativ neues Heizungssystem (2017 installiert, wurde 2015 released) hat ein embedded Linux von 2009. Ich bin mir relativ sicher, dass da nix nachgepatched wurde. Also ja, super ist das

 

[the other]

Moinsen,

1) Nur Noobs sprechen von Noobs... (erste Regel des Fight...ähm...Admin-Clubs!)

Da ich ja zuerst mit dem Begriff um mich geworfen habe hier im Thread fühl ich mich angesprochen...?
...und gebe entspannt zu bedenken: jau, bin ich, bin ja schließlich Hobbykelleradmin.
?

 

[blurrrr]

"Leiten sie Port 80 von extern nach intern auf den Smart-Home Server" weiter.

Ist doch Usus sowas... ist doch alles ganz einfach, machste nur hier klick und da klick und schon läuft das alles inkl. Öffnung der Haustür - alles gaaaaaar kein Problem!

 

[tproko]

Öffnung der Haustür - alles gaaaaaar kein Problem!

Und das öffnen der Haustür für Jedermann wird dann sicher noch als Super-Feature verkauft ?

 

[LutzHase]

@blurrrr bist wieder richtig in Fahrt ?
Du vergraulst immer alle mit deiner offenen Art. ?

Ähm mal ganz ehrlich, dass ist doch nicht wirklich deeer Apollon77... Der echte würde nie solche rudimentären Diskussionen führen. Dafür hat er zu viel drauf. ?

Ich war ja selbst betroffen und nur weil ich vergessen hatte das ich Ports offen hatte.
Der Typ hat mir auch geschrieben das sie ganz konkret auf die 80er und 5000er Ports von iobroker, synology usw abziehen.
Mittlerweile ist die Absicherung im Iobroker wirklich besser geworden. Das ist auch extrem wichtig, denn wenn man da rein kommt steht einem in der Regel alles offen.
Ich finde es auch immer fanatisch wenn Leute dann auch noch proxmox einbinden und da drauf alles laufen haben.
Es ist auch wahnsinnig umfangreich mal eben in das Thema einsteigen. Wenn man vorher kein Linux, Javascript, usw. Kannte.

 

[Ulfhednir]

Ich möchte jetzt noch einmal im Zusammenhang mit dem ioBroker folgendes klarstellen:

Anhang anzeigen 59405

Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

VG Jim

Die Lücke ist ja auch nicht das nicht vorhandene Admin-Kennwort, sondern der Synology-Adapter, welches das Kennwort UNVERSCHLÜSSELT ist eine json-Datei abspeichert. Da ist es vollkommen Schnuppe, wie komplex dein Kennwort letztendlich ist.

 

[blurrrr]

Du vergraulst immer alle mit deiner offenen

Ja nu, dat Kind halt mal beim Namen nennen - bringt ja auch nix sich sowas schön zu reden, "et is halt wie et is" bzw "isso" wie es hier im Pott so schön heisst. Mag ja sein, dass sich jemand durch solche Formulierungen auf den Schlips getreten fühlt, aber lieber so (und nochmal zum nachdenken angeregt) als blind ins Messer laufen lassen (finde ich jedenfalls). Auf der anderen Seite steht natürlich, dass "Lernen durch Schmerzen" auch immer ganz gut hilft, aber ich finde, dass es nicht unbedingt soweit kommen muss (auch wenn die Lerneffekte dann meist größer sind) ??

 

[LutzHase]

Alles gut, du nörgelst ja nicht grundlos. ?
Wie es in manch anderen Foren so gemacht wird. Du bleibst ja auch dran und hilfst so gut man sich eben helfen lassen möchte.
Ich finde es sehr unterhaltsam ?

 

[whitbread]

Die Lücke ist ja auch nicht das nicht vorhandene Admin-Kennwort, sondern der Synology-Adapter, welches das Kennwort UNVERSCHLÜSSELT ist eine json-Datei abspeichert. Da ist es vollkommen Schnuppe, wie komplex dein Kennwort letztendlich ist.

Nein, primär der offene Admin-Port, der vom iobroker zugänglich war, ist das Problem. IoT-Geräte sind per se als untrusted zu klassifizieren und daher sollte von diesen keinerlei administrativer Zugriff möglich sein!
Naja, und wer seinen iobroker dann ungesichert ins Netz stellt, wird nicht nur von den eigenen Kindern, sondern auch von bösen Externen bestraft.

 

[Ulfhednir]

Das halte ich jetzt für eine exklusive Einzelmeinung. Ich gebe dir erst einmal vom Grundsatz recht: Natürlich ist es einfach nur dumm, wenn der Port offen ist. Das ist auch meine Predigt in diversen Threads hier im Forum. Aber der offene Port sorgt im Prinzip noch für keine Verschlüsselung der Diskstation - dazu gehört mehr. Mit dem offenen Port kann ich allerhand schabernack mit dem Smarthome betreiben. Die Heizung auf 30°C stellen, Alexa dudeln lassen etc. pp. Was man allerdings festhalten kann: Die Gemeinsamkeit liegt beim installierten Synology-Adapter. Diesen habe ich mir etwas genauer angeschaut und bin aus meiner Sicht zu dem o.g. genannten Security Issue gekommen. Da reichen dann selbst semi-professionelle Kenntnisse aus, um das NAS per DSM-Frontend oder per SSH, ausgehend vom ioBroker, zu übernehmen.

 

[Thonav]

Das sehe ich genauso. Erst die Installation des Synology Adapters (der nicht von Synology selber stammt) lässt bei sorglosem Umgang den direkten Systemzugriff zu.

 

[whitbread]

Ich glaube, Du hast mich falsch verstanden: Der Zugriff vom iobroker auf die NAS und dessen Admin-Ports (5000, 5001, 22, 23) muss unterbunden werden. Wenn es unbedingt Zugriff braucht, dann SNMP oder sowas.
Dann kann der iobroker auch im www stehen (würde ich nicht machen); es geht dann aber nicht weiter.
Technisch gesprochen: Der iobroker (und auch andere IoT-devices) gehören in ein isoliertes Netz (üblichweise DMZ genannt; alt. in ein sog. Gastnetz). Eine Detailanalyse, was die Geräte nämlich so machen, kann heute niemand mehr leisten.

 

[framp]

Eine Detailanalyse, was die Geräte nämlich so machen, kann heute niemand mehr leisten.

Ist nicht notwendig wenn man die Sensoren selbst programmiert hat

 

[peterhoffmann]

isoliertes Netz

Dein Ansatz diese Geräte nur in einer DMZ zu betreiben ist nachvollziehbar und logisch.

Nur IoT-Geräte werden oft privat genutzt. Da steht in der Regel ein 08/15 Router, vielleicht noch ein unmanaged Switch für 20 Euro, die das allesamt nicht unterstützen bzw. es nicht komfortabel umsetzbar oder für den normalen User beherrschbar ist.
Gleichzeitig bekommt man diese IoT-Seuche überall gekauft und auch in 5min ins Netz eingebunden.
"Oh, Papa kann das Licht per App schalten, oh, sogar die Farbe ändern, wie magisch!"

Da kann man nur hoffen, dass die Hersteller von Routern das mal ändern (z.B. klar getrenntes WLAN für dieses Gedöns), sowie IoT-Geräte das auch komfortabel unterstützen.

Von den ganzen Bettwanzen (Ranzlexa, Pipi, Potana, Schwibsy, Woogle) will ich gar nicht erst anfangen. ?

Sensoren selbst programmiert

Was machen die anderen 99,97%? ?

 

[Puppetmaster]

...z.B. IoT nur ins Gastnetz lassen.

 

[peterhoffmann]

IoT nur ins Gastnetz

1. eher weniger komfortabel und für den normalen User oft nicht umsetzbar
2. welches Netz dann für die Gäste?

 

[Puppetmaster]

1) mit der weitverbreiteten FritzBox kinderleicht.
2) natürlich auch ins Gastnetz

 

[peterhoffmann]

Kinderleicht heißt nicht auch komfortabel und machbar für den ahnungslosen User.
Auch gefällt mir der Gedanke nicht, dass die Gäste dann im gleichen Netz sind, wie alle IoT-Geräte.

 

[Puppetmaster]

2) gibt ja auch nur die Alternative zu: es gibt nur ein Netz und darin bin ich, IoT und meine Gäste. Besser ist das nicht.
Gastnetz einschalten geht mit wenigen Klicks. Einmal einrichten, fertig.

Warum sollten meine Gäste nicht zusammen mit meinem TV in einem Netz sein?
Oder andersherum: bist du als Gast so leichtsinnig und gehst in jedes Netz, dass du nicht selbst verwaltest?