Raspberrypi goes NASA

  • Das sollte einem Jeden der plant ein System (nicht nur eine Raspi) einfach mal so ins Firmennetz zu haengen oder schon getan hat eine Warnung sein. Es steht in den Artikeln nichts ob der Besitzer der Raspi arbeitsrechtliche Konsequenzen tragen musste. Ist aber sehr zu vermuten ...

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :shy: Bei mir tut das automatisch raspiBackup ;)

  • Die ganzen Artikel scheinen mir etwas reißerisch. Interessieren würde mich auch wie man zugriff auf den Pi erhalten konnte. Dafür muss er doch von außen erreichbar gewesen sein, oder etwa nicht ? Haben die keine Firewall oder einen Proxy der den Datenverkehr nach außen hin managed ?

    • Official Post

    Haben die keine Firewall oder einen Proxy der den Datenverkehr nach außen hin managed ?

    Wer in der Lage ist an seinem Arbeitsplatz NASA einen Pi einfach so ins Netzwerk zu hängen, ohne das einem jemand die Finger abhackt - der richtet auch die passende Firewallregel ein. pi/raspberry sind ja auch als sichere User/Passwordkombination anzusehen.

  • Wer in der Lage ist an seinem Arbeitsplatz NASA einen Pi einfach so ins Netzwerk zu hängen, ohne das einem jemand die Finger abhackt - der richtet auch die passende Firewallregel ein. pi/raspberry sind ja auch als sichere User/Passwordkombination anzusehen.

    Klingt eher so, als hätte jemand bewusst den Pi dort plaziert.

  • Dafür muss er doch von außen erreichbar gewesen sein, oder etwa nicht ?

    Die Raspi braucht nur automatisch einen reverse ssh Tunnel auf einen ausserhalb des Firmennetzes gelegenen Rechner aufbauen und ab dann kann man von dort ganz einfach auf das Firmennetz zugreifen.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :shy: Bei mir tut das automatisch raspiBackup ;)

  • framp dann war aber der Angreifer gleichzeitig derjenige der den Pi dort platziert hat ? Wäre doch ein riesen Zufall wenn jemand den Zielserver des reverse SSH angreift und bemerkt "oh NASA Netzwerk" :/


    Bin nun wahrlich kein Security Experte, aber das alles klingt für mich als wenn wir nicht mal die Hälfte erfahren haben.

  • framp dann war aber der Angreifer gleichzeitig derjenige der den Pi dort platziert hat ?

    Nein. Es stand irgendwo dass die Raspi ja schon infiziert war. Finde ich auch etwas merkwuerdig aber vielleicht hat jemand seine Raspi die bei ihm zu Hause schon uebernommen wurde (kommt ja haeufiger vor) ins Buero mitgenommen. Dann muss der Attacker nur einen reverse Tunnel auf einen ihm bekannten Server aufbauen und - voilà - drin ist er.

    "Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds, 28.9.2003


    Hast Du die Woche schon Deine Raspberry gesichert :shy: Bei mir tut das automatisch raspiBackup ;)

  • RTFM

    Changed the title of the thread from “Paspberrypi goes NASA” to “Raspberrypi goes NASA”.
  • Was sind das für Netzwerkadministratoren wo jedes Device einfach so in das Netzwerk kommt ?

    Jeder professionelle Netzwerk Hardware Hersteller bietet mittlerweile Lösungen für Port-Security, egal ob LAN oder WLAN Port.

    *kopfschüttel*

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Absolut Irre - als ich 2008 bei den US Streitkräften in der IT gearbeitet hatte, konnte man zwar ein beliebiges Device an einen freien Port anstöpseln, sofern man es geschafft hatte, das Teil vorbei an der Ponds Wachmannschaft zu schleusen, aber wenn das Gerät nicht zuvor registriert und freigegeben war, ließ der Switch das Device halt einfachnicht ins Netz und war dann blockiert. Und wenn man blöderweise einen der speziellen Ports probierte, war nach ca. 2 Minuten ein Trupp Security mit durchgeladenem M16 auf'm Flur! Die NASA mussen da ja ein echt lockerer Haufen sein!

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • Bei mir im Netz kommst du, wenn das Device nicht authentifiziert ist, ins Gäste-LAN.

    Wenn das Device authenifiziert ist, aber länger als 4 Wochen nicht mehr im Netz dann geht es ins Isolierte Netz und das Device wird erst mal mit den letzten Updates betankt. Dabei macht es keinen Unterschied ob du dich per LAN, WLAN oder VPN verbindest.

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Ja bei Dir - du hast ja wahrscheinlich auch kein Hochsicherheits Netzwerk nach MIL Standard, gelle?

    Auch wir haben bei uns im Unternehmen ein vom Firmennetzwerk isoliertes Gastnetz das alle Gastgeräte aufnimmt, aber das bietet nur einen regulären Schutz, der hingegen für die allermeisten User völlig ausreicht. Doch wer militärische Daten und streng vertrauliche Informationen im Netzwerk rumreicht braucht da eine etwas stärkere Abschottung.

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.

  • Es ging mehr um die Logik des Netzwerk, was Hersteller von Haus aus bieten bezüglich Port Security.

    Ob nun Mil oder Company. Die Anforderungen sind, bis auf FTTD, fast identisch.

    Einbrüche ins Netz kann und will sich niemand mehr leisten, bis auf JPL scheinbar :)

    Offizieller Schmier und Schmutzfink des Forum.
    Warum einfach wenn's auch schwer geht ?


    Kein Support per PN !
    Fragen bitte hier im Forum stellen. So hat jeder etwas davon.

  • Naja es sind halt Ingenieure und Wissenschaftler - keine Netzwerk und Sicherheitsexperten ;)

    Es gab mal eine Zeit, da konnte ich vom Netzwerk aus jeden Server mit "Anonymus" und "letmein" erreichen; aber das war, bevor das Netz seine Unschuld verlor. :abschied:

    Δx · Δph

    Der Mensch kann tun was immer er möchte, er kann jedoch nicht alles wollen was er möchte.

    Freiheit bedeutet etwas nicht tun zu müssen, nur weil man es kann.