Beveiligingsupdate Raspberry Pi schakelt ssh uit
Vanwege de recente aanvallen op Internet of Things-apparaten hebben de makers van de populaire minicomputer Raspberry Pi een update voor het besturingssysteem uitgebracht die onder andere ssh uitschakelt. Standaard stond ssh altijd ingeschakeld, zodat het eenvoudig was voor gebruikers om op afstand de nieuwste versie van het Raspbian-besturingssysteem te installeren.
"Helaas maken hackers steeds vaker van dit soort gaten in andere producten gebruik om het apparaat over te nemen", zegt Simon Long, ontwerper van de Pixel-desktopomgeving die op Raspbian draait. Volgens Long was de standaard ssh-toegang over het algemeen genomen geen probleem voor de Raspberry Pi. Als de minicomputer in een thuisnetwerk staat zal die waarschijnlijk niet voor het internet toegankelijk zijn. In het geval de Pi op een openbaar netwerk is aangesloten heeft Long de hoop dat de gebruiker voldoende weet om het standaard wachtwoord te wijzigen of ssh uit te schakelen.
Vanwege de groeiende dreiging is deze aanpak echter niet meer houdbaar, gaat Long verder. Daarom zijn er in de nieuwste versie van het besturingssysteem verschillende aanpassingen op veiligheidsgebied doorgevoerd. De belangrijkste is dat ssh voortaan standaard staat uitgeschakeld. "Het onderwerp heeft voor veel discussie op het Pi-hoofdkantoor gezorgd. De relaxte aanpak die we tot nu toe hadden was er voor goede redenen en we wilden die niet graag veranderen. Toch zijn de nu doorgevoerde veranderingen nodig om onze gebruikers tegen potentiële dreigingen zowel nu als in de toekomst te beschermen en we hopen dat jullie hiervoor begrip hebben", besluit Long.
Soms moet je toch even aangeven wat je bedenkingen zijn. Voor de goede orde, de update zet ssh NIET uit indien deze aanstaat, de update houdt in dat ssh "out of the box" niet enabled is.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Steeds meer noobs gebruiken een pi voor allerlei doeleinden, dus hoe veiliger direct na installatie des te beter.
Nee, hoezo? Licht je gevoel eens toe :]
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Kan er een scherm aan een pi? ;)
SD flashen, booten en inloggen om het password aan te passen.
Standaard uit, ik snap het, maar blij ben ik er zeker niet mee...
Kan je weer een keyboard en scherm gaan zoeken :(
Kan je weer een keyboard en scherm gaan zoeken :(
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Kijk, dat is nuttig om te weten!
Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.
LOL
Het punt hier is dat ze het verspreiden als een image van een volledig geïnstalleerd systeem. Een wachtwoord is dan voor iedereen gelijk, maar een ssh-key zou net zo goed voor iedereen gelijk zijn en hetzelfde probleem geven. En de ssh-key die je gebruikt is op een andere computer gegenereerd dus kan je die niet bij de eerste opstart automatisch aanmaken (en als je het toch op de RPi aanmaakt moet je weer iets buiten ssh om van de RPi afhalen). Wat ze ook doen, de gebruiker moet hoe dan ook een handeling verrichten om de ssh-toegang op een veilige manier te activeren. Dan is wat ze nu doen niet slechter dan andere oplossingen, lijkt me.
Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.
Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).
Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.
Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).
Poorten zitten over het algemeen niet standaard dicht maar juist open, het is juist dat er geen daemon/service staat te luisteren wat de zaak veilig maakt en dat is wat ze nu Raspbian goed geregeld hebben.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Als je al toch een SD card image hebt en daar een ander root wachtwoord op hebt geconfigureerd, is het ook geen probleem om op dat image ssh aan te zetten.
Als het zo is dat iemand een standaard image in de PI steekt en dat jij dan remote inlogt om het wachtwoord aan te passen, dan wil ik niet dat jij PI's in mijn netwerk beheert. Er komen constant scanners langs die op zoek zijn naar PI's met default wachtwoord. Met hun automatische scripts hebben zij een nieuw root-account aangemaakt voor jij handmatig bent ingelogd en daar het standaard root wachtwoord hebt gewijzigd.
Peter
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Kijk, dat is nuttig om te weten!
Inderdaad, dus een fake landing page maken, dan een "update" file of applicatie aanbieden voor de pi en mensen zelf hun SSH laten activeren.
Het is dat een pi op bepaalde groepen gebruikers is gericht en die weten wat ze ermee moeten doen, echter denk eens aan al die devices die op een pi zijn gebouwd en nu ergens onder bv iemand zijn aquarium aan het draaien zijn?
Dit gaat dus nog fun worden binnenkort!
een 'touch ssh' gedaan en vervolgens geboot in een pi.
Zowel de GUI als een ssh login geven nu:
SSH is enabled and the default password for the 'pi' user has not been changed.
This is a security risk - please login as the 'pi' user and type 'passwd' to set a new password.
Zouden meer 'apparaten' moeten doen, eventueel nog een tijdslot aanhangen zodat je binnen x tijd na het booten het password veranderd moet hebben omdat anders ssh/services weer disabled worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
