Netzwerkzugriff

Community-Firmware (cfw), Selbstbaucontroller (TX-Pi, ftduino, usw.), usw.
Forumsregeln
Bitte beachte die Forumsregeln!
Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 19 Jun 2017, 09:40

H.A.R.R.Y. hat geschrieben: Und diese Schutzmechanismen (besonders Kamera und Mikrofon) müssen wirklich robust sein gegen alle Versuche sie auszuhebeln.
Das klingt alles sehr interessant. Ganz so einfach wie Du schreibst finde ich zwar nicht, aber es wäre wirklich toll, wenn Du das hinbekommen würdest. Ich kann meine aktuelle einfache Lösung komplett wieder entfernen, damit Du Dein System einpflegen kannst. Wäre das ok für Dich? Hast Du einen github-Account? Dann kann ich Dir direkt Zugriff auf das Repository geben.

Wenn Du Kamera und Mikro für sehr kritisch erachtest, dann hast Du mit der Community-Firmware wenigstens schonmal einen einfachen Schutz. In der Originalfirmware gibt es gar keinen Schutz an der Stelle. Zur Zeit ist die RoboPro-Anbindung m.E: der einzige Weg, über Netz an Kamera und Mikro zu kommen, von daher öffnet die CFW da m.E. keine zusätzlichen Möglichkeiten, per Netz an die Kamera zu kommen.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 19 Jun 2017, 11:40

MasterOfGizmo hat geschrieben:
ski7777 hat geschrieben:So war das im letzten weekly...
Hier wird das Script installiert. Kann es sein, dass Peter für sein weekly keinen kompletten Nuebau erzwingt?
Die Datei ist sogar vorhanden. Ein

Code: Alles auswählen

echo /usr/bib/netreq_setup.sh |
sh 
führt alles ohne Probleme aus...

Raphael

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 19 Jun 2017, 21:02

ist gefixt ...
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 20 Jun 2017, 08:53

MasterOfGizmo hat geschrieben:Das klingt alles sehr interessant. Ganz so einfach wie Du schreibst finde ich zwar nicht, aber es wäre wirklich toll, wenn Du das hinbekommen würdest. Ich kann meine aktuelle einfache Lösung komplett wieder entfernen, damit Du Dein System einpflegen kannst. Wäre das ok für Dich? Hast Du einen github-Account? Dann kann ich Dir direkt Zugriff auf das Repository geben.
Github-Account habe ich nicht und mit den Dingen kenne ich mich nicht wirklich aus. Ich hätte keine Ahnung in welchem der Files ich das überhaupt suchen müßte. Vom Verständnis des Codes mal ganz zu schweigen ...
MasterOfGizmo hat geschrieben:Wenn Du Kamera und Mikro für sehr kritisch erachtest, dann hast Du mit der Community-Firmware wenigstens schonmal einen einfachen Schutz. In der Originalfirmware gibt es gar keinen Schutz an der Stelle. Zur Zeit ist die RoboPro-Anbindung m.E: der einzige Weg, über Netz an Kamera und Mikro zu kommen, von daher öffnet die CFW da m.E. keine zusätzlichen Möglichkeiten, per Netz an die Kamera zu kommen.
Die Kiste läuft unter Linux, richtig? Die Kamera ist meines Verständnisses nach eine USB-Kamera und das Mikrofon hat gewiss auch seinen Treiber. Ich verstehe von daher nicht wieso der Zugriff auf diese Geräte nur per RoboPro möglich sein kann. Diverse Fernseher für Video-Chat wurden auch schon geknackt. Kamera an, Mikrofon an und schon kannst Du sehen und hören was sich vor der Glotze abspielt - einfach per WLAN über das die modernen Fernseher ja auch gleich noch verfügen.

Zu den Zugriffen:
WLAN-Accesspoint kennen wir vom heimischen WLAN-Router, das ist nicht grundsätzlich anders im Falle des TXT, oder? Da der TXT im Lieferzustand einen Access-point anbietet, sollte das alles schon an Bord sein.

Client im Heimnetz läßt sich doch wohl identifizieren? Am Windoofs gebe ich "ipconfig -all" ein und schaue mir mal an was das so erzählt. Connection-specific DNS Suffix (= Keksdose, Physical Address (= MAC), DHCP Server (= IP)) kann ich da schnell finden und auf Stimmigkeit prüfen. Klar kann mir die einer in der Fremde auch gezielt unterjubeln. Haben muss er sie aber erst mal. Das WLAN mußte sich ja auch noch mittels richtiger SSID und Schlüsselpaarung zusammenfinden, also sollte das passen. Automatisiert geht so eine Abfrage mit Prüfung bestimmt auch.

