IT-Security für CE-Geräte (IT-Security Blog)

[RAXMusic]

Früher war alles einfach: Ein Verstärker z.B. hat die Signale der Quelle für die Lautsprecher verstärkt oder ein TV-Gerät hat einfach die Sender wiedergegeben.
Früher war noch alles einfach und gut.

Doch diese Zeiten sind längst vorbei. Beinahe jedes Gerät will ins Internet und ist damit auch eine "Gefahrenquelle".
Zum einen besteht hier natürlich die Gefahr, dass externe ins eigene Netz eindringen können. Regelmäßige Updates für Geräte, die im Netz hängen, sind daher IMHO unbedingt notwendig.
Die andere Gefahr geht in die andere Richtung, nämlich dass Geräte Daten nach außen geben, uns tracken und unsere Privatsphäre missachten.

Die Geräte einfach überhaupt nicht ins Netz zu lassen ist aber für die meisten wohl keine probate Lösung.

Viele sind sich gar nicht bewusst, was da alles abgeht.
Man könnte meinen, es ist allen schon egal. Allen? Nicht ganz!
Es gibt noch kleine gallische Dörfer, die sich dagegen wehren.

Daher erlaube ich mir einmal auf einen Blog zu verweisen, den ich ganz gut finde: Kuketz IT-Security Blog.
Mir gefällt dieser Blog recht gut, da er meines Erachtens ein guter Kompromiss zwischen Verständlichkeit (u.a. weil er auch auf Deutsch ist), Hintergrundinformationen und Tipps und Empfehlungen ist und man kein Informatiker sein muss, um das (Großteiles) zu verstehen und nachvollziehen zu können. Viele Tipps und Empfehlungen lassen sich leicht von Jedermann und Jederfrau umsetzen.
Zwar ist der Blog schon recht IT-lastig, doch Consumer Electronic ist heute ja auch schon mehr oder weniger IT-Elektronik und vieles lässt sich daher auch für Audio- und Video-Geräte anwenden (z.B. ein Pi-hole-Server).


P.S.: Ich stehe in keinem Zusammenhang mit diesem Blog oder mit dem Verfasser und bekomme auch nichts für diese "Werbung".

[root2]

Fun-Fact am Rande, den ich gleich beim Lesen des ersten Artikels gefunden habe: "Interessant", dass der Blogger - der es ja wirklich mit Sicherheit ernst meint (im wahrsten Sinne des Wortes) - solche Sachen tatsächlich in seine Anleitungen schreibt:

Zunächst installieren wir Pi-hole. Das machen wir wieder in einer SSH-Sitzung auf dem Pi.
...

Code: Alles auswählen

$ curl -sSL https://install.pi-hole.net | bash

Wer tatsächlich auf Sicherheit bedacht ist, sollte niemals (!) einfach so etwas ungeprüft aus dem Internet in die bash pipen!

Besser wäre tatsächlich:

Code: Alles auswählen

wget -O basic-install.sh https://install.pi-hole.net
sudo bash basic-install.sh

Ist aber auf jeden Fall mal einen oder mehrere Lese-Sessions wert, der Blog. Danke fürs Zeigen

[RAXMusic]

"Interessant", dass der Blogger - der es ja wirklich mit Sicherheit ernst meint (im wahrsten Sinne des Wortes) - solche Sachen tatsächlich in seine Anleitungen schreibt:

Zunächst installieren wir Pi-hole. Das machen wir wieder in einer SSH-Sitzung auf dem Pi.
...

Code: Alles auswählen

$ curl -sSL https://install.pi-hole.net | bash

Wer tatsächlich auf Sicherheit bedacht ist, sollte niemals (!) einfach so etwas ungeprüft aus dem Internet in die bash pipen!

Besser wäre tatsächlich:

Code: Alles auswählen

wget -O basic-install.sh https://install.pi-hole.net
sudo bash basic-install.sh

Naja, ich weiß nicht, ob man das wirklich so streng sehen sollte.

Der Blog richtet sich (meiner Meinung nach) an Jedermann und nicht unbedingt (nur) an IT-Experten (wie schon erwähnt).
Klar, als IT-Experte könnte man sich nun das Setup-Script vorher herunterladen, prüfen und dann installieren. ONUs können das wohl nicht, denn sie werden das Script nicht verstehen.
Und ich denke, der der glaubt so ein Script verstehen zu können (oder es verstehen will), der weiß auch, dass er es vorher lokal legen kann.
Aber was bringt das wirklich? Man könnte eine Schwachstelle, Fehler, Angriffsversuch etc. im Installationsscript aufspüren. Aber wenn man den Installationsscript nicht vertraut, dann dürfte man auch dem ganze Produkt nicht vertrauen und müssten den kompletten Sourecode prüfen und analysieren. Die Möglichkeiten dazu hat man ja bei Open Source.
Oft, vor allem bei anderen Betriebssystemen (z.B. Windows), hat man gar nicht die Möglichkeit die Installationsroutine (auf einfache Weise) zu analysieren, da sie in kompilierter Form vorliegt. Und bei Close-Source-Software bekommt man auch das restliche Programmpaket nicht zu Gesicht. Ja, es ist im Grunde genommen schon eine Gefahrenquelle, aber der setzt man sich praktisch immer aus, wenn man irgendeine Software installiert.
Wer Pi-hole nicht vertraut, der darf es natürlich nicht installieren. Ich denke aber, der Ruf den sich der Junge/das Produkt in den Letzen Jahren erarbeitet hat, spricht für sich.

BTW: Die Installationsanweisung auf der Pi-hole-Site weist sogar auch explizit darauf hin, dass man das Script auch vorher downloaden kann/sollte, aber man bemüht sich eben auch, es so einfach wie möglich zu gestalten. Nur downloaden, ohne es zu prüfen brächte auch keinen Vorteil (und das machen dann wohl auch wieder nur die wenigsten).

Auch wenn man Software direkt mittels eines Software-Managers eines Betriebssystems installiert führt man die Installationsroutine i.d.R. ungeprüft aus.
Für einen Pi dürfte für viele auch z.B. DietPi eine gute (oder gar die besser) Wahl sein, wo man die Installation von Pi-hole einfach im Software-Menü durchführen kann.

Insgesamt scheint mir dieses Risiko hier aber akzeptabel zu sein und die Empfehlung durchaus praxisnah zu sein.
Wollen wir doch lieber Leute hier nicht schon am Anfang verunsichern.

Ist aber auf jeden Fall mal einen oder mehrere Lese-Sessions wert, der Blog.

Auf jeden Fall!

[Kurdt]

"Interessant", dass der Blogger - der es ja wirklich mit Sicherheit ernst meint (im wahrsten Sinne des Wortes) - solche Sachen tatsächlich in seine Anleitungen schreibt:

Zunächst installieren wir Pi-hole. Das machen wir wieder in einer SSH-Sitzung auf dem Pi.
...

Code: Alles auswählen

$ curl -sSL https://install.pi-hole.net | bash

Wer tatsächlich auf Sicherheit bedacht ist, sollte niemals (!) einfach so etwas ungeprüft aus dem Internet in die bash pipen!

Besser wäre tatsächlich:

Code: Alles auswählen

wget -O basic-install.sh https://install.pi-hole.net
sudo bash basic-install.sh

Naja, ich weiß nicht, ob man das wirklich so streng sehen sollte.

Der Blog richtet sich (meiner Meinung nach) an Jedermann und nicht unbedingt (nur) an IT-Experten (wie schon erwähnt).
Klar, als IT-Experte könnte man sich nun das Setup-Script vorher herunterladen, prüfen und dann installieren. ONUs können das wohl nicht, denn sie werden das Script nicht verstehen.
Und ich denke, der der glaubt so ein Script verstehen zu können (oder es verstehen will), der weiß auch, dass er es vorher lokal legen kann.
Aber was bringt das wirklich? Man könnte eine Schwachstelle, Fehler, Angriffsversuch etc. im Installationsscript aufspüren. Aber wenn man den Installationsscript nicht vertraut, dann dürfte man auch dem ganze Produkt nicht vertrauen und müssten den kompletten Sourecode prüfen und analysieren. Die Möglichkeiten dazu hat man ja bei Open Source.
Oft, vor allem bei anderen Betriebssystemen (z.B. Windows), hat man gar nicht die Möglichkeit die Installationsroutine (auf einfache Weise) zu analysieren, da sie in kompilierter Form vorliegt. Und bei Close-Source-Software bekommt man auch das restliche Programmpaket nicht zu Gesicht. Ja, es ist im Grunde genommen schon eine Gefahrenquelle, aber der setzt man sich praktisch immer aus, wenn man irgendeine Software installiert.
Wer Pi-hole nicht vertraut, der darf es natürlich nicht installieren. Ich denke aber, der Ruf den sich der Junge/das Produkt in den Letzen Jahren erarbeitet hat, spricht für sich.

BTW: Die Installationsanweisung auf der Pi-hole-Site weist sogar auch explizit darauf hin, dass man das Script auch vorher downloaden kann/sollte, aber man bemüht sich eben auch, es so einfach wie möglich zu gestalten. Nur downloaden, ohne es zu prüfen brächte auch keinen Vorteil (und das machen dann wohl auch wieder nur die wenigsten).

Auch wenn man Software direkt mittels eines Software-Managers eines Betriebssystems installiert führt man die Installationsroutine i.d.R. ungeprüft aus.
Für einen Pi dürfte für viele auch z.B. DietPi eine gute (oder gar die besser) Wahl sein, wo man die Installation von Pi-hole einfach im Software-Menü durchführen kann.

Insgesamt scheint mir dieses Risiko hier aber akzeptabel zu sein und die Empfehlung durchaus praxisnah zu sein.
Wollen wir doch lieber Leute hier nicht schon am Anfang verunsichern.

Ist aber auf jeden Fall mal einen oder mehrere Lese-Sessions wert, der Blog.

Auf jeden Fall!

Dito

[root2]

Ich wollte definitiv niemanden verunsichern, denn der Blog an sich ist ja - wie bereits geschrieben - lesenswert und gibt dem einen oder anderen sicherlich ein paar gute Impulse

Und ich mache jetzt kein Fullquote deswegen ;o)

[Wete]

Dito

Soll das Gequote Satire sein?

[Weyoun]

Kuredte