Toggle sidebar

Daten vom Hacker verschlüsselt

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Du hast Recht, es gibt keinen Grund, das nicht zu tun. Bequemlichkeit vielleicht.
Aber dennoch ist das Risiko um einiges geringer, wenns lokal bleibt.
WLAN Geräte kommen nicht auf mein iobroker. Wieso auch?¿
LAN Geräte gibt es nur mich.
Ok, außer vielleicht meine Tasmota Steckdose. Ja und selbst die könnte theoretisch Schadcode enthalten, was ich einfach mal jetzt nicht annehme :)
 
Moinsen,
Da geb ich dir vom ersten bis zum letzten Buchstaben recht.
Besonders aber den ersten beiden Sätzen...
:cool::p
 
Najo, da reicht aber theoretisch schon ein entsprechendes Script auf einer Website o.ä. (man erinnere sich mal an den Router-GAU vor etlichen Jahren, woraufhin die Hersteller dann doch mal angefangen haben, entsprechende Passwörter vorzugeben, anstatt so Dinge wie 123456 und so und die Dinger waren auch nur aus dem LAN erreichbar) ??

EDIT: Allerdings laufen die Sachen dann meist ins Leere, wenn die Dinge in anderen LANs sind, da i.d.R. auch nur das Netz des Clients im Schnelldurchlauf durchforstet wird (wenn es nicht sowieso schon eine Netzvorgabe gibt).
 
  • Like
Reaktionen: the other
FrAntje schrieb:
Aber auf die Idee gekommen den nach aussen hin frei zu machen bin ich natürlich nicht
Zum Vergrößern anklicken....

Heißt jetzt im Konkreten, dass du keine Portweiterleitung nach außen hattest?! Oder verstehe ich dich da falsch.

Wenn du iobroker nicht ins Internet gestellt hast, würde ich mir noch Gedanken machen, wie der Angreifer in dein Netz kam.
 
Ok. Das Kind ist in den Brunnen gefallen :-( Hat jemand beim iobroker die rote Fahne gehisst und diese auf deren bloede Standardkonfiguration hingewiesen dass das nicht weiterhin passiert?
 
  • Haha
Reaktionen: blurrrr
servilianus schrieb:
- Installation von IoBroker: Standardmässig ohne Admin-Kennwort, muss nachkonfiguriert werden
Zum Vergrößern anklicken....
Ich habe eben auch mal testweise ioBroker auf meiner DS218+ installiert. :D Während oder nach der Installation wird man nicht, wie eigentlich üblich, aufgefordert das Admin PW zu setzen/ändern. So weit so schlecht, aber ist das - in Verbindung mit dem Synology Adapter und entsprechender Portfreigabe - tatsächlich die "Lücke" die benutzt wurde? Ich meine - wenn ich eine Software mit Administrations-/User-Rechten installiere, dann ist doch eigentlich das erste was man - oder zumindest ich - macht/mache, diese Rechte zu überprüfen und auch PW zu (er)setzen.

ioBroker_admin.png

Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?

VG Jim
 
Jim_OS schrieb:
was man - oder zumindest ich - macht/mache
Zum Vergrößern anklicken....

Was du machst - okay.

„Was man macht“ - sicher nicht jeder macht das. Nicht umsonst gab es schon genug Probleme mit zigtausenden Routern oder anderer Hardware wo der Default admin/password war und nie geändert wurde... ;)
 
  • Like
  • Haha
Reaktionen: the other, blurrrr, ctrlaltdelete und eine weitere Person
@tproko Hätte man jetzt nicht besser formulieren können. ?

Genau wegen sowas gab es ja vor Jahren dieses riesen Trara über die Router-Passwörter und dass nu alles "random" sein muss. Fritzboxen hatten gar kein Passwort, Easyboxen so geile Logins wie root/123456 und Telekom hatte (meine ich) auch nicht wirklich was mit Passwörtern an der Mütze. Bei so ziemlich allen anderen sah es dann so aus wie von @tproko beschrieben, da war man dann als "böser hacker" (uiuiuiuiui!!!) nach ungefähr spätestens 2 Versuchen drin... (admin/password, root/password, danach kamen noch die "üblichen Verdächtigen", also maximal 10 Sekunden, wenn man schnell tippen konnt4e) ?
 
  • Like
Reaktionen: the other
Jim_OS schrieb:
Daher kann ich mir irgendwie nicht vorstellen das das fehlende Admin PW die "Lücke" sein soll. ?
Zum Vergrößern anklicken....

Da bin ich bei Dir.

Ok, zugegeben ioBroker könnte bei der Installation immer SSL aktivieren (ja mit selbst signiertem Zertifikat - sieht dann auch wieder sehr phishy aus für unbedarfte User ... hilft der Browser zeigt ne Warnung an ... huii) und auch die Authentifizierung direkt aktivieren (ach wie war doch gleich das Standardpasswort; muss man das ändern??). Aber sind wir doch mal ehrlich:

Wenn ich im heimischen Netzwerk HTTP nutzen kann und nach keinem Login gefragt werden dann ist das bestimmt mit einem weitergeleiteten Port aus dem Internet anders ... gell? ;-)

@Fitti: Also ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen. Ja man kann Dinge verbessern, aber der Einsatz einer Software (egal welcher) entbindet niemanden vom mitdenken finde ich ... Port Weiterleitungen sollten verboten werden in meinen AUgen -oder hinter 20 "Ja ich weiss was ich tue" Dialogen versteckt sein.
 
apollon77 schrieb:
ich finde es sehr grenzwertig ioBroker eine "Sicherheitslücke" zu nennen
Zum Vergrößern anklicken....
Es gehoert aber mittlerweile zum guten Ton bei der Installation einer Software beim ersten Login in das Admin- wie auch das BenutzerUI den Benutzer sofort zu zwingen das Passwort - und noch besser auch den Adminbenutzernamen - zu aendern. Dann auch zusaetzlich zu pruefen dass das PWD nicht trivial ist ;)
 
  • Like
Reaktionen: the other
Moinsen,
Gebe dir Recht dabei, dass nicht das Programm als solches eine Sicherheitslücke darstellt.
Aber es ist dahingehend eben (wie soviel andere Produkte in der IT) dermaßen gestaltet, dass man nicht unterstützt wird, offensichtliche no gos zu vermeiden. Schon bei der Einrichtung. Ist aber eine verbreitete Diskrepanz. Die Produkte werden einerseits für den out of the Box Einsatz verkauft, IT will heute jeder daheim irgendwie nutzen, Vorahnung gleich null. Andererseits war all das vor gar nicht allzu langer Zeit eine Nische für Technik nerds, die sich vieles selber erarbeiten mussten. Nix out of the Box und los geht's.
Das sollten die werten Hersteller und Qualitätsverantwortlichen dabei mal Bedenken. Der heutige User ist erstmal bei den grundlegenden Sicherheitsdingen als noob zu betrachten. Dementsprechend sollte der Konfigurationsprozess gestaltet werden.
Jm2c
 
the other schrieb:
Dementsprechend sollte der Konfigurationsprozess gestaltet werden
Zum Vergrößern anklicken....
Also sollte eine SW fuer den Noob mit StandardUID und StandardPWD laufen wenn die SW per Internet zugreifbar ist? :mad:

Auch Tante Emma kann einem Panelworkflow folgen der bei der Einrichtung einer SW zu durchlaufen ist und verlangt dass ein PWD - und moeglichst auch eine UID - fuer den Admin zu aendern ist und dabei pruefen dass das PWD nicht trivial ist.
 
Moinsen,
Nein, er sollte so gestaltet sein, dass auch ein noob gezwungen wird vernünftig seine credentials einzurichten, alle ports erstmal zu zulassen, usw.
Das meinte ich.
Eben nicht mit user name gleich admin und Standard Passwörter bis zum jüngsten Gericht zu haben.
So dass eben gerade jemand der keine ahnung hat gezwungen wird die Basics zu beachten.
Fand ich eigentlich nicht missverständlich... ;)
 
Moinsen,
Dann ist doch gut, dass du gefragt hast. Vermute mal wieder mein Problem von das denke ich und so schreib ich... ;)
Inhaltlich bin ich da voll bei dir. Das könnte man vernünftig programmieren und fertig. Und den User eben (Vorgabe mindest Passwort Stärke zb) an die Hand nehmen.
 
  • Haha
  • Like
Reaktionen: blurrrr und framp
Ps @framp ...
Weil du ja viel im raspi forum machst (nebenbei, coole Projekte dabei).. . Openmediavault hatte da doch noch ne ganz andere unart am start. Das hat doch sogar einfach mal so was an den ssh Einstellungen verändert, wenn ich mich recht entsinne...
Das ist nochmal anderes Kaliber.
 
Es hat auch bei den raspberry.org Entwicklern gedauert bis ihnen das Licht aufging doch ssh per default zu disablen und eine Anederung der ?WDs von pi zu enforcen. Besser waere noch sie wuerden auch noch die Aenderung der UID verlangen.
 
  • Like
Reaktionen: the other
Wie ja schon geschrieben bin ich dabei das hier in jedem Fall am Installationsassistenten verbessert werden sollte. Ist glaube auch schon auf dem Plan.
Dennoch bin der vollen Meinung das jeder der eine Port-Weiterleitung einrichtet wissen muss was er tut - unabhängig davon auf welche Software oder was er gerade freigibt. Und das ist für mich das weit größere Problem ... und keiner Hier meckert gerade das die Router-Hersteller sowas unwissenden Usern ohne genügend Aufklärung erlauben ... vor allem wenn wir annehmen das der "normalo User" ein Noob ist :-)

Aber ich denke wir sind uns generell hier einig :-)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten