Neue (alte) SSH-Lücke erfolgreich gehackt

[k0rben]

Das Problem ist, dass viele Leute halt einfach Jailbreaken, ohne wirklich etwas tiefer in die Materie einzusteigen.
Natürlich setzt man sich einem Risiko aus, wenn man die ganze Zeit den SSH-Server laufen lässt und nicht das Standard-Password ändert. Ist ja das gleiche wie bei einem Webserver ... Wer den root-Login aktiviert lässt und als Passwort 12345 hat, wird schnell eine böse Überraschung erleben.
Darum heisst es auch so schön ... Jailbreak nur, wenn man sich der Risiken bewusst ist und von der Materie auch etwas Ahnung hat ...

 

[92Phips]

Für die 5$ wollte ich mir eigentlich ein Eis kaufen! Frechheit!

 

[HuskyX]

Hats nicht hier mal nen Bericht gegeben dass der JB 80% der Sicherheitsmaßnahmen deaktiviert?

 

[phkl]

[email protected]

die mail adresse vondem typen - wieder son script kiddie

 

[LivingHell]

hehe, nett

 

[Mitglied 26876]

[preview]Danke, 92Phips[/preview]

signed

 

[pepi]

... oder 5 Euro zahlen. Ich erinnnere mich noch die Stimmen die vehement bestritten haben, dass man durch einen Jailbreak die Sicherheit des Gerätes gefährdet ...

Nein, aber Dummheit eines Users tut das. Dagegen ist bekanntlich kein Kraut gewachsen!

Funktioniert aber doch hier in Deutschland gar nicht oder? Dachte wir bekommen keine pingbaren IP Adressen über das UMTS Netz...
[…]

Was damit überhaupt nichts zu tun hat. Ich muß eine IP nicht pingen können um darauf zuzugreifen.

Der Jailbreak an sich ist NICHT gefährlich. Nur wenn man das Programm OpenSSH installiert hat kann es unter umständen sein.[…]

Auch OpenSSH kann da nichts dafür, egal ob installier oder nicht.

Das kann man drehen und wenden wie man will.

Der Jailbreak ist der Eingriff in das OS und öffnet damit erst Tür und Tor.

Ergibt sich auch aus Deinem Posting

Nein, das hat damit nichts zu tun!



Wer einen Dienst installiert und aktiviert der mit einem überall bekannten Standardpasswort gesichert ist, der ist einfach dumm. Ganz egal ob das ein iPhone ist, Linux, MS-SQL, Dein Heim-WLAN-Router oder ein Mac.
Wenn es ein Standardpasswort gibt, muß man es ändern! Daß man den Dienst aktiviert muß einem zu dem Zeitpunkt klar sein wo man OpenSSH über Cydia (oder Icy) installiert. Nur vom Jailbreak alleine hat man nämlich noch keineb SSH Server drauf und schon garnicht aktiviert!

Dieser "Hacker" erweist den Usern genaugenommen einen Dienst indem er sie auf Ihre selbst eingerichtete Sicherheitslücke hinweist! Ja, dafür 5€ haben zu wollen ist frech, und ich würde das schon fast als hackerunethisch bezeichnen. Trotzallem ist es besser wenn dieser Mensch sie drauf hinweist, als ein Spammer/Phisher/sonstiger Verbrecher der die "Opfer" nicht darauf hinweisen würde und mal lustig einen Haufen Geld abzieht durch Mehrwerttelefonnummern auf den Cayman Islands, seltsame SMS mit uU strafrechtlichen Inhalten oder sonstigen Unsinn damit treibt.

Das korrekte verhalten wäre eigentlich den User darauf hinzuweisen und SSH abzuschalten.
Gruß Pepi

 

[deloco]

Ich glaube es erwähnten auch schon einige Vorredner hier: Wie blöde muss man sein, um einen Jailbreak durchzuführen, OpenSSH zu installieren und das Passwort nicht zu ändern?
Man muss sich eben mit so etwas auseinandersetzen und nicht einfach machen und denken, dass es schon gut gehen wird, weil's ja so viele machen…

 

[Thaddäus]

haha.....wie dreißt!!!!

Ich würd eher sagen "findige Geschäftsidee"...

Nein im Ernst: Das zeigt doch wieder, das ein Jailbreak durchaus auch ein Sicherheitsrisiko sein kann...

Theoretisch könnte man so auch irgendwelche Malware einspeisen...

