Ich mach Pause von Kodi

  • Hört sich aber alles ziemlich komisch an.
    SSH war immer deaktiviert, bemerkt wurde es in TVH.

    Frage ich jetzt ehrlich gesagt ob die CoreElec Box das einfallstor war oder doch ein anderes Gerät im Netzwerk.
    Wenn SSH ausgeschaltet war wüsste ich jetzt auch nicht wie jemand das zum Beispiel über die TVH WebGUI etc. aktivieren sollte.
    Dafür wäre schon ein Zugriff auf die GUI der CoreElec Box nötig.

  • Darf man Fragen welche Ports zu der Box der forwarded waren?
    Scheinbar betrifft das Problem was du hast ja den TVH.
    Was für ein Eintrag war in der CA vorhanden, bzw. welche Domain war da angegeben?

    Ich hatte SSH immer deaktiviert,
    Root PWD sofort nach Installation geändert,
    Ports von TVH (9981/82) auf andere Ports von extern verfügbar gemacht. Wobei wohl 9981 das Problem gewesen sein kann iVm dem Standard User. Vermute ich. Keine Ahnung.

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

  • TVH mit Port 9981 nach draussen freizugeben ist auch nicht so dolle.
    Per Shodan kann man da extrem schön nach Filtern, keine Ahnung ob TVH auf LE/CE einen Standarduser hat, wenn ja dann ließe sich das auch einfach scripten.

    Aber wenn jemand per TVH eigestiegen ist dann erklärt sich immer noch nicht wie er seine Rechte hätte erweitern könne.
    Und jemand der anders ind Netz komtm würde wohl recht selten nach nem TVH suchern, der Service ist für die meisten komplett uninteressant.

    Wie gesagt die Daten der CA wären interessant. Kannste mir gerne auch mal per PN schicken.

  • 9981 war aussen auf 8003 und 9982 auf 8004 weitergeleitet.

    Mir ist es aufgefallen, dass was nicht simmt, weil plötzlich einige S*y Kanäle nicht mehr im Boquet waren.
    Dann hab ich gesehen, dass "er" einen weiteren CA-Eintrag mit Verweis auf auf IP (extern) 50.x.x.x gesetzt hat mit User "test" und pwd "test".
    Danach habe ich bei den angelegten Benutzern in TVH gesehen, dass ein User "markus" angelegt war.

    Und da waren dann alle Alarmglocken ganz laut am läuten und ich habe sofort die Portweiterleitungen elöscht, den User, alle PWDs geändert in TVH, das root-PWD geändert (nochmals).

    Kurz vorher waren alle S*y Sender aus den Boquetes weg, daher hab ich alles ganz genau nachgesehen. Meine Vermutung ist, dass jemand, der vielleicht nen Portsniffer hatte und sich etwas auskannte, doch vielleicht recht laienhaft versucht hat, sich PayTV Sender per IPTV abzugreifen, was ja über TVH möglich wäre.

    Ist ein (hier) offenes Geheimnis, dass ich mir ein Abo mit meinem Nachbarn geteilt habe. Das hab ich jetzt geändert, hab heute mein eigenes inkl. Hardware bestellt. Hab auf diese Bastelkacke keinen Bock mehr. Vor allem, wenn durch die Linux Grundlage und meinem Halbwissen auf Linux bezigen, solche Dinge möglich sind. DAS ist mir zu gefährlich.

    Glaube aber bisher, dass dieser kack "markus" auch nur drauf kam, weil 8003 von aussen auf 9981 intern verwiesen hat und man ohne Anmeldung auf die Weboberfläche kam. DAS weiss ich allerdings nicht mehr so genau, meine sicher sagen zu können, dass ich auch da damals mein PWD geändert hatte. Aber der Browser hats automatisch ausgefüllt, bzw gar nicht danach gefragt, wenn ich die IP der Kiste mit :9981 aufgerufen habe.

    Pony

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

  • Was laeuft denn bei TVH fuer das webinterface ? Wenn das irgendein selbst gehaekelter code von den TVH entwicklern ist, dann ist da evtl die Change fuer buffer overflow exploits immer noch gegeben.

    Aber ich hab das mit dem hacken seit 1988 nicht mehr verfolgt. Seinerzeit gab es halt den Morris "Worm" , mit Buffer Overflow exploits, aber auf dem Internet kursierte nur die Warnung die Art von Systemen abzudichten, fuer die Morris den Exploit implementiert hatte (DEC VAX). Und andere Leute haben dann natuerlich reimplementierungen fuer andere Systeme gemacht, die dann teilweise mehr als ein Jahrzehnt lang noch das Equivalent von Rootzugriffen uebers Internet auf beliebig viele solcher anderer Rechnertypen erlaubte. Weil ja niemand proaktiv solche Einfallstore abdichtet, wenn die Schwachselle nicht vorher breitraeumig ausgenutzt wurde.

    Hier ist so ein Verklaerartikel fuer buffer overflow:

    https://www.rapid7.com/blog/post/2019…u-need-to-know/

    Artikel ist von 2019 und meint "These exploits were extremely common 20 years ago". Das waere 1999. Aka: Da hatten die Hacker schon mehr als ein Jahrzeit Spass gehabt, exploits weltweit auszunutzen, selbst wenn sie NUR wegen Morris auf die Idee gekommen sind.

    Man sollte ja meinen, das der beste Schutz gegen solche echten Hacks ist, weit verbreitete Software fuer die nach offen hin offenen Ports einzusetzen. Aber dann gibt es halt auch OpenSSH, was mal bewiesen hat, das auch bei den weltweit am meisten verbreiteten Softwares kein Mensch vernuenftige Sicherheitsuebrerpruefungen macht. Und das war... hmm... ca. 2015 ?

    Aka: "Don't open the Port".

  • Wenn SSH ausgeschaltet war wüsste ich jetzt auch nicht wie jemand das zum Beispiel über die TVH WebGUI etc. aktivieren sollte.
    Dafür wäre schon ein Zugriff auf die GUI der CoreElec Box nötig.

    Nö...

    TVH stellt einen Webserver zur Verfügung. An den richtigen Stellen das richtige versucht und schon bekommt man eine RCE (Remote Code Execution) hin falls nicht sauber programmiert wurde. Eine Remote Shell über einen Browser und eine Eingabemaske zu bekommen habe ich schon vor 5 Jahren gemacht als ich noch nicht in der IT gearbeitet habe.

    Und ich möchte wetten, dass es nicht ganz so schwer ist, SSH über das Terminal zu aktivieren und in LibreELEC oder CoreELEC über das bearbeiten einer Datei dauerhaft zu aktivieren. Das müsste ich mal testen. Habe ich tatsächlich auch noch nie versucht, da ich, wie andere auch, SSH immer sofort aktivieren. Grundlegend deaktiviere ich den Zugang übers Passwort und hinterlege einen Passwort-geschützten SSH-Key. Das Standard-SSH Passwort ändere ich aber dennoch bevor ich den Zugang über Passwort deaktiviere ;) .

    Das nur mal so als Hinweis, was man alles so machen kann.

    Ich will damit jetzt nicht sagen, dass es TVH gewesen sein muss. Aber es kann es gewesen sein. Da müsste man sich mal durch die Issues auf TVH kämpfen und schauen, ob man da schon was ähnliches erwähnt hat.

    Ich wäre hier auch mit den Mutmaßungen sehr vorsichtig. Wir wissen weder was @Ponyriemen weiter geleitet hat und was nicht. Wir haben hier nur seine Aussage. Diese möchte ich nicht per se in Frage stellen, aber es kann auch einfach ein Konfigurationsfehler gewesen sein. Eine Einstellung, die man vielleicht vergessen hat. Eine Einstellung, die aus versehen aktiviert wurde.

    Das wäre nur menschlich und ist schon den besten passiert. Eine Firma, mit der wir mal zusammen gearbeitet haben, hatte mal SMB1 Shares offen im Netz stehen. Für die, die es nicht wissen....SMB1 erfordert kein Passwort auf die Dateien dahinter.

    Wenn die Box (bzw. ein Dienst, der auf der Box lief) die Tür war, dann hätte es, wie erwähnt, gereicht wenn man die Portweiterleitung deaktiviert hätte. Wenn das der einzige Zugang war, dann schneidet man den so von außen ab.

    Es kann auch noch ein dubioses Addon gewesen sein, welches SSH aktiviert hat. Wir wissen nicht, was installiert war. Gleich hören wir aber bestimmt, dass nichts dergleichen installiert gewesen ist. Ich will auch das nicht in Frage stellen. Gerade weil es den Betroffenen an den Pranger stellen würde, was hier nicht zielführend wäre.