Zugriffe anderer Teilnehmer im Netzwerk: Der TXT ist eine Art Server auf den sich die Clients nur mit dem passenden Login verbinden können. Auch das geht doch heute schon in Firmennetzen. Bei Bedarf macht der Browser ein Fensterchen auf und fragt nach den Credentials. Das geht auch im Hintergrund ohne Benutzerinteraktion wenn die Daten zusammenpassen. Von der Benutzeranmeldung mal ganz zu schweigen.

Wir hätten damit zwei Aspekte: Wie ist der TXT ins Netz eingebunden (Access-Point / Teilnehmer) und wie ist der TXT von den Nutzern zu erreichen. Jeder (egal ob Mensch oder Maschine) der was vom TXT will ist ein Anwender der sich gefälligst mit seinen passenden Credentials einloggen muss. Meiner bescheidenen Kenntnis nach kann sogar Linux mehrere Benutzer verwalten und ihnen jeweils maßgeschneiderten Zugang zur Maschine geben. Und jetzt sagt mir bitte nicht, dass das für Euch gewiefte Cracks hier Neuland wäre?

Wenn das hier jetzt off-topic geht, würde ich die Diskussion gerne in einem eigenen Thread fortsetzen. Admins können das gerne verschieben.

Noch so ein Gedanke:
Da von SD-Karte gebootet wird, könnte man sich auch mehrere bereitlegen. Eine mit Einstellungen für zu Hause und eine die nur für Conventions oder solche Dinge verwendet wird und andere Voreinstellungen aufweist. Nach der Rückkehr wird diese spezielle Karte mit dem Image neu geschrieben und jeder der unterwegs was dran gefummelt haben könnte, hat 'leider' verloren.

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 20 Jun 2017, 11:18

H.A.R.R.Y. hat geschrieben: Github-Account habe ich nicht und mit den Dingen kenne ich mich nicht wirklich aus.
Ok, dann war Dein Vorschlag eher der Wunsch, dass jemand anderes das umzusetzt. Ich befürchte, dass es so nicht funktioniert. Das lebt hier sehr stark vom Mitmachen. Deine ganzen Ideen und Wünsche sind sicher legitim aber es wird schwer werden, jemanden anderes zu überreden, das nach Deinen Vorstellungen umzusetzen. Auch wenn Du das alles recht einfach fnden magst ist es doch eine ganze Menge Arbeit.

Wie ich ganz am Anfang schrieb: Wir sind hier ein sehr kleiner Haufen aktiver Entwickler und für aufwändige Lösungen haben wir schlicht nicht genug Man-Power.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 20 Jun 2017, 11:59

Hallo MasterOfGizmo,
MasterOfGizmo hat geschrieben:Das lebt hier sehr stark vom Mitmachen. Deine ganzen Ideen und Wünsche sind sicher legitim aber es wird schwer werden, jemanden anderes zu überreden, das nach Deinen Vorstellungen umzusetzen.
Das die cfw von einem kleinen Team in der Freizeit gepflegt wird, ist mir auch klar. Den Thread hier verstand ich als Diskussionsthema wie man sich die Sicherung gegen unbefugte Netzwerkzugriffe vorstellen könnte. Jemanden überreden etwas für mich zu tun liegt mir jedenfalls fern. War wohl ein Mißverständnis.

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 20 Jun 2017, 16:07

H.A.R.R.Y. hat geschrieben:Jemanden überreden etwas für mich zu tun liegt mir jedenfalls fern.
Alles gut ;-)

Ja, hier Ideen zu sammeln ist eine gute Idee. Aber es muss halt am Ende irgendwer machen. Und der muss irgendwie motiviert werden. Das was Du skizzierst ist schwierig umzusetzen, was die Einstiegshürde erstmal recht hoch legt. Wie soll denn z.B. die Authentifizierung im Falle eines Zugriffs auf den RoboPro-Netzwerkdienst konkret aussehen? Du bist mit dem TXT in einem WLAN. Dann kommt von irgendwo her der Versuch, Port 65000 zu öffnen. Das ist der RoboPro-Port. Was dann? "Credentials" und "mehrere Benutzer unter Linux" sind nur Stichworte. Aber wie passen sie zu dem Szenario? Wann soll man sich in so einem Fall wo anmelden? Woher soll der TXT wissen, wer sich da anmelden will? Wie soll er (auf PC-seite?) nach einem User-Namen und Passwort fragen?

