Ein Kamera Botnet als Ausgangspunkt einer DDoS Attacke.

"The hosting provider OVH continues to face massive DDoS attacks launched by a botnet composed at least of 150000 IoT devices."

http://securityaffairs.co/wordpress/51726/cyber-crime/ovh-hit-botnet-iot.html

Was kommt als nächstes eine Attacke der elektrischen Zahnbürsten? Shodan als Inspirationsquelle?

Du müsstest doch sehr genau wissen, dass das abzusehen war.
Viel geiler kommt, wenn dein Kühlschrank Sachen bestellen wird, die du nie wolltest. Nur weil jemand diesen gehackt hat.

Tja, wer ist nun Schuld?

Softwarefirmen die keinen Wert auf Sicherheit legen? Kunde die solche Produkte kaufen?
User, welche diese Dinger nicht updaten oder falsch konfigurieren? Der Staat der keine Regeln aufstellt oder doch der Täter der es ausnutzt?
An welcher Schraube wird man drehen? Alles Neuland.

das internet der dinge, spielplatz für all die scriptkiddies

Hat jemand zufällig mal eine Videokamera mit Lan Anschluss in den letzten 10 Jahren gekauft und die Software ausprobiert?

Da ist es kein Wunder, dass irgendwann mal was passiert (außer der ungewollten Freigabe des Streams).

Tja, wer ist nun Schuld?



immer die bude, die diesen schund verkauft.
die sollten dafür auch belangbar gemacht werden...
meine meinung

Kameras gehören nicht ans (öffentliche) Netz.

Klar, den Hersteller haftbar machen :freak:
Wenn ich morgen meinen Mercedes in eine Menschenmenge fahre, dann soll auch Mercedes dafür aufkommen.
Oder Heckler und Koch für einen Amokläufer in den USA
Logisch

Wenn so was passiert, dann zu 99% weil der Käufer scheiße baut.
Der Großteil wird vermutlich nicht mal die Standard Passwörter abändern :rolleyes:

immer die bude, die diesen schund verkauft.
die sollten dafür auch belangbar gemacht werden...
meine meinungVerkauft, also nicht herstellt?

Klar, alle Shops testen jetzt sämtliche Artikel auf alle Eventualitäten. Ist sicher kein Problem.

In der Lala Märchenwelt

[...]
Der Großteil wird vermutlich nicht mal die Standard Passwörter abändern :rolleyes:

standard passwörter... allein dafür müsste man die hersteller schon schlagen

Verkauft, also nicht herstellt?

Klar, alle Shops testen jetzt sämtliche Artikel auf alle Eventualitäten. Ist sicher kein Problem.

In der Lala Märchenwelt

deren name drauf steht...

lala märchen welt :freak:

Was ist schlimm an einem Standard PW, außer dass eben der faule Kunde sich kurz mal hinsetzen muss und halt mal selber Hand anlegt.
Davon ab, wie gesagt, Kameras sollten von außen gar nicht zugänglich sein.

Ich kann besoffen Auto fahren. Kein Hersteller baut einen Test ein, wo man reinpusten muss. Natürlich mit Live Feed per Video und DNA Analyse, dass auch ja nicht die Frau reinpustet...

Davon ab, wie gesagt, Kameras sollten von außen gar nicht zugänglich sein.
Gibt genug Fälle wo man das will, z.B. bei den etwas mehr besseren Kameras die sich schwenken und zoomen lassen.
Und selbst wenn die Geräte nicht von aussen zugänglich sind, so versucht man es halt mit einem CrossSite Angriff um solche Geräte kompromittieren zu können.


Problem ist doch aber dass

A) Diese Geräte keinen Auto-Update Mechanismus haben (der Standardmässig aktiv sein sollte) - denn die Besitzer selbst führen für diese Geräte selten bis nie Updates durch.

