News Datenleck: Mehr als 515.000 Passwörter zu Systemen veröffentlicht

[Fritzler]

siehste hier 1a, da lässt man sich lieber über Telnet aus, weil man mal wo aufgeschnappt hat, dass das ein Assbach Protokoll ist - dabei ist das Problem viel eher die Nutzung von default Zugangsdaten (ggf. ohne Wissen des Anwenders)

Hauptsache gestichelt wa?
Selbst wenn ein halbwegs ordentliches PW genutzt wird so kann es ausgespäht werden wegen der fehlenden Verschlüsselung.
Das dann durch einen TLS Tunnel zu drücken ist auch nur ein Tropfen auf den heißen Stein.
Zudem gibts bei vielen Implementationen nichtmal einen Brute Force Schutz, also kann da einfach sehr lange rumprobiert werden bis der Login klappt.

 

[mambokurt]

Hauptsache gestichelt wa?
Selbst wenn ein halbwegs ordentliches PW genutzt wird so kann es ausgespäht werden wegen der fehlenden Verschlüsselung.
Das dann durch einen TLS Tunnel zu drücken ist auch nur ein Tropfen auf den heißen Stein.
Zudem gibts bei vielen Implementationen nichtmal einen Brute Force Schutz, also kann da einfach sehr lange rumprobiert werden bis der Login klappt.

Nö er hat da schon recht. Rumprobieren kannste bei Ssh genauso shrug
Die News ist jetzt auch total nichtssagend, in den 90ern hatte fast jeder Server auch Telnet offen. Haste dich mit guest/guest angemeldet und nen netten Screen in Asciiart zurückbekommen. Nur anfangen konnteste mit dem Account quasi nix. Von daher wäre erstmal zu klären mit wie vielen von den 500.000 Accounts überhaupt was anzufangen ist, das steht da ja nirgends....

 

[fdsonne]

Selbst wenn ein halbwegs ordentliches PW genutzt wird so kann es ausgespäht werden wegen der fehlenden Verschlüsselung.
Das dann durch einen TLS Tunnel zu drücken ist auch nur ein Tropfen auf den heißen Stein.
Zudem gibts bei vielen Implementationen nichtmal einen Brute Force Schutz, also kann da einfach sehr lange rumprobiert werden bis der Login klappt.

Was möchtest du mir jetzt damit sagen?
Dass hier Leute sich an Telnet aufhängen, weil es von Assbach ist, nicht verschlüsselt ist und sonstwas noch? Weiß ich selbst... Es ging darum, dass hier default User/PW bzw. leicht zu erratende Kombinationen verwendet werden, die durch eine Art Brutforce Methode (laut Text) durchprobiert werden bis es eben matcht. Das ist nichts neues geschweige denn irgendwas besonders.

Nur haben die Leute, die sich an Telnet aufhängen eben das Problem mMn nicht verstanden, weil das Protokoll völlig irrelevant ist, wenn du eben default User/PW nutzt. Da brauch es auch keine Listen für. Verschlüsslung nutzt exakt gar nichts und dein Brutforce-Schutz ist ebenso irrelevant, weil aus dem Botnet eh nur ne Hand voll Versuche pro IP kommen.

Aber Hauptsache gestichelt, wa?

 

[DJMadMax]

Ich verstehe folgenden Sachverhalt nicht:
Wenn diese Datenbank ja "veröffentlicht" wurde, wieso kann ich dann nicht darauf zugreifen und meine Daten überprüfen - ob ich vielleicht betroffen bin?!

 

[P220]

Kannst du doch. Melde dich in einer der Foren an, die die Daten haben. Oder meinst du die wurden "offiziell" veröffentlicht? Wäre ja groß fahrlässig jeden dein Router Zugang anzuvertrauen?!

 

[Mickey Mouse]

Wenn diese Datenbank ja "veröffentlicht" wurde, wieso kann ich dann nicht darauf zugreifen und meine Daten überprüfen - ob ich vielleicht betroffen bin?!

tja, vielleicht weil da nur wieder mal Massenhysterie ausgelöst werden soll(te)?

ist jemand schon mal auf die Idee gekommen, dass es üblich ist solche honeypots aufzustellen, damit Script-Kiddies glücklich sind und keinen weiteren ernsthaften Schaden anrichten?

