Page 1 of 1

RevPi ? Ja, aber bitte so sicher wie Fort Knox!

Posted: 28 Feb 2018, 19:03
by Axel
Hallo liebes Kunbus Team,
in euren blog bin ich auf einen ähnlich lautenden Artikel gestossen und hoffe das ihr dazu steht!

Pictory Login
Ich finde es sehr gut das ihr Zugangsdaten nicht unverschlüsselt übertragt, sondern aus den Passwort ein MD5'Hash macht. Schade das ihr nicht auch noch den Schritt weiter gegangen seid und den Hash variabel (mittels salt) gestaltet habt . So erfährt jeder der den http Verkehr mitlesen kann auch die notwendigen Logindaten und kann damit ebenfalls ein erfolgreiches Login ausführen.
Ihr schreibt im blog https://revolution.kunbus.de/blog/iot-security/ wie sicher https ist, schade das es bei einer grundkonfiguration nicht schon aktiv ist. Das würde den ebend beschriebenen Angriff im wesentlichen verhindern, ja wenn ...
... nicht unter http(s)://revpi-ip/data/login.json die benötigten Logindaten zum download frei verfügbar wären.
braucht man dann nur noch in folgendes einsetzen und an die dal.php senden und schon ist ein login erfolgreich durchgeführt.

Code: Select all

{"hashcode":"<hashcode_aus_login.json>","mode":"LOGIN","username":"<username aus login_json"}
der passwort wechsel auf ein bekanntes Passwort ist so auch nur noch eine Fingerübung.

ich habe Erkundigungen über Fort Knox eingeholt, allerdings bestätigte man mir auch nach mehrmaligen Rückfragen, keinerlei Schlüssel für den Tressor unter der Fussmatte zu lagern, schade eigentlich :?

Neben den von Wulf genannten remote execution bug der Pictory und der ebend gezeigten lücke, sind alle User welche die Pictory einsetzen betroffen, auch wenn Volker meint mit Teamviewer und einen Router wäre das kein Sicherheitsrelevantes Problem. (zum nachlesen viewtopic.php?f=8&t=621#p2342 )
Ein sofortiger Tausch des Passwortes der Pictory hat keinen Einfluss, da man quasi den hash gegen den die Passwort Prüfung erfolgt vom Webserver herunterladen kann.

Wie kann man sich schützen?
ein update von Kunbus einfordern, welches die entsprechende(n) lücke behebt. (das wäre die beste Lösung, und einfach Revolutionär)
Wer nicht solange warten will, kann selber einen Verzeichnissschutz via htaccess anlegen, der entsprechenden Zugriff auf das Verzeichniss verhindert.

Code: Select all

order deny,allow
deny from all
 
Die Einrichtung von https ist ebenfalls zu empfehlen.

Übrigens an alle Sicherheits interessierten, schaut euch den ARD Beitrag "Wir hacken Deutschland" an,
genau das passiert wenn man die eigene Sicherheitsverantwortung auf andere abwälzt.


Mit freundlichem Gruß
PS: Sollte ich was vergessen haben zum Thema Sicherheit schreibt hier doch einfach.

Re: RevPi ? Ja, aber bitte so sicher wie Fort Knox!

Posted: 05 Mar 2018, 19:12
by volker
Das versprochene Update ist heute online gestellt worden und sollte die diversen Lücken schließen.