Toon posts:

Hoe zou een hacker hier te werk gaan / hoe gevaarlijk is dit

Pagina: 1
Acties:

  • Psdmd
  • Registratie: september 2014
  • Laatst online: 29-10 15:33
Als ik vragen over remote ssh stel insinueren mensen steeds heel snel dat het erg onverstandig is en je hele thuisnetwerk in gevaar brengt. Alsof iemand die toegang krijgt tot 1 toestel ook meteen toegang heeft tot alle persoonlijke documenten op je laptop en bij manier van spreken je hele leven gecompromitteerd heeft. Kan iemand mij eens in vriendelijke en klare taal uitleggen hoe dat dan precies gaat, want volgens mij is dit toch enkel mogelijk als het slachtoffer compleet achteloos is en werkelijk nergens een vorm van authenticatie of beveiliging gebruikt? 



Om even een voorbeeld te geven: ik stel bijvoorbeeld een vraag over ssh en plaats daarbij een screenshot waarop het interne ip van mijn Raspberry Pi zichtbaar is. De blackhat webmaster die mijn externe ip kan zien in zijn backlog besluit daarop effe een portscan of weet ik veel uit te voeren en ontdekt daarbij dat mijn Raspberry Pi luistert op poort 27486. Dan moet hij ten eerste al mijn username achterhalen voor hij mijn paswoord kan bruteforcen, maar neem nu even voor het gemak van het voorbeeld dat deze nog steeds standaard zijn. Hij heeft dan volledige root toegang tot mijn Raspberry Pi, die op hetzelfde draadloze netwerk zit dan mijn iPhone, MacBooks en Kodi box. Maar hoe gaat die hacker dan precies te werk om mijn andere toestellen aan te vallen? Ik vermoed eerst een tool draaien om de andere clients op het netwerk te identificeren, maar wat dan? Zonder een idee van usernames kan een hacker toch niet zomaar poort 22 van wat toestellen gaan aanvallen? Of zou een hacker eerder wachten tot ik een ssh verbinding maak met de Raspberry Pi om dan met een RAT bv reverse access te krijgen tot mijn MacBook? Ik heb wel eens op YouTube gezien hoe mensen op die manier scammers terugpakken. Als iemand daarin slaagt en root access krijgt tot mijn laptop is het natuurlijk game over. Aangezien de hacker met een VNC viewer moeiteloos aan mijn e-mails kan zijn logins van websites zo veranderd en heeft hij inderdaad toegang tot een groot deel van mijn leven (ik ga meteen na deze post bekijken hoe ik mijn e-mail beter kan beveiligen!).

Om samen te vatten, ik wil vooral weten of het écht allemaal staat en valt met de veiligheid van mijn Raspberry Pi. Is het sowieso game over als iemand daar toegang tot krijgt, of moet ik de waarschuwingen toch met een korreltje zout nemen en is het helemaal niet zo makkelijk om door te dringen naar andere computers (die trouwens allemaal Bitdefender draaien), tenzij de hacker een superster is in wat hij doet.

  • u34186
  • Registratie: september 2001
  • Niet online
Als er root-toegang is verkregen tot een Linux-machine in je netwerk, kun je daar leuke dingen mee doen. Bijvoorbeeld lokaal scannen naar andere standaardwachtwoorden. Hij kan een router en DHCP-server starten waarmee hij zorgt dat je verkeer voortaan via de Pi loopt om af te luisteren. Hij kan proberen in te breken op je telefoon, printer, desktop, laptop, netwerkapparatuur, etc. Hij kan ook narigheid naar het internet uithalen. Spam versturen, aanvallen plegen, illegale handel bedrijven (drugs/wapens/porno). Dat gaat dan allemaal uit jouw IP-adres.

Het maakt eigenlijk niet zoveel uit wat er allemaal mogelijk is. Je wilt gewoon geen vreemde op jouw netwerk hebben.

Waarom zou je het risico willen lopen? Ik zou geen wachtwoordauthenticatie toestaan op SSH. Disable dat en maak gebruik van een private key. En hang de apparaten die je vanaf het internet wilt kunnen bereiken niet in je LAN maar in een DMZ (pas op dat consumentenrouters de DMZ anders interpreteren dan het oorspronkelijk bedoeld is!)