    Ich will damit nur klarstellen, dass:

    • viele Sicherheitsmechanismen schon voreingestellt sind

      • SSH ist per default deaktiviert
      • der Kodi Webserver zur Steuerung ist per default deaktiviert
      • aktiviert man SSH wird man mWn aufgefordert das Standard-SSH Passwort zu ändern.
    • der "Einbruch" an vielen Stellen passiert sein kann. Dazu kann gehören

      • TVH selbst via RCE
      • ein Addon, welches Dinge außerhalb seines gedachten Zuständigkeitsbereichs macht
      • irgendein anderes Gerät im Netzwerk
      • "menschliches Versagen" im Sinne von Konfigurationsfehlern.

    Selbst wenn SSH aktiviert war, sollte kein Zugriff von außen darauf stattgefunden haben. LibreELEC "serviert" SSH per Standard über den Port 22. Solange in der Fritte keine Weiterleitung an diesen Port eingerichtet war, kann man auch nicht auf diesen Port zugreifen. Das würde die Fritte direkt ablehnen. Wenn es stimmt, dass nur Port 9981 und 9982 weiter geleitet wurde, dann ist die Anfrage an den Port 22 ins Leere gelaufen.

    Hier sind ganz ganz viele unbekannte Variablen im Spiel. Einiges können wir hier ausschließen, wenn die Infos, die wir bekommen, stimmen (nicht böse gemeint...ich versuche nur zu helfen)

    Ist ein (hier) offenes Geheimnis, dass ich mir ein Abo mit meinem Nachbarn geteilt habe. Das hab ich jetzt geändert, hab heute mein eigenes inkl. Hardware bestellt. Hab auf diese Bastelkacke keinen Bock mehr. Vor allem, wenn durch die Linux Grundlage und meinem Halbwissen auf Linux bezigen, solche Dinge möglich sind. DAS ist mir zu gefährlich.

    Glaube aber bisher, dass dieser kack "markus" auch nur drauf kam, weil 8003 von aussen auf 9981 intern verwiesen hat und man ohne Anmeldung auf die Weboberfläche kam. DAS weiss ich allerdings nicht mehr so genau, meine sicher sagen zu können, dass ich auch da damals mein PWD geändert hatte. Aber der Browser hats automatisch ausgefüllt, bzw gar nicht danach gefragt, wenn ich die IP der Kiste mit :9981 aufgerufen habe.

    Das liest sich auch schon ganz ganz übel. Card-Sharing übers Netz....vermutlich kein Passwort...falls aber doch ein Passwort, dann ist es die Frage wie sicher das gewesen ist...etc. etc. etc.

    Wenn das Passwort im Browser gespeichert war, dann ist es das jetzt immer noch. Da kannst du nachschauen und du kannst dir die Passworte, die gespeichert sind auch im Klartext anzeigen lassen. Das können alle gängigen Browser.

    Vielleicht ist das Lehrgeld auch schon mit dem "Schrecken" bezahlt. Das wäre dir zu wünschen, dass da nicht noch mehr passiert ist. Aus "Security"-Sicht kann ich dir aber nur empfehlen alles gut zu kontrollieren.

  • Man sollte ja meinen, das der beste Schutz gegen solche echten Hacks ist, weit verbreitete Software fuer die nach offen hin offenen Ports einzusetzen. Aber dann gibt es halt auch OpenSSH, was mal bewiesen hat, das auch bei den weltweit am meisten verbreiteten Softwares kein Mensch vernuenftige Sicherheitsuebrerpruefungen macht. Und das war... hmm... ca. 2015 ?

    Jetzt muss ich wirklich schmunzeln :D ;)

    Ich kann mich noch letztes Jahr an die log4j-Geschichte erinnern. DAS war richtig bitter ;).

    Wer Dinge ins Netz stellt, sollte wissen, was er tut. Ansonsten kann das böse enden.

    Wahrscheinlich wird mir schlecht werden, wenn ich mal Shodan anwerfe und nach "LibreELEC" suche ;) ....aus gegebenen Anlass:

    Und da hat mich die Suche keine 2 Minuten beansprucht.

    Info: Sodann ist eine Suchmaschine für ans Internet angeschlossene Geräte.

