EasyBox-Besitzer? Ändert die Passwörter
Aloha zusammen. Heute mal wieder ein bisschen etwas aus der Welt der Sicherheit. Ihr habt eine EasyBox oder kennt jemanden, der diese nutzt? Dann schaut doch bitte mal vorbei oder ruft denjenigen an. Das Ding ist unsicher. Ich mach das mal kurz ohne Schnick Schnack. Die Kisten werden mit voreingestellten Passwort ausgeliefert. Eigentlich nicht schlimm. Schlimm: das Passwort (WPA) wird aus der MAC-Adresse generiert.
Was heisst das? Sofern die EasyBox in der Standardkonfiguration rennt, dann kann der geneigte Bösewicht zum Beispiel per Softwaretool (inSSIDer) die MAC-Adresse auslesen und sich per Online-Generator sogar ein Passwort besorgen – und schon ist man drin im WLAN des Nachbarn oder so. Lösung? Nach Firmware-Update suchen und schon einmal den voreingestellten WPA-Schlüssel ändern. Schönes Wochenende! (via)
Wer billig kauft, bekommt einen billigen Progger, der so einen Mist zusammen proggt. Der Progger muss blind, taub und völlig von Sinnen gewesen sein.
Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer 😉
@Kampfschmuser: Aber immerhin hatte der Hersteller einen gesunden Geschäftssinn. http://www.wotan.cc/?p=6
Die Lücke wurde hauptsächlich entdeckt, weil auf die Berechnung des Schlüssels aus der MAC-Adresse ein Patent angemeldet wurde.
Naja was heißt billig kauft, gibt es ja zum Anschluss im Zweifelsfall dazu. Persönlich finde ich die EasyBox nicht verkehrt.
Zum glueck bin ich ein fritzboxler. wer hat die dinger damals verkauft, arcor/vodafone, oder nicht?
Im Grunde ist die Easybox gar nicht so schlecht, aber derartige Fehler sollten natürlich nicht passieren. Erinnert ein wenig an die Baumarkt Tresore wo man anhand der ersten Nummer auch die restlichen generieren kann ^^
Es sollte eigentlich selbstverständlich sein, dass Loginpasswort, SSID und Wlan-Schlüssel bei der Ersteinrichtung geändert werden!
Ich verstehe auch nicht, warum die Hersteller das nicht erzwingen.
Technisch wäre das kein Problem und selbst für den Laien machbar.
Man bräuchte nämlich nur eine „Vorschaltseite“ die – egal welche Adresse man zuerst im Browser aufruft – bei der (Erst)Inbetriebnahme angezeigt wird. Erst wenn diese Daten neu eingegeben wurden, wird man mit dem Internet „verbunden“.
Danke, hab’s gleich mal weitergemeldet.
Schönes Wochenende!
Tom
Betrifft leider nicht nur die EasyBox. Es gibt noch viele andere Hersteller, wo sich sogar ohne MAC des Gerätes der Key berechnen lässt. Thomson hat da einige im Angebot. Bei der Fritze war es auch schon mehrfach im Gespräch.
Solange die Kiste verschlüsselt ist, ist man afaik eh „fein raus“ in puncto Störhaftung etc…
@Florian
Dann ist also nicht nur der Progger naiv, sondern auch die Rechtsabteilung bzw. das Management vom Unternehmen. 😉
@Arne
Genau da (in der Gier) liegt das Problem. Die Leute lassen sich billig mit „geschenkten“ Zugaben fangen und zu Verträgen mit höheren Monatsbeiträgen hinreißen. Die Erkenntnis, dass die „geschenkten“ Zugaben ja trotzdem nicht der liebe Gott bezahlt (sondern indirekt man selber) und am Ende die Hardware oft die billigste Schiene sind, kommt meist nie, im besten Fall, wenn es schon zu spät ist. Auf die Idee sich einen fairen Vertrag ohne faule Nüsse zu holen und sich ordentliche Hardware je nach Nutzen zu kaufen, damit am Ende sogar billiger und besser zu fahren, kommt kaum jemanden.
Oh ja, funktioniert gut. Selbst die SSID konnte er mir sagen 😉
@Kampfschmuser
Gibt es bei Vodafone überhaupt einen DSL Vertrag wo sie dir keine Easybox mitgeben? Bei Handys – Notebooks und co. verstehe ich die Argumentation aber vollkommen.
Nur ob ne Fritzbox nun um Welten besser ist als eine Easybox? Habe beides im Einsatz. Beide lasse mich ins Internet, beide lassen mich telefonieren, beide lassen mich meine Festplatte anschließen 🙂
Nee gibt’s bei Vodafone nicht ohne. Ist der Router, Splitter, NTBA und s0-Bus in einem. Funktioniert auch Superprächtig. Mit meiner FritzBox geht’s nicht, weil eben der DSL-Anschluss über die EasyBox läuft. Und ändern schadet ja auch nichts 😉
@Arne
Im Falle von Vodafone ist man mit einer Zwangshardware da natürlich auf der Verliererseite. Ich würde es als Ausschlusskriterium für den Anbieter nehmen.
Zur Hardware: Gefühlt scheint so alles bei dir gleich zu sein. Aber wenn der Progger und das Management solche faulen Eier legen, welche für dich und mich unsichtbaren Scheunentore sind noch serienmäßig eingebaut? 😉
Klar, es gibt keine 100% Lösung und keine 100% Sicherheit. Aber 99,9% und die wiederum findet man, wie man an dem Beispiel hier ja sieht, nicht beim Laden, der solche offensichtlichen Fehler schon einbaut.
@janbpunkt:
>Bei der Fritze war es auch schon mehrfach im Gespräch.
Ja, aber ist es seit 2004 nicht mehr. Die c’t hatte das m.E. aufgedeckt und AVM sofort reagiert:
http://www.avm.de/de/News/artikel/2010/wlan_urteil.html
Nix desto trotz habe ich mir mittels Passwortgenerator des Keepass Password Safe ein Kennwort erstellt, da müssen (vermutlich) erst mal ein paar Quantencomputer ran… 😉
LG
Michael
Gibt es eine „Standard“-SSID der Easybox, woran man sie gleich erkennt? Die FritzboxSSID ist ja immer Fritz!Box Fon WLAN 012345 oder so ähnlich.
bzw. was ist der Vendor, den ich in inSSID suchen muss?
@Seppel:
„Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer ;)“
Hehe, der war gut, dieses ewige SALT (und PEPPER ) und schon ist’s sicher kann ich auch nicht mehr hoeren.
Tja die Seite ist wohl down, kann mir jemand die zip schicken?
@SvenS:
Bei Md5 funktioniert es ziemlich gut, wenn man es schon so macht, dann lieber so… Wenn man natürlich auf den Alg. ein Patent anmeldet, dann will man ja das es geknackt wird.