[Voor 14% gewijzigd door u34186 op 16-09-2019 00:23]


  • Erik Jan
  • Registratie: juni 1999
  • Niet online

Erik Jan

Langzaam en zeker

In het meest waarschijnlijke geval gaat dit overigens allemaal volledig automatisch. Software op een machine uit een botnet scant IP adressen en poorten en vindt een SSH daemon. Dan worden er wat oude zwakheden in die daemon geprobeerd, wat standaardwachtwoorden, en wat ge-bruteforced. Als er uiteindelijk iets lukt, installeert de software zichzelf op jouw machine, en wordt deze lid van het botnet. Dus dan is het cirkeltje rond.

Tevens is jouw interne netwerk is nu ook bereikbaar, dus de geautomatiseerde scans naar zwakheden kunnen simpelweg doorgaan om nog meer apparaten over te nemen. Dat is extra makkelijk, want doordat alles en iedereen uitgaat van een privénetwerkje achter een semi-veilige NAT gateway, zijn de apparaten op dit netwerk vaak veel minder goed beveiligd.

Het enige dat de hacker ziet is een +1 op een tellertje voor z'n botnet, waarmee hij of zij massaal DDOS aanvallen kan uitvoeren, creditcardsnummers kan onderscheppen, ransomware, bitcoin wallets stelen, spam etc etc.

This can no longer be ignored.


  • Psdmd
  • Registratie: september 2014
  • Laatst online: 29-10 15:33
Evanescent schreef op maandag 16 september 2019 @ 00:19:Het maakt eigenlijk niet zoveel uit wat er allemaal mogelijk is. Je wilt gewoon geen vreemde op jouw netwerk hebben.

Waarom zou je het risico willen lopen?
Ik geef je gelijk hoor, ik wil helemaal het risico niet lopen en heb best wel wat maatregelen genomen. Ik ben gewoon erg nieuwsgierig en vraag me vooral af of het soms niet wat overdreven wordt voorgesteld. Dat van die router en DHCP server om af te luisteren vind ik erg interessant, maar tegelijkertijd twijfel ik of dat een groot gevaar zou vormen aangezien zowat alle belangrijke websites met https werken vandaag. Ik denk niet dat er nog veel gevoelige informatie rondzweeft in plaintext, maar ik kan me uiteraard mooi vergissen.

  • TweakerNummer
  • Registratie: september 2001
  • Niet online
- Fouten in software zorgen ervoor dat je geen U/P nodig hebt: bedenk dat een packet altijd aankomt en geprocessed wordt (bijv. door de firewall). Daarnaast draait er vaak wel een intern bereikbare service bijv. Windows file en printer sharing.
- Je router kan overgenomen worden (stuk makkelijker te doen vanaf de Pi dan van buiten af).
- De Pi kan zich voordoen als WiFi netwerk (zelfde SSID) waarna je devices er automatisch naar connecten i.p.v. de router.

ps Het is dom om je Pi open te laten staan; gebruik single packet authorization.

[Voor 78% gewijzigd door TweakerNummer op 16-09-2019 04:56]


  • ViperXL
  • Registratie: oktober 2005
  • Laatst online: 19-09 21:13
Psdmd schreef op maandag 16 september 2019 @ 00:57:
[...]


Ik geef je gelijk hoor, ik wil helemaal het risico niet lopen en heb best wel wat maatregelen genomen. Ik ben gewoon erg nieuwsgierig en vraag me vooral af of het soms niet wat overdreven wordt voorgesteld. Dat van die router en DHCP server om af te luisteren vind ik erg interessant, maar tegelijkertijd twijfel ik of dat een groot gevaar zou vormen aangezien zowat alle belangrijke websites met https werken vandaag. Ik denk niet dat er nog veel gevoelige informatie rondzweeft in plaintext, maar ik kan me uiteraard mooi vergissen.
Als alle netwerk wordt overgenomen daar malicious software op de Pi heeft je https ook geen zin meer want wordt dit afgevangen. Zo kunnen ze ook de inlog pagina van Facebook, Google of Youtube namaken en hebben ze weer een stukje inloggegevens van je. :X

  • ShadowBumble
  • Registratie: juni 2001
  • Laatst online: 08:53

ShadowBumble

Professioneel Prutser

Psdmd schreef op maandag 16 september 2019 @ 00:57:
[...]

