Wie wichtig ist ein Passwort, wenn ...

  • Ich habe mich anfangs gefragt, ob ich bei meinem R Pi ein PW brauche, vorsichtshalber habe ich aber gleich eines vergeben. Der R Pi dient zum Steuern einer Waschmaschine, Steckdose, Lampe, etc.

    Die Situation ist die, dass der R Pi im Gastnetz der FB per Ethernetkabel ohne WLAN ist und zum Gastnetz habe nur ich Zugang oder jemand, der physisch ans Gerät kann und dann die SD-Karte an sich nimmt, etc. Schafft es also wer von außen an der FB vorbeizukommen, dann ist der R Pi das geringere Problem. Ich sehe also "nur" das Problem, dass es eine Lampe. etc. schaffen könnte den R Pi ohne PW zu übernehmen und da fehlt mir das KnowHow wieviel da so eine Lampe machen kann. Ich habe mich für die Alternative entschieden, dass ich Anmeldungen per Keys ohne PW von bestimmten Geräten zulasse, die durch ein PW abgesichert sind. Damit spare ich mir auch jedesmal ein langes gutes PW einzugeben, wenn ich am R Pi was konfigurieren will.

    • Offizieller Beitrag

    ass es eine Lampe. etc. schaffen könnte den R Pi ohne PW zu übernehmen und da fehlt mir das KnowHow wieviel da so eine Lampe machen kann.

    Das hat ja weniger mit der Lampe als mit dem eingesetzten (Micro) controller zu tun und die können heute einiges. Falls eine Infektion erfolgen sollte, ist alles denkbar. Wenn dein System von aussen nicht erreichbar ist, ist das Bedrohungspotential eher gering. Der Weg über die Keys ist aber ne gängige Lösung, ganz ohne password würde ich die System nicht stehen lassen

  • Nach der 1, Stunde Raspbian überlegt man eben solche Sachen ;) Muss ich eben einige Keys eintragen und vom Android-Handy ist das mit Termux etwas kniffelig, weil das vom ungerooteten Handy ein Rechte Problem gibt. Ich habe die id_rsa.pub in Termux nach /sdcard/Android/data/com.termux/filesx kopiert Vom Notebook via ssh auf das Handy zugegriffen und dann über die Zwischenablage in einer weiteren ssh-Verbindung auf den Pi kopiert. Ich denke das ist noch immer schneller und fehlerfreier als den Key tippen.

    Hier gibt es ein Video dazu, wie leicht es ist so ein IoT-Device zu hacken:

    https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

    Aber ich frage mich trotzdem wie sehr _mir_ dabei der Angreifer schaden kann, meinetwegen soll er mir das Licht ausknipsen und wenn ich Teil eines Bot-Netzes werden sollte, dann ist das zwar nicht lustig, die Frage ist dann aber ob die App-Betreiber wirklich so kriminell sind. Viel Code passt ja in 1MB nicht zusätzlich rein. Um das Restrisiko zu minimieren kommt in die Lampe eine OpenSource-FW ASAP.

    Einmal editiert, zuletzt von linuxuser (17. Januar 2019 um 07:00)

  • Hier gibt es ein Video dazu, wie leicht es ist so ein IoT-Device zu hacken:

    https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

    Nicht ganz. Es geht in dem Vortrag darum, über die ziemlich unsichere Cloud ins Device einzudringen. Wer halbwegs bei Verstand ist, verwendet so ein Zeuch nicht ohne FW Tausch. Es keine Gründe, jedes Birnchen „smart“ übers Internet steuern zu müssen.

  • Die Frage ist auch noch, welche Rechte hat die Lampe auf deinem PI. :fies:

    Laut Vortrag geht’s da gar nicht drum. Eher, von innen heraus ne ganze Menge an Schäden verursachen zu können. An und mit allen Geräten, die so im heimischen Netz zu finden sind. Du musst also nicht das Borderdevice von außen knacken.

    Und es geht darum, dass die „Sicherheit„ zwar vom Hersteller immer wieder betont wird, die Implementation, die IMHO ungeprüft in eine Vielzahl von Geräten übernommen wird, dann doch sehr mangelhaft ist. Kann ja keiner nachprüfen-so die Denke. Hat man in der Fahrzeugindustrie auch gedacht. Und dort fällts um einiges schwerer, dem auf die Spur zu kommen.

    IMHO ein inhaltlich absolut interessanter Vortrag.

  • Deswegen habe ich mir ja den RPi gekauft um zu schauen, wie man das besser sichert. 1. Hürde ist Flashen. Ich stehe zur Zeit hier:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.
    Man wird es wohl einfach probieren müssen, ob Clone X von Lampe, Steckdose, etc. dafür verwendet werden kann. Es gibt laufend Veränderungen der Hardware. Ich denke man wartet 3 Monate nach dem Kauf und hofft, dass es in der Zwischenzeit funktioniert.

  • Ja schon, aber du weist ja nicht wieviel noch frei ist, damit die Lampe richtig funktioniert. Es gibt Leute, die wechseln den Speicher.

    Nun, wenn Du siehst, was sich so mit 4kByte, also 4096 Byte anstellen lässt....

  • Das ist genau der Punkt, ich habe wenig Ahnung von Löten, habe Respekt vom Strom und die Steckdosen sind verklebt. Ich finde den Ansatz aber gut, wenn die über das Internet flashen können, dann muss das auch lokal gehen. Ich habe mich nur noch nicht getraut was kaputt zu machen. Ich habe verklebte Steckdosen von Teckin und verschraubte von Gosund. Dieses Flash-Video war das erste, dass das mehr oder wenig OS unabhängig zeigt. Zuerst will ich mich mit FHEM am Pi auseinandersetzen (muss mich mal mit der Zertifikatserstellung auseinandersetzen - https://wiki.fhem.de/wiki/Raspberry_Pi_%26_HTTPS Irgendwo habe ich aber gelesen, dass es mittlerweile auch kostenlose offizielle Zertifikate gibt, muss mal recherchieren.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!