1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Mirai-IoT-Botnet: IP-Kamera…
  6. Thema

Ich habe zwei Fragen

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Ich habe zwei Fragen

    Autor: lennartc 21.11.16 - 14:50

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Und warum kann das der Hersteller nicht schon so machen, dass der Router im
    > Auslieferungszustand die Scheunentore geschlossen hat?

    Standardmäßig sind eigentlich bei allen Consumer-Routern, die in Deutschland erhältlich sind, keine Portfreigaben eingerichtet und auch UPnP ist (zumindest bei der FritzBox) standardmäßig deaktiviert. Ich vermute auch, dass in Deutschland die Anzahl der IoT-Bots relativ gering ist.
    Und jeder, der sich doch infiziert hat, hat wahrscheinlich an den Router-Einstellungen rumgespielt, ohne zu wissen, was er tut. Aber deswegen ja meine Idee, dass man das mal in den Artikeln anspricht, dann weiß zumindest die Mehrheit, dass man da nicht rumspielen sollte bzw, wenn es schon jemand getan hat, fällt ihm dann vielleicht auf, dass das doch keine so gute Idee war.

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Ein nicht-änderbares (default-)Telnet-Passwort ist ein absolutes No-Go, und
    > jetzt erzähl mir nicht, es würde "viel Geld" kosten, das anders zu
    > programmieren.

    In dem Fall hast du natürlich recht, dass das zu ändern nicht besonders teuer wäre und sowas prinzipiell ungünstig ist. Andererseits: warum muss die Kamera per Telnet aus dem Internet erreichbar sein? Da gibt es meiner Meinung nach überhaupt keinen Grund zu.
    Meinen Pioneer Receiver kann ich auch per Telnet ansprechen. Da ist auch keine Passwortabfrage davor o.ä. . Gleiches gilt auch für Geräte von Denon und Onkyo. Dies ist aber sogar sinnvoll, da es so relativ einfach möglich ist, den in sein Heimnetzwerk zu integrieren und per IP-Befehl zu steuern. Man darf halt nur nicht den Fehler machen und den Zugang darauf öffentlich zu machen.



    1 mal bearbeitet, zuletzt am 21.11.16 14:56 durch lennartc.

  2. Re: Ich habe zwei Fragen

    Autor: jaykay2342 21.11.16 - 15:10

    Walter Plinge schrieb:
    --------------------------------------------------------------------------------
    > Emulex schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > 1. kapiere ich nicht wie der Wurm auf das Gerät kommt, wenn ich die
    > Kamera
    > > in meinem WLAN hinter einem Router betreibe !?
    > > Wie soll das funktionieren? Kann man da vielleicht den Infektionsweg mal
    > > aufzeigen !?
    >
    > Der häufigste Angriffsweg dürfte über Portfreigaben für die (und von der)
    > Kamera per UPnP laufen. Damit ist die Kamera von außen auch in einem NAT
    > sichtbar. Oft sind die Standard-Credentials auch gar nicht (persistent)
    > änderbar, so dass das ganze Gerät sogar ohne Sicherheitslücke angreifbar
    > ist.

    Naja ein Gerät bei dem sich Standard passwörter nicht ändern lassen hat ganz klar eine Sicherheitslücke.

  3. Re: Ich habe zwei Fragen

    Autor: Bouncy 21.11.16 - 15:17

    lennartc schrieb:
    --------------------------------------------------------------------------------
    > Zeit zum Thema IoT wäre es doch auch ein einfaches gewesen mal eben zu
    > erwähnen, wie man die Netzwerkfreigaben bei einer FritzBox deaktiviert und
    > gegebenenfalls auch UPnP deaktiviert.
    Aber UPnP etwa hat seine Berechtigung, also muß man anfangen zu erklären was das ist und warum es wann wie funktioniert und wie wo warum man es an- und abschalten sollte. Portfreigaben ebenso, ich kann nicht sagen "Portfreigaben sind böse, nicht nutzen", sondern muß ausholen und erstmal erklären was ein Port ist und wann man ihn doch freigeben muß - sonst will man sich eine Own-Cloud basteln, weil ja jemand anderes erklärt hat, dass Clouds immer böse sind (gleiches Thema...), und dann steht da was von einer nötigen Portfreigabe, von dem ja wieder jemand anderes gesagt hat, sie wären grundsätzlich böse und abzuschalten. Was nun? "Verdammte IT'ler" wird der sich denken.
    Das meinte ich mit Job, sobald man etwas erklärt, _muß_ man die Hintergründe dazu auch erklären, und dann wird jedes technische Thema so komplex, dass man es nicht mehr in einem Satz erklären kann. Das geht alles einfach nicht, niemand sollte sowas wissen müssen...