Ik denk niet dat er nog veel gevoelige informatie rondzweeft in plaintext, maar ik kan me uiteraard mooi vergissen.
Ik denk dat thuis gebruikers op zich niet heel interessant zijn, dat is voor welke hacker dan ook niet meer als een inbreker waarbij de deur op een kier staat. Heeft de inbreker de gelegenheid dan is het makkelijk scoren.

De uitval die het echter wordt gecreëerd is veel groter inderdaad want je kan onderdeel worden van een botnet je bandbreedte wordt verkocht of je id/bankgegevens. Er vanuit gaan dat je geen "plain text" over gaat is een slecht iets, immers als ik je internet verkeer kan manipuleren dit via de "Pi" laat lopen dan kan de hacker jouw ook een alternatief SSL certificaat serveren. Zolang dit een valide certificaat is ga jij niet twijfelen aan het groene slotje in je browser.

Als jij dat niet controleer dan is jouw verkeer versleuteld tot aan de Pi, breekt de hacker het daar open (immers die heeft de controle over het certificaat) en stuur het daarna weer door.

Dit is alleen maar een enkel scenario's / voorbeeld en zo zijn er nog tig scenario's, of je het wel of niet zou moeten doen is uiteindelijk helemaal aan de eind gebruiker maar wees je vooral bewust van welke risico's je loopt of kan lopen.

"Allow me to shatter your delusions of grandeur."


  • Zebby
  • Registratie: maart 2009
  • Laatst online: 29-11 11:11
Evanescent schreef op maandag 16 september 2019 @ 00:19: Ik zou geen wachtwoordauthenticatie toestaan op SSH. Disable dat en maak gebruik van een private key.
Hiermee vang je eigenlijk het risico al dusdanig af dat je goed zit.
Wachtwoord authenticatie is beter dan geen authenticatie, maar een (sterke) key is super.

  • Mavamaarten
  • Registratie: september 2009
  • Laatst online: 29-11 18:57

Mavamaarten

Omdat het kan!

Het zit zo, hackers gaan echt niet manueel je Raspberry Pi zoeken en hacken.
Wat er wel gebeurt, is dat er tools hele IP ranges scannen. Die tools lijsten dan op welke poorten er open staan, en proberen known issues te misbruiken van software die draait op die poorten. En voor SSH proberen ze wel eens een login te brute forcen.

In de meeste gevallen is dat voor jou niet zo erg, omdat je een veilig wachtwoord hebt gebruikt en fail2ban hebt draaien oid. Dat is tot er op een dag weer een of andere exploit verschijnt, en ze (geautomatiseerd) bij je binnen geraken. Dan zetten ze rotzooi (spambots / ddos / ransomware /you name it) op je Pi en kunnen ze ook verder op zoek binnen je netwerk.

In de praktijk, als je enkel via private key authenticeert, is het op zich niet zo'n probleem om SSH publiek te zetten. En zeker niet als je custom poorten gebruikt. Gebruik je pi/rasbperry als wachtwoord en zet je port 22 open naar de buitenwereld, wees er dan maar zeker van dat je niet-leuke bezoekers krijgt.

Android developer & dürüm-liefhebber


  • kevlar01
  • Registratie: juni 2003
  • Niet online

kevlar01

trigger happy 'next' klikker

Het is een beetje alsof je vraagt of het kwaad kan om de deur van je auto niet op slot te doen....
Ja, de meeste mensen 'lopen langs', maar er zal geheid een keer iemand inbreken.

Waarom zou je niet kiezen om het zo ver mogelijk af te schermen? Puur gemakszucht?

  • ilaurensnl
  • Registratie: augustus 2012
  • Laatst online: 28-11 15:35
Best is om VLAN in te stellen zodat uw prive en werk/rpi omgeving apart zit.

Kan is klein dat ze op je laptop kunnen inbreken, tenzij je speciale services daarop hebben draaien. Kans is groter dat ze toegang hebben bij je network shares, nfs en/of nas of zoiets in dergelijke.

Het is ook mogelijk om bijvoorbeeld een soort gelijke wireshark te draaien om data te ontfutselen (van alle computers in je netwerk).

Natuurlijk kunnen ze ook je RPI misbruiken voor emails, ddos en/of gebruiken als een webhost bijvoorbeeld (licht aan je poort instellingen)

  • Batavia
  • Registratie: mei 2011
  • Laatst online: 08:08
Het staat en valt met de zwakste schakel in je netwerk. Het probleem is 2 ledig

1) mensen hebben vaak niet door hoeveel er gewoon weggescript is. Als je een tutorial zoekt over sql injection moet je heel veel moeite doen om met precies de juiste syntax een bepaalde select er uit te krijgen. Maar met sqlmap (of vergelijkbare tools) hoef ik hem alleen te wijzen waar hij moet zoeken en hij doet al het moeilijke werk totdat er volledige shell toegang is. Dit geld eigenlijk voor iedere exploid die iemand ooit een keer opgemerkt heeft.

2) Het zwakste schakel probleem. Het gaat er niet om of jouw raspberry pi een halve poging doet om te beveiligen. Het gaat dus niet om of je nergens authenticatie gebruikt, het gaat er om of je het ergens niet doet. Al is het maar zo simple dat jouw kind per ongeluk op een link in een spammail drukt voordat hij hem hard weg gooit (of ander menselijke fouten). Of dat je nog een 2e hobby raspberry pi hebt draaien waar je nog het default ww op hebt staan of verzin het maar. Als je namelijk 1 kwetsbaarheid gevonden hebt kan je vervolgens al de fancy scripts van punt 1 gebruiken om alles te proberen te misbruiken en een deel van de beveiliging in iedergeval te omzeilen.

In kort dit is hoe je van die mooie artikelen als rotterdamse haven ligt plat door wannacry krijgt https://www.ad.nl/rotterd...e-terminal-plat~a60dd307/?

Een ongeluk gebeurt nooit door die 99 dingen die wel goed gaan. De vraag die overblijft is hoe erg is het als het een keer mis gaat.

  • Psdmd
  • Registratie: september 2014
  • Laatst online: 29-10 15:33
Ik heb wel voorzorgen genomen hoor, ik vraag me alleen af hoever ik erin moet gaan. De dingen die ik gedaan heb zijn:

controleren op alle laatste updates
username en paswoord (16 karakters) veranderen
poortnummer veranderd
key based authentication RSA-2048 AES-128
PasswordAuthentication staat af
sudo acties hebben steeds een paswoord nodig
kevlar01 schreef op maandag 16 september 2019 @ 10:32:
Waarom zou je niet kiezen om het zo ver mogelijk af te schermen? Puur gemakszucht?
Wel, de vele veiligheidsmaatregelen staan in de weg van de dingen waarmee ik wou gaan experimenteren. Om een voorbeeldje te geven, ik kan met Siri voice opdrachten ssh scripts uitvoeren, tot nu toe heb ik daarmee niet meer gedaan dan de Pi eens opnieuw opstarten, maar is natuurlijk veel meer mogelijk. Jammer genoeg lukt dit niet meer als ik de laatste 2 maatregelen uit voorgaande lijst gebruik. Ik kan geen key meegeven in de Siri app en met sudo actions require password kan het ook niet overweg, dan krijg ik 'no tty present en no askpass specified'. Echte terminal apps zoals Termius kunnen er wel mee overweg, maar ja, die kan je geen voice commands geven hé :/

Een ander voorbeeldje is mijn Kodi box die op CoreELEC draait, ik gebruik daarvoor een remote app op mijn smartphone. Die werkt natuurlijk enkel als ik verbonden ben met wifi. Verschrikkelijk irritant. Het had erg leuk geweest om een poort open te zetten zodat ik ook wanneer mijn smartphone verbonden is met een mobiele verbinding (of VPN) de afstandsbediening kon gebruiken. Maar om daarvoor mijn hele thuisnetwerk onveilig te maken..

  • Mathijs
  • Registratie: januari 2004
  • Laatst online: 23-11 04:41
Ik vind het onzin. Gebruik bijvoorbeeld fail2ban om de loginpogingen tot 5 binnen een minuut te beperken en brute force is al geen issue meer.
Wanneer je het niet nodig hebt kun je het natuurlijk beter niet doen, maar ik ssh best vaak naar huis en van daaruit door naar servers en dergelijke.

  • Crxtreem
  • Registratie: augustus 2007
  • Laatst online: 09:59
Zijn er eigenlijk veilige tools/website's waar je kan scannen wat er allemaal open staat op je thuisverbinding?

  • The Executer
  • Registratie: juli 2005
  • Laatst online: 23:13
Crxtreem schreef op maandag 16 september 2019 @ 14:53:
Zijn er eigenlijk veilige tools/website's waar je kan scannen wat er allemaal open staat op je thuisverbinding?
Dat kan zeker, via o.a.: https://www.grc.com/shieldsup

"We don't make mistakes; we just have happy accidents" - Bob Ross


  • servies
  • Registratie: december 1999
  • Laatst online: 07:33

servies

Veni Vidi Servici

Mathijs schreef op maandag 16 september 2019 @ 14:40:
Ik vind het onzin. Gebruik bijvoorbeeld fail2ban om de loginpogingen tot 5 binnen een minuut te beperken en brute force is al geen issue meer.
Wanneer je het niet nodig hebt kun je het natuurlijk beter niet doen, maar ik ssh best vaak naar huis en van daaruit door naar servers en dergelijke.
Same here. Alleen is het bij mij beperkt tot 3 pogingen in 24 uur en root uiteraard disabled. Ik zie per dag enkele honderden aanvallen die allemaal afgekapt worden tot 3x raden met een gebruikersnaam waarvan ik denk "Hoe verzin je het"...

  • Psdmd
  • Registratie: september 2014
  • Laatst online: 29-10 15:33
servies schreef op maandag 16 september 2019 @ 15:00:
[...]

Same here. Alleen is het bij mij beperkt tot 3 pogingen in 24 uur en root uiteraard disabled. Ik zie per dag enkele honderden aanvallen die allemaal afgekapt worden tot 3x raden met een gebruikersnaam waarvan ik denk "Hoe verzin je het"...
Honderden aanvallen per dag is toch wel een pak gekker dan ik gedacht had :o Wat bedoel je met root disabled, want die heeft standaard toch geen wachtwoord bij de Pi zodat het niet kan ge-bruteforced worden? Of heb je nog iets extra gedaan in sshd_config met PermitRootLogin?

[Voor 3% gewijzigd door Psdmd op 16-09-2019 15:07]


  • WeHoDo
  • Registratie: augustus 2014
  • Laatst online: 23-11 01:55
Root gebruiker uitschakelen op SSH en daarvoor een ander, minder te raden gebruikersnaam gebruiken.
Key gebruiken ipv wachtwoord.
Fail2Ban
Andere SSH poort
Poorten dichthouden die je niet gebruikt.
Uptodate houden van je systeem

[Voor 10% gewijzigd door WeHoDo op 16-09-2019 15:16]

PSN: plexforce (ps4)


  • servies
  • Registratie: december 1999
  • Laatst online: 07:33

servies

Veni Vidi Servici

Psdmd schreef op maandag 16 september 2019 @ 15:06:
[...]


Honderden aanvallen per dag is toch wel een pak gekker dan ik gedacht had
In mijn logs heb ik per dag enkele honderden regels die uiteindelijk leiden tot een geblokkeerd IP adres.
:o Wat bedoel je met root disabled, want die heeft standaard toch geen wachtwoord bij de Pi zodat het niet kan ge-bruteforced worden? Of heb je nog iets extra gedaan in sshd_config met PermitRootLogin?
PermitRootLogin staat bij mij op False voor de server die aan het internet hangt.

  • laurens0619
  • Registratie: mei 2002
  • Nu online
Je hebt voor een gedeelte gelijk. Als het goed is zijn je apparaten op je LAN net zo goed beveiligd los van het feit met welk netwerk ze zijn verbonden. Een comrpomised asset op je netwerk is daarom niet de grootste dreiging.

Dit is alleen complexer dan de buitenmuur dichtzetten :). Echter puur vertrouwen op die buitenmuur is ook schijnveiligheid aangezien een aanvaller ook prima kan binnenkomen zonder open poort (e.g. reverse shell, phishing/malware).

Dus richt je netwerk zo in dat bij een assume compromise van een asset ze niet door kunnen hoppen, of in ieder geval dit te minimaliseren.

[Voor 6% gewijzigd door laurens0619 op 16-09-2019 16:08]

CISSP! Drop your encryption keys!


  • Deceipher
  • Registratie: maart 2012
  • Niet online
Psdmd schreef op maandag 16 september 2019 @ 15:06:
[...]


Honderden aanvallen per dag is toch wel een pak gekker dan ik gedacht had :o Wat bedoel je met root disabled, want die heeft standaard toch geen wachtwoord bij de Pi zodat het niet kan ge-bruteforced worden? Of heb je nog iets extra gedaan in sshd_config met PermitRootLogin?
"Aanvallen" is vrij ruim genomen. Er komen continu scanners langs, die als ze een openstaande SSH poort zien iets verder zullen trachten te komen, door bijv. standaard credentials te proberen.

Het veranderen van een poort voegt misschien iets toe, maar beschermt je verder niet. Security by obscurity zou je dit onder kunnen scharen :). Mocht iemand jouw externe IP goed bekijken heeft het geen enkele waarde.

Bruteforcen zie ik vaak terug komen, maar dit is, zoals ook al genoemd, makkelijk af te vangen. Belangrijker is na te denken over welke services je ontsluit aan het internet. Denk bijvoorbeeld aan de redelijk recente kwetsbaarheden in VPN oplossingen, waarbij is gebleken dat het niet spoedig patchen zorgt voor compromitering van de betreffende servers.
Overigens treft dit vaker bedrijven (zoals, in vorige casus, bijvoorbeeld Twitter) dan particulieren.

Let wel dat op het moment dat een hacker daadwerkelijk binnen weet te komen op je RaspPi, het vaak (binnen een particulier/onbeveiligd intern netwerk) niet superlastig is om te verplaatsen tussen machines in het netwerk.


Praktisch gezien, wat tips:
- Gebruik een VPN verbinding naar huis alvorens je SSH'd
- Gebruik private keys ipv wachtwoordauthenticatie
- Hou de software die je draait up to date
- Gebruik geen standaardaccounts
- Wees je bewust van welke apparaten/services zichtbaar zijn vanuit je netwerk en wat het risico is (begin bijvoorbeeld eens met een nmap van je eigen subnet)

  • laurens0619
  • Registratie: mei 2002
  • Nu online
Deceipher schreef op dinsdag 17 september 2019 @ 00:09:
[...]


Let wel dat op het moment dat een hacker daadwerkelijk binnen weet te komen op je RaspPi, het vaak (binnen een particulier/onbeveiligd intern netwerk) niet superlastig is om te verplaatsen tussen machines in het netwerk.
En hier gaat de vraag van ts dus over en ik denk dat het risico kleiner is dan de meeste mensen denken (in een thuisnetwerk, domain joined is anders)

Ik bedoel als een hacker kan overspringen via mjn pi naar mijn laptop/imac/macbook dan zijn die apparaten slecht beveiligd en zou ik ze ook niet op een (public) wifi moeten aansluiten. Zoveel remote execution kwetsbaarheden zijn er niet voor dit scenario.
Aanvallers willen ook zo goedkoop mogelijk resultaat halen. Willen ze je pi gebruiken voor een botnet? Dan proberen ze hem inderdaad via het internet/port mapping aan te vallen en te infecteren.

Willen ze je pc er ook bij? Sturen ze een phishing mail. Stuk eenvoudiger (goedkoper) dan die pc via het netwerk te infecteren :)

Rest van je post trouwens helemaal eens. Ik zou alleen nog fail2ban willen toevoegen

[Voor 56% gewijzigd door laurens0619 op 17-09-2019 07:21]

CISSP! Drop your encryption keys!


  • Psdmd
  • Registratie: september 2014
  • Laatst online: 29-10 15:33
Klopt, het is inderdaad voor dat doorstoten naar andere toestellen dat ik me zorgen maak. De Macs en de Kodi box kunnen mekaar zien en bestanden delen via AFP of SMB (wel steeds met authenticatie), de Pi zie ik niet vanop andere toestellen (tenminste, niet onder netwerk).

Misschien moet ik inderdaad eens wat experimenteren met tools zoals nmap om een beter beeld te krijgen wat zichtbaar is op mijn subnet.

Voorlopig heb ik PasswordAuthentication toch maar terug op yes gezet, sudo actions require password uitgeschakeld en fail2ban ook ingesteld op 3 pogingen en dan 24u ban. Dat mag zelfs nog strenger imo aangezien ik maar met 3 toestellen moet kunnen inloggen waarvan 2 met key en de derde het wachtwoord opgeslagen heeft.

