thread ueber SSH-Root Pirelli ...

Hier könnt ihr Fragen, Wünsche und Anregungen zu xDSL.at posten.
Auch Ankündigungen, Neuigkeiten und Wartungsmeldungen betreffend xDSL.at sind hier zu finden.
Forumsregeln
Hier könnt ihr Fragen, Wünsche und Anregungen zu xDSL.at posten.
Auch Ankündigungen, Neuigkeiten und Wartungsmeldungen betreffend xDSL.at sind hier zu finden.

thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Di 18 Mai, 2010 01:10

hi all,
ifo-net hat ein mail von der rechtsabteilung der ta bekommen, dass " vertrauliche Daten der Telekom Austria TA AG gepostet [wurden]. In conreto hat der User username und password von "TA-Modems" gepostet.
Namens der Telekom Austria TA AG darf ich Sie ersuchen, diese Inhalte schnellstmöglich zu löschen, um drohenden Schaden möglichst hintanzuhalten. "

ich versteh zwar nicht, wie daten vertraulich sein koennen, die so leicht rauszufinden sind, aber ich habe den thread einmal unzugaenglich gemacht, um ifo-net moeglichen aerger zu ersparen.

@d0n: vielleicht waere es strategisch guenstiger, nicht die zugangsdaten zu posten, sondern den weg, wie man dazu kommt.

//ps. ich hoffe sehr, dass die TA mit wirklich vertraulichen daten (zb ihrer kund_innen) sorgfaeltiger umgeht.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: thread ueber SSH-Root Pirelli ...

Beitragvon dpkg » Di 18 Mai, 2010 08:01

dpkg
Neu im Board
Neu im Board
 
Beiträge: 16
Registriert: Do 21 Apr, 2005 12:23

Re: thread ueber SSH-Root Pirelli ...

Beitragvon Stefan Hedenig » Di 18 Mai, 2010 10:16

Wer google bedienen kann und fähig ist +site:xDSL.at als suchbegriff anzuhängen wird sowieso im cache noch fündig...

was für eine schaumschlägerei
Stefan Hedenig
Advanced Profi-User
Advanced Profi-User
 
Beiträge: 2246
Registriert: Fr 18 Jul, 2003 05:50
Wohnort: Klagenfurt

Re: thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Di 18 Mai, 2010 10:45

btw, wie inode seinerzeit damit umging, dass das passwort der self-install zyxels bekannt wurde: http://xDSL.at/viewtopic.php?p=228453#228453 (-rsc- war damals inode-ma und hat das offiziell gepostet)

und auf private anfrage erhielt ich damals die antwort: "eigentlich war es ja unsere blödheit, das das passwort klartext übertragen wird. der hinweis der firewall sagt dann auch noch, wo man es nachlesen kann. "
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: thread ueber SSH-Root Pirelli ...

Beitragvon sheikhstone » Di 18 Mai, 2010 23:29

looool google ist schon ne feine sache :rotfl: hhhhhhhh
I sincerely believe that banking establishments are more dangerous than standing armies.
Thomas Jefferson, 1816

كل شيء ممكن متى توفرت الفرصة
sheikhstone
Senior Board-Mitglied
Senior Board-Mitglied
 
Beiträge: 332
Registriert: Di 11 Mai, 2010 15:50

Re: thread ueber SSH-Root Pirelli ...

Beitragvon radditz » Sa 22 Mai, 2010 22:47

jutta hat geschrieben: ... ich versteh zwar nicht, wie daten vertraulich sein koennen, die so leicht rauszufinden sind, ...

Die Sicherheitseinstufung von Daten hat ja nichts mit der tatsächlich verbauten Schutzmechanismen zu tun. Und der 0815-User kann diese Daten auch nicht so einfach rausfinden.

edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: thread ueber SSH-Root Pirelli ...

Beitragvon ANOther » So 23 Mai, 2010 00:03

radditz hat geschrieben:
jutta hat geschrieben:edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.

OT
naja, als "sicherheitsproblem" kann man ein modempasswort auch nicht bezeichnen, auch ist ein vergleich mit "kundendaten" irgendwie ...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Re: thread ueber SSH-Root Pirelli ...

Beitragvon radditz » So 23 Mai, 2010 00:24

ANOther hat geschrieben:
radditz hat geschrieben:edit: Außerdem möchte ich auf diesen Wege anmerken, dass Unternehmen Sicherheitsprobleme zu 99.9999% ignorieren, es sei denn, man teilt es dem Unternehmen über eine externe (unabhängige) Internetplatform mit.

OT
naja, als "sicherheitsproblem" kann man ein modempasswort auch nicht bezeichnen, auch ist ein vergleich mit "kundendaten" irgendwie ...