In der CFW ist der TXT als Client im WLAN. Damit trifft er dort potenziell auf "Gegner". Den alten AP-Modus der Originalfirmware wieder einzuführen habe ich schon eine Weile vor. Aber ich muss auch zugeben, dass mir oft die Motivation fehlt, an diesen eher langweiligen und für mich selbst uninteressanten Themen zu arbeiten. Von daher: Ideen sind toll. Aber sie sollten m Rahmen bleiben.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

sven
Beiträge: 2750
Registriert: 18 Okt 2010, 18:13
Wohnort: Rahden
Kontaktdaten:

Re: Netzwerkzugriff

Beitrag von sven » 20 Jun 2017, 21:43

Hallo!

Was ich in diesem Zusammenhang gut finden würde, wäre eine Möglichkeit dem TXT Enterprise WLAN mit Zertifikat beizubringen.
Ich habe mir dazu grade Accesspoints bestellt, da ich das hier bei mir umsetzen möchte.
Wenn das bei mir läuft kann ich die TXTs nicht mehr ins Netzwerk bringen, oder ich muss dafür eigens ein WLAN mit Key bereitstellen.
Damit würde ich die Sicherheit des Enterprise WLAN mit Zertifikat aber wieder zu nichte machen.

Gruß
sven
Dieses Posting gibt ganz allein meine persönliche Meinung wieder!

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 21 Jun 2017, 09:27

MasterOfGizmo hat geschrieben:Von daher: Ideen sind toll. Aber sie sollten m Rahmen bleiben.
Völlig Deiner Meinung - im Rahmen bleiben. Nur ist das halt für mich schwierig den Rahmen und den Aufriss einzuschätzen. Wie geschrieben habe ich da nur eine sehr rudimentäre Kenntnis der Themen.

RoboPro besteht aus 2 Teilen? Ein GUI auf dem PC und ein Ausführungsteil auf dem TX(T)? So ist meine Interpretation zumindest.
MasterOfGizmo hat geschrieben:Du bist mit dem TXT in einem WLAN. Dann kommt von irgendwo her der Versuch, Port 65000 zu öffnen. Das ist der RoboPro-Port.
Also darf ich mir das etwa so vorstellen wie den Ping-Dienst (das Einzige was ich bislang halbwegs kapiert habe)?
Eine Anfrage auf dem zuständigen Port (ist es 7?) wird vom Client mit einer entsprechenden Antwort bedacht - wenn der Ping-Dienst dort läuft und der Port offen ist. Das geht immer wenn die Maschine läuft und ist unabhängig von irgendwelchen Benutzerauthentifizierungen. Richtig?
Und bei RoboPro ist das dann exakt genau so: Sobald RoboPro auf dem TXT läuft, ist es über Port 65000 erreichbar. RoboPro kennt keine Benutzeranmeldung ... und die MAC/IP des Absenders bekommt es auch nicht mitgeteilt, oder?
Überprüfungsmaßnahmen zur Herkunft der Datenpakete müßten also irgendwo in den Tiefen der Netzwerkdienste erfolgen bevor das bei RoboPro ankommt. Beim Nachsuchen fiel mir eben das Stichwort "Portknocking" auf. Vermutlich würde aber die Anbindung ans RoboPro-GUI auf dem Computer unmöglich weil das wiederum nix von den Spezialitäten am TXT weiß. Damit wäre alles, auch was nur so tut als wäre es ein RoboPro-GUI, via Port 65000 in der Lage den TXT fernzusteuern - zumindest die Teile die RoboPro steuern und verwalten kann. Richtig?

Sollte man das Thema "Datensicherheit" eventuell mal bei dem Entwickler von RoboPro bzw. dessen Auftraggebern einkippen? Irgendeine Schutzmaßnahme gegen unbefugte Spionage per Mikrofon / Kamera sollte es schon geben und die wird wohl am sinnvollsten die Verbindung über Port 65000 absichern (und welche Ports RoboPro sonst noch nutzt). Sonst hätten wir hier eine Hintertür die alle anderen Anstrengungen in dieser Art zunichte macht.

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 21 Jun 2017, 14:57

H.A.R.R.Y. hat geschrieben: Eine Anfrage auf dem zuständigen Port (ist es 7?) wird vom Client mit einer entsprechenden Antwort bedacht - wenn der Ping-Dienst dort läuft und der Port offen ist. Das geht immer wenn die Maschine läuft und ist unabhängig von irgendwelchen Benutzerauthentifizierungen. Richtig?
Normalerweise ja, genau so, Wobei dieser Echo-Dienst mit dem "Ping"-Kommando nichts zu tun hat. Das sind zwei sehr unterschieldiche Dinge. Aber ja, echo lauscht auf Port 7 und funktioniert wie Du schreibst. Und im Falle von z.B. SSH kommt _hinter_ Port 22 dann TXT-setig eine Passwort-Abfrage. Und was genau RoboPro mit den über seinen Port empfangenen Daten macht und was man alles auslösen kann, indem man dort Daten hinschickt weiss man letztlich nicht so ganz genau.

Genau an der Stelle greift mein netreq ein. Es unterbricht den Verbindungsaufbau zu besagtem Port (und auch allen anderen) und lässt die Anfrage erst bis in die Netzwerkroutinen des Linux-Kernels durch, wenn der User Ok geklickt hat, Bei so einer Lösung kann ich aber keine Annahmen über die Daten machen, die da über den Port gehen sollen und vor allem gibt es da nix, wo man eine Passwort-Abfrage zwischenschummeln könnte. Höchstens lokal auf dem Bildschirm des TXT. Aber was soll da eine Passwort-Eingabe? Wenn der Angreifer eh meinen TXT ganz wörtlich in der Hand hat, dann braucht er ihn nicht zu hacken, dann kann er einfach einen langen Schuh machen.

Tatsächlich war das wohl der Grund, warum der TXT zunächst nur den AP-Mode konnte. Da muss dann ein Angreifer die WPA-Cypto knacken um Unheil anzurichen und übers Internet kann er schon gar nicht kommen. Aber seit der TXT auch Client im WLAN spielen kann ist die Lage dort etwas anders.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
H.A.R.R.Y.
Beiträge: 1083
Registriert: 01 Okt 2012, 08:38
Wohnort: Westpfalz

Re: Netzwerkzugriff

Beitrag von H.A.R.R.Y. » 21 Jun 2017, 21:02

MasterOfGizmo hat geschrieben:Genau an der Stelle greift mein netreq ein. Es unterbricht den Verbindungsaufbau zu besagtem Port (und auch allen anderen) [...]
Damit benimmt netreq sich so ein bißchen wie eine Firewall an der ich alle Ports gesperrt habe.
MasterOfGizmo hat geschrieben:[...] und lässt die Anfrage erst bis in die Netzwerkroutinen des Linux-Kernels durch, wenn der User Ok geklickt hat,
Das "OK" ist die besagte Anfrage auf dem Display des TXT? Ah ja. Also ein bißchen wie 'ne Firewall nur dass hier (ähnlich wie ZoneAlarm beim Anlernen) bei Bedarf beim 'Chef' nachgefragt wird.
MasterOfGizmo hat geschrieben:Bei so einer Lösung kann ich aber keine Annahmen über die Daten machen, die da über den Port gehen sollen und vor allem gibt es da nix, wo man eine Passwort-Abfrage zwischenschummeln könnte. Höchstens lokal auf dem Bildschirm des TXT.
Also läuft das etwa so ab: Anruf auf der 65000 - netreq nimmt den Anruf in die Warteschleife und fragt beim großen Operator am TXT ob der Anruf angenommen werden darf. Bei 'ja' wird der Anrufer ins Backoffice (RoboPro) durchgestellt, bei 'nein' läuft die Warteschleife bis zum Abwinken weiter. Ist der Anruf im Backoffice gibt es den vollen Service mit allem und Sahnehäubchen obendrauf. Ich gehe mal davon aus, dass bei 'ja' netreq alle Ports wieder öffnet?
Wäre es machbar sich vorab auf einem anderen Port mit einer bestimmten Nachricht an netreq zu wenden? Die Nachricht kennen der TXT und die autorisierten Teilnehmer weil der Benutzer sie (zumindest teilweise) vorgegeben hat. Natürlich geht das nur verschlüsselt über das Netz. Quintessenz: erbittet ein anderer Client mit dieser speziellen Nachricht den Zugang, so kann ihm dieser automatisch gewährt werden. Ansonsten fragt netreq lokal am TXT nach.
MasterOfGizmo hat geschrieben:Aber was soll da eine Passwort-Eingabe? Wenn der Angreifer eh meinen TXT ganz wörtlich in der Hand hat, dann braucht er ihn nicht zu hacken, dann kann er einfach einen langen Schuh machen.
Einverstanden. Wenn ich den TXT in der Hand habe, tausche ich die SD-Karte und mache mit dem was ich will ;)
Wir gehen für die relevanten Szenarien mal davon aus, dass der Angreifer remote sitzt.

Aber wo Du SSH erwähnst, kommt mir noch dieser Gedanke:
netreq hat alle Ports gesperrt und ist in Lauerstellung. Verbindungsaufbau per RoboPro auf der 65000 wird wie alles andere auch abgeschmettert. Was ist mit der SSH-Konsole? Da gibt es ja die Möglichkeit der Passwortabfrage. Wenn sich ein anderer Client per SSH am TXT erfolgreich anmeldet, könnte das netreq erkennen und diesen Client (IP und MAC haben wir ja aus der Anmeldung über Port 22) als autorisiert einstufen? Kommt man denn überhaupt auf die SSH-Konsole wenn netreq alle Ports gesperrt hat? Oder macht netreq erst dicht, wenn die Anfrage auf Port 65000 eintrifft?

Oder ist das alles nix, weil dann noch ein paar Handgriffe extra zu machen sind, bevor sich RoboPro mit dem TXT verbinden kann?

Und dann ist da noch die Frage: Wie ist das mit Kamera und Mikrofon? Wieso geht das nur über RoboPro? Theoretisch kann ich 'ne USB-Cam auch übers (W)LAN übertragen lassen, mit Ton. Braucht es da bestimmte SW die auf dem TXT nur in Form von RoboPro vorhanden ist?

Gruß
H.A.R.R.Y.
[42] SURVIVE - or die trying

Torsten
Beiträge: 308
Registriert: 29 Jun 2015, 23:08
Wohnort: Gernsheim (Rhein-Main-Region)

Re: Netzwerkzugriff

Beitrag von Torsten » 21 Jun 2017, 22:04

H.A.R.R.Y. hat geschrieben:Aber wo Du SSH erwähnst, kommt mir noch dieser Gedanke
Stichwort SSH: über SSH-Tunnel kann man im Prinzip jeden Port absichern und verschlüsseln, ähnlich einem VPN. Das müsste sogar völlig transparent für ROBOPro hinzukriegen sein. Allerdings würde es root-Zugriff auf beiden Seiten (TXT und PC) erfordern, um das Ganze einzurichten ... mit zwei Linux Rechnern geht das auf jeden Fall. Ich bin kein Windows-Experte und weiss deshalb nicht genau, ob das mit dem SSH-Tunnel auch mit Windows funktioniert ?
H.A.R.R.Y. hat geschrieben:Und dann ist da noch die Frage: Wie ist das mit Kamera und Mikrofon? Wieso geht das nur über RoboPro? Theoretisch kann ich 'ne USB-Cam auch übers (W)LAN übertragen lassen, mit Ton. Braucht es da bestimmte SW die auf dem TXT nur in Form von RoboPro vorhanden ist?
Die ft-Kamera ist eine ganz normale USB-Kamera am TXT. Sobald man auf dem TXT per SSH als User ROBOPro oder ftc eingeloggt ist, kann man die Bilder über den Linux v4l-Treiber abrufen. Falls man auf dem PC unter ROBOPro (oder ftrobopy) die TXT-Kamera aktiviert hat, wird das aktuelle Bild sogar fortwährend auf Port 65001 ausgegeben. Dadurch wäre es für einen "Angreifer" tatsächlich relativ einfach, das Bild abzugreifen. Die netreq-Massnahme von MoG verhindert das.
Auch hier könnte SSH-Tunnelling bzw. Port Forwarding ein andere Lösung sein. Es stellt sich allerdings die Frage, ob der "normale" Windows-User damit nicht überfordert wäre ?

Ich finde die Lösung von MoG für normale Zwecke auf jeden Fall ausreichend ... und es gibt ja auch immer noch die Möglichkeit, die Kamera bei Nichtbenutzung einfach rauszuziehen (auf meinem Laptop habe ich ja auch einen Aufkleber auf der Kamera-Linse ;-))

Viele Grüße
Torsten

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 22 Jun 2017, 11:19

Das Problem ist, dass der TXT ein Kinderspielzeug ist und m.E. auch mit der CFW bleiben soll. Dort vor der Nutzung von RoboPro PC-setig erst per SSH irgendwelche Freigaben zu erteilen oder SSH-Tunnel einzurichten schränkt den eh schon kleinen Benutzerkreis so extrem weiter ein, dass es am Ende kaum jemand nutzen wird. Das ist dann zwar sehr sicher, aber auch sehr sinnlos ....
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
EstherM
Beiträge: 1466
Registriert: 11 Dez 2011, 21:24

Re: Netzwerkzugriff

Beitrag von EstherM » 22 Jun 2017, 18:04

H.A.R.R.Y. hat geschrieben: Und diese Schutzmechanismen (besonders Kamera und Mikrofon) müssen wirklich robust sein gegen alle Versuche sie auszuhebeln.
Ich kann mir echt nicht vorstellen, was Kamera und Mikrofon des TXT an wunder wie vertraulichen Daten zeigen sollen, wenn das Ding in einem öffentlichen WLAN hängt. Ich würde das Ding ja nicht mit aufs Klo nehmen, trotz meiner Angst, dass es sonst geklaut würde.
Es ist allen klar, dass man MAC-Adressen fälschen kann. Trotzdem schließe ich mich der Meinung an, dass jede zusätzliche Absicherung ein Overkill ist.
Gruß
Esther

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 22 Jun 2017, 18:06

Also ich hätte da sogar mehr Angst vor der standard Firmware. Vielleicht hat ft da ja was zum sniffen eingebaut...

Raphael

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 23 Jun 2017, 13:47

ski7777 hat geschrieben:Also ich hätte da sogar mehr Angst vor der standard Firmware. Vielleicht hat ft da ja was zum sniffen eingebaut...
Sind wir jetzt bei Verschwörungstheorien angelangt?
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Benutzeravatar
ski7777
Beiträge: 870
Registriert: 22 Feb 2014, 14:18
Wohnort: Saarwellingen

Re: Netzwerkzugriff

Beitrag von ski7777 » 23 Jun 2017, 21:25

MasterOfGizmo hat geschrieben:
ski7777 hat geschrieben:Also ich hätte da sogar mehr Angst vor der standard Firmware. Vielleicht hat ft da ja was zum sniffen eingebaut...
Sind wir jetzt bei Verschwörungstheorien angelangt?
:D

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 24 Jun 2017, 08:32

Nein, das ist überhaupt nicht lustig. Wir können hoffen, dass den Kollegen von ft bewusst ist, dass nicht jeder hier so denkt.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

reus
Beiträge: 113
Registriert: 02 Nov 2010, 09:39

Re: Netzwerkzugriff

Beitrag von reus » 24 Jun 2017, 12:18

MasterOfGizmo hat geschrieben:Nein, das ist überhaupt nicht lustig. Wir können hoffen, dass den Kollegen von ft bewusst ist, dass nicht jeder hier so denkt.
Wäre ft weiter verbreitet, könnte ich mir tatsächlich vorstellen, dass jemand die Firma ft hackt und die Firmware modifiziert. Hat man ja schon alles gesehen. Bei einem so kleinen Nischenprodukt wie ft ist die Wahrscheinlich aber eher gering (aber nie null, natürlich).

Trotzdem gut, dass ihr ueber die Sicherheit nachdenkt. Ich glaube, niemand moechte, dass Aufnahmen von Familienmitgliedern im Internet auftauchen, weil der freundliche Hacker von nebenan rausgefunden hat, dass ihr einen ungesicherten TXT betreibt.

(Sorry, hab gar keinen TXT. Nur berufliche Neugier)

Benutzeravatar
MasterOfGizmo
Beiträge: 2720
Registriert: 30 Nov 2014, 07:44

Re: Netzwerkzugriff

Beitrag von MasterOfGizmo » 20 Sep 2017, 13:28

Da auf der Maker-Faire das Thema aufkam: Zur Zeit sind die Netzwerkfreigaben nur temporär und man muss nach jedem Reboot alles neu erlauben. Aber das ganze Setup konnte das schon immer auch permanent speichern, wenn eine Datei namens /etc/netreq_permissions vorhanden und für den ftc-User les- und schreibbar ist. Auf dem TX-Pi war die auch schon immer vorhanden, auf dem TXT nicht, weil man sich durch ein unbedarftes gepeichertes "Nein" auch gut selbst aussperren kann.

Diese Datei habe ich gerade hinzugefügt. Schaut mal, ob ihr damit klar kommt. Die Liste kann man in der Network-App auch einsehen und verändern. Und wenn man sich ausgesperrt hat kann man sich da wieder die Tür öffnen. Wenn alles klappt ... ist halt wenig getestet.
Arduino für fischertechnik: ftDuino http://ftduino.de, ftDuino32 http://ftduino.de/32

Antworten