wie gesagt, wenn du einen Standard Router (z.B. Fritzbox) einsetzt und daran nicht mit gefährlichem Halbwissen herum gespielt hast, dann kannst du gar nicht betroffen sein, der Router blockt die Zugriffe auf den achso gefährlichen Telnet Port ab. Und dein unverschlüsseltes Passwort verlässt auch nicht dein Heimnetz, keine Panik.
und da sich deine IP (bei einem normalen Privat Zugang) ständig (täglich) ändert, nutzt dir die Datenbank auch nichts.

bei den Leuten mit fester IP und einem Telnet mit admin:admin gehe ich stark von "Absicht" aus, oder man kann darüber die Außentemperatur abfragen und wollte aus Sicherheitsgründen auf dem Thermometer nicht das geheime Zertifikat der Firma hinterlegen

 

[P220]

bei den Leuten mit fester IP und einem Telnet mit admin:admin gehe ich stark von "Absicht" aus,

@professor1 hat da einen interessanten Punkt angesprochen.

 

[22428216]

Telnet hin oder her. Welcher Otto Normal hat davon Ahnung?
Diese Technik, Smartphones inklusive sind in den meisten Händen von Erwachsenen wie ein Feuerzeug in Kinderhänden.

Das Problem ist unter anderem, dass diese Technik überhaupt mit default Passwörtern ausgestattet ist. Warum nicht einfach eine Passwort Zwangseingabe mit Kriterien, wie so und so viele Sonderzeichen usw, bevor die Technik überhaupt funktioniert.

 

[Drizz]

Naja, Telnet macht als (Notfall)-Fallback-Protokoll für SSH Sinn (natürlich per FW / ACL nur von bestimmten Source IPs mit non-Standard User / PW).
Lass mal was mit dem Key / Keypair für SSH sein, da bist du froh wenn es remote für ein kurzes Troubleshooting noch funktioniert.

 

[DJMadMax]

tja, vielleicht weil da nur wieder mal Massenhysterie ausgelöst werden soll(te)?

ist jemand schon mal auf die Idee gekommen, dass es üblich ist solche honeypots aufzustellen, damit Script-Kiddies glücklich sind und keinen weiteren ernsthaften Schaden anrichten?

wie gesagt, wenn du einen Standard Router (z.B. Fritzbox) einsetzt und daran nicht mit gefährlichem Halbwissen herum gespielt hast, dann kannst du gar nicht betroffen sein, der Router blockt die Zugriffe auf den achso gefährlichen Telnet Port ab. Und dein unverschlüsseltes Passwort verlässt auch nicht dein Heimnetz, keine Panik.
und da sich deine IP (bei einem normalen Privat Zugang) ständig (täglich) ändert, nutzt dir die Datenbank auch nichts.

bei den Leuten mit fester IP und einem Telnet mit admin:admin gehe ich stark von "Absicht" aus, oder man kann darüber die Außentemperatur abfragen und wollte aus Sicherheitsgründen auf dem Thermometer nicht das geheime Zertifikat der Firma hinterlegen

Keine Bange, ich bin jetzt nicht panisch davongelaufen ^^ Es ist nur aus der Vergangenheit noch bekannt, dass bei schwerwiegenden Datenlecks tatsächlich die Möglichkeit eingeräumt wurde, seine eigenen Daten mit einer Datenbank abzugleichen, um so sicherzustellen, ob man betroffen ist oder nicht. Dass diese Möglichkeit hier gar nicht erst in Erwägung gezogen wird, wundert mich einfach nur.

Verschwörungstheoretiker will ich jetzt aber auch nicht sein und nicht direkt auf "deinen" Zug aufspringen, der schon ein gewisses, filmreifes Szenario abbildet.

Davon ab: Jau, Telnet nutze ich selbst auch nicht und ich wüsste auch niemanden in meinem Bekannten- bzw. Arbeitsfeld, der das tut.

Bei einer Sache irrst du dich allerdings:
Mit klassischen DSL-Verbindungen in Deutschland wechselt sich keinesfalls täglich die Router-IP, es sei denn man startet diesen täglich neu. Der "Lease" der Telekom kann z.B. teilweise mehrere Wochen dauern.

 

[mambokurt]

Telnet hin oder her. Welcher Otto Normal hat davon Ahnung?