    Und nein...ich habe nicht versucht mich per SSH darauf zu schalten. Ich will damit nur sagen, dass es solche Instanzen gibt auf die man direkt zugreifen könnte. Und ich möchte ein kleines Vermögen darauf verwetten, dass ich auf mindestens eine drauf kommen würde, wenn ich es versuchen würde. Hieße aber auch, dass meine IP dort geloggt wird und ich möchte keinen Ärger bekommen ;) :D

  • @DaVu ich schwöre beim Leben meiner Kinder dass keine dubiose Repo installiert war. Klar, da hat jeder mal mit rumexperimentiert, aber das ist lange her und ist nie im EPROM gelandet.
    Ich vermute stark, dass der TVH Webserver hier das Problem war.
    Mein Fehler war vielleicht, diesen von außen erreichbar zu machen und der Fritte entsprechend zu erlauben, sie Ports zu forwarden. Ich denke, das war’s.

    Ich würde nur gerne verstehen, warum „markus“ eine weitere CA in TVH angelegt hat mit dem Namen „1810“ und was er damit erreichen wollte. Ich habe nur eine Sat Quelle und ein Stream nach aussen mit Priorität würde sofort auffallen, wenn hier der Adapter belegt wäre.

    ihr könnt weiter denken als ich, also nur zu…

    Pony

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

  • Meine Vermutung: einbrecher km über das TVH Webif. Mit Shodan findet man das leicht selbst ohne den Port zu kennen.
    Über die Recording funktion von TVH kann man Befehle im Kontext des TVH Users ausführen. Läuft TVH als root unter CE (was ich derzeit nicht weiss) stehen einem Tür und Tor offen. Dazu braucht es keinen Fehler in TVH. Its not a bug its a feature.

  • Erstmal freut es mich, dass du das hier alles nicht persönlich nimmst. Denn das wäre auch nie meine Absicht gewesen. Von daher danke erstmal an dich an dieser Stelle.

    Was genau das Einfallstor war, kann ich aus der Ferne nicht feststellen.

    Das kann, wie du selbst schon sagst, vieles gewesen sein und das ist wie einen Fehler im Strom per Ferndiagnose zu analysieren...."DAS MACHT MAN NICHT" ;) @SkyBird1980 stimmt mir bestimmt zu.

    Wenn du dir sicher bist, dass du keine dubiose Software betreibst und du dir sicher bist, dass du nichts anderes als 9981 und 9982 ge-forwarded hast, dann schalte die Weiterleitung ab, setz deine Kisten neu auf und genieße Kodi weiterhin.

    Lass SSH deaktiviert, wenn du es aktivierst, dann ändere das Passwort in irgendwas extrem komplexes...sowas wie AengeNge8shie!9xu6e!iFohvae!

    Am besten wäre es, wenn du einen SSH-Key erstellst. Ich schreibe dazu mal bald einen Thread, wie man das unter Linux und Windows macht und wie man LE damit ein wenig sicherer betreiben kann.

    Wenn du SSH brauchst, dann aktiviere es für den Zeitraum, den du es brauchst und schalte es danach wieder ab. Das ist auch eine gute Option.

    Standard-User sollten immer gelöscht/deaktiviert werden. Passworte sollten immer mindestens 12 Zeichen lang sein und Sonderzeichen, Zahlen, Groß- und Kleinbuchstaben beinhalten.

    Halt das normale "Security"-Setup ;)

  • Ich bin kritikfähig, ich möchte lernen. Ich vertrage auch „aufdiefresse“ wenn es mir hilft und mich weiter bringt. ;)

    danke euch für eure Meinungen, Einschätzungen und Hilfe.

    ich würde die betroffene Kiste zur Verfügung stellen, wenn es der Community hilft, Sicherheitslücken in Zukunft zu schließen. Mir fallen einige Usernamen ein die ich für vertrauenswürdig halte, denen ich das Gerät zuschicken würde. Lasst es mich wissen.

    Pony

    TVServer: origenAE (S16V) als DVBViewer MediaServer
    SAT>IP Hardware: 3x Digibit Twin
    Clienten: 1x DuneHD, 2x KII Pro DVB-S2 (S905) (CE 9.2.8), 1x FireTV Stick 4K MAX, 1x OctagonSF8008 E2 Receiver (openATV)

  • Ich denke du kannst ruhigen Gewissen Core/libreelec neu aufsetzen und deren Fernzugriff dann per VPN / Wireguard realisieren

    Auf Basis der Infos ist das von @darkside40 Szenario am wahrscheinlichsten.

