Gefahr von offenen Ports

[Adrian1999]

Wat machste denn ständig bei deinen Eltern, wenn du da die ganze Zeit vorm TV hängst und zockst?

Wenn man Mal ein Wochenende da ist kann man ja nicht nur essen ^^ Außerdem kommt das am häufigsten bei meiner Freundin zum Einsatz, da ich dort relativ häufig bin.

Stromverbrauch eines potentiell energieinffizienten "Ultra"-GamingPCs, der daheim die ganze Zeit läuft nur damit man sporadisch mal remote ein Game daddeln kann?

Ich habe eine IP gesteuerte Funk Steckdose und in den Bios eingestellt dass mein PC bei Stromversorgung automatisch hochfährt, also kein großes Problem

 

[Raijin]

Ich habe eine IP gesteuerte Funk Steckdose

Und die steuerst du aus der Ferne wie genau? Womöglich über eine weitere Portweiterleitung? Über eine Cloud-App?

Gerade Smart Devices, mit denen in den letzten Jahren der Markt regelrecht geflutet wird, haben ein enormes Gefahrenpotential! Google mal nach einem Vortrag beim CCC zum Thema smarte Beleuchtung und Sicherheit. Da demonstriert der Referent live wie er sich Zugang zu einem fremden Netzwerk über eine 10€ WLAN-Birne verschafft.

Wie gesagt, mit jedem offenen Port kommt ein weiterer Angriffsvektor hinzu. Nu haben wir nicht nur Moonlight, sondern noch eine potentiell angreifbare Steckerleiste.

Wenn die Leiste gar keine Ports braucht oder zu brauchen scheint, ist das nur die halbe Wahrheit. Solche Geräte telefonieren dann entweder nach Hause in die Cloud, die dann u.U irgendwo in China sitzt und beliebig (un)sicher sein kann, oder sie arbeiten mit UPnP und erstellen so ohne Zutun und ohne Wissen des Anwenders dynamische Portweiterleitungen im Router (sofern der UPnP kann und es auch aktiviert ist). Noch haariger wird's, wenn mittels Techniken wie hole punching Löcher in die Firewall gerissen werden (der Name ist eben Programm), "um dem Nutzer ein möglichst harmonisches Nutzungserlebnis zu gewährleisten". Sprich: Wir umgehen aktiv die Firewall damit der Anwender sich ja keine Gedanken um das "wie" machen muss, App starten, Button drücken, läuft - das is ja einfach (und unsicher, aber das erzählen wir keinem).

Ergänzung (21. Juli 2019)

Hier der oben erwähnte Vortrag zur Sicherheit von Smart Home:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[Adrian1999]

Vielen Dank für eure ausführliche Aufklärung! Bezüglich der Ports habe ich eine Lösung gefunden, und zwar kann man die Portfreigabe doch ein- und ausschalten:

Deshalb ist mein Kompromiss, dass ich, wenn ich spielen will, einfach über Teamviewer in meine Fritzbox gehe und die Ports nur temporär auf mache. Natürlich ist das immer noch eine Gefahr, jedoch deutlich ungefährlicher als wenn ich die Ports dauerhaft offen habe. Findet ihr die Lösung auch gut?

Wie gesagt, mit jedem offenen Port kommt ein weiterer Angriffsvektor hinzu. Nu haben wir nicht nur Moonlight, sondern noch eine potentiell angreifbare Steckerleiste.

Darüber habe ich mir beim Kauf leider gar keine Gedanken gemacht :O
Ich habe mir die hier bei Saturn gekauft: https://www.saturn.de/de/product/_swisstone-sh-100-2483116.html

Beim installieren musste ich über eine Handy App die Steckdose mit meinem WLAN verbinden, was ja potentiell eine Gefahr darstellen kann. Leider war ich immer so naiv und dachte mir "Wenn das bei Saturn angeboten wird und das so viele Leute kaufen, wird das vlt. theoretisch eine Gefahr sein können, in der Praxis passiert da aber bestimmt nie was."

Sollte ich die Steckdose komplett abbauen?

 

[Hayda Ministral]

Wie ich inzwischen herausgefunden habe sind die Ports dieselben, die auch NVIDIA für ihren Gamestream Dienst verwenden. Nvidia würde ich als Laie jetzt als seriös einstufen, oder?

Natürlich ist Nvidia "seriös" (*). Aber was sagt das aus? NV wird selbst keine Angriffe auf Deinen PC fahren, nicht mehr und nicht weniger. Schon dass in der Software keine Hintertüren eingebaut wurden ist im Jahr 2018 keine Forderung mehr die erfüllt sein muss um als "seriöse" Firma zu gelten. NV wird Dir auch keine Garantien dafür geben dass in ihrer Software keine Generalschlüssel für den Zugriff hinterlegt sind und/oder dass keine ausnutzbaren Bugs darin enthalten sind und/oder dass NV bekannte Bugs innerhalb von x Stunden Dir mitgeteilt und/oder gefixt werden.

"Seriös" bringt Dir an der Stelle nichts.


(*) wenn es nicht gerade um die technischen Spezifikationen ihrer Produkte geht, denn da sind die schlimmer als der schlimmste Bagdad-Ali vom Wochenmarkt

 

[Raijin]

Sollte ich die Steckdose komplett abbauen?

Das kommt darauf an wie eben dieser Fernzugriff via App dort gelöst ist. 3 gängige Techniken habe ich ja erläutert, Portweiterleitung - sei es manuell oder automatisch via UPnP - sowie Cloud oder eben hole punching. Letztendlich steht und fällt die Sicherheit eines Netzwerks jedoch mit dem schwächsten Glied. Läuft das über eine Cloud, die sehr gut abgesichert ist, hält sich das Risiko in Grenzen - abgesehen vom potentiell böswilligen Zugriff des Herstellers selbst.

Ich hatte mal solch eine Steckdose in der Hand, die wie von Zauberhand auch via App steuerbar war, wenn ich mich aus dem WLAN ausgeloggt habe, also via Mobilfunk. UPnP ist in meinem Router abgeschaltet, eine Portweiterleitung habe ich nicht eingerichtet und einen Cloud-Account habe ich auch nicht angelegt. Entweder lief das über eine automatisierte Cloud-Anmeldung (zB via Seriennummer, weil ich selbige via Barcode scannen oder eingeben sollte) oder wie beschrieben mittels .. .. fortgeschrittener Techniken zur Umgehung einer Firewall.

Ich vertrete die Devise, von außen genau eine einzige Portweiterleitung zu errtstellen, für die VPN-Verbindung. Smart devices, die ich ausschließlich lokal nutze, werden im Router vollständig geblockt damit sie auch nicht nach Hause telefonieren können. Wenn man zu blauäugig mit smart devices bzw smart home umgeht - also im worst case gar bei ebay und Co den billigsten Kram kauft - geht man unwissend ein großes Risiko ein. Es kann jahrelang nichts oder gar nie etwas passieren, aber wenn man nu gerade der eine aus 10.000 ist, der Pech hat, weil man die Bude voller China-Smart-Krempel ohne Sicherheitsmechanismen hat, guckt man dumm aus der Wäsche - wenn man überhaupt merkt, dass ein (erfolgreicher) Angriff stattgefunden hat.

Ich will niemandem Angst machen, aber die smart devices entwickeln sich explosionsartig und nicht jeder Hersteller hat das KnowHow oder überhaupt den Willen, sich um Sicherheit zu kümmern. Bestes Beispiel: Keyless entry beim Auto. Selbst Luxuskarossen hat der CCC mit einem banalen WLAN-Router, modifizierter Software und noch etwas Zubehör für wenige Euros "geknackt" - keyless entry sei Dank. Sicherheit? Davon haben Mercedes und Co jenseits eines 08/15 Autoschlüssels offenbar keine Ahnung und den Anspruch haben sie scheinbar auch nicht - jemand dessen Auto geklaut wurde, muss sich ja ein neues kaufen, das ist wohl der Grundgedanke....