Raspberrypi goes NASA

Das sollte einem Jeden der plant ein System (nicht nur eine Raspi) einfach mal so ins Firmennetz zu haengen oder schon getan hat eine Warnung sein. Es steht in den Artikeln nichts ob der Besitzer der Raspi arbeitsrechtliche Konsequenzen tragen musste. Ist aber sehr zu vermuten ...

Die ganzen Artikel scheinen mir etwas reißerisch. Interessieren würde mich auch wie man zugriff auf den Pi erhalten konnte. Dafür muss er doch von außen erreichbar gewesen sein, oder etwa nicht ? Haben die keine Firewall oder einen Proxy der den Datenverkehr nach außen hin managed ?

Quote from dbv

Wer in der Lage ist an seinem Arbeitsplatz NASA einen Pi einfach so ins Netzwerk zu hängen, ohne das einem jemand die Finger abhackt - der richtet auch die passende Firewallregel ein. pi/raspberry sind ja auch als sichere User/Passwordkombination anzusehen.

Klingt eher so, als hätte jemand bewusst den Pi dort plaziert.

Quote from WaldiBVB

Dafür muss er doch von außen erreichbar gewesen sein, oder etwa nicht ?

Die Raspi braucht nur automatisch einen reverse ssh Tunnel auf einen ausserhalb des Firmennetzes gelegenen Rechner aufbauen und ab dann kann man von dort ganz einfach auf das Firmennetz zugreifen.

framp dann war aber der Angreifer gleichzeitig derjenige der den Pi dort platziert hat ? Wäre doch ein riesen Zufall wenn jemand den Zielserver des reverse SSH angreift und bemerkt "oh NASA Netzwerk"

Bin nun wahrlich kein Security Experte, aber das alles klingt für mich als wenn wir nicht mal die Hälfte erfahren haben.

Quote from WaldiBVB

framp dann war aber der Angreifer gleichzeitig derjenige der den Pi dort platziert hat ?

Nein. Es stand irgendwo dass die Raspi ja schon infiziert war. Finde ich auch etwas merkwuerdig aber vielleicht hat jemand seine Raspi die bei ihm zu Hause schon uebernommen wurde (kommt ja haeufiger vor) ins Buero mitgenommen. Dann muss der Attacker nur einen reverse Tunnel auf einen ihm bekannten Server aufbauen und - voilà - drin ist er.

Was sind das für Netzwerkadministratoren wo jedes Device einfach so in das Netzwerk kommt ?

Jeder professionelle Netzwerk Hardware Hersteller bietet mittlerweile Lösungen für Port-Security, egal ob LAN oder WLAN Port.

*kopfschüttel*

Absolut Irre - als ich 2008 bei den US Streitkräften in der IT gearbeitet hatte, konnte man zwar ein beliebiges Device an einen freien Port anstöpseln, sofern man es geschafft hatte, das Teil vorbei an der Ponds Wachmannschaft zu schleusen, aber wenn das Gerät nicht zuvor registriert und freigegeben war, ließ der Switch das Device halt einfachnicht ins Netz und war dann blockiert. Und wenn man blöderweise einen der speziellen Ports probierte, war nach ca. 2 Minuten ein Trupp Security mit durchgeladenem M16 auf'm Flur! Die NASA mussen da ja ein echt lockerer Haufen sein!

Bei mir im Netz kommst du, wenn das Device nicht authentifiziert ist, ins Gäste-LAN.

Wenn das Device authenifiziert ist, aber länger als 4 Wochen nicht mehr im Netz dann geht es ins Isolierte Netz und das Device wird erst mal mit den letzten Updates betankt. Dabei macht es keinen Unterschied ob du dich per LAN, WLAN oder VPN verbindest.

Ja bei Dir - du hast ja wahrscheinlich auch kein Hochsicherheits Netzwerk nach MIL Standard, gelle?

Auch wir haben bei uns im Unternehmen ein vom Firmennetzwerk isoliertes Gastnetz das alle Gastgeräte aufnimmt, aber das bietet nur einen regulären Schutz, der hingegen für die allermeisten User völlig ausreicht. Doch wer militärische Daten und streng vertrauliche Informationen im Netzwerk rumreicht braucht da eine etwas stärkere Abschottung.

Es ging mehr um die Logik des Netzwerk, was Hersteller von Haus aus bieten bezüglich Port Security.

Ob nun Mil oder Company. Die Anforderungen sind, bis auf FTTD, fast identisch.

Einbrüche ins Netz kann und will sich niemand mehr leisten, bis auf JPL scheinbar

Naja es sind halt Ingenieure und Wissenschaftler - keine Netzwerk und Sicherheitsexperten

Es gab mal eine Zeit, da konnte ich vom Netzwerk aus jeden Server mit "Anonymus" und "letmein" erreichen; aber das war, bevor das Netz seine Unschuld verlor.