Hoe dom ben je als je zelfs een pi met een standaard wachtwoord bereikbaar maakt vanaf het internet?

Ik had eigenlijk verwacht dat zulke malware allang bestaat.

Niet dom, maar onwetend.
Of je wil een honeypot opzetten :)

~dodo

Sowieso een PI direct aan het Internet koppelen is al geen slimme actie. Ik snap dat mensen een PI als externe server voor files of DNS willen inzetten maar zorg er dan minimaal voor dat je de firewall goed hebt geconfigureerd. Als je al niet weet hoe je servers op het Internet moet beschermen dan heb je daar al helemaal niets te zoeken. Gewoon niet doen dus.

Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?

Waarom is dat dan? Een standaard installatie image met default password niet nee, maar als je er de gebruikelijke
maatregelen op neemt dan maakt het toch totaal geen verschil of het een Pi is of een PC met Linux, een router die
Linux draait, e.d.?

Als je Pi niet beschermd binnen je eigen netwerk zit, mag je toch op zn mins verwachten dat mensen hun wachtwoord veranderen,.
maargoed, het is een dingetje van 10-35 euro, dan kan iedere jan en alleman zo'n ding neerzetten,.
Kwestie van tijd.

Lees ze!

https://www.hackster.io/charifmahmoudi/iot-security-tips-to-protect-your-device-from-bad-hackers-768093?ref=platform&ref_id=425_trending___&offset=0

Ik ben van plan om gebruik te gaan maken van PI-hole ik hoop dat die de boel wel dicht heeft zitten.
Iemand die daar ervaring mee heeft?[/quote]
Zorg ervoor dat je het ww van de gebruiker Pi veranderd en dat SSH wordt geblokkeerd op de firewall.
Beter is het Pi account op disable te zetten en een ander root account te maken.

De nieuwere Rasbian installaties hebben poort 22 helemaal niet open staan en zijn dus gewoon safe.
Gewoon een non issue en ja, ook kan je bewust zaken open gaan zetten maar dat is niet Pi specifiek.

Niet aan beginnen als je dit soort vragen moet stellen. Een Pi is gewoon een computer met een OS, afhankelijk van het gebruikte OS moet je zelf meer of minder kennis hebben om de zaak goed te configureren.

Precies, dus Raspbian heeft dat voor de beginneling potdicht staan en iedereen die het openzet is zelf verantwoordelijk en treft het OS geen enkele blaam.

Het is weer eens een stemming makende kop.

Eenmaal ingelogd verandert de malware het wachtwoord voor de gebruikersnaam pi en installeert vervolgens een programma om de computer naar digitale valuta te laten minen.

WOW, digitale valuta minen op een computer met de kracht van een vlo, nee dat schiet wel op.

Het is weer een 'anti virus' bedrijf wat weer in het nieuws wil komen met non nieuws.

Ik dacht dat ik hier eerder had gehoord dat alleen windows PC 's besmet worden?

Er zijn verscheidene software pakketten beschikbaar voor de Raspberry Pi, zoals onder andere RetroPie, die een standaard wachtwoord gebruiken en verwachten dat dit niet veranderd. De eindgebruiker is dan niet diegene die hier de blaam treft, maar diegene die deze softwarepakketten op deze achteloze manier opzetten.
Een wachtwoord moet veranderbaar zijn vanuit de definitie van beveiliging, maar dit wordt compleet genegeerd door sommige Pi-coders.

Dat heb je dan fout gedacht, wat niet wil zeggen dat de meerderheid van de geinfecteerde machines Windows machines zijn.

maar daarbij is er nooit de nuance dat gebruikers zelf op moeten letten en kennis moeten hebben..

Een OS dat bij eerste gebruik geen nieuwe wachtwoorden verlangd voor root/admin, vind ik niet safe genoeg.

Als je er maar genoeg hebt, maakt het niet uit. Het kost je niets aan energie. En als je er 100.000 hebt draaien kan het best wel eens de moeite waard zijn.

En als ze eenmaal toegang hebben, kunnen we vanalles doen met de machine, malware/phishing hosting of spam zijn vervolg stappen die ze gemakkelijk kunnen toevoegen.

Het geeft wel het 1 en ander aan.
Oa
Hoeveel unprotected linux machines direct aan het internet hangen door gebruikers.
Hoeveel gebruikers eigenlijk hun standaard wachtwoorden niet aanpassen.
Hoeveel gebruikers eigenlijk niet weten wat ze doen.

Eigenlijk kunnen we dus de conclusie trekken, dat alle problemen aan de gebruikers liggen.


Fout nummer 1: Onderschat niet de gebruiker.
Fout nummer 2: Onderschat niet de domme gebruiker.


Onderschat niet het aantal websites (=machines) dat op de wereld actief is.

Eigenlijk best irritant.
Dan moet ik een keyboard en monitor aansluiten.
Effe zoeken en inloggen met SSH is veel handiger.
Na inloggen direct eisen dat je het wachtwoord aanpast, als op de OrangePiZero, is mijns inziens beter.

En dan de gebruiker, tja. Tegen de gebruiker is niets opgewassen.
De gebruiker die streeft naar instant behoeftenbevrediging met rotsvast geloof in dat alles toch goed geregeld is.

Als deze zich niet verdiept in wat tie wil gaan doen, wat de gevaren en valkuilen zijn, gaat het zeker mis.

Stemmingmakerij en ik intussen wel gewend.
Nu is het ineens de software maker die de pi inzet die verantwoordelijk is. Op zich klopt dat.