B) Die geplante und auch gelebte Obsoleszenz zwischen Software und Hardware/Geräten so dermassen verschieden ist.
Während bei Software schon nach 2 Jahren jeder abwinkt, können viele phyische Gerätschaften mitunter problemlos Jahrzehnte lang betrieben werden.
Kombiniert man nun diese beiden Dinger dann hat man den Salat, dass an sich noch einwandfrei funktionierende Geräte auf den Müll geworden und ersetzt werden müssten, nur weil keiner mehr ein Update des Software-Parts bereitstellt.

Einzige Lösung wäre da die Hersteller gesetzlich zu einem 20+ Jahre Wartungszwang zu verknebeln.
Und für den Fall dass ein Hersteller von solchen Geräten Pleite geht, müssste es halt Regelungen geben, um die Nachfolge des Supports zu garantieren.

Mit außen meinte ich = fremde personen die da nix zu suchen haben.
Natürlich kann man die dann im VPN o.Ä nutzen. Sollte natürlich auch dann sicher sein.
Das liegt dann aber auch wieder in Hand der Kunden und so manches Netzwerk sieht halt aus wie Sau + deren Server auf Stand von 2005, gerade im öD, wo man für die paar Mark keine gescheiten IT-ler bekommt...

Aber kalr, alles die Schuld der Hersteller.

wenn ich auf geilerussinenbesorgenesdirlivesicherkeinvirus.de oder dieneustencracksfürallespielemoddedeineps4zurps5ohnerisiko.ru gehe und mein Windoof abschmiert ist auch MS schuld. Was erlauben sich Strunz! Das muss doch sicher sein.

Diese Geräte keinen Auto-Update Mechanismus haben
Normal betreibt man so was eben gar nicht am Internet, wie sollten die sich denn die Kameras selber updaten?

Einzige Lösung wäre da die Hersteller gesetzlich zu einem 20+ Jahre Wartungszwang zu verknebeln.
Und MS stellt auch noch Updates für Win95 bereit?
Geilo!
Man sollte hier im Rahmen bleiben. 20 jahre alte CAMS würde ich btw nicht da einsetzen wo Kameras wichtig sind.

Man sollte hier im Rahmen bleiben. 20 jahre alte CAMS würde ich btw nicht da einsetzen wo Kameras wichtig sind.
Es kommt doch nicht auf die Wichtigkeit an, i.d.R. ist dem Betreiber der Geräte ja strunz was diese nebenbei so machen - ihn selber tangiert ein solcher DOS Angriff eines IoT ja nicht.

Nochmals, wenn ein Gerät noch funktioniert und man persönlich nicht auf etwas neueres und evtl. besseres angewiesen ist - wieso denn wegwerfen?

Klar sind 20 Jahre hochgegriffe, aber gerade bei IoT Geräten werden lange Lebensdauer eben alltäglicher. Wer wechselt denn schon alle 3 Jahre seine Rauchmelder, Thermostaten oder Kühlschränke?

Tja, wer ist nun Schuld?

Softwarefirmen die keinen Wert auf Sicherheit legen? Kunde die solche Produkte kaufen?
User, welche diese Dinger nicht updaten oder falsch konfigurieren? Der Staat der keine Regeln aufstellt oder doch der Täter der es ausnutzt?
An welcher Schraube wird man drehen? Alles Neuland.

Ganz klar Kunde die solche Produkte kaufen und benutzen tragen die Schuld und sollten bei Schäden die entstehen auch haftbar gemacht werden.
Anders kann man solche Dinge nicht in den Griff bekommen.
Nur wenn der Kunde haftet macht er sich auch die Mühe sein Equip in einem ordentlichen zustand zu halten. Dadurch steigt auch der Druck auf die Hersteller sichere Produkte auf den Markt zu bringen, denn ein geschädigter Kunde kann ja seinerseits den Hersteller verklagen falls sein Produkt gravierende Sicherheitsmängel hat.

Bei Waffen und Autos ist es doch auch nicht anders wer abdrückt oder jemanden überfährt trägt die schuld nicht der Hersteller der verwendeten Produkte.
Sollte sein Produkt ab Werk schon fehlerhaft sein regeln das dann die Gerichte.

Auf Provider Ebene darf man auch nicht viel machen sonst hast gleich die selbst ernannten Robin Hoods die dir was vom freien Internet erzählen :) Also sehe ich genau so den Kunden in der Haftungsfrage. Blöd nur dass die Gesetzeslage nicht überall so handgehabt wird und das Internet in Wahrheit nicht viele geografischen Grenzen kennt.

Auf Provider Ebene darf man auch nicht viel machen sonst hast gleich die selbst ernannten Robin Hoods die dir was vom freien Internet erzählen :)

Ist das die typische Rhetorik von Leuten, die keine Ahnung haben, wie das Internet funktioniert? BCP38 (falls du darauf anspielst) wird von absolut jeder Seite begrüßt und schränkt auch nicht das freie Internet ein. Einige Provider verzichten bisher nur darauf, weil es nachträglich teuer ist zu implementieren, aber weder Provider noch sonst irgendwer haben prinzipiell etwas dagegen. Warum auch?

Aber Hauptsache Leuten irgendwelche Meinungen und Worte in den Mund legen.

Im Linux-Kernel kann man übrigens Reverse Path Forwarding als Implementierung von BCP38 benutzen. Fahre ich schon einige Zeit und hatte damit bisher keine Probleme. Kann ich auch nur empfehlen, wenn man wenigstens auf seiner Seite etwas gegen IP-Spoofing machen will.

Was kommt als nächstes eine Attacke der elektrischen Zahnbürsten?

Das ist gar nicht so abwegig. Dann grinst dich bei einer DDOS Attacke Barbara Schöneberger an: "Ups, zu fest!"
Mal sehen wohin dieser App-Wahnsinn uns noch führt.

RgZaH2UjQgI

Es wird halt auch immer alles komplexer aber für den "dummen Kunden" soll es trotzdem noch einfach sein zu bedienen bzw. sich um Security nicht kümmern müssen.

Meiner Meinung nach ist das der falsche Ansatz. Zahlen will für die IT-Sicherheit/Installation halt auch keiner und IT wird generell noch immer belächelt. Aber wenn es mal "brennt" ist jeder andere außer man selbst schuld.

Es wird langsam Zeit das es auch Prüfungen für IT-Sicherheit gibt bzw. das man dadurch erst entsprechende Produkte kaufen kann.

Im Fall der obigen Zahnbürste z.B., ist das Produkt komplett unsinnig. Ein Piepton bei zu festem Druck wäre sogar praktikabler. Aber heutzutage können die Menschen ja ohne App nicht mehr auf's Klo gehen.

Es kommt doch nicht auf die Wichtigkeit an, i.d.R. ist dem Betreiber der Geräte ja strunz was diese nebenbei so machen - ihn selber tangiert ein solcher DOS Angriff eines IoT ja nicht.
Natürlich tangiert es ihn (oder sollte es), weil das Gerät selber nicht mehr so funktioniert wie es soll? Man selber ist auch ausgesperrt.

Nochmals, wenn ein Gerät noch funktioniert und man persönlich nicht auf etwas neueres und evtl. besseres angewiesen ist - wieso denn wegwerfen?

Hast du heute noch einen Röhrenfernseher bei dir stehen, weil funktioniert ja noch? Hast du noch ein uraltes 15kg Handy mit Antenne zum ausziehen, weil geht ja noch? Hast du noch ein Win95 am Internet hängen, weil geht ja noch?
Wenn ich eine Kamera einsetze, dann will ich damit etwas erreichen. Das klappt nicht wenn ich auf den Bildern nix sehe, weil die Kameras zwar noch funktionieren, aber halt Bildqualität von 1990 liefern -> Update
Klar sind 20 Jahre hochgegriffe, aber gerade bei IoT Geräten werden lange Lebensdauer eben alltäglicher. Wer wechselt denn schon alle 3 Jahre seine Rauchmelder, Thermostaten oder Kühlschränke?
Zwischen 3 und 20 jahre, gibt es noch mehr Zahlen. 3 Jahre sind nicht so lang, klar. 5 oder max 10 schon, da tut sich viel bzw hat es.

btw hab ich mal geguckt, es gibt da eine Auflistung welche Kameras welcher Firmen betroffen sind. Irgendwelche Grabbelfirmen, die ich noch nie gehört habe. Bekannte Hersteller anscheinend nicht.

10 Jahre ist aber bei einer Kamera nicht ungewöhnlich.
Kannst du die Auflistung hier verlinken?

Und welche Hersteller das sind, ist egal - die Dinger sind offensichtlich online und wurden ans Netz gehängt. Und es werden zukünftig mehr statt weniger. Und die, die mehr werden, werden auch immer älter und noch unsicherer.

IoT Geräte haben damit im Internet nichts zu suchen! Aber das kann man in der Pfeife rauchen, weil IoT Geräte bald mit Funkchips + LTE ausgeliefert werden.

Ist das die typische Rhetorik von Leuten, die keine Ahnung haben, wie das Internet funktioniert? BCP38 (falls du darauf anspielst) wird von absolut jeder Seite begrüßt und schränkt auch nicht das freie Internet ein.
Es ist ein RFC und bleibt somit eine Guideline. Sobald du ein schwarzes Schaf dabei hast kannst du dem nicht einfach das Peering abdrehen.

Funktioniert genau so gut wie Senderverify ( RFC 2505/RFC 5321) (https://en.wikipedia.org/wiki/Callback_verification)bei Mails. Eigentlich auch alles RFC complaint aber naja... abgestraft wirst du da mit Backscattern. Aber ja die RFCs sind ja die Anlaufstelle für alles :>
Es steckt wesentlich mehr dahinter, in dem verlinkten Artikel referenziert das auf einen ISP was nocht Sinn ergibt. Wenn du aber den gesamten Verkehr zwischen 2 ISP per BGP erhältst wirst du nicht nachträglich an deiner NNI noch eine Waschmaschine setzen die tatsächlich zum Routingaufwand nochmal Source IPs vergleichst und anhand dessen Packerl verwerfen. Das ist nicht aufgabe eines Routers wie es in dem tollen Papier beschrieben ist das ist Aufgabe einer ASA... In der theoretischen Umsetzung hört sich vorerst alles fein an. Nur wenn das versuchts auf ein mehre GANs um zu spannen so wirst du Probleme mit der Latenz sowie mit den Routen bekommen.

[EDIT]
Bei der Attack auf Brian Krebs war es nicht mal nötig irgendwelche Source IPs zu spoofen. Den die SYN Floods sind aus unterschiedlichsten AS gekommen. Sprich dieser Traffic wäre laut dem RFC komplett in Ordnung gewesen. Spoofen tut man in Wahrheit nur dann wenn das Bootnetz aus einem Cluster ärmlicher Nodes hinter einem einem oder max 2 AS stehen.

Aber um das Beispiel zu vereinfachen. Wieviele IP Cams meinst du, und ich zähle nur IP Cams mit fähigen Webzugang oder offenem TCP/UDP Ports glaubst du schwirren im www herum?
[EDIT END]

Inzwischen gibt es solche Industrielösungen und das sind genau genommen zwei Anbieter die das stemmen. Gesehen in Action habe ich Arbors Peakflow. Der filtert ähnlich wie RFC2827 ist CPU gestütz aber das merkt der Kunde wenn du live Paket-Inspection betreibst! Hier sprechen wir von SLAs mit 20ms Übersee. Also bitte nicht sagen bla alles so einfach umsetzbar.

10 Jahre ist aber bei einer Kamera nicht ungewöhnlich.
Kannst du die Auflistung hier verlinken?

Und welche Hersteller das sind, ist egal - die Dinger sind offensichtlich online und wurden ans Netz gehängt. Und es werden zukünftig mehr statt weniger. Und die, die mehr werden, werden auch immer älter und noch unsicherer.
Seh ich genau so.

IoT Geräte haben damit im Internet nichts zu suchen! Aber das kann man in der Pfeife rauchen, weil IoT Geräte bald mit Funkchips + LTE ausgeliefert werden.
Weniger tragisch da die meisten MSCs eh NATten. Ist jetzt schon ein Problem vieler Mobilfunkanbieter, da hängt oft auf einer MSC nur ein ganz schmaler Pool an Public IPs dran, dass lässt sich eher noch vorfiltern.

Das ist nicht aufgabe eines Routers wie es in dem tollen Papier beschrieben ist das ist Aufgabe einer ASA... In der theoretischen Umsetzung hört sich vorerst alles fein an. Nur wenn das versuchts auf ein mehre GANs um zu spannen so wirst du Probleme mit der Latenz sowie mit den Routen bekommen.

Dazu kann ich nichts sagen. Ich benutze es bei mir nur zu Hause.

Ich mein, man könnte das auch einmal anfangen in Consumer-Routern zu aktivieren. Wäre ein Anfang. Heute ist doch sowieso alles Linux-basiert.

Aber um das Beispiel zu vereinfachen. Wieviele IP Cams meinst du, und ich zähle nur IP Cams mit fähigen Webzugang oder offenem TCP/UDP Ports glaubst du schwirren im www herum?
[EDIT END]

Äh, einige? Shodan hilft dir weiter: https://www.shodan.io/search?query=%22default+password%22

Weniger tragisch da die meisten MSCs eh NATten. Ist jetzt schon ein Problem vieler Mobilfunkanbieter, da hängt oft auf einer MSC nur ein ganz schmaler Pool an Public IPs dran, dass lässt sich eher noch vorfiltern.

Und bei IPv6?

Und bei IPv6?
IPv6 kannst du eh nicht mehr gescheit im grossen Rahmen filtern.

IPv6 kannst du eh nicht mehr gescheit im grossen Rahmen filtern.

Das meine ich ja. Ohne BCP38 in irgendeiner Form kommt man da nicht weiter.

Dazu kann ich nichts sagen. Ich benutze es bei mir nur zu Hause.
Das ist löblich zu hören.
Ich mein, man könnte das auch einmal anfangen in Consumer-Routern zu aktivieren. Wäre ein Anfang. Heute ist doch sowieso alles Linux-basiert.
Wenn ich das Paper richtig verstehe bringt das nur aus Uplink Sicht etwas, praktikable klingt es dennoch nicht. Einen unix basierend Kernel hat schnell mal jedes Endgerät aber die Switchung und Routing Logik ist dann auch erst wieder auf der Softwareseite verankert. CPE Software Development kostet. Ein CPE das nur im Ansatz WRT ähnliche Features unterstützt ist nicht wirtschafltich.

Bekomm das bitte nicht in den falschen Hals; ich sehe die Problematik die daraus entsteht aber hätte sich das Netz wie im Lehrbuch entfaltet so wären Internetanschlüsse heute noch nicht leistbar.
Das Thema hat mich auch ein bisschen angefixt und bin aus Neugierde , in der verlinkten Wiki auf das Beispiel einer ASA Lösung gestoßen.


interface Gi0/0
nameif internal
interface Gi0/1
nameif external
access-list INTERNAL-IN extended permit tcp any any eq https
access-list EXTERNAL-OUT extended permit ip valid source network #1 any
access-list EXTERNAL-OUT extended permit ip valid source network #2 any
access-list EXTERNAL-OUT extended permit ip valid source network #3 any
access-group INTERNAL-IN in interface internal
access-group EXTERNAL-OUT out interface external

Gefahr daran ist das eine aus dem eigenen Netz ausgehende Attack je nach Größe Nähe zum Breakout doch einen gesamten Provider außer gefecht setzen können.


Äh, einige? Shodan hilft dir weiter: https://www.shodan.io/search?query=%22default+password%22
das war rein /s/ ;D
Ein paar Zeilen code mit NMAP "gg"

Mal ne Frage: Wie kommt die Malware auf die Geräte? Werden einfach Millionen IPs/Ports abgefragt, bis man Glück hat und am anderen Ende irgendeine Kamera mit einer bekannten Sicherheitslücke ist?

CPE Software Development kostet. Ein CPE das nur im Ansatz WRT ähnliche Features unterstützt ist nicht wirtschafltich.

Muss man ja auch nicht. Die allermeisten Firmwares für Consumer-Router basieren doch eh schon auf Busybox und Linux als Kernel. Da ist das eben nur eine Option im Kernel. Das hat schon jemand entwickelt, Kosten verursacht das also nicht. Ich konnte bei mir jetzt auch keine Unterschiede in der CPU-Last oder beim Durchsatz feststellen. Und meine mickrige MIPS-CPU ist schon wirklich eher im Low-End angesiedelt.

Abseits von Apples Routern auf NetBSD-Basis kenne ich auch keine Firmware, die nicht auf Linux basiert.

Klar, das ist nicht die richtige Stelle, um das Problem endgültig zu lösen, aber da viele Provider ihre Zwangsrouter verkaufen, muss man sich schon fragen, warum es scheinbar doch viele Provider nicht hinbekommen.

Bekomm das bitte nicht in den falschen Hals; ich sehe die Problematik die daraus entsteht aber hätte sich das Netz wie im Lehrbuch entfaltet so wären Internetanschlüsse heute noch nicht leistbar.

Na ja, die meisten Provider betreiben heute auch Carrier Grade NAT, weil sie viel zu spät angefangen haben IPv6 zu unterstützen. So knallhart wirtschaftlich scheint man da also auch nicht zu denken. Kosten für BCP38 hin oder her, am Ende stehen sowieso vermutlich bei weitem teurere Kisten fürs NAT bei jedem Provider.

Mal ne Frage: Wie kommt die Malware auf die Geräte? Werden einfach Millionen IPs/Ports abgefragt, bis man Glück hat und am anderen Ende irgendeine Kamera mit einer bekannten Sicherheitslücke ist?

Manche haben Default-Passwörter, andere haben ganz offensichtliche Sicherheitslücken. Wenn da 10 Jahre alte Software drauf läuft, gibt es in den allermeisten Fällen bekannte Sicherheitslücken oder gar fertige Exploits. Wahrscheinlich reichen für einen großen DDoS-Angriff aber auch schon die Geräte mit Default-Passwörtern.

Manche haben Default-Passwörter, andere haben ganz offensichtliche Sicherheitslücken. Wenn da 10 Jahre alte Software drauf läuft, gibt es in den allermeisten Fällen bekannte Sicherheitslücken oder gar fertige Exploits. Wahrscheinlich reichen für einen großen DDoS-Angriff aber auch schon die Geräte mit Default-Passwörtern.

Solche Geräte müssten verboten werden was gibt es bitte einfacheres als ein eigenes Passwort zu finden und im Gerät einzutragen.
Wer daran scheitert für den sind solche Geräte nicht geeignet.
Man lässt ja auch keine Kinder Autofahren oder mit Schusswaffen spielen.

Solche Geräte müssten verboten werden was gibt es bitte einfacheres als ein eigenes Passwort zu finden und im Gerät einzutragen.
Wer daran scheitert für den sind solche Geräte nicht geeignet.
Man lässt ja auch keine Kinder Autofahren oder mit Schusswaffen spielen.

Stimmt schon, aber so einfach ist es dann doch nicht. Sollte man auch Geräte verbieten, die Passwörter zulassen, welche zu schwach sind? Ein eigenes Passwort zu setzen ist zwar löblich, aber nicht jedes Passwort ist stark genug. Sollte man auch Logins ohne Rate-Limiting verbieten? Woher weiß ein eingebettetes Gerät überhaupt, was ein gutes Passwort ist und was nicht? Sollte es selbst Passwörter generieren können? Aber wo kommt dann die Entropie her?

Alles noch offene Fragen.

Stimmt schon, aber so einfach ist es dann doch nicht. Sollte man auch Geräte verbieten, die Passwörter zulassen, welche zu schwach sind? Ein eigenes Passwort zu setzen ist zwar löblich, aber nicht jedes Passwort ist stark genug. Sollte man auch Logins ohne Rate-Limiting verbieten? Woher weiß ein eingebettetes Gerät überhaupt, was ein gutes Passwort ist und was nicht? Sollte es selbst Passwörter generieren können? Aber wo kommt dann die Entropie her?

Alles noch offene Fragen.
Als erstes ist jedes Passwort besser als keines und genau das haben Geräte mit Default-Passwörtern nämlich effektiv keines.
Um "wirklich sichere Passwörter" geht es gar nicht denn solche gibt und wird es niemals geben denn alles ist rekonstruierbar wenn man genügend Zeit und Ressourcen hat. Der Punkt ist Manipulationen so schwierig wie möglich zu machen damit auch die Schäden so gering wie möglich ausfallen.

Es wird auch in Zukunft und sei es mit den besten Sicherheitskonzepten immer noch möglich sein solche Bot-Angriffe auszuführen. Man könnte die Durchführung aber erschweren und ihre Ausmaße deutlich einschränken.

wie wäre es mit einem zufallspasswort wie beim wlan-schlüssel auch? :wave2:

10 Jahre ist aber bei einer Kamera nicht ungewöhnlich.
Kannst du die Auflistung hier verlinken?
http://www.golem.de/news/brian-krebs-wer-die-hersteller-des-iot-ddos-botnets-sind-1610-123589.html

Ansonsten, wie bereits von mir geschrieben, Kameras sollten nicht frei verfügbar im Netz sein. Und wenn man das ggf als kleiner Endanwender machen will, dann muss man das PW halt ändern.
Ich bin kein Entwickler, daher weiß ich nicht wie viel Aufwand es wäre jedes Gerät mit einem zufällig generierten PW auszustatten.
Ich sag mal so, es gibt einige Kunden, die das ganze halt professionell im eigenen Netzwerk einsetzen. Da wird das StandardPW halt nicht geändert, weil ein Video Management System auf die Cams zugreift. Wenn man dann 1000+ Kameras erstmal alle anfassen muss um die PW abzuändern...

Um "wirklich sichere Passwörter" geht es gar nicht denn solche gibt und wird es niemals geben

Na ja, doch. Die Existenz von kryptografischen Hash-Funktionen kann man schlecht leugnen. Wenn man mal ein Passwort in mindestens 100 Millionen Jahren rausfindet, dann ist das für die meisten Leute sicher genug.

Ich bin kein Entwickler, daher weiß ich nicht wie viel Aufwand es wäre jedes Gerät mit einem zufällig generierten PW auszustatten.

Einige SoCs wie z.B. im Raspberry Pi haben RNGs in Hardware. Anders bekommt man das bei eingebetteten Geräten nicht so leicht hin …

wie wäre es mit einem zufallspasswort wie beim wlan-schlüssel auch? :wave2:

… wodurch das oft in die Hose geht, wenn das der Hersteller vom Gerät selbst machen lässt und z.B. der Router keine geeignete Quelle für Zufallszahlen hat. Per Google findet man haufenweise Modelle, bei denen jemand einmal rausgefunden hat, wie man z.B. anhand der BSSID das standardmäßig generierte Passwort erraten kann.

Zufällig generierte Passwörter sind enorm wichtig, aber die Frage ist eben, wo die herkommen sollen.

ich hab letztens irgendwo gelesen das es inzwischen möglich ist richtige zufallszahlen mit dem computer zu erstellen...
die hersteller wollen nur nix investieren und das wird uns irgendwann auf die füße fallen...
die ddos angriffe werden immer größer

Ich frage mich wie das in sagen wir mal 20 Jahren ausschauen wird wenn es immer mehr Menschen gibt und vernetzte Geräte. Früher war Kupfer jetzt ist Glasfaser was werden wir dann wohl haben?
Ich glaube kaum das wir mit den heutigen Technologien da noch auf einen grünen Zweig kommen werden (Netz Neutralität).
Vielleicht erledigt sich ja dann das Problem von selbst das überflüssige Geräte abgeschaltet werden müssen.

ich hab letztens irgendwo gelesen das es inzwischen möglich ist richtige zufallszahlen mit dem computer zu erstellen...
die hersteller wollen nur nix investieren und das wird uns irgendwann auf die füße fallen...
die ddos angriffe werden immer größer
Nunja, mit dem Computer. Das PW muss ja in die Kamera kommen. Dann muss dieses Random PW noch irgendwo drauf gedruckt werden. Kostet alles natürlich alles Geld. Im Zweifelsfall ändern die "schlauen" Kunden das dann eh. Beim WLAN hab ich das ja nicht anders, das Standard PW und die ID bleiben bei mir nicht so.

ich hab letztens irgendwo gelesen das es inzwischen möglich ist richtige zufallszahlen mit dem computer zu erstellen...
die hersteller wollen nur nix investieren und das wird uns irgendwann auf die füße fallen...

Brauchen sie auch nicht. Wir haben auch so genug Entropiequellen am PC.

Das Problem sind wirklich eher eingebettete Geräte.

Ich frage mich wie das in sagen wir mal 20 Jahren ausschauen wird wenn es immer mehr Menschen gibt und vernetzte Geräte. Früher war Kupfer jetzt ist Glasfaser was werden wir dann wohl haben?
Ich glaube kaum das wir mit den heutigen Technologien da noch auf einen grünen Zweig kommen werden (Netz Neutralität).

Man könnte vielleicht anfangen mehr in Queuing-Technologien zu investieren und das Problem technisch zu lösen. Die meisten Provider und deren Zwangsrouter sind dabei nicht einmal auf dem Stand der 80er angekommen. Das RITE-Projekt befasst sich übrigens damit: https://riteproject.eu/

Daran haben die Provider bei fehlender Netzneutralität natürlich auch kein Interesse, weil die dann an einer Verknappung und anschließender (kostenpflichtiger) Priorisierung mitverdienen. Ohne Netzneutralität wird man wahrscheinlich das Netz, wie wir es heute kennen, nicht mehr zur Verfügung stellen können.

Brauchen sie auch nicht. Wir haben auch so genug Entropiequellen am PC.

Das Problem sind wirklich eher eingebettete Geräte.



Man könnte vielleicht anfangen mehr in Queuing-Technologien zu investieren und das Problem technisch zu lösen. Die meisten Provider und deren Zwangsrouter sind dabei nicht einmal auf dem Stand der 80er angekommen. Das RITE-Projekt befasst sich übrigens damit: https://riteproject.eu/

Daran haben die Provider bei fehlender Netzneutralität natürlich auch kein Interesse, weil die dann an einer Verknappung und anschließender (kostenpflichtiger) Priorisierung mitverdienen. Ohne Netzneutralität wird man wahrscheinlich das Netz, wie wir es heute kennen, nicht mehr zur Verfügung stellen können.

Das befürchte ich auch 90% der Menschheit wird wieder so wie wir früher mit 56K-Modem Geschwindigkeit unterwegs sein. OK ein bisschen schneller vielleicht schon :)
Aber es ist schon eine Frechheit da ja ein Großteil der Infrastruktur von Steuergeldern die wir ja alle zahlen mit finanziert wird. Am ende darf dann jeder nochmal draufzahlen um die netten Provider reich zu machen :D:P