wootsdock
Anmeldungsdatum: 2. November 2008
Beiträge: 172
Wohnort: Berlin
|
Laut der Tagesschau (heute 20 Uhr - TV) sind besonders Android bzw. Linux Betriebssysteme betroffen. Weiß jemand ob schon an Updates gearbeitet wird? Die Community ist hier auffallend „sprachlos“. Sicherlich mache ich Online-Banking nicht übers WLAN aber Einkäufe im Internet tätige ich schon mittels WLAN. Ich kann ja nicht das ganze Haus verkabeln, das würde baulich gar nicht funktionieren. https://www.tagesschau.de/inland/wlan-sicherheitsluecke-101.html Einen schönen Abend Euch allen Wooty
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53611
Wohnort: Berlin
|
|
STRAGIC-IT
Anmeldungsdatum: 3. Januar 2006
Beiträge: 3242
Wohnort: Fürth
|
Hallo wootsdock,
da wird wieder mal ziemlich viel heiße Luft verbraucht. Zumindest gab es kostenlose Werbung für Linux. 😀 Die Patches laufen eigentlich (für Linux) in den kommenden 24 Std. im Normalfall raus. Sorgen sollten sich aber alle Leute machen die WLAN-Router, AccessPoints usw. betreiben. Da wird es NICHTS geben, was irgendwie nach Patch aussieht. Windows dauert noch etwas länger, bei APPLE unklar... (oder weiß jemand was genaues?). Theoretisch müsste ich jetzt mind. 80% aller Hardware wegwerfen, da es dafür nie ein Update geben wird. Ich hätte eher mir mal eine Meldung gewünscht in der ausgesagt wird, das ein Hersteller ALLE seine Produkte mind. 10 Jahre lang aktualisiert. DAS WÄRE EINE SENSATION. Bye
HS
|
Into_the_Pit
Ehemalige
Anmeldungsdatum: 25. Juni 2008
Beiträge: 9490
Wohnort: Bochum
|
STRAGIC-IT schrieb: Die Patches laufen eigentlich (für Linux) in den kommenden 24 Std. im Normalfall raus.
wpa_supplicant und hostapd wurden bereits gefixed.
Sorgen sollten sich aber alle Leute machen die WLAN-Router, AccessPoints usw. betreiben. Da wird es NICHTS geben, was irgendwie nach Patch aussieht.
Komisch, ich hab gestern 10 Access Points aktualisiert.
Windows dauert noch etwas länger, bei APPLE unklar... (oder weiß jemand was genaues?).
Windows hat schon längst einen Fix, Apple arbeitet bereits dran.
Theoretisch müsste ich jetzt mind. 80% aller Hardware wegwerfen, da es dafür nie ein Update geben wird.
Richtige Hardware kaufen.
|
fl1tz
Anmeldungsdatum: 17. Juli 2009
Beiträge: 84
Wohnort: Berlin
|
Hab ich heute auch bei Spiegel Online gelesen. Dass es zeitnah ein Patch bei den Linuxern und bei LinageOS (mein alternatives Android-Betriebssystem) geben würde, war doch klar. - Aber → richtig sicher sein, kann man sich mit Wlan doch wohl sowieso nicht, oder? Jedenfalls nicht, wenn man die falschen Nachbarn hat.
Und einen updatefreien Wlan-Router hat doch so gut wie jeder Normalnetzverbaicher sorglos in seiner Wohnung zu leuchten.
|
Linuxkumpel
Anmeldungsdatum: 15. Juli 2011
Beiträge: 1605
|
Der belgischer Sicherheitsforscher Mathy Vanhoef hat im Rahmen seiner Doktorarbeit eine große Sicherheitslücke entdeckt. Verantwortungsvollerweise hat er den Softwarecode seines Angriffs nicht veröffentlicht. Es braucht schon Einiges, um die Attacke nachzustellen. Der Angreifer muss zudem in Funkreichweite des Wlans sein, das er angreifen will. Alles was mit dem Protokoll "https" verschlüsselt ist, bietet zudem auch ein Mehr an Sicherheit. Also, ist m.E. die Gefahr für mich eher gering und wir haben bereits das Update.
