ComputerBase Menü
Aktuelles

Pi Hole - Gefahr durch DNS Hijacking?

D

dieterz1

Ensign
Registriert
Jan. 2014
Beiträge
245
Hallo,
wie groß ist die Gefahr von DNS Hijacking, wenn beim Aufruf einer Onlinebanking-Seite die DNS-Anfrage an den Pi Hole geht, und dieser Pi Hole eine Sicherheitslücke hat?

Oder führt der Pi Hole selbst gar keine Namensauflösung durch, sondern prüft nur "darf / darf nicht"?
 
Da er als DNS auf deinen Clients oder dem Router eingetragen wird, ist ein kompromittierter Pi-Hole natürlich potentiell gefährlich. Daher immer aktuell halten.
 
Natürlich macht der die DNS Auflösung bei den Upstream DNS Servern.

Aber da ja bei https Zertifikate im Einsatz sind, hätte die gefälschte Bankingseite kein Zertifikat.

Und da viele Seiten HSTS einsetzen, könnte man die seite nicht mehr aufrufen.
 
Solange man die verfügbaren Updates regelmäßig einspielt (Ich mache das mind. einmal die Woche) solle der Pi-Hole sogar sicherer als so mancher Router sein.
 
  • Gefällt mir
Reaktionen: chr1zZo
Sephe schrieb:
Natürlich macht der die DNS Auflösung bei den Upstream DNS Servern.

Aber da ja bei https Zertifikate im Einsatz sind, hätte die gefälschte Bankingseite kein Zertifikat.

Und da viele Seiten HSTS einsetzen, könnte man die seite nicht mehr aufrufen.
Zum Vergrößern anklicken....
Was hat https damit zu tun?
Pi Hole kann dich auch zu einer Phishing Seite mit Https umleiten, Zertifikate sind kein Indikator für die korrekte Webseite sondern nur dass die Kommunikation verschlüsselt ist.
Nicht auf Https verlassen um festzustellen ob die Webseite die du besuchst, die richtige ist.

Edith sagt:
Zwei Beispiele:

Hypovereinsbank
hvb.png

Stadtsparkasse München
stadtsparkassemuenchen.png

Wenn du dir jetzt die Daten anschaut, der Zertifikatsaussteller von der HVB sitzt in Italien. Der Zertifikatsaussteller der Stadtsparkasse sitzt auf den Bermudas...
Gibt mir das mehr Vertrauen in die IT der Stadtsparkasse München?
Nicht wirklich...
 
Zuletzt bearbeitet:
Wir reden hier von zuhause oder? Was soll den da großartig passieren? Der ist doch garnicht direkt im Netz und von außen garnicht erreichbar sodass da wer was mit machen könnte. Bei vielen Internet Anbietern hat man ja nichtmal mehr ne Public IP. Oder übersehe ich da etwas ?
 
Tornhoof schrieb:
Was hat https damit zu tun?
Pi Hole kann dich auch zu einer Phishing Seite mit Https umleiten, Zertifikate sind kein Indikator für die korrekte Webseite sondern nur dass die Kommunikation verschlüsselt ist.
Nicht auf Https verlassen um festzustellen ob die Webseite die du besuchst, die richtige ist.
Zum Vergrößern anklicken....
Ich weiß nicht, ob hier vorher recherchiert wurde. Aber meines Verständnisses nach ist ein SSL/TLS Zertifikat sehr wohl und auch primär für die Authentifizierung der Gegenstelle verantwortlich.
 
Rapsbeere schrieb:
Ich weiß nicht, ob hier vorher recherchiert wurde. Aber meines Verständnisses nach ist ein SSL/TLS Zertifikat sehr wohl und auch primär für die Authentifizierung der Gegenstelle verantwortlich.
Zum Vergrößern anklicken....
Und wie soll das gehen?
Hast du das Thumbprint vom Zertifikat dir gemerkt?, Certificate Pinning ( HPKP) ist mittlerweile als deprecated markiert.
In der Theorie mag deine Annahme richtig sein, in der Praxis halten sich viele Zertifikatsherausgeber nicht an geltende Regeln und damit ist das Zertifikat kein Indikator (mehr).