Als het onderwerp een Microsoft product zou zijn dan is het ineens alles hun schuld. Trekken we die houding door dan is het met pi een faal van Linux.
Of je bent consequent en legt in beide gevallen de verantwoordelijkheid bij de opdrachtgever van de implementatie.

Iedere software bevat bugs. Dat is standaard. Maar dat een installatie niet forceerd om een standaard admin wachtwoord (root account) aan te passen naar iets sterkers, kan je alleen maar de installatie/software aanrekenen. Dit is gewoon een zware fail, dit kan je niet anders doen. Een foute configuratie, en iets wat gewoon tegenwoordig totaal niet meer kan. Dit is gewoon een ontwerp fout van jewelste, blunder eerste klas ik kan er niets anders van maken. Ongeacht of SSH nu standaard aan of uit staat.

Dat je nu meet met 2 maten? Dit is gewoon een hele groot fail. Als Microsoft deze fout er in zou laten zitten, is de wereld te klein. En nu probeer je het te bagatelliseren.

Dank je cleaner...
Ook jammer, Kaba heeft niet door dat door zijn houding juist linux grote schade berokkent.

Wat maakt het nou uit of je gehackt wordt door een 'gammel' besturingssysteem of door een gammel geconfigureerd besturingssysteem. De klos ben je toch.

De door jou zo verlangde consequente houding gaat mank op een punt. Linux wordt op vele manieren herverpakt door niet altijd even verstandige mensen (vanuit security-oogpunt). Bedrijven gaan met het spul aan de haal, waardoor dus andere en nieuwe opdrachtgevers ontstaan. Maakt het moeilijker om veiligheid van producten te garanderen (in dit geval Raspbian). Is wel een verschil met producten van b.v. Google, Apple en Microsoft die de software zelf beheren.

Dat hoef je met een PI ook niet indien je het aanbevolen Raspbian OS gebruikt. Als je er Windows 10 op zet dan moet je wel wat meer kennis hebben.

Pi-Hole staat los van bovenstaand bericht. Pi-Hole handeld DNS verzoeken af. Uitgaande dat je dit vanuit je LAN wilt doen, is er geen open poort vanaf het Internet nodig. Laat je Pi-Hole naar meerdere interfaces luisteren, dan heb je de optie om slechts requests te honoreren die vanaf het eigen LAN segment komen.

No worries. Ik draai het op Raspien Jessie*. Behoudens het DNSSec issue in DNSMasq v2.72, wat de meest recent ondersteunde versie op Jessie is, draait Pi-Hole het als een zonnetje. Het ligt dus niet aan Pi-Hole, maar aan de versie van DNSMasq.

*Als ik het me goed herinner dwingt deze zelfs een nieuw wachtwoord af, maar pin me er niet op vast.

Je hoeft helemaal geen keyboard of muis te gaan zoeken, op het moment dat je het OS op je (micro)SD kaartje gezet hebt dan mount je de boot partitie en maak je een file met de naam 'ssh', ssh wordt dan tijdens het eerste boot proces enabled en die file wordt weer verwijderd.

Jongens, lees je eerst in voordat je begint te blaten over zaken waar je geen kennis van hebt.

Raspbian+PI is veilig voor iedereen, met of zonder kennis van zaken, op het moment dat je zelf aanpassingen gaat maken moet je weten wat de risico's zijn, of dat nu Linux, HPUX of Windows is.

Normaliter zijjn de huidige OS'en out of the box veilig als ze helemaal bij gepatched zijn.

Inderdaad.

Raspbian is een afgeleide van Debian waar security-updates nogal eens vertraagd op binnen lijken te komen. Ik hoop nog een keer mee te maken dat Debian rechtstreeks op de Pi kan worden geïnstalleerd zonder de Raspbian-omweg. Er is een keer door iemand een geschikte kernel in elkaar gedraaid waarmee het kan, alleen kan je kernel-upgrades dan vergeten. Een Pi is een geweldig apparaatje, ik heb er verschillende waar ik leuke dingen mee doe, maar als vanaf het internet toegankelijke server durf ik ze pas in te zetten als ik er een mainstream-distro op kan draaien of als me veel duidelijker is dan nu dat Raspbian even scherp is met security-updates als die mainstream-distro's.

Ik heb in het verleden korte tijd Volumio gebruikt om van een Pi een audiospeler te maken. Volumio is weer op Raspbian gebaseerd en in de versies van een aantal jaar terug (ik weet niet hoe het er nu voorstaat) bleek dat de voor Volumio toegevoegde software niet als .deb-pakketten was verpakt, ze gingen ervan uit dat je telkens een nieuwe image van het hele OS over je systeem zou zetten. Knap lastig als je verwacht dat je op een Linux-systeem ook dingen naar eigen smaak kan inrichten terwijl degenen die je besturingssysteem leveren ervan uitgaan dat je het als black box beschouwt en vrijwel nergens aanzit.

Dat doet allemaal niets af aan het feit dat Debian zelf wél robuust is, en de Linux-kernel zoals die door de kernelontwikkelaars geleverd wordt ook. Mijn bedenkingen gelden voor specifieke afgeleiden. Het is onzinnig om te doen als of alles wat op Linux gebaseerd is even geweldig is, en het is even onzinnig om te doen alsof Linux rammelt omdat het niet door iedereen even robuust verpakt en ingezet wordt. Dat levert discussies op die over niets anders dan zwart/wit-denken gaan. De werkelijkheid heeft eindeloos veel nuances.

Je kunt er tegenwoordig ook Ubuntu op installeren! Zie https://wiki.ubuntu.com/ARM/RaspberryPi