1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › HTTPS/SSH: Embedded-Geräte von 50…

wo _genau_ ist nun die Schwachstelle?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. wo _genau_ ist nun die Schwachstelle?

    Autor: Katsuragi 27.11.15 - 11:40

    erst gemeinte Frage, obwohl ich in Computersachen nicht ganz unvorbelastet bin.

    Solange der Key "nur" zur Verschlüsselung und nicht zur Authentifizierung verwendet wird, kann man Verbindungen "nur" mithören, aber erstmal nicht aufs Gerät zugreifen. Wobei man beim Mithören vermutlich die Authentifizierung mitschneiden könnte.

    Richtig brutal kritisch wird das natürlich, wenn die entsprechenden Geräte Verbindungen von außen zulassen und man den bekannten Schlüssel zur Authentifizierung verwenden kann, z.B. bei SSH.
    Aber so unverantwortlich kann doch kein großer Hersteller sein, oder...?!

  2. Re: wo _genau_ ist nun die Schwachstelle?

    Autor: hab (Golem.de) 27.11.15 - 11:46

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > Solange der Key "nur" zur Verschlüsselung und nicht zur Authentifizierung
    > verwendet wird, kann man Verbindungen "nur" mithören, aber erstmal nicht
    > aufs Gerät zugreifen. Wobei man beim Mithören vermutlich die
    > Authentifizierung mitschneiden könnte.

    Ja, das ist soweit richtig. Wobei man natürlich, wenn es einen Passwort-Login gibt, das Passwort mithören kann. Insofern hat man auch gewonnen. Aber klar, es ist weniger kritisch als wenn man Login-Keys finden würde, weil ein Angreifer Zugriff auf die Netzverbindung braucht.

    > Richtig brutal kritisch wird das natürlich, wenn die entsprechenden Geräte
    > Verbindungen von außen zulassen und man den bekannten Schlüssel zur
    > Authentifizierung verwenden kann, z.B. bei SSH.
    > Aber so unverantwortlich kann doch kein großer Hersteller sein, oder...?!

    Ehrlich gesagt: Überraschen würde mich das nicht. Wäre sicher auch spannend, mal zu schauen, ob man SSH-Loginkeys findet.

  3. Re: wo _genau_ ist nun die Schwachstelle?

    Autor: Nullmodem 27.11.15 - 13:34

    Katsuragi schrieb:
    --------------------------------------------------------------------------------
    > erst gemeinte Frage, obwohl ich in Computersachen nicht ganz unvorbelastet
    > bin.
    >
    > Solange der Key "nur" zur Verschlüsselung und nicht zur Authentifizierung
    > verwendet wird, kann man Verbindungen "nur" mithören, aber erstmal nicht
    > aufs Gerät zugreifen. Wobei man beim Mithören vermutlich die
    > Authentifizierung mitschneiden könnte.

    Eins der Probleme am Besitz des Private Keys ist, das man eine Man-in-the-Middle Attacke machen kann.

    >
    > Richtig brutal kritisch wird das natürlich, wenn die entsprechenden Geräte
    > Verbindungen von außen zulassen und man den bekannten Schlüssel zur
    > Authentifizierung verwenden kann, z.B. bei SSH.
    > Aber so unverantwortlich kann doch kein großer Hersteller sein, oder...?!

    Nein.
    Das ist sicher Nachlässigkeit, weil das im Basisbetriebssystem schon drin ist, oder alle Hersteller sowieso auf China-Plastik-Hardware aufsetzen.
    Oder aber, es ist eine von der NSA oder dem BKA vorgegebene Hintertür.
    Oder aber, <Hier beliebige andere Verschwörungstheorie einfügen> !


    nm

  4. Re: wo _genau_ ist nun die Schwachstelle?

    Autor: theWhip 27.11.15 - 14:18

    Also doch lieber eigene z.B. NAS-Geräte bauen.... Kein weiterer Kommentar...

  5. Re: wo _genau_ ist nun die Schwachstelle?

    Autor: RaZZE 27.11.15 - 16:12

    theWhip schrieb:
    --------------------------------------------------------------------------------
    > Also doch lieber eigene z.B. NAS-Geräte bauen.... Kein weiterer
    > Kommentar...

    "Seht her.. ich kann ein FreeNAS/OpenMediaVault installieren!"
    Großes Kino.

  6. Re: wo _genau_ ist nun die Schwachstelle?

    Autor: 1ras 28.11.15 - 03:27

    Hab mich schon gefragt, wann es mal zum Thema wird. Einem SSH-(Host)Key kann man nur vertrauen, wenn man ihn selbst und auf sicherer Hardware (die ausreichend Zufall liefern kann) generiert hat. Bei SSL-Zertifikaten ist es nicht anders.

    Liegen tut es IMHO an einer Kombination aus Unwissenheit umd Unfähigkeit seitens der Hersteller.

    Die Seite wird im Browser über https korrekt angezeigt? Super, es funktioniert, Produkt kann ausgeliefert werden. Von Sicherheit hat da kaum einer Ahnung. Und man befindet sich damit in guter Gesellschaft, der Kunde hat schließlich genausowenig Ahnung, wird also auch kein Problem reklamieren.

    Sicherheit funktioniert eben nur dann, wenn sie von allen verstanden wird - vom Entwickler bis zum Anwender. Ja, auch der Anwender muss sie verstehen, sonst klickt er nämlich die "lästige Meldung" bezüglich neuem oder geändertem SSH-Hostkey einfach nur weg. Und das passiert öfter als man sich denkt, selbst im Enterprise-Umfeld, teilweise sogar automatisiert.



    1 mal bearbeitet, zuletzt am 28.11.15 03:29 durch 1ras.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP BW/BI Berater (m/w/x)
    über duerenhoff GmbH, Essen
  2. Requirements Engineer / Anforderungsmanager (w/m/d) - Bildungstransfer
    Albert-Ludwigs-Universität Freiburg, Freiburg im Breisgau
  3. Softwareentwickler / Entwickler OSS (m/w/d)
    M-net Telekommunikations GmbH, München, Augsburg, Nürnberg
  4. Java - Entwickler (m/w/d) für Webanwendungen
    medavis GmbH, Karlsruhe

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 5 5600X 358,03€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ultra-Kurzdistanz-Beamer im Test: Wir missachten die Abstandsregel
Ultra-Kurzdistanz-Beamer im Test
Wir missachten die Abstandsregel

Unser Test von drei 4K-Laserprojektoren zeigt: Das Heimkino war selten so einfach aufzuwerten.
Ein Test von Martin Wolf

  1. Beamer PH510PG LGs mobiler Reiseprojektor projiziert auf 100 Zoll

Elektronische Patientenakte: Ganz oder gar nicht
Elektronische Patientenakte
Ganz oder gar nicht

Zwischen dem Bundesdatenschutzbeauftragten und den Krankenkassen bahnt sich ein Rechtsstreit über die elektronische Patientenakte an.
Von Christiane Schulzki-Haddouti

  1. Spiegel, Zeit, Heise Datenschutzverein geht gegen Pur-Abos vor
  2. Daten gegen Service EuGH soll über Facebooks Geschäftsmodell entscheiden
  3. DSGVO Datenschützer will "Cookie-Banner-Wahnsinn" beenden

Free-to-Play: Kostenlose Spiele für fast alle Plattformen
Free-to-Play
Kostenlose Spiele für fast alle Plattformen

Eine riesige Fantasywelt in Bless Online, Ballerspaß mit Rogue Company: Golem.de stellt gelungene Free-to-Play-Computerspiele vor.
Von Rainer Sigl