 

[k0rben]

Ich würd eher sagen "findige Geschäftsidee"...

Nein im Ernst: Das zeigt doch wieder, das ein Jailbreak durchaus auch ein Sicherheitsrisiko sein kann...

Theoretisch könnte man so auch irgendwelche Malware einspeisen...

Es ist ganz einfach falsch den Jailbreak für das Unvermögen der Jailbreaker verantwortlich zu machen. Man könnte nach deinen Worten her genauso argumentieren, dass das Aufsetzen eines Webservers ein Sicherheitsrisiko darstellt (übrigens noch ein sehr viel größeres).
Es ist einfach wichtig sich vorher zu informieren und ggf. abzusichern.

 

[Thaddäus]

Sehe ich anders: Der Jailbreak suggeriert vielen Usern lediglich, dass das iPhone mehr funktionen bekommen wird / kann, klärt aber genau über die Sicherheitsrisiken keinesfalls auf.

Für uns als "Profis" die wissen was sie da tun ist das kein Problem, aber schau dich mal hier im Forum um, und du wirst schnell erkennen, wieviele Laien unterwegs sind, die das mit Sicherheit nicht beachten werden, bzw. mangels Kenntnis darüber, dass es Sicherheitsaspekte gibt gar nicht können...

 

[MrWombel]

Das Problem ist nicht der Jailbreak sondern eher die User, die sich 'alles' installieren und darüber nicht Bescheid wissen.

 

[Thaddäus]

Also jetzt mal Butter bei die Fische: Wenn das Passwort für ALLE Geräte dasselbe ist (per default), dann IST das ein Sicherheitsrisiko. Ihr wollt mir doch nicht ernsthaft erzählen wollen, dass alle Jailbreaker mit Terminal arbeiten können...

 

[MrWombel]

Wenn ich damit nicht arbeiten kann, dann installiere ich es auch nicht...oder deaktiviere es wenigstens.

 

[Thaddäus]

Ein Jailbreak wird nicht installiert, sondern er hebelt schlicht die Sicherheitsmechnismen des iPhones aus...

Ansonsten hast du aber Recht...

 

[Balkenende]

Wenn es ein Standardpasswort gibt, muß man es ändern! Daß man den Dienst aktiviert muß einem zu dem Zeitpunkt klar sein wo man OpenSSH über Cydia (oder Icy) installiert. Nur vom Jailbreak alleine hat man nämlich noch keineb SSH Server drauf und schon garnicht aktiviert!

Es kann gedreht und gewendet werden, wie man will:

Der Jailbreak öffnet Tür und Tor. Ohne ihn kann das alles nicht erfolgen.

Du hast aber natürlich recht, wenn Du darauf hinweist, dass besser die Datei Brain 2.0 zuerst installiert werden muss :-D - auch ohne jeden Jailbreak.

 

[MrWombel]

Ein Jailbreak wird nicht installiert, sondern er hebelt schlicht die Sicherheitsmechnismen des iPhones aus...

Ansonsten hast du aber Recht...

Ich meinte jetzt auch nicht den Jailbreak sondern beispielsweise SBSettings in Verbindung mit einem 'SSH-Zugriff'...

 

[Beinhorn]

... braucht für den Spott nicht zu sorgen

... oder 5 Euro zahlen. Ich erinnnere mich noch die Stimmen die vehement bestritten haben, dass man durch einen Jailbreak die Sicherheit des Gerätes gefährdet ...

Nicht jammern.
Aus einem jailbreak kann schnell mal eine invasion werden.

Ich finde es immer wieder "geil", dass Raubkopierer an den Pranger gestellt werden
und Jailbreaker als Helden dastehen.

Tja, wer den Schaden hat ...

 

[pepi]

Ich weis nicht warum Du einen Jailbreak mit Raubkopierern in Verbindung zu bringen versuchst.

Ums nochmal zu betonen, wer einen SSH Server selbst installiert der muß auch fähig sein das überall publizierte Standardpasswort zu ändern! Da reicht ein Brain 0.5 dafür! Ein Jailbreak alleine bringt (schon lange) keinen SSH Server mit!

Die Sache mit den 5€ hat sich inzwischen erübrigt, es gibt die Sicherungsanleitung vom Originalautor nun auch kostenlos. Geht doch!
Gruß Pepi

 

[Balkenende]

Da reicht ein Brain 0.5 dafür!

Das wäre sozusagen noch im Betastadium