Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 223 reacties
Submitter: Bosmonster

Een 17-jarige Hilversumse hacker heeft via ssh tientallen gejailbreakte iPhones gekraakt. De telefoon raakte hierdoor onbruikbaar. Aanvankelijk wilde de hacker geld vragen om de iPhone vrij te geven, maar daar heeft de tiener van afgezien.

Hacker neemt iPhones over

De Hilversummer is de telefoons binnengedrongen via ssh. De tiener heeft hierbij handig gebruikgemaakt van het standaard rootwachtwoord dat op iPhones aanwezig is. Bij gejailbreakte toestellen is het hierdoor mogelijk om via het ip-adres van de telefoon toegang te krijgen tot het systeem.

De hacker heeft voor zijn actie geprobeerd om via bekende ip-ranges van T-Mobile de iPhones op te sporen. De 17-jarige hacker, die niet wil dat zijn naam bekend wordt en opereerde onder de naam PureInfinity92, zegt met zijn actie een waarschuwing te hebben willen afgeven. "Als ik toegang kan krijgen, kunnen anderen dat ook." De hacker kon bij alle bestanden, mails, contactpersonen en andere privé-gegevens van iPhone-bezitters. Hij heeft daar naar eigen zeggen niets mee gedaan. "Ik heb alleen die melding geplaatst op iPhones die ik overgenomen heb."

Hoewel de hacker zegt iPhone-bezitters te willen waarschuwen, kregen slachtoffers van de aanval de melding dat ze een website moesten bezoeken voor meer informatie. Op die website werd gemeld dat de toegang tot de iPhone na een Paypal-betaling weer vrij gegeven zou worden. PureInfinity92 heeft inmiddels laten weten dat betaling niet nodig is. Via door de hacker vrijgegeven instructies kan de hack ongedaan worden gemaakt.

De Hilversummer heeft naar eigen zeggen tientallen slachtoffers gemaakt. "Ik weet het niet precies, maar het zijn er echt geen honderd." Enkele gedupeerden meldden zich op GoT. Daar werd al uitgeplozen hoe de hacker te werk was gegaan.

Moderatie-faq Wijzig weergave

Reacties (223)

Incorrect, dit werkt ook op nieuwere firmwares. Zolang ssh maar is geinstalleerd en het default account niet gewijzigd is.

Tevens als je je iphone reboot word SSH automatisch weer aangezet, let hier dus op in het vervolg dat je SSH voor de zekerheid uitschakelt nadat je je iphone hebt gereboot.

[Reactie gewijzigd door sjaakmat op 2 november 2009 21:28]

je bent een rund als je met je iphone stunt (lees: jailbreaken).
Jailbreaken is niet hetgeen wat dit triggered. Het gaat hier om de combinatie van een jailbreak waarna er een ssh server wordt gedraaid om zodoende op de telefoon te komen. Die server zul je zelf moeten installeren en zelf aanzetten. Als je dan niet de standaard fabriekswachtwoorden wijzigt is het niet zo raar dat iemand op afstand je telefoon over kan nemen. Dit laat dus temeer zien dat als je niet weet wat bepaalde dingen zoals ssh en jailbreaks inhouden je er ook niet mee aan de knutsel moet gaan.

Deze hack is totaal niet nieuw, vorig jaar december gebeurde er exact hetzelfde: http://www.iphoneclub.nl/...p-een-rijtje-de-ssh-hack/
Je bent een loser als je jezelf dingen laat opleggen alleen en puur omdat de provider bang is om inkomsten te missen.

Sinds wanneer mag je niet meer zelf bepalen wat je wilt draaien? Ik vind het heel erg logisch dat mensen hun iPhone jailbreaken. Ik heb er zelf geen, maar ik kan het me goed voorstellen.
Koop dan geen iPhone als je zelf wilt bepalen wat je wilt draaien. Alsof iemand met een pistool tegen je hoofd stond tijdens de keuze van je telefoon |:(
Je kan het natuurlijk ook andersom zien. Je kan geen third party software anders dan uit de iTunes store installeren. Gelukkig kan dat op een gejailbreakte wel dus koop ik een iPhone..

Misschien een nuttige bijdrage voor tweakers die hun iPhone gejailbreakt hebben en hun wachtwoord niet gewijzigd hebben:

Op windows download putty. Open putty vul het ip adres van je telefoon in. De username is 'root', wachtwoord is 'alpine'.

Op OSX open Terminal (Programma's/Hulpprogramma's, of gewoon via spotlight).
Type: ssh root@[ip adres iphone]

Op Linux.. nou jij weet wel hoe het moet.. :9

Doe nu dit:
iphone[naam]:root# passwd root
Current Password: alpine
New Password: [wat jij wilt..]
Confirm New Password: [als het maar hetzelfde is als hierboven :)]
edit:
Ja ik heb een iPhone, nee niet gejailbreakt...

[Reactie gewijzigd door Incr.Badeend op 2 november 2009 16:29]

Zelf wel of niet bepalen wat je wilt draaien... Zou je het vreemd vinden als Philips moeilijk doet over de garantie als je een eigen firmware op je televisie flasht? Nee toch? Waarom vind je het dan wel vreemd in geval van Apple, en vind je bovendien kennelijk zelfs dat ze alles wat je er ook maar op zou kunnen flashen moeten supporten?

We hebben het hier over embedded devices (die je als werkend geheel koopt), daar luistert de firmware toch net iets nauwer als bij general purpose computers waar je zelf van alles op mag en moet installeren om ermee te werken... Als je dan met zo'n embedded device gaat rommelen krijg je dit soort geintjes waaruit blijkt dat er meer afhankelijkheid is binnen de firmware en tussen firmware, hardware en architectuur, dan de gemiddelde PC-programmeur gewend is. Makkelijk om de teil in te gaan dus.