Nog een bijkomend vraagje, stel nu dat een hacker of botnet zich toch toegang verschaft heeft tot mijn Pi, kan ik deze dan 'buiten sluiten' door port forwarding simpelweg weer uit te schakelen, of is dat wishful thinking en is het peanuts voor hun om een ander achterpoortje te installeren?

[Voor 16% gewijzigd door Psdmd op 17-09-2019 23:07]


  • TweakerNummer
  • Registratie: september 2001
  • Niet online
Ik zou er maar vanuit gaan de Pi ook actief een verbinding naar buiten probeert op te zetten. Alle Port forwarding uitzetten helpt daar niet tegen.

  • laurens0619
  • Registratie: mei 2002
  • Nu online
met @TweakerNummer, als ze binnen zijn dan gebruiken ze waarschijnlijk vanaf dan uitgaande verbindingen. Dus als die compromised is >reimage

Wat je er nog bij kan zetten is een script wat je een email stuurt bij een nieuwe logon (bv net als gmail als je vanaf nieuwe locatie inlogt). Als je opeens dat mailtje krijgt zonder dat je ingelogd bent weet je dat het mis is :)

https://www.tecmint.com/g...in-email-alerts-in-linux/

CISSP! Drop your encryption keys!


  • Gomez12
  • Registratie: maart 2001
  • Laatst online: 23-07 14:44
laurens0619 schreef op dinsdag 17 september 2019 @ 06:55:
[...]
En hier gaat de vraag van ts dus over en ik denk dat het risico kleiner is dan de meeste mensen denken (in een thuisnetwerk, domain joined is anders)

Ik bedoel als een hacker kan overspringen via mjn pi naar mijn laptop/imac/macbook dan zijn die apparaten slecht beveiligd en zou ik ze ook niet op een (public) wifi moeten aansluiten. Zoveel remote execution kwetsbaarheden zijn er niet voor dit scenario.
Je apparaten hoeven niet zozeer "slecht beveiligd" te zijn alswel slecht gemonitord.

De truc van een pi compomitteren is dat het een perfecte uitvalsbasis is voor het interne netwerk, je kan gewoon 24/7 bij die nas/printer/media server aankloppen met een bruteforce inlognaam/ww en wie controleert daar nu echt de logs van?

Zo heb je gewoon scripts voor rpi's etc die gewoon totdat er iets qua maintenance / updates gebeurt en daarna gaan ze bijna zonder enige cover je netwerk bestoken.
Want als jij net je pi geupdate hebt en je krijgt op je laptop een melding in het scherm of je pi toegang mag hebben tot x, dan zal 9/10 ja beantwoorden omdat ze denken dat het vanuit de updates komt.

  • laurens0619
  • Registratie: mei 2002
  • Nu online
Gomez12 schreef op woensdag 18 september 2019 @ 17:02:
[...]

Je apparaten hoeven niet zozeer "slecht beveiligd" te zijn alswel slecht gemonitord.

De truc van een pi compomitteren is dat het een perfecte uitvalsbasis is voor het interne netwerk, je kan gewoon 24/7 bij die nas/printer/media server aankloppen met een bruteforce inlognaam/ww en wie controleert daar nu echt de logs van?

Zo heb je gewoon scripts voor rpi's etc die gewoon totdat er iets qua maintenance / updates gebeurt en daarna gaan ze bijna zonder enige cover je netwerk bestoken.
Want als jij net je pi geupdate hebt en je krijgt op je laptop een melding in het scherm of je pi toegang mag hebben tot x, dan zal 9/10 ja beantwoorden omdat ze denken dat het vanuit de updates komt.
Je hebt gelijk hoor, als je apparaten slecht zijn geconfigureerd/niet monitored dan is een intern device perfect om door te gaan.

Ik heb op mijn thuisnetwerk inderdaad geen monitoring. Ik heb wel
- auto block op mijn nas. Bruteforcen gaat dus niet lukken (staat standaard aan op synogy)
- geen remote login functie op mijn macs (default gedrag dacht ik
- auto lock van account na incorrecte passwords op windows bak (werk ding, ad policy)

Lukt het dan niet meer om mij te hacken? Zeker wel! Maar het is echt aannemelijk dat een aanvaller op deze manier moeite gaat doen. Kunnen ze beter een phishing mail naar mij sturen :)

[Voor 22% gewijzigd door laurens0619 op 18-09-2019 21:40]

CISSP! Drop your encryption keys!

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee