Beveiligingsupdate Raspberry Pi schakelt ssh uit
Vanwege de recente aanvallen op Internet of Things-apparaten hebben de makers van de populaire minicomputer Raspberry Pi een update voor het besturingssysteem uitgebracht die onder andere ssh uitschakelt. Standaard stond ssh altijd ingeschakeld, zodat het eenvoudig was voor gebruikers om op afstand de nieuwste versie van het Raspbian-besturingssysteem te installeren.
"Helaas maken hackers steeds vaker van dit soort gaten in andere producten gebruik om het apparaat over te nemen", zegt Simon Long, ontwerper van de Pixel-desktopomgeving die op Raspbian draait. Volgens Long was de standaard ssh-toegang over het algemeen genomen geen probleem voor de Raspberry Pi. Als de minicomputer in een thuisnetwerk staat zal die waarschijnlijk niet voor het internet toegankelijk zijn. In het geval de Pi op een openbaar netwerk is aangesloten heeft Long de hoop dat de gebruiker voldoende weet om het standaard wachtwoord te wijzigen of ssh uit te schakelen.
Vanwege de groeiende dreiging is deze aanpak echter niet meer houdbaar, gaat Long verder. Daarom zijn er in de nieuwste versie van het besturingssysteem verschillende aanpassingen op veiligheidsgebied doorgevoerd. De belangrijkste is dat ssh voortaan standaard staat uitgeschakeld. "Het onderwerp heeft voor veel discussie op het Pi-hoofdkantoor gezorgd. De relaxte aanpak die we tot nu toe hadden was er voor goede redenen en we wilden die niet graag veranderen. Toch zijn de nu doorgevoerde veranderingen nodig om onze gebruikers tegen potentiële dreigingen zowel nu als in de toekomst te beschermen en we hopen dat jullie hiervoor begrip hebben", besluit Long.
Soms moet je toch even aangeven wat je bedenkingen zijn. Voor de goede orde, de update zet ssh NIET uit indien deze aanstaat, de update houdt in dat ssh "out of the box" niet enabled is.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Steeds meer noobs gebruiken een pi voor allerlei doeleinden, dus hoe veiliger direct na installatie des te beter.
Nee, hoezo? Licht je gevoel eens toe :]
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Kan er een scherm aan een pi? ;)
SD flashen, booten en inloggen om het password aan te passen.
Standaard uit, ik snap het, maar blij ben ik er zeker niet mee...
Kan je weer een keyboard en scherm gaan zoeken :(
Kan je weer een keyboard en scherm gaan zoeken :(
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Kijk, dat is nuttig om te weten!
Ja, via HDMI, dat is een van gebruikstoepassingen van dit bordje.
LOL
Het punt hier is dat ze het verspreiden als een image van een volledig geïnstalleerd systeem. Een wachtwoord is dan voor iedereen gelijk, maar een ssh-key zou net zo goed voor iedereen gelijk zijn en hetzelfde probleem geven. En de ssh-key die je gebruikt is op een andere computer gegenereerd dus kan je die niet bij de eerste opstart automatisch aanmaken (en als je het toch op de RPi aanmaakt moet je weer iets buiten ssh om van de RPi afhalen). Wat ze ook doen, de gebruiker moet hoe dan ook een handeling verrichten om de ssh-toegang op een veilige manier te activeren. Dan is wat ze nu doen niet slechter dan andere oplossingen, lijkt me.
Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.
Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).
Niet kunnen connecten is nog veiliger. Nu moet je er zelf voor kiezen om de mogelijkheid tot connecten aan te zetten. Een bewuste keuze is beter dan dat er (ongemerkt) voor jou gekozen wordt dat je SSH aan wil zetten.
Ik veronderstel overigens dat de andere poorten standaard dicht zitten (TELNET, FTP etc).
Poorten zitten over het algemeen niet standaard dicht maar juist open, het is juist dat er geen daemon/service staat te luisteren wat de zaak veilig maakt en dat is wat ze nu Raspbian goed geregeld hebben.
Waarom een grap, prima zet. Wil je perse ssh gebruiken, dan kan je het met een vinkje aanzetten.
Een vinkje aanzetten?? Ik heb diverse Raspberry Pi's maar ik heb er nog nooit een scherm/toetsenbord/muis
aan gehad. Ik heb zelfs vele PI's in beheer via netwerk die ik fysiek nooit in handen gehad heb. Iemand heeft
een SD card image geinstalleerd en ik kan hem remote via SSH beheren. Uiteraard met een ander dan default
wachtwoord, en de meesten achter NAT en met een VPN benaderbaar.
Als je al toch een SD card image hebt en daar een ander root wachtwoord op hebt geconfigureerd, is het ook geen probleem om op dat image ssh aan te zetten.
Als het zo is dat iemand een standaard image in de PI steekt en dat jij dan remote inlogt om het wachtwoord aan te passen, dan wil ik niet dat jij PI's in mijn netwerk beheert. Er komen constant scanners langs die op zoek zijn naar PI's met default wachtwoord. Met hun automatische scripts hebben zij een nieuw root-account aangemaakt voor jij handmatig bent ingelogd en daar het standaard root wachtwoord hebt gewijzigd.
Peter
In de aankondiging staat dit hierover. Dat is best te doen:
"The boot partition on a Pi should be accessible from any machine with an SD card reader, on Windows, Mac, or Linux. If you want to enable SSH, all you need to do is to put a file called ssh in the /boot/ directory. The contents of the file don’t matter: it can contain any text you like, or even nothing at all. When the Pi boots, it looks for this file; if it finds it, it enables SSH and then deletes the file. SSH can still be turned on or off from the Raspberry Pi Configuration application or raspi-config; this is simply an additional way to turn it on if you can’t easily run either of those applications."
Kijk, dat is nuttig om te weten!
Inderdaad, dus een fake landing page maken, dan een "update" file of applicatie aanbieden voor de pi en mensen zelf hun SSH laten activeren.
Het is dat een pi op bepaalde groepen gebruikers is gericht en die weten wat ze ermee moeten doen, echter denk eens aan al die devices die op een pi zijn gebouwd en nu ergens onder bv iemand zijn aquarium aan het draaien zijn?
Dit gaat dus nog fun worden binnenkort!
een 'touch ssh' gedaan en vervolgens geboot in een pi.
Zowel de GUI als een ssh login geven nu:
SSH is enabled and the default password for the 'pi' user has not been changed.
This is a security risk - please login as the 'pi' user and type 'passwd' to set a new password.
Zouden meer 'apparaten' moeten doen, eventueel nog een tijdslot aanhangen zodat je binnen x tijd na het booten het password veranderd moet hebben omdat anders ssh/services weer disabled worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.