[Reactie gewijzigd door mae-t.net op 2 november 2009 16:46]

Als je een toestel koopt ga je automatisch akkoord met de voorwaarden gekoppeld aan dat toestel. Dat je daarna zelf eraan pruts is JOUW verantwoordelijkheid...

Ikzelf heb een Acer GPS, die is ook aangepast, en draait nu TomTom, maar als ik daardoor mijn GPS brick, is dit MIJN verantwoordelijkheid. Zoals ook mijn Router een webserver(tje) draait door andere firmware, als die brickt (en dat is altijd even vrezen) is dat mijn eigen dikke schuld... Ik heb die toestellen gekocht, wetende wat daarmee de beperkingen waren, maar pas die zelf aan, dus mijn verantwoordelijkheid.

Anders zou het zijn macht ik een toestel kopen, met bepaalde functionaliteit, en dat de fabrikant die functies eruit haalt, dan kan ik boos zijn...

Maar goed, SimonKroller, ik snap je reactie wel, het zou inderdaad een flaw kunnen zijn. Iedereen gaat ervan uit dat er geen probleem kan zijn zolang je niet jailbreakt, maar wie zegt dit, in die 70.000 apps kan er idd wel iets inzitten dat dit volledig teniet doet, maar is dat dan de fout van Apple (met het toestel zelf) of van de app-maker, of van Apple omdat ze de app goedkeuren?
Waarom staart poort 22 incoming niet dicht op de vuurmuur van T-mobile?!! Er is geen enkele noodzaak om deze poort open te hebben.

Lijkt me toch dat het meest basic security-principe is: een poort staat dicht, tenzij er een goede reden is om hem open te zetten.

Aan de andere kant, jailbreakers zouden ook zich moeten verdiepen in het feit dat ze root-ww moeten veranderen. Als je gaat lopen klooien met je telefoon moet je wel weten wat je doet.

[Reactie gewijzigd door Keypunchie op 2 november 2009 17:12]

Dus T-mobile moet die poort sluiten omdat? Sorry maar alles staat juist open tot er bezwaar tegen is (net als een kabel/adsl leverancier)... Is opzich wel logisch want ook op wlan heb je een ip en heb je via andere computers gewoon toegang op poort 22 dus als je wil kom je er dan nog wel in :)
ADSL leveranciers gooien ook standaard poorten dicht hoor. Tenminste, bij deze meeste die ik ken kun je bv. geen eigen mailserver draaien (ter bestrijding van SPAM) en bij XS4All moet je heel expliciet je poorten opengooien. Komt nog bij dat je niet "plat" aan het net hangt, omdat je altijd een NAT-router krijgt, waarmee je dus automatisch een inkomende firewall hebt.

[Reactie gewijzigd door Keypunchie op 2 november 2009 18:46]

Waarom staart poort 22 incoming niet dicht op de vuurmuur van T-mobile?!! Er is geen enkele noodzaak om deze poort open te hebben.
Omdat ze dan een juridisch probleem hebben: de dienst wordt structureel gewijzigd waardoor iedereen het recht heeft om op te zeggen. Hiermee brengen ze verder ook netneutraliteit in het geding wat op dit moment ook in Nederland een heet hangijzer is: OPTA onderzoekt afknijpen UPC. Met een Vodafone die wappert met een iPhone abo is dat voor T-Mobile dus niet bepaald een optie, kost ze klanten.

[Reactie gewijzigd door ppl op 2 november 2009 19:03]

Zou ik een slechte zaak vinden, het netwerk moet volledig open zijn zonder betuttelende maatregelen. Ik vind het al uitermate vervelend dat bijvoorbeeld poort 25 wordt gefiltert bij veel providers waardoor je niet meer je eigen mailserver kan draaien. Ze zouden bij een dergelijke maatregel op zijn minst een opt-in regeling of relay mogelijkheden moeten aanbieden... Als ik een machine aan het draadloos netwerk hang wil ik hem ook gewoon via ssh kunnen benaderen...
Er zijn genoeg mensen die hun toestel jailbreaken door een tutorail en zelf verder weinig verstand van andere dingen hebben. Mensen die het laten doen door vrienden of gewoon via via horen wat je ermee kan en het zelf ook doen. Niet alleen tweakers hebben dit gedaan!
Omdat T-Mobile dit kanaal in gebruik heeft? Weet ik veel.
Kan niet zo zijn dat het tmobs probleem is dat gekraakte iphone gehacked worden via 1 of andere poort die ze open hebben om welke reden dan ook.
Ja mensen daar ben ik dan.. De dader zelf.
Mijn excuses aan alle gedupeerden, zie http://shortText.com/j4oda3ha5 voor mijn hele verhaal, inclusief waarom ik dit gedaan heb.

Mocht iemand vragen hebben, of wat dan ook (al wil je gewoon even een betoog houden waarom wat ik deed verkeerd is) mail me dan op *snip*

Met vriendelijke groet,

PureInfinity92

Admin-edit:Een hele post in bold is niet nodig. Mailadres verwijderd.

[Reactie gewijzigd door RoD op 2 november 2009 22:25]

"De reden achter dit alles is nooit geweest dat ik geld wilde verdienen"

Wat was dan de meerwaarde van de paypal betaling ?

Je had hetzelfde kunnen bereiken door iedereen het bericht te sturen zonder hun iphone te hijacken.
Idd, dat lijkt mij ook slap gelul. Waarschijnlijker lijkt me dat ie zich niet de impact die het teweegbracht had gerealiseerd, met name de comments over aangifte doen e.d. Laten we het maar houden op een erg domme fout van een tiener ;)
Verekt het is nog waar ook.

Wat fijn dat je er zo over in zit dat onschuldige mensen boze telefoontjes krijgen.
Goh, meld dan ff gelijk

*edit* NAW gegevens

Heb je papa de accountant al verteld over hoe trots hij kan zijn op zoon lief ?

[Reactie gewijzigd door zombocom op 3 november 2009 03:45]

Ben je nu echt zijn naw gegevens aan het posten??? Das dan ook wel weer lomp...
Je hebt gelijk .

Heb hij deze de gegevens verwijderd.

Staat er niet los van dat ik hoop dat dat shoftje krijgt wat hij verdiend. Gaan huilen over goede bedoelingen terwijl je probeerde mensen af te persen zodra je gepakt wordt, is in mijn ogen niet alleen walgelijk maar ook uitermate laf.
Die jongen heeft allang z'n les geleerd hoor. Het is niet voor niks een Tiener, op die leeftijd overzie je nog niet alles en is het heel voor de hand liggend een "hackers-film aktie" ervan te maken.

Beetje triest om zijn NAW gegevens te posten en z'n hele prive leven overhoop te trappen na zo'n ongelukje. Bij zo'n IT lek is de schade nou eenmaal heel snel heel groot. Die verantwoordelijkheid ligt IMO voor het grootste deel bij apple en t-mobile, plus die lui die die jealbreak gemaakt hebben hadden wel wat meer mogen nadenken.
Neehoor, Apple en T-mobile adviseren duidelijk tegen jailbraken.
Je doet dat op eigen risico.

MS kan ook niet verantwoordelijk gehouden worden voor het verlies van data als ik dingen doe met mijn computer die de veiligheid in het geding werpen.

[Reactie gewijzigd door Alpha Bootis op 3 november 2009 10:09]

Juridisch heb je gelijk. T-Mobile zou ook alles mooi open mogen laten staan en iedereen elkaar laten hacken.

Als je huisbaas bent van een verhuurd rijtjeshuis, mag je ook alle voordeuren wagenwijd open zetten met borden in de voortuinen *hier is iets te halen!!! -->*. Beetje maatschappelijke verantwoordelijkheid op je nemen en de zaken achter slot en grendel houden is ook niet onaardig.

Apple had die wachtwoorden moeten instellen op de hash van het serienummer van het toestel o.i.d., of gewoon random desnoods.

T-Mobile moet als een malloot een fatsoenlijke firewall installeren. Als je miljoenen telefoons met een eigen operating system met een tussenliggend tcp/ip netwerk hebt, is toch van de zotten dat dat niet beter in de hand gehouden word. Een volgend lek heeft dadelijk alsnog alle kans om d.m.v een virus een ramp te veroorzaken met zo'n open netwerk.

Die jailbreak developers.. tja die Moeten natuurlijk juridisch ook niks, maar ook als die even maatschappelijk meedenkent verder gedacht hadden dan de technische kant van het verhaal, was een root-ww invoer schermpje aan het einde van de installatie ook 5 minuten goed besteedde moeite geweest.

Je moet _nooit_ maar dan ook _nooit_ als diensten leverancier, of als developer, op de klant vertrouwen dat die alles bestudeerd en netjes uitvoert. Over miljoenen gebruikers heb je een aantal % dat het per definitie -niet- doet, en 1% over 1.000.000 is al 10.000 mensen die de dupe gaan zijn.

Niemand neemt de verantwoordelijkheid op zich? Chaos.
Dude, dit is lame.

Ik ben ook wel eens een iPhone binnen gekomen. Die iPhones melden zichzelf aan op een netwerk met Bonjour en zeggen keihard in het netwerk, Joe hoe! Hier is mijn SSH port. En voila, 9 van de 10 keer is het standaard wachtwoord voldoende. Het is TE makkelijk om hier iets mee te doen, zoals kijken wat er in de media library zit, adresboek en de rest.

Maar dan komt het er op aan, wat doe je met de toegang en de informatie...

Het punt is dat je direct moet uitloggen als je zoiets ontdekt, het zaakje online onder de aandacht moet brengen en vooral niks mee doen. De kans dat je iets sloopt is te groot of dat niemand het zal zien op het file systeem.

Als je ze dan sloopt of files kopieert ben je te ver gegaan. Ik snap je security risk punt, maar dit was niet de manier om het duidelijk te maken en gooi je alleen maar de ramen in van andere security-minded mensen.

edit:
Ik hoop nu wel dat iPhone gebruikers de wijsheid uit dit artikel halen om het standaard wachtwoord te wijzigen in iets anders. Het is het administrator wachtwoord op jou telefoon dat overal op het internet gepubliceerd is: 'alpine'.

[Reactie gewijzigd door VisionMaster op 3 november 2009 08:47]

Yeah right, eerst dacht je natuurlijk dat je een ongrijpbare 1337 hackz0r was en kreeg je $-tekens in je ogen. Daarna kwam echter het inzicht dat je ook gepakt zou kunnen worden, boetes, strafblad, etc. en toen werd je toch een beetje bang.

Dus toen *kuch* "Haha, het was maar een grapje hoor, ik deed het allemaal voor jullie eigen bestwil... hahaha, geintje, echt waar" :$

Leuk geprobeert, maar je hebt in feite al een grens overschreden en bent strafbaar bezig geweest. Zonder toestemming inbreken op een systeem + afpersing is gewoon een misdrijf. Wanneer je hier zonder justitie van afkomt, mag je dus in je handjes knijpen.
toevallig net die topic gelezen op het forum.
beetje dom van je om het default-password op je telefoon te laten staan.
Op de SSH deamon, niet de telefoon zelf verder.
Verder weten veel mensen niet eens dat SSH draait, dus kwalijk kun je ze het niet nemen.
Je moet ssh zelf aanzetten, natuurlijk weet je wel dat ssh draait. Het probleem is alleen dat men na een tijdje vergeet dat het nog aan staat, ze gaan er dan vanuit dat ze het uit hebben gezet en dan begint de ellende. Mensen die weten wat ze doen hebben dat probleem niet omdat ze weten dat ze de standaard wachtwoorden moeten veranderen zodra ze ssh gaan gebruiken. Niet spelen met dingen waarbij je niet weet wat het is/doet. Zorg er voor dat je vooraf weet wat het is en doet. Er is heel wat documentatie die brult dat je op moet passen bij gebruik van ssh en dat je je wachtwoorden moet veranderen. Als je die dan gewoon compleet negeert...sja dat is dan geheel voor eigen risico. Zeker als zoiets een jaar geleden ook al is gebeurd. Men heeft dus niets geleerd.

Kortom, de gebruiker heeft alles volledig zelf in de hand en valt dan ook alles kwalijk te nemen. Eigen verantwoordelijkheid is hier toch echt het toverwoord.

[Reactie gewijzigd door ppl op 2 november 2009 16:35]

Risico, natuurlijk, maar dat is een juridisch vraagstuk.

Het gaat er natuurlijk ook om dat je de gebruikers zoveel als mogelijk beschermt. En een default wachtwoord op een account dat geen wachtwoord nodig heeft, valt niet onder je gebruikers beschermen.

Apple wil graag prat gaan op klantvriendelijkheid en gebruiksvriendelijkheid. Hier is een kans om wat te verbeteren.
Ook wel naar dat de ssh server root logins toestaat.
Overigens is dat in de default ubuntu install ook het geval, hoewel dat waarschijnlijk minder erg is aangezien er geen root password bestaat.
Niet kwalijk nemen?
Vervolgd moeten ze worden..

Dit wordt al geroepen over mensen die hun OS en virusscanners niet updaten.
Laat staan dat je jezelf onveilig maakt op een illegale manier..
Vertel mij is wat er illegaal is aan eht jailbreaken van een iphone, volgens mij koop je dat apparaat en huur je hem niet, oftewel mijn eigendom daar mag ik zelf mee weten wat ik doe!

Ik draai ook lekker SSH op me Android, ook standaard login (lol er is helemaal geen login :P).
Zowel de gebruikers als Apple zijn hierin fout. Het is nogal dom als je een miljoenen computers uitrust met hetzelfde wachtwoord. Dat had Apple gewoon nooit moeten doen. Tegelijkertijd is het ook niet slim om SSL te draaien met een standaard wachtwoord. En ja, dat zouden de eigenaars van een telefoon met een jailbreak moeten weten.

Beide is echter geen excuus voor deze actie. Oppakken en samen met onze belgische would be hacker vriend in de cel zetten.
Op elke telefoon hetzelfde wachtwoord is geen veiligheidsrisico als er geen manier is om op die telefoon in te loggen...

Bovendien lijkt het me erg lastig om op elke telefoon een ander wachtwoord te zetten. Zulke wachtwoorden zijn dan ook meestal wel ergens aan gekoppeld en achterhaalbaar.
Op elke telefoon hetzelfde wachtwoord is geen veiligheidsrisico als er geen manier is om op die telefoon in te loggen...
Een account waar nooit op ingelogd wordt heeft helemaal geen wachtwoord nodig.

Dat is het hele eieren eten, op elke telefoon hetzelfde wachtwoord is niet alleen onveilig, het is ook nog onnodig.
Die mensen hebben zelf hun telefoon gemodificeerd, dan wordt je toch wel geacht enigszins te begrijpen waar je mee bezig bent.
Wat is daar dom aan? Het is pas "dom" dat een apparaat zo makkelijk te hacken is van buitenaf. Nou geef ik Apple's gebrek aan dubbele (onnodige?) beveiliging niet alleen de schuld.

Mijn vinger wijst ook naar diegene die de jailbreak tools gemaakt hebben: die hadden moeten inbouwen dat je het wachtwoord moet veranderen. Niet dat het hun verantwoordelijkheid is, maar ze hadden het kunnen doen en dan was dit voorkomen.
Ik weet niet of ik dit onder de titel `hacker` vind vallen..default wachtwoordje is toch wel erg hoog scriptkiddie gehalte vind ik :)
Het gaat erom of deze jongeman zelf heeft uitgevonden dat de port open stond en de "de security" zo heeft weten te omzeilen of dat geleerd heeft via welke vage manier dan ook..
Nou zo hoogstaand is dat niet, ik liet dat mijn collega's al in het begin zien tijdens het eten.
Je ip bekijken en in dezelfde /24 een scan doen op poort 22 en dan bij de resultaten proberen in te loggen met standaard wachtwoord. Ja, 50% kom je dan zo op.
Ik heb alleen niet de telefoons onbruikbaar gemaakt, want dan ga je vind ik, over de schreef.

Dat is niet 'iets zelf leren' maar gewoon 'je gezond verstand gebruiken'.
Wat dit bericht dan voor waarde heeft weet ik niet, dat hij zich misdragen heeft door de telefoons onbruikbaar te maken?

Als je iemand wilt waarschuwen, kun je ook zijn achtergrondje veranderen in een waarschuwing, of er een foto opzetten met een waarschuwing.

Hacker is een te eervolle vermelding, ik zou hem eerder 'tuig van de richel' noemen.

@Zer0: Alleen je telefoon jailbreaken is niet genoeg om hem kwetsbaar te maken, je moet dan eerst ook nog openssh installeren. Ik ben zelf van mening dat wanneer je openssh installeert, je over dat soort zaken nadenkt. Daarnaast is het op veel plaatsen beschreven en wordt er overal voor gewaarschuwd. Dat er dan dus nog zo'n groot percentage is dat met een open telefoon rondloopt, is best triest. Het aan de grote klok hangen helpt ook niets, want als je volgende maand kijkt zijn er nog genoeg waar je zo op inlogt.
Misschien dat een verplichte password change tijdens de openssh installatie kan helpen, maar dat is dan dus aan de devvers.

Alle iphones die ik heb gejailbreaked voor anderen, hebben in ieder geval allemaal een ander userwachtwoord en root wachtwoord.

Ja, enkel het root wachtwoord veranderen is nog niet genoeg, want er is ook nog een user mobile met het wachtwoord dottie, waarmee je rechten hebt tot het usergedeelte van de files, zoals je fotos en muziek..

Dus hier bij deze dan, verander niet enkel het wachtwoord voor de user root, maar ook voor user mobile.
In de terminal:

su
wachtwoord alpine intikken > enter

passwd root
nieuw wachtwoord invoeren
nieuw wachtwoord bevestigen

passwd mobile
nieuw wachtwoord invoeren
nieuw wachtwoord bevestigen

klaar.

Bij voorkeur geen woorden die in een woordenboek voorkomen gebruiken, en minstens 8 tekens en het liefste letters, cijfers, hoofdletters en een vreemd teken.

[Reactie gewijzigd door Mathijs op 2 november 2009 18:30]

Ik vind 'tuig van de richel' nog te positief voor iemand die een inbreuk op privacy maakt, de werking van andermans apparatuur aantast en klaarblijkelijk financieel gewin voor ogen heeft.
Ik vind 'tuig van de richel' nog te positief voor iemand die een inbreuk op privacy maakt, de werking van andermans apparatuur aantast en klaarblijkelijk financieel gewin voor ogen heeft.
Ik vind 't op z'n minst amusant dat dit alleen bij mensen kan gebeuren die:
  • kennelijk niet voor software willen betalen
  • te lui zijn om zichzelf te beschermen
Mensen die 'm jailbreaken om eigen software op te draaien hebben meestal wel verstand van een OS en wijzigen default passwords wel.
ohh, wat ben jij kortzichtig zeg.

Ik heb mijn iPhone gejailbraked om 'm te kunnen unlocken zodat ik tot mijn t-mobine account ingaat KPN kan gebruiken op m'n iPhone. Daar al eens aan gedacht??
dat is je goed recht want het is JOUW toestel wat JIJ gekocht hebt. en stel je nou eens voor dat KPN je phone weer zou locken.. dan kom je meer in dezelfde gedachtengoed denk

[Reactie gewijzigd door JoJo_nl op 3 november 2009 09:41]

Dat is je goed recht, MAAR ik neem aan dat jij verstandig genoeg bent om niet bij Apple te gaan vragen om support als je door je modificaties (want dat zijn het) problemen krijgt.
niet bij Apple te gaan vragen om support als je door je modificaties (want dat zijn het) problemen krijgt.
Als het onveilig is om iPhones te jailbreaken dan kan ik me niet voorstellend at nog iemand zo'n kreng wil. je kan niet van provider wisselen, je kan geen apps kopen zonder tax aan Apple, daarbij zijnz e ook nog peperduur, wie wil dat nou?

[Reactie gewijzigd door SimonKroller op 3 november 2009 12:10]

Nou zo hoogstaand is dat niet, ik liet dat mijn collega's al in het begin zien tijdens het eten.
Het had fijn geweest als je wat met die informatie had gedaan en anderen had gewaarschuwd...
Bij vele jailbreak tutorials staat dit al beschreven, dus tja mensen moeten zelf ook een beetje op hun hoede zijn. Overigens was de SSH vaak nodig voor de mobile installation file, vóór dat het OS 3.0 werd, misschien wel een goede straf voor de mensen die gratis apps wilden :P.
Hij heeft geen morele plicht om anderen werk uit handen te nemen... Als je je eigen apparatuur verbouwt, wat nuttig en leuk kan zijn, moet je je vantevoren ook zelf informeren. In dit geval kennelijk niet eens zo moeilijk, daar het in howto's vermeld staat.
Het openstaan van de poort en het root-wachtwoord zijn feiten die al bekend waren bij de eerste jailbreaks. Dat is al meer dan een jaar geleden. http://www.security.nl/ar...r_voor_SSH-aanvallen.html

Niks vaag, gewoon nalatigheid van de personen die de jailbreak uitvoerden.

[Reactie gewijzigd door aequitas op 2 november 2009 16:33]

het woord scriptkiddy word ook wel erg vaak gebruik. :+ eigenlijk zijn de gebruikers die een jailbreak uitvoeren scriptkiddy's omdat ze niet weten WAT ze precies doen. Ja maar nu kan ik gratis apps installeren (zucht)

[Reactie gewijzigd door rammes op 2 november 2009 16:02]

Het is nog erger... na een jailbreak is sshd namelijk standaard niet geinstalleerd. Je zult eerst langs cydia moeten, de sshd package zoeken, installen en DAN werkt het handeltje pas.