  4. Re: Ich habe zwei Fragen

    Autor: monosurround 21.11.16 - 15:22

    Emulex schrieb:
    --------------------------------------------------------------------------------
    > 2. Kennt jemand eine gute Indoor-Kamera die mich nicht ausspioniert ? Ich
    > bräuchte sie nur wenn ich nicht da bin und nur auf die Tür gerichtet um
    > eine EMail/SMS zu kriegen wenn sich da was tut.
    > INSTAR scheint eine deutsche Firma zu sein mit Servern in Deutschland usw.
    > Kosten auch recht viel verglichen mit der China-War, aber ob das jetzt
    > vertrauenswürdiger ist weiß ich nicht. Kennt sich jemand aus?


    Mache ich mit zwei DLink 932L. Laufen an einem Synology NAS und werden bei Anwesenheit stromlos geschaltet.

  5. Re: Ich habe zwei Fragen

    Autor: Sharra 21.11.16 - 15:43

    ch33rs schrieb:
    --------------------------------------------------------------------------------
    > Insgesamt ist die Software vielleicht etwas altbacken, aber macht was sie
    > soll. So Sachen wie Dropbox kann sie derzeit beispielsweise nicht.
    >
    Wenn du die Daten sowieso auf einem externen Gerät speicherst, könnte man dort ja Dropbox als virtuellen Pfad einbinden. Dann hat zwar die Cam keinen direkten Dropbox-Zugang, das Speichersystem aber schon. Da könnte man sich gleich Redundanz einbauen. Offlinespeicherung und Cloud zugleich.

  6. Re: Ich habe zwei Fragen

    Autor: M.P. 21.11.16 - 15:50

    Ein aktivertes Telnet bei aus dem Internet erreichbaren Geräten ist ein No-Go...

    Und Username/Password als einzige Authentifizierung ist selbst bei einer verschlüsselten Verbindung inzwischen nicht mehr uneingeschränkt zu Empfehlen...

  7. Re: Ich habe zwei Fragen

    Autor: lennartc 21.11.16 - 15:53

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Aber UPnP etwa hat seine Berechtigung, also muß man anfangen zu erklären
    > was das ist und warum es wann wie funktioniert und wie wo warum man es an-
    > und abschalten sollte. Portfreigaben ebenso, ich kann nicht sagen
    > "Portfreigaben sind böse, nicht nutzen", sondern muß ausholen und erstmal
    > erklären was ein Port ist und wann man ihn doch freigeben muß - sonst will
    > man sich eine Own-Cloud basteln, weil ja jemand anderes erklärt hat, dass
    > Clouds immer böse sind (gleiches Thema...), und dann steht da was von einer
    > nötigen Portfreigabe, von dem ja wieder jemand anderes gesagt hat, sie
    > wären grundsätzlich böse und abzuschalten. Was nun? "Verdammte IT'ler" wird
    > der sich denken.
    > Das meinte ich mit Job, sobald man etwas erklärt, _muß_ man die
    > Hintergründe dazu auch erklären, und dann wird jedes technische Thema so
    > komplex, dass man es nicht mehr in einem Satz erklären kann. Das geht alles
    > einfach nicht, niemand sollte sowas wissen müssen...

    Naja, aber so rum ist es dann doch schon besser. Dann hat der Nutzer nämlich zwei Möglichkeiten: entweder er hat die Lust, Zeit und Geduld sich damit auseinander zu setzen und zu verstehen, was er da jetzt tut - oder er lässt sich von jemanden helfen, der sich damit auskennt.
    Besser als dass die Leute einfach für alles und jeden ihre Ports öffnen. Und auch bei OwnCloud, etc wäre ich mit Portfreigaben vorsichtig. Jede Anwendung, die aus dem Internet erreichbar ist, kann prinzipiell gehackt werden. Desto mehr Anwendungen man zuhause hat, desto größer ist auch die Wahrscheinlichkeit, dass eine der Anwendungen doch eine kritische Sicherheitslücke hat. Und vorallem bei Laien ist die Gefahr immer groß, dass eine einmal installierte Anwendungen, die dann ja läuft, eben nicht mit regelmäßigen Updates versorgt wird.
    Deswegen rate ich auch jedem, der von Unterwegs auch irgendwelche Geräte zuhause zugreifen möchte, das per VPN Zugang um zusetzen. Dann hat man nur einen einzigen Angriffspunkt um den man sich kümmern muss bzw den man aktuell halten muss. Außerdem denke ich, dass die Wahrscheinlichkeit, dass im IPsec oder OpenVPN-Protokoll eine Sicherheitslücke existiert wesentlich geringer ist, als in den Anwendungen, auf die der Nutzer im Endeffekt zugreifen möchte.

  8. Re: Ich habe zwei Fragen

    Autor: M.P. 21.11.16 - 16:41

    Ich nutze OwnCloud fast nur für Online-Kalender in der Familie.
    Die Termine der Smartphone-Kalender werden erst synchronisiert, wenn die Smartphones sich wieder in das heimische WLAN eingebucht haben.
    Das gibt eine "Totzeit" tagsüber bis zum gemeinsamen Abendessen - aber für den Familienkalender durchaus ausreichend.

    So spare ich mir das Rumfummeln an Portfreigaben, und die Angst dabei etwas falsch zu machen.

    Auch muss ich bei den Updates nicht ganz so intensiv am Puls der Zeit bleiben ...

    Sollte unser Mobilfunkprovider endlich IPv6 ausrollen, werde ich angesichts meinem Unitymedia DSLite-Anschluss noch einmal überlegen, ob ich das ändere ...



    1 mal bearbeitet, zuletzt am 21.11.16 16:43 durch M.P..

  9. Re: Ich habe zwei Fragen

    Autor: TechnikSchaaf 21.11.16 - 17:45

    lennartc schrieb:
    --------------------------------------------------------------------------------

    > Dabei - um bei
    > meinem Beispiel zu bleiben - brauchen die meisten ja keinen
    > diebstahlsicheren Fernseher, da ja eigentlich eine ausreichend gesicherte
    > Haustür vorhanden ist.

    In diesem Fall reist der Fernseher aber Türen und Fenster auf ohne irgendwie zu kontrollieren wer rein will. Da sollte er sich dann schon gegen Diebstahl schützen.

    Bzw, wenn ein Fernseher auch von ausen sichtbar seien will sollte er selber die Funktion des Schlosses auch übernehmen und nicht einfach nur das bestehende aufschliesen. UPNP = tür aufschliesen, telnet = kein eigenes Schloss

    lennartc schrieb:
    --------------------------------------------------------------------------------
    > TrollNo1 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und warum kann das der Hersteller nicht schon so machen, dass der Router
    > im
    > > Auslieferungszustand die Scheunentore geschlossen hat?
    >
    > Standardmäßig sind eigentlich bei allen Consumer-Routern, die in
    > Deutschland erhältlich sind, keine Portfreigaben eingerichtet und auch UPnP
    > ist (zumindest bei der FritzBox) standardmäßig deaktiviert.
    Ich habe bisher bei allen deren Router ich eingerichtet/mir angeschaut habe standardmäßig aktiviertes UPNP gesehen.
    Egal ob Fritzbox oder andere, egal ob von Telekom/1und1/Kabel Deutschland ....
    Klar, Fritzboxen gibts viele, aber zu sagen es wäre in DE eigentlich immer deaktiviert ist definitiv falsch.
    Dafür würden viel zu viele Rumjammern weil ihre Playstation oder ähnliches nciht so funktioniert wie sie wollen.

    UPNP gehört dringend überarbeitet
    Geräte dürfen Änderungen vorschlagen, absegnen muss sie der Nutzer aber selber
    Ich vermute
    > auch, dass in Deutschland die Anzahl der IoT-Bots relativ gering ist.