|
STRAGIC-IT
Anmeldungsdatum: 3. Januar 2006
Beiträge: 3242
Wohnort: Fürth
|
Hallo Into_the_Pit,
das sollte man schon richtig betrachten. Schön das bei Linux, Microsoft und Apple was passiert. Bei vielen Kunden laufen aber noch funkgesteuerte Maschinen unter WindowsXP, oder alte/neue AccessPoints - auch von der teueren Sorte. Dort ist die Firmware aus 2012 usw. Da passiert nichts - wie bei vielen anderen Dingen auch nicht. Ach ja, die Kunden haben damals "richtige Hardware" gekauft! Es ist eher so, das die Hersteller sich nur am aktiven "Müll" beteiligen. Ich wage anzuzweifeln das ein bekannter und exklusiver Kamerahersteller seine WLAN-Kameras aus 2009 noch ändert. Theoretisch könnte ein Kunde von mir seine 21 WLAN-Kameras (Stückpreis 800€ aus dem Jahr 2009-2012) alle wegwerfen. Updates gibt es da nicht mehr, den diese sind EOL. Mir wäre eine freiwillige Verpflichtung der Hersteller zu ihren Produkten lieber - oder per Gesetz. Bye
HS
|
Thomas_Do
Moderator
Anmeldungsdatum: 24. November 2009
Beiträge: 8535
|
fl1tz schrieb: Aber → richtig sicher sein, kann man sich mit Wlan doch wohl sowieso nicht, oder? Jedenfalls nicht, wenn man die falschen Nachbarn hat.
Und einen updatefreien Wlan-Router hat doch so gut wie jeder Normalnetzverbaicher sorglos in seiner Wohnung zu leuchten.
Das sehe ich anders. Ich weiß, einige halten WLAN per se für unsicher. Aber so lange keine gravierenden Sicherheitslücken bekannt sind und die Verschlüsselung als sicher gilt, ist die Technik so sicher, wie jede andere "sichere" Verbindung auch. Immerhin kann man WLAN nur sehr lokal angreifen. Dagegen sind z.B. die Möglichkeiten viel größer, HTTPS-Traffik im Netz auch von beliebigen Standorten aus zu knacken. Ich weiß nicht wie viele Leute ihre Router regelmäßgig updaten, aber sicher nicht "jeder" Normalnetzverbraucher hat ein "updatefreies" Gerät.
|
apt-ghetto
Anmeldungsdatum: 3. Juni 2014
Beiträge: 2943
|
STRAGIC-IT schrieb: Bei vielen Kunden laufen aber noch funkgesteuerte Maschinen unter WindowsXP, oder alte/neue AccessPoints - auch von der teueren Sorte. Dort ist die Firmware aus 2012 usw.
Du meinst ein Gesetz, das die Hersteller in die Pflicht nimmt, die Firmware während X Jahren zu aktualisieren, ändert irgend etwas daran, dass Kunden nach wie vor veraltete Hard- und Software verwenden? Da passiert nichts - wie bei vielen anderen Dingen auch nicht.
Was soll da auch passieren? Der Kunde verwendet wissentlich nicht mehr unterstützte Hard- und Software und will partout seine Geräte nicht auf den neuesten Stand bringen. Ach ja, die Kunden haben damals "richtige Hardware" gekauft!
Und damals wurde versprochen, dass die "richtige Hardware" die nächsten 20 Jahre lang aktualisiert wird? Und wer hat denn damals die "richtige Hardware" verkauft? Vielleicht solle man den Verkäufer auch etwas in die Pflicht nehmen? Es ist eher so, das die Hersteller sich nur am aktiven "Müll" beteiligen.
Früher war eben alles besser. Du solltest deinen Kunden wieder Schreibmaschinen verkaufen und Sicherheitsleute vermitteln. Möglicherweise gibt es auch Kunden, die heutzutage lieber keine Dinge mit Stand der Technik 2009 kaufen wollen? Wer weiss das schon? Ich wage anzuzweifeln das ein bekannter und exklusiver Kamerahersteller seine WLAN-Kameras aus 2009 noch ändert.
Weswegen sollte er? Gibt es irgendwo eine Verpflichtung oder Vertrag? Theoretisch könnte ein Kunde von mir seine 21 WLAN-Kameras (Stückpreis 800€ aus dem Jahr 2009-2012) alle wegwerfen. Updates gibt es da nicht mehr, den diese sind EOL.
Wenn er damit leben kann, mit veralteter Technik zu arbeiten und seine Versicherung Schäden, die dadurch entstehen, zahlt, ist doch alles in Ordnung. Mir wäre eine freiwillige Verpflichtung der Hersteller zu ihren Produkten lieber - oder per Gesetz.
Ja, dann wären diese Probleme endgültig gelöst. Dass vor dir noch keiner auf die Idee gekommen ist?
|
Frieder108
Anmeldungsdatum: 7. März 2010
Beiträge: 8989
|
fl1tz schrieb: Und einen updatefreien Wlan-Router hat doch so gut wie jeder Normalnetzverbaicher sorglos in seiner Wohnung zu leuchten.
was ist ein "updatefreier Wlan-Router"? Die Frage ist ernst gemeint - mein Router(Fritzbox) aktualisiert sich i.d.R 1-2 mal im Jahr, ich dachte eigentlich, dass sowas Standard ist.
|
Chemnitzsurfer
Anmeldungsdatum: 26. April 2011
Beiträge: 877
Wohnort: Chemnitz
|
Viele ala Lieschen Müller nutzen aber auch die Hardware die zum Vertrag anno dazumal dabei war. Ein Bekannter von mir hatte bis letztes Jahr ein Arcor Router von 2004? im Einsatz da war schon seit Jahren nichts mehr mit Updates. Wie das bei den aktuelle Speedports oder den weisen Vodafonekisten ist, kann ich dir nicht genau sagen, aber da werden auch viele mit Standardpasswort + WPS und ohne regelmäßige FW Updates laufen. Und was die Repeater die es für 20-50 €(teilweise mit Powerlan oder so immer mal wieder bei Lidl oder Aldi gibt und die vergessen irgendwo hinterm Sofa ihren Dienst tun ) machen, will ich auch lieber nicht wissen
|
Bunjip
Anmeldungsdatum: 24. Juni 2014
Beiträge: 295
|
Hallo liebe Experten, ich habe zwei Fragen zu dem Thema "Kracker": 1) Wie stelle ich als Standardanwender sicher fest, ob das bereitgestellte Update für mein 16.04 tatsächlich auf meinem Rechner eingespielt wurde? Ich klicke bei den Systemupdates leider oft vorschnell und unbedacht einfach auf "installieren" und habe so übersehen, ob das WPA2-Patch schon dabei war. 2) Hier im Thread wird sowohl über die Gefährdung durch Endgeräte (PC's, Kameras, etc.) als auch durch WLAN-Router diskutiert. Wenn nun mein Endgerät ein Sicherheits-Patch erhalten hat, der WLAN-Router aber noch nicht - welches Gefahrenszenario ist für mich dann denkbar, wenn ich vom gepatchten PC beispielsweise Onlinebanking per WLAN betreibe? Danke,
Bunjip
|
sebix
Moderator, Webteam
Anmeldungsdatum: 14. April 2009
Beiträge: 5347
|
Bunjip schrieb: 1) Wie stelle ich als Standardanwender sicher fest, ob das bereitgestellte Update für mein 16.04 tatsächlich auf meinem Rechner eingespielt wurde? Ich klicke bei den Systemupdates leider oft vorschnell und unbedacht einfach auf "installieren" und habe so übersehen, ob das WPA2-Patch schon dabei war.
Du benoetigst die diese beiden Programme mit diesen Versionen, die am Montag freigegeben wurden:
hostapd 2.4-0ubuntu6.2
wpasupplicant 2.4-0ubuntu6.2
Siehe https://www.ubuntu.com/usn/usn-3455-1 2) Hier im Thread wird sowohl über die Gefährdung durch Endgeräte (PC's, Kameras, etc.) als auch durch WLAN-Router diskutiert.
Es sind beide Geraete potentiell verwundbar. Und es muessen beide geupdated werden. Ein verwundbares Endgeraet ermoeglicht es einem Angreifer, den Datenverkehr von diesem zum Router zu entschluesseln, und umgekehrt. Wenn nun mein Endgerät ein Sicherheits-Patch erhalten hat, der WLAN-Router aber noch nicht - welches Gefahrenszenario ist für mich dann denkbar, wenn ich vom gepatchten PC beispielsweise Onlinebanking per WLAN betreibe?
Ein Angreifer koennte dann den Datenverkehr von der Bank zu dir sehen. Allerdings ist der (sehr wahrscheinlich) ohnehin verschluesselt. Achte also darauf, dass in der Adresszeile die Verschluesselung angezeigt wird. Wenn dies der Fall ist, passt es.
|
Hans9876543210
Anmeldungsdatum: 2. Januar 2011
Beiträge: 3741
|
Sofern das SSL / TSL korrekt implementiert ist und nicht auf http herabgestuft wird. Das wird im Video vom Entdecker der Schwachstelle ganz gut demonstriert.
|
Bunjip
Anmeldungsdatum: 24. Juni 2014
Beiträge: 295
|
sebix schrieb: Bunjip schrieb:
Du benoetigst die diese beiden Programme mit diesen Versionen, die am Montag freigegeben wurden:
Wie erkenne ich nun mit Sicherheit, welches Programm auf meinem Rechner installiert ist? Ich habe die Synaptik Paketverwaltung geöffnet. Sie sagt:
hostapd 2.4-0ubuntu6.2
nicht installiert (kein grünes Häkchen)
wpasupplicant 2.4-0ubuntu6.2
installiert (grünes Häkchen) Da stellt sich mir die Frage, wie kann es sein, dass scheinbar nur eines der beiden "Patch"-Pakete bei mir eingespielt wurde? In den Aktualisierungs-Einstellungen sind folgende Optionen aktiviert: [x] Wichtige Sicherheitsaktualisierungen (xenial-security)
[x] Empfohlene Aktualisierungen (xenial-updates)
[x] Nicht unterstützte Aktualisierungen (xenial-backports)
Automatisch nach Aktualisierungen suchen: Täglich
Wenn Sicherheitsaktualisierungen verfügbar sind: Automatisch herunterladen und installieren
Wenn andere Aktualisierungen verfügbar sind: Sofort anzeigen Danke für Tipps.
|