Posts by HuskyMS

    Hallo zusammen,


    hier mal ein Update zum Thema Sicherheit: Nachdem sich Megasat zuerst sehr geziert hat, haben die mir jetzt eine neue Firmware bereitgestellt. Das verdanke ich hauptsächlich dem hartnäckigen Support meines Lieferanten, der hat denen scheinbar mächtig Dampf gemacht. Das ist mal ein extrem positives Beispiel, wie Kundenservice funktionieren kann. :tup


    In der neuen Firmware ist der SSH-Zugang zwar noch aktiv, aber der root-Zugang ist jetzt durch ein Passwort geschützt. Ich habe verschiedene Standard-Passwörter ausprobiert und davon hat keines funktioniert. Geht doch! 8)


    Hier mal der Link zum Download, auf der Homepage steht die Firmware noch nicht bereit:


    https://wetransfer.com/downloa…316920170515110852/91334f


    Ob man die jetzt installiert muss jeder selbst wissen. Damit hat man natürlich keinen root-Zugang mehr. Für mich war dich Sicherheit aber deutlich wichtiger und im System rumbasteln will ich eh nicht.

    ..na ja, jetzt übertreibst du ein wenig.

    Es kann sein, dass ich bei solchen Sicherheitsthemen sehr "empfindlich" reagiere, das kommt wohl von den leidvollen Erfahrungen in der Vergangenheit. Ist schon ein saublödes Gefühl, wenn man plötzlich nicht mehr Herr seiner Systeme ist...


    Deswegen fahre ich bei sowas eine Null-Toleranz-Strategie. Systeme mit offenem root-Zugang, ohne die Möglichkeit, das Passwort zu ändern, will ich einfach nicht mehr haben. Mein gesamtes System ist auf Sicherheit und OpenSource ausgerichtet: eigene Firewall, extern erreichbare Systeme in der DMZ, Smart-TV über Kodi, ... Da ärgert es mich schon, dass ich mir mit dem Megasat quasi ein Scheunentor in mein System geholt habe.



    wget hatte ich mit einem einfachen Shell-Script getestet und das konnte ich auch ausführen. Mehr wollte ich nicht versuchen, ich will das Teil ja noch zurückgeben können und so DER Linux-Hacker bin ich auch nicht. Aber ein Shell-Script mit root-Rechten ist auf jedem System schon sehr mächtig, für einen einfachen DDoS-Bot reicht das auf jeden Fall. Da reichen auch die 5 MB Speicher mehr als aus. Allerdings halte ich das in der c't angesprochene Szenario "Tauschbörse für illegale Inhalte" doch für recht weit hergeholt. Da müsste dann ja noch Zugriff auf einen externen Speicher bestehen.


    Und normalerweise sollte das Ding im abgeschotteten Heimnetz sein. Port 22 zu blockieren sollte ssh unmöglich machen.


    Natürlich habe ich Port 22 nicht ins Internet freigeschaltet, der ist nur aus dem internen Netz erreichbar. Trotzdem sehe ich bei so einer offenen Kiste die Gefahr, dass über einen internen Angriff (z.B. über einen gehackten Laptop von Freunden) das Teil kompromittiert wird.


    Was mich ärgert ist, dass die Hersteller es immer noch nicht gelernt haben, bei ihren Produkten auf IT-Sicherheit zu achten. Im Gegenteil wurde ja hier wohl aktiv der Passwortschutz deaktiviert. Aber das wird im IoT-Bereich ja scheinbar immer schlimmer, wenn jetzt schon Kühlschränke für DDoS-Attacken genutzt werden...


    Das Netz zu segmentieren, nur weil ein Hersteller Mist baut, da habe ich keine Lust drauf. Und dadurch würde ich mir ja auch tatsächlich einiges verbauen. Außerdem: was machen denn die "Normaluser" (oder: Hein Bloed)? Die wissen ja nicht mal, dass es solche Probleme gibt und wundern sich dann, wenn plötzlich ein Ermittler vor der Tür steht (das passiert wirklich, ich kenne einen Fall persönlich).


    Ich würde mir wünschen, dass es bei dem Megasat einen sichern SSH-Zugang mit einem änderbaren Standard-Passwort gibt, der auch so in der Anleitung dokumentiert wird (mit der Empfehlung, das Passwort zu ändern). Aber dafür ist wohl kein Geld da. Wie schrieb schon vdr_rossi:

    Wer billig kauft, kauft zweimal.


    Zum Thema c't: Ja, ich sehe das auch so, dass die Qualität nachgelassen hat. Aus meiner Sicht hat das angefangen, als Heise von monatlich auf alle 2 Wochen als Erscheinungstermin gewechselt hat. Da haben die Redakteure halt nur noch halb soviel Zeit, um zu recherchieren... Auch solche Aktionen wie die Aufkleber in der letzten Ausgabe oder diese komische Nerd-Karte finde ich einfach nur daneben. Allerdings ist die c't für mich noch meilenweit vom Niveau einer ComputerBild entfernt und ich kenne bisher keine bessere Alternative.

    Hallo,


    ich wurde auch durch den c't-Artikel auf den Megasat aufmerksam und habe ihn mir gekauft. Allerdings läuft der bisher nur im Test-Betrieb, weil ich erst noch die SAT-Empfangstechnik anpassen muss (im Moment ein Quad-LNB, den ich mit meinen Nachbarn teile).


    Am WE bin ich aber auf einen neuen Artikel der c't gestoßen, der sich mit Sicherheitsproblemen im SmartHome beschäftigt (Ausgabe 8/2017, Seite 72). Und da taucht der Megasat wieder auf, diesmal aber mit einer extrem negativen Eigenschaft. Wie fadi2013 schon schrieb, gibt es einen ssh-Zugang mit root-Rechten:

    Noch zur Info:


    ssh ist auf den Geräten freigeschaltet.


    Login: root
    Password: admin

    Leider ist es aber egal, welches Passwort man eingibt, man wird immer als root angemeldet :wow. Auch gar kein Passwort funktioniert... :wand Das Passwort läßt sich auch nicht setzen und der ssh-Zügang ist nicht deaktivierbar. Damit hat man eine riesen Sicherheitslücke im eigenen Netz! Hier ein paar Zitate aus dem c't-Artikel:



    "... Der offenbar gepatchten Variante von Dropbear ist das Passwort völlig egal. ..."
    "... dank eingebautem wget hätten wir auch bequem zusätzliche Programme aus dem Internet nachladen ... können. ..." (!!!)
    "... Der Server ist geradezu eine Einladung für Angreifer, ..., er benutzt außerdem auf sämtlichen produzierten Geräten den selben SSH Host Key. ..." (!!!)
    "... Doch selbst ein Betrieb im Heimnetz ist verantwortungslos, genügt doch eine einzige gehackte App auf einem Mobilgerät, um den Sat-IP-Server zu übernehmen. ..."


    Ich habe das bei mir genau so nachvollziehen können und das Gerät jetzt erstmal vom Netz genommen. Aus meiner Sicht ist das Teil so verpfuscht, dass es erst wieder ans Netz geht, wenn der Hersteller ein Firmware-Update bereitstellt, dass diesen "Fehler" behebt. Den Hersteller schreibe ich entsprechend an. Wenn Euch die Sicherheit in Eurem Netz auch wichtig ist: schreibt den Hersteller auch an, je mehr sich dort melden desto wahrscheinlicher ist es, dass der kurzfristig reagiert. Ich setze ihm und dem Lieferanten eine Frist von 4 Wochen für die Behebung des Mangels, sonst geht das Gerät auf Gewährleistung zurück. Das ist schließlich ein gravierender Mangel, der von vorneherein im Produkt steckte.

    Hallo,


    ich wollte den yaVDR 0.6 wie beschrieben auf meinem Celeron-NUC (s. Signatur) installieren. Die Installation bricht aber bei dem Punkt "Software auswählen und installieren" bei 85% ab. In den Installationslogs (syslog) habe ich folgendes gefunden:



    Das Problem scheint also die nicht mögliche Installation des nVidia-Treibers zu sein. Hat einer von Euch eine Idee, wie ich das umgehen kann (z.B. eine Installation ohne nVidia-Treiber)?


    Frank

    Hallo,


    ich hatte ziemliche Probleme, das iMON LCD mit dem 0.6 ans Laufen zu bringen. Nach langer Suche habe ich dann gemerkt, dass die Datei /etc/modprobe.d/imon.conf fehlt. :wand
    Die Datei ist aber notwendig, weil die automatische Erkennung des iMON nicht funktioniert und der Displaytyp manuell festgelegt werden muss. Bei mir muss die Datei folgenden Inhalt haben:


    Code
    1. options imon display_type=2


    Auf meinem alten yaVDR war die Datei vorhanden, keine Ahnung, ob ich die da selbst reingebaut habe oder schon vorhanden war. Jedenfalls funktioniert es jetzt. 8) Weitere Einstellungen sind dank des neuen Install-Scripts nicht mehr nötig. Selbst das vdr_plugin_imonlcd war schon installiert :tup


    @ yaVDR-Team: Könnt Ihr die Erzeugung der Datei noch mit ins Install-Script aufnehmen?



    Hier noch ein kleines HowTo für die Aktivierung des Displays in Kodi:


    LDCproc installieren:


    Code
    1. sudo apt-get install lcdproc


    Die Datei /etc/LCDd.conf anpassen:



    Wer möchte kann noch den Start- und Stop-Text ändern, z.B. so:


    Code
    1. # Hello message: each entry represents a display line; default: builtin
    2. Hello=" Starting"
    3. Hello=" KODI"
    4. # GoodBye message: each entry represents a display line; default: builtin
    5. GoodBye=" Stopping"
    6. GoodBye=" KODI"


    Damit der LDCproc-Server nur dann startet, wenn Kodi gestartet wird und bei der Umschaltung auf den VDR wieder gestoppt wird, muss folgendes in die Datei /etc/init/lcdd.conf geschrieben werden (angepasst an Kodi aus dem Beitrag von dippes):



    Danach muss noch verhindert werden, dass der LCDproc-Server direkt beim Systemstart startet. Dazu die Datei /etc/init.d/LCDd löschen oder verschieben (vielleicht braucht man die ja noch mal...).


    Nach einem Reboot sollte jetzt das iMON beim Umschalten auf Kodi entsprechend auch umschalten.


    Jetzt muss noch das Kodi-AddOn "XBMC LCDproc" installiert und konfiguriert werden. In den AddOn-Einstellungen unter "Verbindung" folgendes einstellen:


    -> Entfernten LCDproc-Server benutzer -> ja
    -> - LCDd IP -> 127.0.0.1
    -> - LCDd Port -> 13666