  10. Re: Ich habe zwei Fragen

    Autor: ch33rs 21.11.16 - 19:02

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > ch33rs schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Insgesamt ist die Software vielleicht etwas altbacken, aber macht was
    > sie
    > > soll. So Sachen wie Dropbox kann sie derzeit beispielsweise nicht.
    > >
    > Wenn du die Daten sowieso auf einem externen Gerät speicherst, könnte man
    > dort ja Dropbox als virtuellen Pfad einbinden. Dann hat zwar die Cam keinen
    > direkten Dropbox-Zugang, das Speichersystem aber schon. Da könnte man sich
    > gleich Redundanz einbauen. Offlinespeicherung und Cloud zugleich.

    Beispielsweise. Ich wollte mit diesem Beispiel sagen, dass die Software keine eierlegende wollmilchsau ist.

  11. IoT-Geräte sind dazu gedacht, im Internet zu stehen

    Autor: watwerbisdudenn 21.11.16 - 19:35

    lennartc schrieb:

    > Ich kaufe mir ja auch keinen neuen Fernseher und stelle ihn eine Nacht an
    > die Straße, um dann am nächsten morgen festzustellen, dass er geklaut
    > wurde.

    Das ist für den Fernseher auch nicht vorgesehen. Die IP-Kamera ist aber dafür gedacht, im Internet zu stehen und über dieses erreichbar zu sein.

    Es geht hier also nicht um einen Fernseher, den Du an die Straße stellst, sondern eher um ein Auto, bei dem der Hersteller die Fahrertür zwecks bequemem Ein- und Ausstieg nicht mit einem Schloss versehen hat, und zu dem Dir dann ein paar Leute sagen: Kein Problem, ein Auto parkt man ja auch nicht auf der Straße, sondern in einer Garage.

  12. Re: Ich habe zwei Fragen

    Autor: watwerbisdudenn 21.11.16 - 19:41

    Bouncy schrieb:

    > (...) die Frage war wie aktiv das Netz nach Lücken gescannt wird, um
    > daraus die generelle Bedrohungsstufe abzuleiten. Es ging weniger um
    > diese spezielle Kamera und deren Sicherheitsprobleme.

    Genau genommen ging es um das alles: wie sicher ist die Kamera, wie aggressiv werden solche Geräte angegriffen und wie läuft so ein Angriff im Einzelnen ab? Ohne einen penibel geplanten Versuchsaufbau, sondern nach dem lockeren Motto "Hängen wir mal eine Kamera ins Netz und gucken, was passiert".

  13. Re: Ich habe zwei Fragen

    Autor: gelöscht 21.11.16 - 20:12

    Er wollte nur beobachten wie schnell dieser Fernseher geklaut wird :o)

  14. Keine Panikmache sondern bittere Realität

    Autor: watwerbisdudenn 21.11.16 - 20:30

    lennartc schrieb:

    > Also die Headline des Artikels lautet:

    >> IP-Kamera nach 98 Sekunden mit Malware infiziert
    >> Droht die Netzwerkapokalypse, sobald ein unsicheres IoT-Gerät im
    >> Heimnetzwerk angeschlossen wurde?

    > Das klingt für mich eben wieder nach der üblichen Panikmache, dass solche
    > Geräte komplett unsicher seien (...).

    Das ist keine Panikmache, auch wenn der fragende Untertitel etwas reißerisch formuliert ist.

    Die angesprochene Kamera (https://www.amazon.com/gp/product/B00OYBB08M) IST komplett unsicher, und sie mit anderen Geräten gemeinsam in einem Heimnetzwerk einzubinden und wie vorgesehen von außen erreichbar zu machen FÜHRT zur Netzwerkapokalypse, in dem Sinne, dass da binnen kürzester Zeit ein kompromittiertes Gerät im Heimnetz hängt und damit auch das Heimnetz nicht mehr vertrauenswürdig ist.

