[English]Warnung an Besitzer von Canon-Drucker, die diese außer Betrieb nehmen und verkaufen möchten – oder die die Geräte im WLAN betreiben und dann zur Reparatur geben müssen. Hersteller Canon warnt aktuell davor, dass bestimmte Geräte (Tintenstrahldrucker der E-, G- oder MX-Serien, etc.) das für den Betrieb gespeicherte WLAN-Passwort auf Grund einer Sicherheitslücke an Dritte verraten. Betroffen sind Tintenstrahldrucker für den Heimbereich sowie auch Geräte für den geschäftlichen Einsatz in Büros.
Anzeige
Die Warnung CP2023-003 (Vulnerability Mitigation/Remediation for Inkjet Printers (Home and Office/Large Format) von Canon stammt vom 31. Juli 2023 und informiert Gerätebesitzer über ein Sicherheitsproblem. Dort heißt es, dass sensible Informationen zu den Wi-Fi-Verbindungseinstellungen (WLAN), die in den Speichern von Tintenstrahldruckern (Home und Office/Großformat) gespeichert sind, möglicherweise nicht durch den üblichen Initialisierungsprozess gelöscht werden. Das birgt die Gefahr, dass unbefugte Dritte beim Verkauf des Geräts oder bei Reparaturen in den Besitz der Zugangsdaten zum WLAN gelangen.
Das kann man tun
Soll der Drucker an Dritte gehen (z. B. wenn der Drucker repariert, verliert oder entsorgt werden soll), sind die folgenden Schritte an der Druckereinheit durchzuführen, um den Abfluss dieser Anmeldedaten zu verhindern.
- Alle Einstellungen zurücksetzen (Einstellungen zurücksetzen -> Alles zurücksetzen)
- Aktivieren Sie das drahtlose LAN
- Setzen Sie alle Einstellungen ein weiteres Mal zurück
Bei Modellen, die nicht über die Funktion Alle Einstellungen zurücksetzen verfügen, sin die folgenden Schritte auszuführen:
- LAN-Einstellungen zurücksetzen
- Aktivieren Sie das drahtlose LAN
- LAN-Einstellungen ein weiteres Mal zurücksetzen
Details zu diesen Schritte sollten sich in der Bedienungsanleitung des jeweiligen Modells nachlesen lassen. Welche Modelle (z.B. Tintenstrahldrucker der E-, G- oder MX-Serien, etc.) betroffen sind, lässt sich in diesem Canon-Dokument nachsehen.
2015
Und wenn man einfach ein anderes, falsches Passwort eingibt?
Testen, ob das angenommen wird, wenn keine WIFI-Verbindung aufgebaut werden kann – umsonst gibt Canon nicht an, dass der Vorgang zwei Mal zu wiederholen sei.
Da habe ich jetzt dann noch eine Idee: Bei jedem Netzwerkverlassen eines Geräts mit gespeichertem Passwort das Passwort der verbleibenden Geräte gründlich ändern – und einen Honigtopf mit dem
alten Passwort bereit stellen, um zu schauen, ob's die Mühe wert gewesen ist.
gute Idee…
Wenn ein Gerät das Netz verlässt, ändert man einfach das Passwort für alle.
Das klingt nach einem Plan…
Wie kommen bitte schön alle anderen Geräte an das neue Passwort?
Vorallem, wenn man erst das Passwort ändert ?
Bei Windows kann man das vielleicht in einer Pause für den nächsten Boot vorbereiten. Aber es gibt nicht nur Windows Geräte.
…also ungefähr so, wie mit falschen daten auf eine phishing mail antworten?
das wäre ziemlich gemein…
Das ist allgemein ein unterschätztes Problem, viele Großgeräte haben Festplatten, auf denen Druck- und Kopieraufträge zwischengespeichert werden. Die gehen nach der Leasingzeit wieder zurück. Es sind ja schon desöfteren Festplatten aus Leasingrechnern im Gebrauchtwarenhandel aufgetaucht. An andere Komponenten, wie z.B. konfigurierte Router und Switche denkt kaum jemand, insbesondere, wenn sie sich wegen eines Defektes nicht mehr löschen, aber nach einer Reparatur durchaus auslesen lassen können.
Bei Druckern und Kopierern lassen sich die Festplatten so einstellen, dass die Daten nach einer festgelegten Zeit sicher gelöscht werden. Das ist bei uns schon seit vielen Jahren Standardeinstellung (nach Abbruch oder Ende eines Druckjobs).
Die Großgeräte machen dann auch definitiv eine "sichere Löschung" oder löschen die nur die Daten?
Und gebrauchte sonstige IoT Hardware enthält was? Viel zu entdecken..
Und was hat das konkret mit obigem Beitrag zu tun?
Man könnte einen solchen Beitrag zu zig Geräten und zig Datenarten darin schreiben.
Solche Probleme sind allgemeingültig.
Ähnlich wie ein Beitrag zu einer Phishing Mail für die Postbank. Es gibt zig solche Phishing Mail für zig Banken, Dienstleister usw., jeden Tag andere, neue.
Warnung vor einer bestimmter Ausprägung ist nett, aber eher für Computer BILD Niveau Leserschaft.
Zum letzten Satz: Wenn ein ComputerBild-Leser das zufällig hier liest, und dies berücksichtigt, hat sich der Beitrag gelohnt. Ich habe immer ein Problem damit, dass Admins, die das wissen sollten, hier rein grätschen und einen Beitrag mit "weiß man, ist ComputerBild-Niveau" als unnütz erklären. Ist beim Phishing-Thema genau so.
Wenn ich das logisch fortdenke, kann ich eigentlich das Bloggen weitgehend einstellen. Updates für Windows, Office, sowie diverse Software kommen automatisch – baucht man nur abzuwarten. Neue Features: Reicht, wenn der Nutzer bzw. Admin davon überrascht wird – mir erklären die "Profis" ja uniso, dass das "längst bekannt sein sollte und ein fitter Admin das auch weiß", selbst wenn hier zig Leute sich outen, dass das nicht bekannt war.
Und Sicherheitslücken werden ebenfalls per Update geschlossen. Wenn ein Daten-/Sicherheitsvorfall passiert, ist es (abseits der Nabelschau) auch schon zu spät und es gibt eh keine Details, wie der Angriff nun passiert ist.
Einfach drüber nachdenken. Solange ich noch Lust zum Bloggen habe, werde ich hier durchaus Themen rein mischen, die auch ein ComputerBild-Leser nutzen könnte. Muss mir eh überlegen, ob ich den Blog eh nicht wieder mehr in diese Richtung orientiere oder auslaufen lasse, die starke Ausrichtung der letzten zwei Jahre auf Admin-Zeugs ist dem IT-Blog nicht so wirklich gut bekommen.
@Günter
"die starke Ausrichtung der letzten zwei Jahre auf Admin-Zeugs …"
Ja, scheint mir auch so.
>> Solange ich noch Lust zum Bloggen habe, werde ich hier durchaus Themen rein mischen, die auch ein ComputerBild-Leser nutzen könnte.
Ich bitte darum :-)
Bin zwar Informatiker, aber kein Admin und beschäftige mich auch privat nur soweit mit PCs, wie dies zum sicheren und zuverlässigen Betrieb erforderlich ist. Wozu dann auch mal eine Umstellung auf Linux gehören kann…
Dieser — und ähnliche — Blogs sind für mich eine gute Informationsquelle. Und was mich nicht interessiert, muss ich ja nicht lesen.
naja beim Phishing muss man aber auch breücksichtigen: Sorry das Thema ist ausgelutscht, wer das heute immer noch nicht begreift wird es nie begreifen! Es gibt in 20323 absolut keinen Grund mehr auf Phishing reinzufallen.
Da vermisse ich doch eher (aktuell ) die neuesten Prozessorlücken die gerade wieder alle CPU betreffen…den das sind Probleme die man eben nicht schon seit Jahrzehnten kennt und vor denen man sich eben nicht trivial schützen kann.
Phishing da ist Hopfen und Malz verloren wer darauf reinfällt.
In einer perfekten Welt würden alle Admins alles wissen, nur durch Hand auflegen – so wie es mancher User glaubt. Leider sieht die Realität etwas anders. Gerade als Admin in kleineren Betrieben muss man alles und noch mehr machen. Da kann ich mir nicht nur den ganzen Tag ausschliesslich Gedanken zur Sicherheit machen. Solche Denkanstösse sind immer wertvoll. Notgedrungen habe wir in unserem Betrieb auch den einen oder anderen Drucker (auch von Canon) mit WLAN ein Einsatz. Über so eine Möglichkeit habe ich mir bis jetzt noch nie Gedanken gemacht – einfach keine Zeit dazu.
@Günter
Nicht aus dem Konzept bringen lassen. Es gibt nicht nur Super-Admins auf dieser Welt. Wir normalsterblichen Admins sind auf solche Informationen angewiesen.
Ich mutmaße mal, daß er via App gekoppelte Geräte meint. Exemplarisch zähle ich mal die
– Huawei Waage Scale
– Saug- und Wischroboter
– Cams
auf.
All diese Geräte werden völlig intransparent mittels einer App mit dem W-LAN des eigenen Routers gekoppelt.
Die Daten verbleiben nicht nur auslesbar auf diesen Geräten, sondern auch der Hersteller hat vollen Zugriff auf den Router-Zugriff (sind ja alle grundehrlich, niemand würde diese Daten mißbrauchen).
Man könnte ja auch so smart sein und diese IoT-Geräte einfach mit dem mittels VLAN-getrenntem Gäste-Zugang verbinden – aber die Mehrzahl gewährt Zugriff in das heiligste Innere.
Das wird wohl seine Kernaussage gewesen sein, die ich übrigens teile.
Daß Canon die hinterlegten Daten nicht beim ersten Anlauf zurücksetzt ist natürlich nicht minder problematisch. Wer rechnet schon damit, ein Gerät mehrmals zurücksetzen zu müssen.
Ich meine mich zu erinnern, daß die (zumindest älteren) HP LaserJet mit eigenen Netzwerkmodulen ähnliche Probleme hatten (vielleicht noch haben?).
naja da gibt es aber doch ne einfache Lösung das zu prüfen, meine Canon Drucker geben die Konfigurations Einstellungen als Druck aus… (Tastenkombi die dafür gilt entnimmt man dem Handbuch) Dann siehst du gleich Schwarz auf weiss ob der WLAN Zugang noch gesetzt ist.
Samsung ebenso … bei HP weiss ich das nicht mehr, glaube mich aber zu erinnern, daß das da auch so war.
Die Firmengeräte beherschen das auch alle. Man sieht also sofort ob der Reset auch angenommen wurde.
Wie druckst Du die Status Seite aus, wenn das Gerät ein defektes Netzteil hat?
naja ich öffne das Teil und gebe ihm die Versorgungsspannung über ein Labornetzteil auf die Platine ;-P
Oder ich zerstöre gleich den Firmware Chip/Speicher … da liest dann keiner mehr was aus!
Festplatten mit wichtigen Daten verkauft man ja auch nicht weiter sondern zerstört sie!
Will man sie weiterverkaufen funktionieren sie ja noch, dann kannst du auch ausdrucken und reseten!
Mit dem WLAN Passwort hat man nur Zugriff auf das WLAN, nicht auf dem Router.
Das ist so, als dürfte man seinen Rj45-Stecker in den Switch stecken.
Ich hoffe, Du warst gerade mit etwas wichtigem abgelenkt, als Du diesen Beitrag verfaßt hast.
Sich erfolgreich mit einem W-LAN zu verbinden öffnet Tür und Tor – der Rest ist nur eine formelle Kleinigkeit.
"Aber Firma XYZ kann von seinem Firmensitz keine Verbindung zum W-LAN herstellen, hahahaha.".
Stimmt. Müssen sie auch nicht. Das erledigt ihr Produkt ABC oder der Gauner vor Ort im Mobilgerät, der dank Datenleck (sowas ist heutzutage soooo unwahrscheinlich) den W-LAN-Schlüssel hat.
Und komme mir jetzt bitte nicht mit MAC-Filterung als Sicherungsmaßnahme.
"Aber die Firma weiß doch gar nicht wo Dein W-LAN ist, hahahahaha.".
Ehm… W-LAN ist ein hervorragendes Mittel, seinen Standort auf frei verfügbarem Kartenmaterial bekannt zu machen.
Es laufen nämlich genug Vögel durch die Weltgeschichte, die aktiv nach W-LANs scannen und für virtuelle Punkte (Belohnungssysteme) ihren Verstand auf die Hutablage gelegt haben.
Und sonst haben wir immer noch sauber dokumentierte Anschriften, Bankverbindungen, Klartextnamen dank der vielen, vielen IoT-Geräte mit Abo-Funktionalität/-Notwendigkeit.
Beim Internet sollte man es genau so handhaben, wie bei Airbag-Systemen in Fahrzeugen: Das rumfummeln darin muß für unqualifizierte Personen unbedingt verboten werden.
Zitat :"Sich erfolgreich mit einem W-LAN zu verbinden öffnet Tür und Tor – der Rest ist nur eine formelle Kleinigkeit."
Etwas OT aber das ist genau der Grund, warum ich bisher meinen Router nicht nach außen öffne und keine Port Weiterleitung habe. Mir fehlt einfach die Erfahrung.
Hast Du zufällig ein paar Schlagworte oder eine Internetseite, wo man sich einlesen kann ? Es geht vor allem darum, was man auf jedenfall unterlassen soll, wenn man den Router nach außen (z.B. für das NAS) öffnet.
Ich kann Dir da nur einen einzigen guten Tip geben, da Du vermutlich 08 / 15 Router-Hardware daheim einsetzt:
Stichwort hier:
– OpenVPN
– WireGuard
Wenn Dein NAS es anbietet: Direkt vom Endgerät außerhalb zum NAS direkt, damit umgehst Du mögliche Sicherheitsangriffe auf den Router und Deine übrigen Komponenten.
Ansonsten VPN vom Endgerät zum Router!
DynDNS müßtest Du am NAS selber betreiben können, ohne Deine öffentliche IP der halben Welt bei kostenlosen DynDNS-Anbieter heraus zu posaunen.
Und auch von AVMs MyFRITZ halte ich absolut nichts. Zu viele Infos, die man preis gibt.
Kommerzielle Anbieter haben nichts zu verschenken.
Vielen Dank.
VPN ist (nicht unmöglich) aber schwer, da auf Tablet und Handy Netguard laufen.
Daher bleibt mein Router erst einmal zu. Später werde ich irgendwelche IoT und andere Geräte eher über den Gast Zugang leiten.
Daß das WLAN-Passwort in Canons Druckern ein Teil einer ganzen Gruppe von unbedachten Datenlecks bei der Weitergabe von Gebrauchtgeräten ist.
Wie war das mit Passwörtern? Man soll sie regelmäßig ändern.
Da scheint was dran zu sein, jedenfalls wenn man sie so breit gestreut anwendet.
Klar doch und dann verwendet man entweder einfach merkbare PW oder legt sie in nem PW Safe den jeder simple Trojaner auslesen kann und gleich alle hat.
Macht echt Sinn, alles auf dem Silbertablet zu präsentieren.
Das hohe PW Wechselraten Sicherheit bringen ist längst wiederlegt.
Wer wirklich alle 3 Monate das WLAN Passwort ändert hebe bitte die Hand.
..?
Das Verfahren skaliert doch nicht.
Der Tintendrucker, der Beschriftet, der Paketetikettdrucker, der Scanner, der Lautsprecher, die Schaltsteckdose, der Repeater, das Luftgüte Gerät, der Laptop, das 1. 2. 3. Handy müssen alle das neue Passwort bekommen…
Jedes Gerät hat irgendwie ein Menü in das man kommen muss.
Da tippt man dam 64 Zeichen ein. Have fun.
M.W. gibt's kein automatisches Verfahren, außer WPS.
Also läuft man ne Stunde oder eher 2 durchs Haus…in einer Firma könnte man das Passwort zentral verteilen.
Aber alle Clients mit einem gemeinsamen Passwort?
Ist kein Problem, bei 1-2 Heimgeräten.
Wenn Du aber anfängst eine richtige W-LAN Farm aufzuziehen (Smart-TV, Laptop, Smartphone, Tablet, Körperfettwage, Staubsauger, Waschmaschine, Trockner, Kühlschrank, Kaffeemaschine) und das Prozedere mit der W-LAN-Übertragung (gerade bei IoT mittels App) einmal (erfolgreich?) durchgemacht hast, bist Du froh, wenn es läuft und fässt es nie, nie, nie wieder an.
Danke für den Denkanstoß.
Es ist schon ein Gag, daß Canon das Passwort nicht im ersten Gang löscht.
Aber das Problem ist doch wohl eher das WLAN Protokoll kein fernlöschen oder fernändern des Passworts erlaubt.
oder nicht erlaubt mehrere, viele Passwörter zu definieren.
Wenn ich so sehe, wieviele Geräte ich so am WLAN habe, graust es mir, das Passwort auf jedem ändern zu müssen, nur weil ein Gerät "weg" ist. Z.B. weil ein "Besuch" den Repeater auf dem Flur eingesackt hat.
Auch würde mit "jedes Gerät bekommt ein eigenes Passwort"
das Problem gelöst, das das Gerät gestohlen wurde wurde, oder so defekt ist, das ich es nicht mehr im Gerät löschen kann.
Anscheinend sieht das IEEE Protokoll Kommitee darin gar kein Problem…?
Es sagt man soll ne 64 Zeichen langes Passwort nehmen, damit es nicht erraten werden kann, dass dann aber für alle Geräte gilt.
Aber andererseits rät man dem User, bei jedem Account ein anders Passwort zu nehmen…
Wo ist das Problem, jedem Gerät ein eigenes Passwort zu geben?
Dann müssen halt 500 Passwörter im WLAN Router gespeichert werden. Das ist heute doch kein Problem. Wenn es nur 40 sind, dann kann man diese halt doppelt vergeben, muß aber nicht alle 40 Geräte mit ein neuen PW versehen, sonder nur demeinen, das noch da ist ein Neues.
Wer noch mehr Geräte hat nutzt eh Radius und LDAP.
Das würde auch das Problem von Gastzugang oder dem einfachen Auslesen per netsh bei jedem Windows Klient auch lösen.
Oder man baut zu jedem Gerät ein VLAN auf…das wäre aber nicht kompatibel ebenso wie ein e2e Verschlüsselung schon auf LAN Ebene, was kleine Geräte überfordert.
Wo ist der Haken weshalb man nicht jedem Gerät ein eigenes Passwort (per WPS) gibt?
"Wo ist das Problem, jedem Gerät ein eigenes Passwort zu geben?"
Deine Wohnung läßt sich dann nicht nur mit einem, sondern mit mehreren Schlüsseln öffnen.
Ja, sobald der Router verbunden ist, kann man auf ihn zugreifen. Aber das verstehst Du ja irgendwie nicht. Und wenn ich auf ihn zugreifen kann, kann ich auch den Zugang knacken. Und ja, es ist sehr viel einfacher via FUNK auf diesen zuzugreifen, als via LAN-Verbindung… (wo ich erstmal in den Wohnraum müßte).
Der größte Sicherheitsgewinn ist, wichtige, relevante Komponenten von Goodies zu trennen (Normal/Gast) und nicht jeden Murks zu integrieren, der sich integrieren läßt (wozu braucht ein Saugroboter W-LAN-Anbindung, wenn das Kartenmaterial eh lokal erstellt wird – das ist gewollt, nicht notwendig).
RADIUS wäre zwar schön, aber erklärst Du jetzt den Leuten wie man das einrichtet? Es hapert doch schon an rudimentären Verständnisschwierigkeiten, auch und insbesondere bei "Foren-Eliten", die sich für die Schlauesten der Welt halten.
**************************************
Z.B. weil ein "Besuch" den Repeater auf dem Flur eingesackt hat.
**************************************
Ich weis ja nicht wen du so in deine Wohnung lässt… also bei mir kommt da nur Familie und engste Freunde rein und um die "Betitelung" zu verdienen, bist du dann einmal Hölle und zurück geprüft! Da verschwindet garantiert nix ;-P
Einbrecher… jo, also der letzte und Einzige stand ca. 2h mit eingeschiessener Hose mit dem Rücken zur Wand… meine Biologischen Alarmanlagen können sehr überzeugend sein.
Was ist aus meinem Vorschlag geworden, jedem Gerät ein eigenes WLAN-Passwort zu geben?
Weil es ja nicht nicht nur gebrauchte Geräte gibt, sondern auch den Wunsch, daß der User das WLAN Passwort nicht einfach per netsh (ein serienmäßig vorhandener Window Befehl)
auslesen kann und damit ein weiteres Gerät ins Netz bringen kann.
Das müssten nur die Router-Hersteller implentieren, wenn sie wollten.
War der Vorschlag zu lang? :)
Du bist schlicht zu ungeduldig – nicht das erste Mal. Ich mag ja nicht krummer Hund schreiben – aber der Lebensinhalt besteht für mich nicht mehr darin, rund um die Uhr alle 2 Minuten nachzuschauen, ob ein Kommentar im Blog moderiert werden muss. Heute hatte ich Physiotherapie, musste sogar frühstücken und irgendwann Mittag essen, irgendwann auf's Klo und auch meinen Schönheitsschlaf halten – aktuell überlege ich, ob ich mich bald ins Wohnzimmer setze, um an meinem Krimi weiter zu lesen. Es kann also durchaus sein, dass ein Kommentar im Papierkorb oder im Moderationsordner oder sogar im SPAM landet (letzteren kontrolliere ich sogar nur alle Woche). Dann kann die Moderationsfrist schon mal einen halben Tag oder sogar mehrere Tage betragen. Von daher ist mal nachfragen durchaus ok – aber bitte nicht nach einer 3/4 Stunde ;-).
ja, sorry. Ist mir ja klar.
Ich sah das der Beitrag auf "Wartet" stand.
Alles gut, war wohl etwas lang. Alles gut.
Minuten später war er dann weg.
Nochmal Minuten später immer noch weg.
Irgendwie scheint die Blog Software den "wartet":Beitrag zu entfernen, während die Moderation aktiv ist.
Das so implemiert ist wusste ich bisher nicht. Sorry.
ich bewundere Dich dass Du das alles schaffst.
Ist ja auch kein Problem, aber es ist komplizierter als es vielleicht ausschaut. Ein kleiner Blick in den Maschinenraum. Ich habe einiges an Maßnahmen hier laufen, um SEO-Spam und Malware-Links in den Kommentaren (und natürlich als Hack von WordPress in den Beiträgen) zu verhindern.
Diesen Flohzirkus muss ich am Ende des Tages unter Kontrolle behalten und Kommentare aus Moderation, Papierkorb und Spam händisch freischalten. Ohne diese Maßnahmen wäre bei den Kommentaren "Land unter". Nur mal eine Zahl: Es gibt aktuell im deutschen Blog knapp über 130.000 Kommentare – und 874.057 blockierte Kommentare. Jetzt habe ich aber noch weitere Blogs, die ich auch monitoren muss …
Zitat :" Es gibt aktuell im deutschen Blog knapp über 130.000 Kommentare – und 874.057 blockierte Kommentare"
Ich hätte nicht gedacht, dass der Anteil blockierter Kommentare so hoch ist.
Das sind nur die automatisch vom AntiSpam-Plugin geblockten Kommentare – hinzu kommen noch die von mir in WordPress gefilterten Kommentare, sowie die Kommentare, die ich dann in der Moderation als SEO-Spam aussortieren muss. Das sind auch vierstellige Zahlen pro Jahr (gerade die Tage den SPAM-Ordner mal wieder geleert, weil dort 1400 Kommentare eingeflossen waren, weil u.a. asiatische und russische Click-Worker sowie Bots da Urstände feiern wollten).
Für jedes Gerät ein eigenes WLAN-Passwort zu vergeben funktioniert nicht, denn das ist in den gängigen Standards (WPA/WPA2/WPA3) schlicht nicht vorgesehen.
Und daran kann auch ein Routerhersteller nichts ändern.
Der muß sich an gängige Standards halten.
Das Passwort hat auch nichts mit den Geräten zu tun, sondern es ist der Schlüssel für den Zugang zum WLAN.
Wenn du 500 Passwörter haben willst, müsste der Router 500 WLAN-Netze aufspannen, du hättest dann nicht nur 500 Passwörter, sondern auch 500 SSIDs.
Hier in der Firma haben wir einen WLAN-Router, der 4 WLAN-Netze aufspannen kann. Jedes hat natürlich seine eigene SSID.
Zu den Druckern:
Einfach Drucker per USB an den Router anschließen, die meisten haben eine Printserverfunktion (z.B. fast alle AVM Fritz!Boxen).
Oder wenn der Drucker einen LAN-Anschluß hat, einfach per Netzwerkkabel anschließen.
In beiden Fällen braucht es dann das WLAN im Drucker nicht.
Man sollte es dann einfach nicht einrichten.
Zu den Druckern.
Meine Fritzbox steht im Treppen haus.
Ich möchte nicht für jedes verdruckte Stückchen Papier die halbe Treppe rauf und runter obwohl es gesünder wäre.
WLAN ist da schon ne tolle Idee.
Ok, es scheint da ein zeitliches Loch zu geben zwischen dem Verschwinden von "Wartet auf Moderation" und dem Erscheinen des "passed". Sorry.
Naja, diese Regeln sind ja Menschen gemacht.
Ich denke mal ganz naiv:
in meine "passwd" trage ich für den User "root" nicht nur eine Zeile ein, sondern z.B. fünfzig.
in der shadow 50 Passwörter für der Account "root" (geht nicht, nur mal so als Beispiel)
Kommt da nun einer an und behauptet er der "root" dann nehme ich den Hash von seinem Passwort und suche alle Einträge nach diesem Hash ab.
Ist er vorhanden, bekommt er seine Shell etc.
Theoretisch könnte er sogar eine spezifische Shell bekommen.
In der Praxis kommt dieses Problem ja in der Unix Welt regelmäßig vor, weil es durchaus mehrere Personen geben darf, die "root" sein dürfen und daher das root Passwort kennen müssen.
Hat eine dieser Personen die Firma verlassen, kennt er ja weiterhin das root Passwort. Also ändert man bei jeder Personellen Änderung das Passwort und informiert die anderen root mit einer Email in der das neue Passwort steht…
Macht man nicht.
Das aber ist so ca. die Situation bei WLAN.
Bei Unix hat man einen Workaround gefunden:
Man zwingt den User sich mit seinem Account anzumelden und erlaubt ihn sich dann per set user zu root zu machen.
Dazu braucht er aber auch das Riot Passwort.
Soll er nicht mehr root werden dürfen, so nimmt man ihn aus der Gruppe der User raus.
Er hat dann zwar immer noch das root password, aber es nützt ihm nichts.
Das geht bei WLAN nicht. man müsste hunderte SSIDs haben.
Und hat ein Henne Ei Problem.
Das man in die passwd keine 10 root user mit unterschiedlichen Passwörter eintragen kann ist konvention und nur nicht implementiert weil nicht nötig.
Vorallem besteht ein gewisses Risiko, das ein Passwort von 2 root gewählt wird. Da nur der gesalzene Hash gespeichert wird, wäre nicht klar, wo man löschen muß.
Klartext wäre hier auch nicht so gut.
Darum gilt hier die Regel: 1 User ist gleich 1 Passwort.
Bei WLAN habe ich anstelle des account "root" die SSID.
Aber diese SSID kann ihr Passwort nicht ändern.
Somit kann der Router sicherstellen das es viele Passwörter gibt die eineindeutig sind.
Die Normen würde das gar nicht betreffen.
Der Client weiß ja garnicht dass er ein uniques Passwort hat.
Nur der Router muß mehrere Passwörter zu einer SSID zulassen.
Ich sehe im Moment nicht , warum das technisch nicht machbar wäre. (der User "root" könnte ja sein Passwort ändern und ausversehen das eines Kollegen erwischen. Das wäre nicht gut, auch nur zu sagen, das es dieses Passwort schon gibt. Das kann ein WLAN Client nicht).
Mal Normen außer acht gelassen, was ist das technische Problem einer SSID mehrere Passwörter zuzuordnen.?
Klar, das man nicht verhindern kann, das das Passwort für das Handy nicht beim IOT device verwendet wird. Das ist jetzt aber auch nicht gesperrt, aber ich kann jetzt nicht einfach das Passwort löschen ohne alle anderen WLAN Teilnehmer zu ändern.
Naturlich wäre Radius angesagt…aber aufwändig.
Wir bekommen monatlich einen Druckreport aus Polen von einem Drucker der bei uns mal als Austauschgerät aktiv war.
Das monatliche Reporting haben wir damals eingestellt, inkl. der Empfangsadresse.
Es scheint so, als wenn die Konfiguration nach Rückgang und weiter Veräußerung des Gerätes durch den Druckeranbieter nicht gelöscht wurde. Da der Drucker an seiner jetzigen Stelle zum Versand von Mails konfiguriert wurde, was bei Scan to Mail ja nicht ungewöhnlich ist, erhalten wir weiter die Reports die sich in den tiefen der Konfiguration verstecken.
Hatte mal versucht Kontakt aufzunehmen, bzw. hab darauf hingewiesen das wir von dem Gerät noch die Reportings erhalten, hat keiner drauf reagiert.
Zum Ursprungsthema, Whitelisting hilft. Nur bekannte MAC Adressen zulassen und die Liste immer auf Stand halten hilft auch gegen geleakte W-Lan Passwörter.
Das Problem wäre zumindest im Firmenumfeld vermeidbarer, wenn die Drucker denn wenigstens WPA2 (oder noch besser WPA3) Enterprise könnten. Dann könnte man die Geräte entweder per Zertifikat oder zumindest mit einer Gerätebezogenen Username/Passwort Kombi am WLAN anmelden. Wenn dann das Gerät abgegeben oder ausgetauscht wird den User im AD/Radius sperren oder PW ändern und für das neue Gerät einen neuen vergeben. Dann wäre es relativ egal, ob die alten WLAN-Daten da drin ständen, sie würden nichts nützen, da nicht mehr gültig.
Leider können ja sogar die meisten Businessgeräte nur PSK.
Klar, für zu Hause bringt das eher nichts, die meisten werden kaum Enterprise WLAN bzw. Radius Server betreiben.
"Klar, für zu Hause bringt das eher nichts, die meisten werden kaum Enterprise WLAN bzw. Radius Server betreiben."
Genau dies ist das Problem. Diese 2-Klassen-Mentalität der Hersteller. Einerseits schreien die Nutzer nach "einfach, einfach", andererseits ist auf die Art ein hoher Schutz schlichtweg unmöglich. Die ganzen Consumer-Varianten haben die eine oder andere Schwachstelle.
Darum sollte man zumindest so konsequent sein und als Privatnutzer seine "normalen" Arbeitstiere im eigentlichen W-LAN zu belassen und die Smart-/IoT- und Fremdgeräte ist Gäste-WLAN zu verbannen, mit Blacklist, IP-Sperren und verbotener Kommunikation untereinander.
Ist zwar auch kein 100 % Schutz, erschwert es Angreifern allerdings schon ungemein mit vergleichsweise simplen Bordmitteln.
Sicherheit und Komfort stehen sich in der IT nun mal leider direkt gegenüber. Je mehr du von dem einen hast, desto weniger hast du von dem anderen. Und die meisten Nutzer sind halt genau das: Nutzer. Die wissen nicht, wie das intern funktioniert (und wollen es auch gar nicht wissen), die wollen halt nur, dass es funktioniert. Zumal heute ja gefühlt alles Internet haben will, egal ob sinnvoll oder nicht (Warum zum Geier braucht z.Bsp. ne Kaffeemaschine o.ä. heutzutage Internet?).
Es ist ja im Consumer Bereich bei Routern ja inzwischen Gott sei Dank Standard, dass die nicht mehr mit einem allgemeinen Standardkennwort (oder gar ganz ungesichert) ausgeliefert werden. Aber kein nicht IT affiner Mensch ändert das Standard WLAN-Passwort an seinem Router, obwohl es sogar in den meisten Anleitungen (die keiner liest) drinsteht, dass man das tun soll.
Fürwahr,früher war der Blog auch für "normalsterbliche"User meines Erachtens viel
interessanter!!!
Günther sagt selbst,das die Admins hier manchmal regelrechte "STREITGESPRÄCHE!
führen,wer den nun besser recht hat.
Trotzdem Günther: WEITERMACHEN!!!