Unsichere Zugänge für rPi Distributionen
Haben Sie jemals eine der bekannten Linux Distributionen wie Raspbian oder libreELEC für Ihren Raspberry Pi installiert? Wie steht es dabei um die Sicherheit des Heimnetzwerkes? Wir kennen eine ganze Reihe von Fällen in denen solche IoT Geräte mehr Nutzen für Kriminelle als für die physischen Besitzer bringen (etwa als Teil eines Bot-Netzes als Sprungbrett für gezielte Angriffe). Dafür gibt es wohl mehrere Auslöser, aber einer der Hauptgründe kann als „insecure defaults“ oder unsichere Grundeinstellungen bezeichnet werden. Dazu gehören unter anderem unsichere Passwörter für administrative Nutzerkonten oder unsichere Konfigurationen.
Dabei gibt es einige Distributionen die Anleitungen zur Absicherung bereitstellen, Raspbian zum Beispiel erklärt wie wichtig es eigentlich ist die Installation abzusichern und wie man vorgehen sollte um die Systemeinstellungen sicher zu gestalten und Angreifer fernzuhalten. Das Problem ist nur: Wieviele der Benutzer lesen einen solchen Artikel und folgen den Ratschlägen darin?
Warum werden Geräte und Distributionen nicht einfach schon mit sicheren Grundeinstellungen ausgeliefert? Würden Sie einen Artikel lesen der beschreibt wie die Bremsen in ihrem neuen Auto in Funktion gesetzt werden bevor Sie eine Runde damit drehen? Genau das wird aktuell in vielen Fällen von Herstellern und Open-Source-Communities von Ihnen als Benutzer erwartet.
Die Frage nach sicheren Grundeinstellungen wird im Normalfall sehr pauschal mit einem Hinweis auf die sinkende Benutzerfreundlichkeit bei steigender Sicherheit beantwortet. Aber ist es wirklich nicht akzeptabel im Laufe der Installation ein sicheres Passwort für den Benutzer zu generieren?
Hier eine Aufforderung an Hersteller und Open-Source-Communities: Versucht einfach mehr gegen die laufen steigende Bedrohung zu tun als Ausreden zu finden.
Und für die Benutzer: Seid euch der Bedrohung bewusst, lest die Anleitungen um eure Installationen abzusichern und unterstützt die Entwickler der Open-Source-Communities.