Wenn dich mehr details interessieren, lies ggf. https://www.troyhunt.com/extended-validation-certificates-are-really-really-dead/ und dazugehörige Einträge von Troy Hunt.
Ergänzung ()

Cl4whammer! schrieb:
Wir reden hier von zuhause oder? Was soll den da großartig passieren? Der ist doch garnicht direkt im Netz und von außen garnicht erreichbar sodass da wer was mit machen könnte. Bei vielen Internet Anbietern hat man ja nichtmal mehr ne Public IP. Oder übersehe ich da etwas ?
Zum Vergrößern anklicken....
Auch das PiHole lädt Daten aus dem Netz nach, z.b. Blocking Listen etc. Wenn die externen Server kompromitiert werden und es Bugs im PiHole gibt, kann das schon zu Problemen führen.
Schau dir das Samsung XML Bluray Player Dateifiasko an, das ganze kannst analog für andere Themen verwenden.
 
  • Gefällt mir
Reaktionen: DiedMatrix und Rapsbeere
Der Angreifer muss schon in deinem lokalen Netzwerk sein, wenn er Zugriff auf die PiHole erlangt.
Ist das der Fall, ist schon was gewaltig schief gelaufen.

Ein neuer SSH Port für die Pi würde es dem Angreifer erschweren Zugriff zu erlangen
Ein gutes PW für den SSH User noch mehr... am besten ohne Root Rechte oder nur per PW Abfrage.

Dass die PiHole beim einlesen von Listen (Text Files) Code einschleusen kann, halte ich für nicht möglich da das Projekt Open Source ist, das wäre schon entdeckt. Heißt nicht, dass es dennoch unmöglich ist.

Natürlich könnte die Pi alle Anfragen, wie die Domain deiner Bank, auf eine andere Seite umleiten/verweisen, klar geht das, aber der Aufwand dafür, nur um einen 0815 Bürger (nicht böse gemeint) zu betrügen, ist es nicht wert.
 
@Tornhoof:

Dann erklär mir bitte, wo du ein gültiges Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle herbekommst für eine Domain, die dir nicht gehört.

Anders gesagt:
Leite dir mal Computerbase.de um auf einen lokalen webserver bei dir, und zeig mir, wie du eine https Verbindung herstellen kannst, OHNE bei dir lokal ein Zertifikat zu installieren.

Ich warte
 
Sephe schrieb:
@Tornhoof:

Dann erklär mir bitte, wo du ein gültiges Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle herbekommst für eine Domain, die dir nicht gehört.
Zum Vergrößern anklicken....

Das passiert wirklich alle paar Jahre aus Unvorsichtigkeit der Zertifizierungsstelle:
https://en.wikipedia.org/wiki/DigiNotar (les dir den Fraudulent Cert Teil durch)
https://www.computerworld.com/artic...google-s-lead--revoke-rogue-certificates.html (same problem)
https://arstechnica.com/information...tes-impersonating-google-facebook-and-itunes/
https://it.slashdot.org/story/15/03/24/1730232/chinese-ca-issues-certificates-to-impersonate-google
https://www.thesslstore.com/blog/what-is-a-rogue-certificate/

Um deine Anfordernug zu erfüllen, z.b. bei LetsEncrypt wäre also entweder den computerbase.de server zu übernehmen und/oder den DNS Server zu übernehmen. Aber das sind die "legalen" Wege.
Dass du nen CA findest der die das Zeug ausstellt ist weit wahrscheinlicher.

Oder ähnliche eklige Hacks (die aber nicht Teil deiner Anforderung sind):
https://www.eff.org/deeplinks/2015/02/further-evidence-lenovo-breaking-https-security-its-laptops
Praktisch alle Enterprise Firewalls und/oder Virenscanner können MITM Zertifikate ausstellen.

Wenn du jetzt noch nen alten XP Rechner oder so hast der MD5 Zertifikate oder ggf. sogar SHA1 Zertifikate unterstützt kannst mit Kollisionen versuchen valide Zertifikate zu erzeugen.
https://www.win.tue.nl/hashclash/rogue-ca/downloads/md5-collisions-1.0.pdf
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DiedMatrix
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Pi-Hole aktiv - Werbung wird trotzdem noch angezeigt
Antworten
12
Aufrufe
1.438
eigs
eigs
Picard87
pi-hole auf Synology NAS blockt nicht
Antworten
10
Aufrufe
1.646
Raijin
Raijin
JustOne
Verständnisfrage Fritzbox Gerätesperre und Pihole
Antworten
7
Aufrufe
730
Raijin
Raijin
FredK
Frage an die VPN Profis: Trotz VPN PI Hole / eigenen DNS nutzen?
Antworten
7
Aufrufe
1.075
chrigu
chrigu
M
Pi-hole mit O2 Homebox 6441 > Wie DNS Server einstellen
Antworten
13
Aufrufe
3.088
Marker100
M

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz