EasyBox-Besitzer? Ändert die Passwörter

Aloha zusammen. Heute mal wieder ein bisschen etwas aus der Welt der Sicherheit. Ihr habt eine EasyBox oder kennt jemanden, der diese nutzt? Dann schaut doch bitte mal vorbei oder ruft denjenigen an. Das Ding ist unsicher. Ich mach das mal kurz ohne Schnick Schnack. Die Kisten werden mit voreingestellten Passwort ausgeliefert. Eigentlich nicht schlimm. Schlimm: das Passwort (WPA) wird aus der MAC-Adresse generiert.

Was heisst das? Sofern die EasyBox in der Standardkonfiguration rennt, dann kann der geneigte Bösewicht zum Beispiel per Softwaretool (inSSIDer) die MAC-Adresse auslesen und sich per Online-Generator sogar ein Passwort besorgen – und schon ist man drin im WLAN des Nachbarn oder so. Lösung? Nach Firmware-Update suchen und schon einmal den voreingestellten WPA-Schlüssel ändern. Schönes Wochenende! (via)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

31 Kommentare

  1. Kampfschmuser says:

    Wer billig kauft, bekommt einen billigen Progger, der so einen Mist zusammen proggt. Der Progger muss blind, taub und völlig von Sinnen gewesen sein.

  2. Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer 😉

  3. @Kampfschmuser: Aber immerhin hatte der Hersteller einen gesunden Geschäftssinn. http://www.wotan.cc/?p=6
    Die Lücke wurde hauptsächlich entdeckt, weil auf die Berechnung des Schlüssels aus der MAC-Adresse ein Patent angemeldet wurde.

  4. Naja was heißt billig kauft, gibt es ja zum Anschluss im Zweifelsfall dazu. Persönlich finde ich die EasyBox nicht verkehrt.

  5. Zum glueck bin ich ein fritzboxler. wer hat die dinger damals verkauft, arcor/vodafone, oder nicht?

  6. Im Grunde ist die Easybox gar nicht so schlecht, aber derartige Fehler sollten natürlich nicht passieren. Erinnert ein wenig an die Baumarkt Tresore wo man anhand der ersten Nummer auch die restlichen generieren kann ^^

  7. Es sollte eigentlich selbstverständlich sein, dass Loginpasswort, SSID und Wlan-Schlüssel bei der Ersteinrichtung geändert werden!
    Ich verstehe auch nicht, warum die Hersteller das nicht erzwingen.
    Technisch wäre das kein Problem und selbst für den Laien machbar.
    Man bräuchte nämlich nur eine „Vorschaltseite“ die – egal welche Adresse man zuerst im Browser aufruft – bei der (Erst)Inbetriebnahme angezeigt wird. Erst wenn diese Daten neu eingegeben wurden, wird man mit dem Internet „verbunden“.

  8. Danke, hab’s gleich mal weitergemeldet.
    Schönes Wochenende!
    Tom

  9. Betrifft leider nicht nur die EasyBox. Es gibt noch viele andere Hersteller, wo sich sogar ohne MAC des Gerätes der Key berechnen lässt. Thomson hat da einige im Angebot. Bei der Fritze war es auch schon mehrfach im Gespräch.
    Solange die Kiste verschlüsselt ist, ist man afaik eh „fein raus“ in puncto Störhaftung etc…

  10. Kampfschmuser says:

    @Florian
    Dann ist also nicht nur der Progger naiv, sondern auch die Rechtsabteilung bzw. das Management vom Unternehmen. 😉

    @Arne
    Genau da (in der Gier) liegt das Problem. Die Leute lassen sich billig mit „geschenkten“ Zugaben fangen und zu Verträgen mit höheren Monatsbeiträgen hinreißen. Die Erkenntnis, dass die „geschenkten“ Zugaben ja trotzdem nicht der liebe Gott bezahlt (sondern indirekt man selber) und am Ende die Hardware oft die billigste Schiene sind, kommt meist nie, im besten Fall, wenn es schon zu spät ist. Auf die Idee sich einen fairen Vertrag ohne faule Nüsse zu holen und sich ordentliche Hardware je nach Nutzen zu kaufen, damit am Ende sogar billiger und besser zu fahren, kommt kaum jemanden.

  11. Oh ja, funktioniert gut. Selbst die SSID konnte er mir sagen 😉

  12. @Kampfschmuser

    Gibt es bei Vodafone überhaupt einen DSL Vertrag wo sie dir keine Easybox mitgeben? Bei Handys – Notebooks und co. verstehe ich die Argumentation aber vollkommen.

    Nur ob ne Fritzbox nun um Welten besser ist als eine Easybox? Habe beides im Einsatz. Beide lasse mich ins Internet, beide lassen mich telefonieren, beide lassen mich meine Festplatte anschließen 🙂

  13. Nee gibt’s bei Vodafone nicht ohne. Ist der Router, Splitter, NTBA und s0-Bus in einem. Funktioniert auch Superprächtig. Mit meiner FritzBox geht’s nicht, weil eben der DSL-Anschluss über die EasyBox läuft. Und ändern schadet ja auch nichts 😉

  14. Kampfschmuser says:

    @Arne
    Im Falle von Vodafone ist man mit einer Zwangshardware da natürlich auf der Verliererseite. Ich würde es als Ausschlusskriterium für den Anbieter nehmen.

    Zur Hardware: Gefühlt scheint so alles bei dir gleich zu sein. Aber wenn der Progger und das Management solche faulen Eier legen, welche für dich und mich unsichtbaren Scheunentore sind noch serienmäßig eingebaut? 😉
    Klar, es gibt keine 100% Lösung und keine 100% Sicherheit. Aber 99,9% und die wiederum findet man, wie man an dem Beispiel hier ja sieht, nicht beim Laden, der solche offensichtlichen Fehler schon einbaut.

  15. mightymike1978 says:

    @janbpunkt:

    >Bei der Fritze war es auch schon mehrfach im Gespräch.

    Ja, aber ist es seit 2004 nicht mehr. Die c’t hatte das m.E. aufgedeckt und AVM sofort reagiert:

    http://www.avm.de/de/News/artikel/2010/wlan_urteil.html

    Nix desto trotz habe ich mir mittels Passwortgenerator des Keepass Password Safe ein Kennwort erstellt, da müssen (vermutlich) erst mal ein paar Quantencomputer ran… 😉

    LG

    Michael

  16. Der_Ventilator says:

    Gibt es eine „Standard“-SSID der Easybox, woran man sie gleich erkennt? Die FritzboxSSID ist ja immer Fritz!Box Fon WLAN 012345 oder so ähnlich.

  17. Der_Ventilator says:

    bzw. was ist der Vendor, den ich in inSSID suchen muss?

  18. @Seppel:
    „Naja ein Salt würde ja schon reichen und es wäre deutlich sicherer ;)“

    Hehe, der war gut, dieses ewige SALT (und PEPPER ) und schon ist’s sicher kann ich auch nicht mehr hoeren.

  19. Tja die Seite ist wohl down, kann mir jemand die zip schicken?

  20. @SvenS:
    Bei Md5 funktioniert es ziemlich gut, wenn man es schon so macht, dann lieber so… Wenn man natürlich auf den Alg. ein Patent anmeldet, dann will man ja das es geknackt wird.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.