„Internet der dinge“ des tages

Was soll man noch schlimmer finden: einen lichtschalter, der linux als firmwäjhr nutzt, oder die tatsache, dass die entwickler den schlüssel für die signatur von firmwäjhr-aktualisierungen im dateisystem vergessen haben und gleich mit jedem verdammten lichtschalter für jeden verbrecher leicht auslesbar mitliefern — nebst PGP-passfrase, damit das häckchen auch keine herausforderung wird.

Und hier der güldne kompetenzpunkt für belkin: die passfrase lautete belkin12345678. Weia! m(

Ich wünsche auch weiterhin viel spaß mit dem internetz der dinge und dem euch von reklameheinis angebotenen „smart home“! Erst, wenn ihr botnetze in den lichtschaltern, kühlschränken, herzschrittmachern, dildos und klopapierabrollern habt, mit denen schwerkriminelle (oder skynet) DDOS-angriffe gegen unnötig mit dem internetz verbundene infrastruktur fahren oder auch einfach nur das ganze internetz bis zum zusammenbruch mit casino-, reichwerd- und viagraspämm nebst multimedialen phishing-versuchen vollspämmen, werdet ihr vielleicht mal merken, wie bescheuert diese ganze idee von ein paar handvoll koksenden, größenwahnsinnigen schlipsaffen ist und auch immer schon war. Wenn ihr dann überhaupt noch was merken könnt und nicht alle eure hirnchen ausgeworfen habt…

Freut ihr euch auch schon alle auf die „autonomen autos“ und auf die borgimplant… ähm… implantierten mikrotschipps, die alles viel bekwemer, sicherer, besser und klimaschonender machen? :mrgreen:

Security des tages

Achtung! So eine saudumme idee habe ich seit jahren nicht mehr gesehen:

Auch die weiteren Lücken, die das CERT der Carnegie-Mellon-Universität auflistet, lesen sich wie ein Handbuch zum Thema wie man Router-Firmware nicht programmieren sollte. Ab Werk ist für das Web-Administrations-Interface kein Passwort gesetzt. Passt der Admin des Gerätes auf und setzt ein Passwort, nützt das auch nicht viel, da dieses auf dem Client verifiziert wird

Hervorhebung von mir. Nuklear angetriebener facepalm!

Client: hey, sörver, sag mir doch mal bitte das passwort von root, ich muss mal autentifizieren!
Server: es ist 123geheim123.
Client: jau, habs geprüft, mein passwort ist in ordnung!

Weia! 😦

(Und nein, es ist bei diesem verfahren scheißegal, wie das passwort übertragen wird, das kann auch ruhig als häsch übertragen werden, um wenigstens „sicherheit“ zu simulieren.)

Hej, und weil dieser epic fail noch nicht reicht, kann ein angreifer die gesamte namensauflösung umstricken und den nutzern beliebige inhalte unter hübschen domäjhns wie… sagen wir mal… paypal (punkt) com, sparkasse (punkt) de oder ubuntu (punkt) com unterjubeln. So wird das mit dem internetz wieder zur aufregenden erfahrung! Und nein, die fehler sind nicht behoben, die bleiben noch ein bisschen offen. Falls trotzdem noch jemand glaubt, man könne ja ruhig die router von „belkin“ kaufen, weil die so tolle, vielversprechende reklame machen und so geile gehäuse bauen, die wie ein zäpfchen aussehen und weil die früher so tolle geschäftsideen implementiert hatten, kann ich auch nicht mehr helfen. Fragt mal den metzger, ob er nachschaut, ob da noch hirn im schädel ist!