1. falsch zitiert (hab das mal bei meiner Antwort richtig gestellt),
2. die Daten alleine stellen kurz und knapp betrachtet kein Sicherheitsproblem dar. Aber es stellt sich die Frage, wo diese Daten noch von Bedeutung sind? Meine Vermutung geht in Richtung Business Kunden, die das Pirelli Zeugs bekommen.
Stell ich mir lustig vor, wenn dann plötzlich ein Mitarbeiter (oder noch schlimmer: ein Gast) unbefugterweise Zugriff auf das Modem erlangt. Und vielleicht dann mal eben eine Backdoor einrichtet, etc...

Selbst wenn diese nicht die selben Benutzerdaten haben, so dürfte es doch ein leichtes sein, diese herauszufinden, nachdem das ha schon einmal geklappt hat.

Das nächste Problem kommt dann auf die Privatkunden zu:
Diverse Schadsoftware ist bereits darauf ausgelegt, den Router zu manipulieren, so dass Anfragen des gesamten Netzwerks umgelenkt werden.
Die Bekanntgabe dieser Benutzerdaten ist für Entwickler von Schadsoftware ein gefundenes Fressen! Das wird einfach mal so in die Datenbank geadded...

Insofern ist sowohl das posten dieser Daten als auch die Möglichkeit, diese heraus zu finden, ein großes Sicherheitsproblem.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Mo 24 Mai, 2010 11:19

radditz hat geschrieben: Und der 0815-User kann diese Daten auch nicht so einfach rausfinden.


wer noch nie was von ssh gehoert hat wird scheitern. wer keinen linux-rechner zur verfuegung hat, wird es recht schwer haben. wer beides hat und ein bissl motiviert ist, braucht je nach vorkenntnissen ein paar stunden oder ein paar tage.

noch einmal: wer auf dutzenden, hunderten, tausenden geraeten ein standard-passwort einsetzt, *muss* damit rechnen, dass es frueher oder spaeter bekannt wird.


@ANOther: die bezeichnung als vertrauliche daten stammt nicht von mir, sondern vom autor des mails aus der ta-rechtsabteilung. ob man mit hilfe des modem-passworts mehr schaden anrichten kann, als nur das eigene modem zu verpfuschen, haengt davon ab, ob es bei dem ding sowas wie ACLs gibt, und wie die konfiguriert sind.
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: thread ueber SSH-Root Pirelli ...

Beitragvon wicked_one » Mo 24 Mai, 2010 12:03

Nun betrachten wir mal einen anderen Gesichtspunkt.

Das Pirelli ist Eigentum der Telekom, das Passwort ist nicht für User gedacht. Analog ist es in etwa so, als würd ich zur nächstbesten Tür gehen, diese Aufknacken, weil ich grad Lust auf Fernsehen habe...

Es ist mit WLANs nichts anderes, sobald ein Grundlevel an Schutmaßnahmen vorhanden ist, sogar das als absolut unsicher geltende WEP, ist das umgehen derselbigen ein krimineller Akt...
Never a mind was changed on an internet board, no matter how good your arguments are...

- I Am Not A Credible Source
wicked_one
Board-Guru
Board-Guru
 
Beiträge: 12244
Registriert: Mo 18 Apr, 2005 20:14

Re: thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Mo 24 Mai, 2010 12:54

steht das irgendwo? dh, wird der kunde darauf aufmerksam gemacht, dass er sich keinen zugang zu den einstellungen des routers verschaffen darf? bei den privatkunden-routern der ta war das ja bisher nicht ueblich, daher kann man auch nicht davon ausgehen, dass es die leute ohnehin wissen.

fuer mich ist das passwort nicht viel anders als "1234" oder "password".
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: thread ueber SSH-Root Pirelli ...

Beitragvon ANOther » Mo 24 Mai, 2010 13:07

jutta hat geschrieben:steht das irgendwo? dh, wird der kunde darauf aufmerksam gemacht, dass er sich keinen zugang zu den einstellungen des routers verschaffen darf? bei den privatkunden-routern der ta war das ja bisher nicht ueblich, daher kann man auch nicht davon ausgehen, dass es die leute ohnehin wissen.

jetz wirds spannend:

soll der kunde eigene firmware auf ein fremdes gerät spielen dürfen, wenn ja, gereifte oder auch beta?
zweifellos war das bei der ta "so üblich", allerdings - hat der kunde nun "ersessenes recht", den router bis nach unten zu konfigurieren?

das umgehen der gesetzten zugangsbeschränkungen durch welche auch immer gesetzten tätigkeiten ist IMHO eine aktion, die mit z.t. recht heftigen strafen "belohnt" werden könnten...

z.t. 1234, password
IMHO ist dies doch _etwas_ anders, da diese pwds vom hersteller in dessen dokus vorkommen, und nicht bewusst gesetzt wurden, um jmd draussenzuhalten.
die realisierung der pwd-geschichte ähnelt der implementierung von WEP in einem wlan von heute...

a bissi patschert;)

und trotzdem ist auch das knacken von wep illegal...
Sex is like hacking. You get in, you get out, and you hope you didnt leave something behind that can be traced back to you.
ANOther
Board-Guru
Board-Guru
 
Beiträge: 5940
Registriert: Di 16 Aug, 2005 15:35

Re: thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Mo 24 Mai, 2010 14:22

> soll der kunde eigene firmware auf ein fremdes gerät spielen dürfen, wenn ja, gereifte oder auch beta?

frueher, als die modems und router nach beendigung der vertragslaufzeit noch zurueck verlangt wurden, haette ich in voller ueberzeugung *nein* gesagt, denn etwas ausgeborgtes muss man unveraendert zurueckgeben. da a) die cpes inzwischen nicht mehr zurueck genommen, sondern den kunden zum entsorgen ueberlassen werden und b) der support bei allen moeglichen anfragen selbst "machen sie ein fw-upgrade" empfiehlt, bin ich mir heute nicht mehr so sicher. im zweifel werde ich die kosten fuer umtausch oder reparatur zu tragen haben, wenn ich ohne vorherige rueckfrage am geraet rumbastle und dann nicht mehr weiter weiss.

> zweifellos war das bei der ta "so üblich", allerdings - hat der kunde nun "ersessenes recht", den router bis nach unten zu konfigurieren?

nein. aber er hat ein recht darauf, darauf hingewiesen zu werden. und zwar schon vor vertragsabschluss, weil dieser umstand fuer manche kunden (wenn auch eine minderheit) durchaus kaufentscheidend sein kann. und fuer alle anderen sollte zumindest ein warnzettel beigepackt werden.

> z.t. 1234, password
> IMHO ist dies doch _etwas_ anders, da diese pwds vom hersteller in dessen dokus vorkommen, und nicht bewusst gesetzt wurden, um jmd draussenzuhalten.

so gross ist der unterschied imo nicht. ein default-pw ist ein default-pw, egal ob es im handbuch fuer die endkunden steht oder bloss in der doku fuer die techniker. wenn das passwort dann noch vom wizard jedem dahergelaufenen sshd verraten wird, dann ist das fast so gut wie das post-it am monitor.

> das umgehen der gesetzten zugangsbeschränkungen durch welche auch immer gesetzten tätigkeiten ist IMHO eine aktion, die mit z.t. recht heftigen strafen "belohnt" werden könnten...

das aendert aber nichts daran, dass die gesetzen zugangsbeschraenkungen nicht wirksam waren/sind. wenn es nur darum geht, die anstaendigen user auszusperren, die ein "du darfst das nicht angreifen" respektieren, brauche ich gar kein passwort. dann brauch ich aber auch keine verschluesselung fuers wlan, kein schloss an der haustuere oder autotuere usw.

> a bissi patschert;)

da simma uns 100% einig :)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Re: thread ueber SSH-Root Pirelli ...

Beitragvon radditz » Mo 24 Mai, 2010 18:47

Ich weiß, der Vergleich hinkt etwas, aber:
Wenn ich meine Haustüre absperre, den Schlüssel aber in den Briefkasten lege, ist dann der Finder dieses Schlüssels auch berechtigt, die Tür aufzusperren und sich im Haus umzusehen?
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Re: thread ueber SSH-Root Pirelli ...

Beitragvon jutta » Di 25 Mai, 2010 03:59

aeh - darum geht es nicht mehr. sondern: wie verhindere ich, dass nicht nur die nette nachbarin, die mir die blumen giessen und die katzen fuettern soll, reinkommt, sondern auch alle anderen (diebe, einbrecher usw).

einem cracker ist es ziemlich wurscht, ob die ta auf ihn boese ist, weil er das passwort missbraeuchlich verwendet hat.

um bei deinem beispiel zu bleiben: wenn ich in einer ruhigen friedlichen gegend wohne, wo alle nachbarn einander kennen und es noch nie einen einbruch gegeben hat, kann ich den schluessel fuer die nachbarin in den briefkasten oder unter den fussabstreifer legen. in einer gegend, wo pausenlos wohnungen oder autos aufgebrochen werden und sachen verschwinden, eher nicht.

ein passwort, das nur anstaendige besucher raussperrt, unanstaendige und gefaehrliche aber nicht, find ich ein bissl kontraproduktiv. (wenn die anstaendigen reinduerften, dann koennten sie es wenigstens auf ein sicheres/unbekanntes pw aendern.)
jutta
Administrator
Administrator
 
Beiträge: 30485
Registriert: Do 15 Apr, 2004 10:48
Wohnort: wien

Nächste

Zurück zu FEEDBACK

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 7 Gäste