    Tvh web Oberfläche per portscsn gefunden, gesehen dass da coole Sender sind. Und dann per remote code execution SSH aktiviert (wobei hier ist es komisch. Die reine Aktivierung macht noch keine Weiterleitung).

    Aber über diesen "job", zb beim post command einer Aufnahme kann man Dinge persistieren

    Haupsysteme: Server: Asrock N3160ITX, Ubuntu 24.04, TvH /// DVBSky 952 /// Wohnzimmer: Nvidia Shield Pro 2019
    Nebensysteme 1: Telestar Digibit R1 mit sat-axe25 /// Wohnzimmer: Asrock N3700, Libreelec 12 /// TvH @RPI4 Server /// Gästezimmer: Corelec 2 Tanix TX3
    Nebensysteme 2: Server: Asrock N3455M, OpenMediaVault7, TvH, Telestar Digibit R1 /// 4 Clients: Coreelec S905X

  • Ich denke du kannst ruhigen Gewissen Core/libreelec neu aufsetzen und deren Fernzugriff dann per VPN / Wireguard realisieren


    Hast du bei deinem Vorschlag berücksichtigt, dass laut Post #1 auch nach Entfernen der Portweiterleitungen nochmals erneut Zugriff durch Markus erfolgte? (Allerdings hat @Ponyriemen nicht genannt, ob alle Weiterleitungen entfernt wurden)
    Wie wäre die Erklärung dafür? Ohne gute Erklärung würde mir das ruhige Gewissen fehlen.

    Gerade in "Nerds-Umgebungen" laufen oft viele Services, die notorisch unsicher sind und nicht für Geräte geeignet mit Fernzugriff. Passwörter in .xml Dateien im Klartext, normale User werden https mit echten Zertifikaten kaum zum Laufen kriegen, "Alles-läuft-als-Root"-Systeme, Services laufen per Default, die nicht laufen sollten, ... Ist in der Enigma2-Szene auch nicht anders. Oft versteckt man sich hinter scheinbarer Sicherheit. Telnet ist Teufelszeug, aber im Webif gibt es mit http direkten Konsolenzugriff sogar ohne Telnet, usw.

    Ich finde Diskussionen hierzu bisweilen verstörend: Es wird als eine (für Laien nicht ganz triviale) Herausforderung angesehen, von außen auf die eigenen Systeme zuzugreifen. Das ist nicht ganz ungefährlich. Gibt ja schon Gründe, dass normale Router per Default von außen zu sind.

    Wurde schon erwähnt, neben Eindringen von außen am Router ist auch bewusst installierte SW oder unbewusst installierte SW (Email, Browser) eine Möglichkeit.

    Kodi 21.1, 17.6, 21.1, 16, 20.5 on Windows 11 Pro, Android 6, Android 12, FireTV Box 2nd Gen, FireTV 4k Max 2nd Gen
    Media on NAS, OpenMediaVault 6 (Debian Linux).

  • @buers ich glaube es sind alle Szenarien schon genannt worden.

    Ich gebe dir aber Recht, dass man das nicht als "easy" abtun sollte.

    Welches Szenario am "wahrscheinlichsten" gilt würde ich mir nicht zumuten beurteilen zu können.

    @Ponyriemen da du schon Dinge am betroffenen Gerät geändert hast ist eine Analyse des Geräts fast obsolet. Weiter besteht auch immer noch die Option, dass nicht dieses Gerät die Tür war. Der Vermutung liegt "nahe". Es gibt aber so nen schönen Spruch: "Hoffnung ist keine Taktik"

    Du musst dir Gewissheit verschaffen und das geht nur bei dir zu Hause. Man muss dafür alle Systeme kennen, sich komplett durch dein Netzwerk graben etc...

    Vielleicht kommt man dann wieder zur Erkenntnis, dass es die CE Kiste war. Aber dann kann man sich sicher sein.

    Augenscheinlich sieht es so aus, als würde man nur PayTV abgreifen wollen. Vielleicht steckt aber auch mehr dahinter. Schlimm ist nur wenn man nicht alle Möglichkeiten geprüft hat und dann, in einem halben Jahr oder so, kommen dann die nächsten Dinge....komische Abbuchungen, Käufe bei Amazon, die an andere Packstationen geliefert worden etc. pp. Nebst verschlüsselten Platten, Erpressungsschreiben...
    Bilder der Tochter auf Pornoseiten.....soll ich weiter machen? ;)

    Die Horror-Szenarien kann sich hier jeder selbst ausmalen. Wichtig ist nur, wie gut ihr dabei schlafen könnt.

  • Lass SSH deaktiviert, wenn du es aktivierst, dann ändere das Passwort in irgendwas extrem komplexes...sowas wie AengeNge8shie!9xu6e!iFohvae!

    Ich glaube ja diese ganzen Empfehlungen fuer Passwoerter nicht wirklich - vor allem weil die ja immer laenger und komplexer werden:

    Als erstes sollte ja mal gucken, was ueberhaupt die maximale Rate ist, mit der man passwoerter ueber die offene Schnittstelle ausprobieren kann. Wenn man das sequentiell macht dann kommt man da nicht voran wegen schon eingebauter timeouts. Wenn da ein brute-force attacker viele gleichzeitige angriffe/versuche starten will, dann hilft es natuerlich sehr viel, wenn da die maximale anzahl von gleichzeitigen moeglichen "logins" niedrig ist, e.g.: 4 oder 8. Das gibts ja bei vielen Diensten. Leider halt nicht als limiter auf der Fritzbox.

    Aber so wie ich da mal logs bei mir gesehen habe, waren das maximal alle paar sekunden ein versuch von scannern, und die nehmen dann wohl wahrscheinlich auch bloss bekannte default-passwoerter.

    Frueher war ja das groesste problem immer, das man leicht an die verschluesselten Passworter rankam und dann halt brute force beliebig schnell extern knacken konnte. Aber das ist ja seit /etc/shadow eigentlich kein ding mehr. Und wenn jemand ein system soweit gehackt hat, das er die datei lesen kann (als root) dann ist er als angreifer wahrscheinlich eh schon durch und muxx sonst nix anderes mehr machen, weil er schon root hat).

    Wenn man am ende von aussen rankommen will, dann muss man sich das ja auch merken koennen, und idealerweise eben nicht irgendwo in einer cloud aufschreiben. Weil aus den clouds weren ja zuerst passwoerter abgezogen. Da hilft es dann nicht, was kompliziertes gehabt zu havben.

    ich wuerde da was einfaches aber langes nehmen "hackermuessendraussenbleiben" oder so.
    "leiderimmernochohnezertifikat" - aka: man muss es sich merken koennen.

    Gibt ja auch geleakte Passwort datenbanken, finde jetzt leider auf die schnelle keine URL. Wuerde da auch immer nur eine nehmen, die man komplett runterladen kann und lokal durchsuchen kann. Man will ja niemandem auf dem Internet helfen indem man seine Passwoerter da ausprobiert um zu gucken ob die noch sicher gegen so eine Liste sind...

  • Ich glaube ja diese ganzen Empfehlungen fuer Passwoerter nicht wirklich - vor allem weil die ja immer laenger und komplexer werden:

    Dann lass es. ;) Sind ja deine Systeme. Das ist ein gutes Beispiel einer Empfehlung, die ich nicht weiter empfehlen kann ;)

    Frueher war ja das groesste problem immer, das man leicht an die verschluesselten Passworter rankam und dann halt brute force beliebig schnell extern knacken konnte.

    Das ist ein Widerspruch in sich. Wenn ich leicht an ein Passwort komme, weil ich es "entschlüsselt" habe, dann brauche ich kein Brute Force mehr. Denn dann kenne ich das Passwort ja schon ;) . Eine Brute-Force Attacke stellt einen Angriff dar, wo ich Passworte so lange ausprobiere bis eines passt. Für einen Brute-Force Angriff muss ich das Passwort nicht entschlüsseln.

    Und wenn jemand ein system soweit gehackt hat, das er die datei lesen kann (als root) dann ist er als angreifer wahrscheinlich eh schon durch und muxx sonst nix anderes mehr machen, weil er schon root hat).

    Versteh mich nicht falsch. Sagst du jetzt nur was um "was gesagt zu haben". Wenn ich den Satz 2 Mal lese, dann steht da: "Wenn jemand root hat, dann hat er das System ja eh schon gehackt weil er root ist". :D Sherlock :D :D Wenn ich root habe, dann habe ich root. Dann gehört das System mir. Punkt aus Basta :D unabhängig davon welche Datei ist als root lesen kann oder nicht. Wenn ich Dateien lesen kann, die root-Rechte erfordern, dann habe ich wohl die richtigen Rechte :D ;)

    Wenn man am ende von aussen rankommen will, dann muss man sich das ja auch merken koennen, und idealerweise eben nicht irgendwo in einer cloud aufschreiben. Weil aus den clouds weren ja zuerst passwoerter abgezogen. Da hilft es dann nicht, was kompliziertes gehabt zu havben

    Du ...sei mir mal nicht böse, so langsam wirds peinlich. ;)
    Ja, ich gebe dir Recht....man speichert keine Passworte bei Cloud-Dienstleistern. Aber nur, weil ich von außen ran kommen möchte, muss das Passwort nicht leicht sein. Es gibt für jedes Endgerät lokale Passwortmanager (Keepass z. B.), die komplexe Passworte verschlüsselt in einer Passwort-geschützten Datenbank speichern können, die ich "portabel" machen kann. Ich kann sie also von meinem PC auf mein Telefon oder auch ein anderes Endgerät kopieren. Wenn du jetzt sagst, dass ein Passwort leicht sein muss, damit ich es mir merken kann, dann bist du einfach auf dem Holzweg.

    Ich kann sogar noch einen Schritt weiter gehen und könnte meine Keepass-Datenbank verschlüsselt via git-crypt auf GitHub ablegen und das entschlüsseln nur mit GPG-Key ermöglichen. Dann kann sich jeder diese Datei runter laden. Selbst wenn er dann GPG geknackt hätte, dann wäre die Datenbank immer noch verschlüsselt und mit einem komplexen Passwort versehen. Dieses Passwort zum entschlüsseln der Keepass-Datenbank ist das einzig komplexe Passwort, welches ich mir merken muss. und da geht dann auch sowas folbujoRRas!hackermuessendraußenbleiben!. Da ist der komplexe und "sinnfreie" Teil bis zum ersten ! und da sind es auch 12 Zeichen ;) Alle anderen Passworte, die ich für den Zugriff "von außen" auf mein Netzwerk benötige, die auch jeder andere versuchen kann, müssen halt verdammt nochmal sehr komplex sein.

    ich wuerde da was einfaches aber langes nehmen "hackermuessendraussenbleiben" oder so.
    "leiderimmernochohnezertifikat" - aka: man muss es sich merken koennen.

    Mit sowas wäre ich vorsichtig. Wie du schon selbst sagst, gibt es eine entsprechende Passwort-Datei, diese Datei hat, soweit ich weiß, mittlerweile eine Größe von 40GB. Da steht mir Sicherheit auch sowas drin.

    Aber ich hab das mit dem hacken seit 1988 nicht mehr verfolgt.

    Seither hat sich ein wenig was verändert. Vielleicht solltest du dich erstmal wieder auf einen aktuellen Stand bringen, bevor du hier implizit Empfehlungen aussprichst. Du stellst in dem Fall ein Risiko dar. Sorry, wenn ich das mal so hart sagen muss. Aber du sagst, dass komplexe Passworte keinen Sinn ergeben. Das ist leider seit langem der größte Unsinn, den ich gelesen habe.

    Nicht böse sein.

  • @Ponyriemen mach dir aber keinen allzu großen Kopf.
    Gerade noch mal Shodan angeworfen, in Deutschland findet man min 50 TVH die ganz ohne Nutzer Autorisierung laufen, Weltweit knappe 650.

    Willst du ihm damit jetzt sagen, dass es ok ist, wie es ist nur weil es auch vielen anderen so geht? Verstehe ich das richtig?

    Denn dann würde ich sofort jegliche weitere Beratung hier einstellen. Denn dann fehlt hier ganz offensichtlich ein Grundverständnis von dem, was ich als "gutes Pattern" erachte.

    Das klingt für mich ein wenig nach. "Solange es anderen auch so geht und die Tür und Tor öffnen, dann bist du ja nicht allein. Also mach dir mal keine Sorgen. Das passt schon".

    Oder habe ich dich da missverstanden?

  • Das bedeutet das jeder mal Fehler macht und man aus den Fehlern lernen sowie nicht alles zum Drama erheben sollte. @DaVu
    Fühl dich doch nicht angegriffen bei so einer Kleinigkeit :)

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!