Und der planlose Otto macht dann auch den Port auf am Router oder wie? Mag auch Sachen geben die direkt im Netz hängen aber das dürfte eher ein geringer Teil sein 🤔

 

[Mickey Mouse]

Verschwörungstheoretiker will ich jetzt aber auch nicht sein und nicht direkt auf "deinen" Zug aufspringen, der schon ein gewisses, filmreifes Szenario abbildet.

ich würde mich weder als Verschwörungstheoretiker, noch das als meinen Zug bezeichnen.

ich hinterfrage nur gerne zum Beispiel woher die Infos kommen und wer aus der Aktion welchen Nutzen ziehen kann.
üblicherweise werden solche Daten zum Kauf angeboten und nicht einfach so in einschlägigen Foren veröffentlicht. Außer jemand möchte z.B. Werbung damit betreiben.

wenn ich solche Meldungen lese und im Werbebanner haufenweise Hinweise zu Security-Suites auftauchen, dann stelle ich da nicht direkt einen Zusammenhang her, wahrscheinlich hängt das mit meinem Surf-Verhalten auf Security Seiten zusammen, aber mal ein Gedanke daran ist sicherlich keine Verschwendung.

Davon ab: Jau, Telnet nutze ich selbst auch nicht und ich wüsste auch niemanden in meinem Bekannten- bzw. Arbeitsfeld, der das tut.

nehmen wir ein einfaches Beispiel: man hat eine Messstation draußen stehen, die nicht mehr als Temperatur, Luftdruck und Feuchte per Telnet zur Verfügung stellt.
meinst du es wäre sicherer, wenn man da jetzt einen SSL/HTTPS Zugang einrichtet und somit seinen privaten Key in den Garten stellt, wo ihn jeder stehlen kann?
viel Aufwand um sich selber in den Fuß zu schießen, nur weil man irgendwo aufgeschnappt hat, dass man kein Telnet mehr nutzen darf
man muss doch immer die Verhältnismäßigkeit bedenken!

Bei einer Sache irrst du dich allerdings:
Mit klassischen DSL-Verbindungen in Deutschland wechselt sich keinesfalls täglich die Router-IP, es sei denn man startet diesen täglich neu. Der "Lease" der Telekom kann z.B. teilweise mehrere Wochen dauern.

keine Ahnung wie oft sich das heute ändert, früher war es immer bummelig ein Tag und mein Router ist immer noch so konfiguriert, dass er sich einmal in der Nacht neu verbindet, um einer Zwangstrennung zu ungünstigen Zeiten zuvor zu kommen.
Wichtig ist in diesem Zusammenhang eigentlich nur, DASS sich die IP bei Privat Zugängen ändert und wer extra Geld für eine fixe IP zahlt, der sollte auch wissen was und warum er das tut!

 

[deo]

Einen Telnet Server konnte man früher bei den Fritzboxen per angeschlossenem Telefon aktivieren und wieder deaktivieren.
Ab FRITZ!OS 6.25 (Anfang 2016) ist es entfernt worden und kann auch nicht mehr versehentlich aktivert werden.
Damals war es in den Foren ein Thema und auch heute noch suchen Leute ältere Firmwares, um es wieder nutzen zu können. AVM entfernt schnell alte Firmwares von ihren Servern, so dass es einen regen Austausch von Firmwares unter den Nutzern gibt.
AVM streicht auch immer mal wieder Funktionen, welche dann von Leuten vermisst werden, die sich für bestimmte Anwendungen benötigt haben.
Ich vermisse die Funktion, mit der man die Fritzbox als reines Modem (Bridge Modus) betreiben kann.

 

[HaZweiOh]

-- (falsches Forum)

 

[ICHBINDA]

Allso TR-69 benutzt auch eine art telnet, denke das dies was der Provider verwendet auch gehackt ist

 

[itm]

Ich dachte auch gerade an Autoconfigtools wie TR69 @ICHBINDA

Wobei wenn das ähnlich gelöst ist wie bei Netcologne/ Netaachen wo jeder Router der Autoconfig via nc@nc.de zulässt (nebenbei bemerkt auch fritzboxen aus dem Handel nicht nur über Netcolognebezogen) und dem Router 3 IPS zu gewiesen werden (die öffentliche, eine aus dem SIPVlan von Netcologne und eine zur Konfiguration...

 

[MonsieurCock]

nehmen wir ein einfaches Beispiel: man hat eine Messstation draußen stehen, die nicht mehr als Temperatur, Luftdruck und Feuchte per Telnet zur Verfügung stellt.
meinst du es wäre sicherer, wenn man da jetzt einen SSL/HTTPS Zugang einrichtet und somit seinen privaten Key in den Garten stellt, wo ihn jeder stehlen kann?
viel Aufwand um sich selber in den Fuß zu schießen, nur weil man irgendwo aufgeschnappt hat, dass man kein Telnet mehr nutzen darf
man muss doch immer die Verhältnismäßigkeit bedenken!

Dir ist klar, dass man nicht nur einen private Key nutzt und einen neuen mit absoluten Basistools generieren kann? Und hier die Nutzung von HTTPS lächerlich ist? Gegenüber sinnvolleren sicheren Alternativen? Liegt mir fern, hier kleine Kunstfehler in Beispielen anzugreifen. Aber das ist es bei dir nicht. Dein Beitrag beweist, dass du keine Ahnung hast, worüber du sprichst, und nur Buzzword-Bingo mit Begriffen spielst, die du selber nicht verstehst.

 

[Mickey Mouse]

lass' es lieber bleiben...
ich kann schon mit openssl umgehen und tue das auch regelmäßig. Daher weiß ich aber auch, dass so ein Key Management etwas ausarten kann, wenn man es inflationär nutzt
was mich daran erinnert, dass mein LetsEncrypt certificate Ende des Monats abläuft und ich den refresh noch nicht automatisiert habe, weil ich für den certbot port 80 auf der Fritzbox durchreichen muss und das anschließend immer wieder zu mache.
für meine SSL Verbindungen nutze ich aber trotzdem immer nur einen Key und der steckt in einem Yubikey (über PGP/GPG)

was du absolut nicht verstanden hast, ist die Grundaussage: man muss die Verhältnismäßigkeit im Auge behalten!
meine Haussteuerung ist komplett abgesichert, da "lohnt" es sich etwas Aufwand zu treiben. Für das Thermometer oder den Printserver im lokalen Netzwerk lohnt es sich aber eben nicht, bzw. kann sogar nach hinten losgehen, wenn man es nicht richtig macht.

 

[MonsieurCock]

Auch kleinere Clients sollten geschützt sein, um nicht Teil eines Botnets zu werden. Da ist das Keymanagement auch kein wirkliches Problem. Aber schau dir mal an, wie viele für den Thread irrelevante Informationen zu raushaust, um dich irgendwie als Experte zu profilieren.

 

[lowRange]

Hah, Ich kenne da so ein Beispiel.
Das Problem ist das viele sich dem Risiko nicht bewusst sind.

Wenn du die Unternehmen dann aufklärst hören dir die meisten nicht zu.
"Ach uns wird es schon nicht treffen"
Es wird an falschen Ende gespart.

Die meisten haben Keine Lust mit der Zeit zu gehen, nachdem Motto läuft ja.

Kenne sehr viele Beispiele z.B.:
Wasser/Strom/Gas-Anbieter (SCADA)
Telefonanlagen uralt und bis man ihnen dann klar gemacht hat das die Wartung teurer ist wie eine neue
Switchs/Router >20 Jahre alt, wo sogar schon einzelne Ports defekt sind, macht ja nichts wir haben ja noch ein paar reserve und dann aber jammern, dass die Geschwindigkeit zu langsam ist
Und unsre medizinische Versorgung, baut auch auf " good old Devices" auf, für Sicherheit haben die kein Geld.

Ergänzung (21. Januar 2020)

lass' es lieber bleiben...
ich kann schon mit openssl umgehen und tue das auch regelmäßig. Daher weiß ich aber auch, dass so ein Key Management etwas ausarten kann, wenn man es inflationär nutzt
was mich daran erinnert, dass mein LetsEncrypt certificate Ende des Monats abläuft und ich den refresh noch nicht automatisiert habe, weil ich für den certbot port 80 auf der Fritzbox durchreichen muss und das anschließend immer wieder zu mache.
für meine SSL Verbindungen nutze ich aber trotzdem immer nur einen Key und der steckt in einem Yubikey (über PGP/GPG)

was du absolut nicht verstanden hast, ist die Grundaussage: man muss die Verhältnismäßigkeit im Auge behalten!
meine Haussteuerung ist komplett abgesichert, da "lohnt" es sich etwas Aufwand zu treiben. Für das Thermometer oder den Printserver im lokalen Netzwerk lohnt es sich aber eben nicht, bzw. kann sogar nach hinten losgehen, wenn man es nicht richtig macht.

Ich würde Dir mal einen Grundkurs " IT Sicherheit" empfehlen, denn sorry Du verstehst rein gar nichts davon und nichts ist schlimmer wie gefährliches Halbwissen !!!!