    Alleine schon ein Telnet-Server mit fest codierten Zugangsdaten ist völlig pervers und ein Grund, das Ding nirgendwo einzubinden, und wenn die Empfehlung am Ende lautet, das Gerät nur von anderen Geräten getrennt ausschließlich in ein lokales Netzwerk zu hängen, um u.a. missbräuchliche Telnet-Zugriffe von außen zu vermeiden, dann muss man doch mal fragen: warum läuft denn überhaupt ein Telnet-Server auf der Kamera? Der wurde ja genau mit dem Ziel installiert, die Kamera über diesen von außen zu erreichen. Das heißt, daran hängt irgendeine Funktion, die nicht mehr zur Verfügung steht, wenn das Teil nicht von außen zu erreichen ist, oder er ist ausschließlich in böser Absicht installiert, was das Gerät völlig disqualifiziert.

    > Und bevor man jetzt anfängt bei jedem IoT-Gerät viel Geld in
    > Sicherheitsmechanismen zu stecken und die Preise für diese Geräte
    > unnötig in die Höhe treibt, sollte man den Leuten lieber erklären, dass
    > sie ihr Netzwerk - genauso wie ihre Wohnung - eben
    > entsprechend gegen Angriffe von außen schützen sollten.

    Diese Geräte sind dafür gedacht, im Internet zu stehen und über dieses erreichbar zu sein. Sie sind aber so konzipiert, dass sie dafür in keinster Weise geeignet sind. Dementsprechend kann es da nur eine Empfehlung geben: Finger weg davon.

    Solche von vorne bis hinten verkorksten Geräte, die im harmlosesten Fall von Dilettanten zusammengefrickelt wurden und sperrangelweit offen stehen und im schlimmsten Fall die Malware eines böswilligen Anbieters bereits vorinstalliert mitbringen, gehören weder ins Internet noch in das Heimnetzwerk, in dem man den eingebundenen Geräten vertraut.

    Diese Geräte sind in der überwältigenden Mehrheit schlicht und einfach gefährlicher Schrott.

  15. Re: Ich habe zwei Fragen

    Autor: Anonymer Nutzer 22.11.16 - 05:35

    lennartc schrieb:
    --------------------------------------------------------------------------------
    > unnötig in die Höhe treibt, sollte man den Leuten lieber erklären, dass sie
    > ihr Netzwerk - genauso wie ihre Wohnung - eben entsprechend gegen Angriffe
    > von außen schützen sollten.

    Das funktioniert ja auch super! Und die Computerbild berichtete über die Spionageaktivitäten von Windows XP und empfahl die Deaktivierung der Update-Dienste. Hat super geklappt. Ich hatte zu dieser Zeit mehr Neuinstallationen von Windows XP, wegen Virenbefall, als verkaufte Druckerpatronen!

  16. Re: Ich habe zwei Fragen

    Autor: Braineh 23.11.16 - 08:48

    Reicht es nicht, in der Firewall Regeln zu erstellen, um die IPs der Cams vom Internet abzuschotten? Ich muss ja nicht von unterwegs schauen können, ob mir die Nachbarskatze in den Garten scheißt. Meine Cams sind nur im LAN zu erreichen und sollten somit auch keinem Botnetz zur Verfügung stehen.

  17. Re: Ich habe zwei Fragen

    Autor: Porterex 23.11.16 - 11:23

    Auch wenn es hier um Kameras geht, haben SmartTVs nicht das gleiche Problem?
    Updates sind da auch häufig Mangelware bzw. werden nicht gemacht.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Full Stack Developer (m/w/d)
    nexible GmbH, Düsseldorf
  2. Projektleiter SAP HCM Inhouse (m/w/d)
    Jungheinrich AG, Hamburg
  3. Systemadministrator (m/w/d) - Schwerpunkt Windows Server, VMware und Netzwerk
    CCV GmbH, Hamburg
  4. Fachinformatiker (m/w/d) als System Administrator (m/w/d)
    Max-Planck-Institut für Pflanzenzüchtungsforschung, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u.a. Asus Gaming Notebook 17,3" Ryzen 9 RTX 3070 1TB SSD für 1.699 (inkl. Direktabzug), Logitech...
  2. 1.699€ (Bestpreis) bei Mindfactory
  3. 1.449€ (Bestpreis) bei Mindfactory
  4. 448,35€ (Bestpreis) bei Mindfactory


Haben wir etwas übersehen?

E-Mail an news@golem.de