Wat ik hiermee bedoel te zeggen is dat de gemiddelde jailbreaker niet eens weet wat sshd is, wat het inhoud of wat het doet, en het dus al helemaal niet zal gaan zoeken/installeren. 90% van de installeerders WEET dus wat het doet, en zal zich ook ongetwijfeld bewust zijn van de risico's van een default root password... Ik zeg: beetje dom ;)

Nou ja, of het nou deze scriptkiddy was of de volgende, vroeg of laat kwam iemand natuurlijk wel het idee om het alpinegevoel eens in een ander skigebied te gaan proeven ;)
Voor de mensen die de grap niet snappen: 'Alpine' is het default root wachtwoord.

:)
ik dacht eigenlijk meer aan een lawine effect
Een scriptkiddie zou eerst een uitgebreide tutorial moeten hebben van de hacker over hoe je het moet doen en dan pas kan de skiddie het zelf.
Eerst dacht ik eigen schuld dikke bult, maar eigenlijk is het helemaal niet hun schuld. Moet je van mensen (gebruikers) verwachten dat ze weten dat ze hun root password moeten veranderen. Daarnaast, mensen zijn lui, als iemand iets moet doen omdat ie anders eventueel gevaar loopt (dat ze telefoon evt gehackt kan worden) dan doen ze dacht echt niet hoor. Deze jongen heeft daar gewoon slim gebruik van gemaakt. Gelukkig was het maar een jongen en niet...
Eerst dacht ik eigen schuld dikke bult, maar eigenlijk is het helemaal niet hun schuld. Moet je van mensen (gebruikers) verwachten dat ze weten dat ze hun root password moeten veranderen.
Als je root wilt spelen moet je gewoon weten wat je doet. "With great power comes great responsibility".
Je kan er vanuit gaan dat als je zonodig moet gaat jailbreaken, dat je dit soort dingen weet. Zo niet, jailbreak dan niet.
Als praktisch iedere howto en tutorial brult dat je je wachtwoorden moet wijzigen is het dus wel een kwestie van eigen schuld dikke bult. Al helemaal als dit hele verhaal al eerder en vaker is gebeurd. Waarschuwingen staan er niet voor niets, mensen zouden ze eens moeten lezen en er eens bij stil moeten staan. Doe je dat niet dan krijg je dus dit soort situaties.
Dit soort attacks zijn een goede reden waarom remote root logins niet toegestaan zouden moeten worden. Het is veel veiliger om te vereisen dat gebruikers eerst met een persoonlijk account moeten inloggen. Simpelweg PermitRootLogin uitzetten in de sshd-configuratie kan dit voorkomen. Los daarvan is het een goed idee om het default root wachtwoord te veranderen, natuurlijk.

Opmerkelijk is dat veel Linux distro's dit ook verkeerd doen (met uitzondering van Ubuntu) terwijl de BSD's het wel goed doen. Vreemd dat het in MacOS, toch ook een FreeBSD-afgeleide, verkerd gaat. (Of is dat een gevolg van het jailbreaken?)
sshd staat niet op een standaard iPhone, pas bij een jailbreak kun je ervoor kiezen om dit op je iPhone te installeren. Blijkbaar worden root login's standaard gewoon toegelaten.

[Reactie gewijzigd door Frietsaus op 2 november 2009 16:21]

Die standaard rootlogins is overigens iets wat erg vaak standaard worden toegestaan. Als je op Debian/Ubuntu een ssh server installeert heb je dat ook. Op FreeBSD daarentegen staat het al sinds jaar en dag standaard uit. Wil je inloggen dan moet je dat met een user doen of je moet de config aanpassen zodat root wel in kan loggen. Je loopt hiermee het risico dat ze direct bij je root account kunnen en op die manier makkelijker wachtwoorden kunnen gaan raden. Misschien een discutabel risico omdat het meer weg heeft van security through obscurity maar het is natuurlijk logisch dat je je security niet van 1 setting af moet laten hangen ;)
Misschien een discutabel risico omdat het meer weg heeft van security through obscurity maar het is natuurlij
De uitdrukking "security through obscurity" houdt in dat je systeem helemaal niet secuur is, maar omdat de zwakke punten zijn verstopt lijkt het secuur.

Vergelijk het met een kluis waarvan de cijfercombinatie makkelijk te raden is omdat de fabrikant in al zijn kluizen dezelfde cijfercombinatie heeft ingeprogrammeerd.
Wil je inloggen dan moet je dat met een user doen of je moet de config aanpassen zodat root wel in kan loggen. Je loopt hiermee het risico dat ze direct bij je root account kunnen en op die manier makkelijker wachtwoorden kunnen gaan raden
"Makkelijk wachtwoorden" raden is via ssh heel moeilijk, want iedere SSH-deamon heeft een vertragingsmechanisme van meerdere seconden dat in werking treedt als een verkeerd wachtwoord wordt ingevuld, en bij iedere verdere poging langer wordt. Eventueel kan het zo geconfigureerd worden dat het de verbinding verbreekt. Dit maakt een attack door wachtwoorden raden via SSH nagenoeg onmogelijk.

[Reactie gewijzigd door SimonKroller op 2 november 2009 21:16]

Opmerkelijk is dat veel Linux distro's dit ook verkeerd doen
Ik heb nog nooit van een distro gehoord die een default root wachtwoord zet. Maar ik ken ze niet allemaal. En die ik ken hebben root-login via ssh uitstaan.
Zelfs een jailbreak zet niet standaard ssh aan, zelfs als je nog eens extra naar de package manager gaat en daar SSH handmatig download staat het aan.

En als je dan nog niet je root wachtwoord veranderd ben je het gewoon zelf schuld want daar wordt keurig op gewezen.
denk dat ie eieren voor z'n geld heeft gekozen na dit mailtje:

L.S.

Eerder vandaag werden wij geattendeerd op het feit dat iemand binnen de portrange van T-Mobile m.b.v. het standaard Apple wachtwoord via SSH op een aantal iPhones een melding heeft achtergelaten met een link naar een pagina waar voor vijf euro meer informatie kon worden verzocht. Dit is binnen de Nederlandse wetgeving een combinatie van computervredebreuk en chantage en in principe ben ik momenteel dan ook van plan mensen aan te raden om aangifte te doen. Wij zullen hier later vandaag een artikel over publiceren op iPhoneclub.nl.

Zoals je waarschijnlijk al hebt kunnen raden ontvang je dit mailtje niet voor niets. Als je binnen het kader van hoor en wederhoor graag iets aan mij of aan de lezers van iPhoneclub.nl wilt laten weten, is dit je kans.

Groet,
Paul
is dit naar info@ gegaan, of hebben jullie op een of andere weize zijn mail addy weten te vinden. zijn jullie dan ook zoveer dat je de naam van deze ..... hebben ??

als ie inderdaad eieren voor z'n geld heeft gekozen hoop ik dat ie zich nu wel in een hoekje zit te schamen ;) - telefoons ietswat onklaar maken is een ding maar voor gewin vind ik not-done...

maar ja ook die iphone klantjes moeten zich natuurlijk diep schamen ;)
Hij heeft een Mailinator adres (zie instructie pagina), die mailbox kun je gewoon lezen op mailinator.com.
Arnoud heeft de jongen gesproken. Naam, adres en telefoonnummer zijn dus bekend.
Eigenlijk is het een klokkenluider, misschien niet helemaal zuiver op de graat, ook nog een puber, maar het had ook de Russische maffia kunnen zijn, die smartphones als verwijzing naar een kinderporno-host gebruikt, ik noem maar een dwarstraat.

We mogen blij zijn dat het allemaal zo onschuldig was.

Ooit hier aan gedacht? Het schiet mij nu te binnen, maar ik denk dat de Taliban daar al veel eerder aan dacht.

Zouden ze binnen het Amerikaanse leger ook lekke iPhone gebruiken?

"Hi darling, I call you back tonight, I am on the road to TarinKot. We have a meeting with the Dutch.". Dag daarna lezen we in de krant dat een hoge officier met zijn chauffeur zijn omgekomen door een bermbom. De beveiliging kwam met de schrik vrij
Misschien dat wel een van die 70.000 applicaties gehackt is om zelf een bermbom te laten detoneren, als ze er langs rijden, die iPhones hebben toch zo'n uitstekende plaatsbepalingssoftware.

Via een lek krijg je root-toegang, en kun je onder water doen met je smartphone wat je wil. Een SSH-deamon is waarschijnlijk niet eens nodig. Een lek en een root-wachtwoord is heel veel waard.

[Reactie gewijzigd door SimonKroller op 2 november 2009 16:36]

Als ie geld vraagt voor het vrijlaten van je iphone, dan is het geen klokkenluider.
Dat klopt, maar zijn gedrag had die functie. waar ik bang voor ben is dat een pubertje wordt afgeslacht voor het falen van een multinational.

maar ik neem aan dat veel mensen vinden dat Barbertje moet hangen, ik zal me daar ook niet in discussie tegen verzetten, en in Nederland is de rechtsspraak niet zo draconisch als in de USA.

Daarbij is niets zo vermoeiend als een moralistische discussie.

[Reactie gewijzigd door SimonKroller op 2 november 2009 16:40]

Zoals eerder uitgelegd dien je een aantal expliciete handelingen te verrichten. Een stok zelf is geen steekwapen maar dat kun je wel doen wanneer je de handeling van het scherp maken van de stok verricht. Maak er een punt aan en je hebt zelfs een ubersimpele speer. Als iemand dan daarmee iemand anders neersteekt is het volgens jouw analyse de schuld van de boom want daar is die stok van. In dit iPhone verhaal moet de gebruiker de iPhone jailbreaken (waar diverse handleidingen voor zijn met de nodige waarschuwingen) daarna iets van een ssh server installeren (waar wederom diverse handleidingen met waarschuwingen van zijn) en draaien zonder het aanpassen van de wachtwoorden (aangezien de waarschuwingen melden dat je juist dat moet doen betekent dat dat je die waarschuwingen in de wind moet slaan).

Met andere woorden: de gebruiker moet zelf handelingen verrichten om de iPhone onveilig te maken. Daarbij is dit al eens eerder gebeurd ergens vorig jaar. Ook toen waren alle handleidingen voorzien van waarschuwingen en werden mensen die wilden jailbreaken ook al diverse malen gewaarschuwd. Dat mensen alle waarschuwingen in de wind slaan is geheel voor hun eigen rekening. Jij schuift nu alle verantwoordelijkheid af op een fabrikant. Dat is krankjorum! Mensen hebben ten alle tijden een eigen verantwoordelijkheid waar ze niet voor weg kunnen lopen. Godzijdank zit ons rechtssysteem dermate in elkaar en zijn rechters ook genoeg van kennis dat men ook altijd zal wijzen op de eigen verantwoordelijkheid. Wiens schuld is het dat z'n iPhone wordt "gehackt" in dit geval? Precies, de gebruiker die alle waarschuwingen in de wind heeft geslagen en zelf de iPhone stuk maakt waardoor het onveilig wordt.

Ik wens je in ieder geval succes bij je kruistocht tegen Apple en de rest van de wereld waar exact hetzelfde probleem speelt. Daarom is ook niet iedereen systeembeheerder ;)

@SimonKroller: jij denkt dat ik je dat toedicht omdat je absoluut geen enkele kennis van zaken hebt en dom staat te brullen. De referentie naar systeembeheerder staat er niet voor niets in! Iedere systeembeheerder weet dat wanneer hij een ssh server installeert er als eerste een duik moet worden genomen in de configuratie om zaken als root login uit te zetten. Waarom? Omdat dit onderdeel is van de security maatregelen die je treft zodat ongenode gasten niet zomaar op je systeem kunnen inloggen. Zo'n ssh server is gemeengoed in de server wereld en is op diverse UNIX/Linux systemen maar ook Windows te installeren en te gebruiken. In de diverse howto's en tutorials op het web wordt dan ook voortdurend gewaarschuwd dat het opzetten van iets als een ssh server security risks met zich mee brengt en dat je daar ook maatregelen voor dient te nemen. Jailbreak howto's/tutorials zijn daarin niet anders (zoek in de wiki op iphoneclub.nl eens naar OpenSSH). Datgene wat jij als security risk toedicht aan Apple is dus een security risk die je verkrijgt door de installatie van een ssh server. Je wijst met je vinger naar de verkeerde. En juist daarom is deze tiener ook geen klokkenluider en al helemaal niet omdat hij zich schuldig maakt aan afpersing door geld te vragen (het is geen chantage!).

Daarnaast moet je je Nederlands ook eens oppoetsen. Deze taal kent namelijk gezegdes. Iets als een kruistocht valt daar dan ook onder. Het is dan ook gewoon normaal gebruik van de Nederlandse taal en geen uiting van een religie. Overigens zul je bij een discussie er ook rekening mee moeten houden dat je niet boven je stand gaat praten wat je nu wel doet. Anderen kunnen dezelfde of meer kennis hebben dan jou of een andere mening/zienswijze zijn toegedaan. Je toont je nu wel een hele slechte verliezer/discussiepartner omdat je wel overduidelijk laat zien geen trek te hebben in mensen die anders dan jou denken en je terecht wijzen omdat je zienswijze niet klopt. Dat soort dingen zie je inderdaad vaak bij computers/smartphones en zulke mensen noem je dan ook fanboys/anti-<insert_merk>/trolls. Een positieve bijdrage aan welke discussie dan ook hebben deze mensen nooit.

In gewoon mensentaal heet dat dus: niet praten over dingen waar je geen verstand van hebt en leren discussiëren.

Edit: zie ook de reactie van Soultaker: Soultaker in 'nieuws: Nederlandse tiener kaapt iPhones via ssh'

[Reactie gewijzigd door ppl op 2 november 2009 18:51]

`Iedere systeembeheerder weet dat wanneer hij een ssh server installeert er als eerste een duik moet worden genomen in de configuratie om zaken als root login uit te zetten. Waarom? Omdat dit onderdeel is van de security maatregelen die je treft zodat ongenode gasten niet zomaar op je systeem kunnen inloggen.`

Dat hangt er maar helemaal van af. Zo heb je op debian based OSen niet eens een gebruiker als root waardoor je gedwongen bent in te loggen als alternatieve gebruiker en bovendien moet die ook nog in de wheel/sudoers groep zitten zodat je echte schade kan aanrichten op zo'n bak.

Maar je hebt wel gelijk dat standaard inloggen als root het te makkelijk maakt voor vervelende scriptkiddies.
Je hebt zeker wel een root-user op debian based systemen
Dat ie default uitgeschakeld is is een 2e
Dat hangt er maar helemaal van af. Zo heb je op debian based OSen niet eens een gebruiker als root waardoor je gedwongen bent in te loggen als alternatieve gebruiker ...
Ehh, nee.

In Ubuntu is het root account standaard disabled. In Debian zelf, en alle andere afgeleiden die ik ken is het root account niet disabled.
Ik wens je in ieder geval succes bij je kruistocht tegen Apple en de rest van de wereld waar exact hetzelfde probleem speelt. Daarom is ook niet iedereen systeembeheerder
In gewone mensentaal heet een dergelijk gedrag: "stigmatiseren". Je probeert mij toegedichte persoonlijke motieven in de discussie te betrekken om zo afbreuk aan mijn argumenten te doen.

Middels de term kruistocht betrek je het geheel daarbij ook in een religieuze context.

Ik zie dit gedrag wel vaker als het over computers of smartphones gaat. Lekker spannend toch! Maar zonder mij.

Om die reden ga ik verder niet in op je reactie. Ik laat de gekozen terminologie lekker bij jou.

[Reactie gewijzigd door SimonKroller op 2 november 2009 18:31]

Reactie gewijzigd door ppl op maandag 2 november 2009 18:51
Kinderachtig dat je je reactie wijzigt nadat je die van mij hebt gelezen (en niet zo'n beetje ook), ik snap niet dat dat is toegestaan. Maar goed, dat soort spelletjes doe ik verder niet aan mee. Ik discussieer vanwege de argumenten, niet om te winnen, dus ik hoef dan ook geen reacties achteraf aan te passen.

Maar goed, dat weten we dan weer voor de volgende keer.
jij denkt dat ik je dat toedicht omdat je absoluut geen enkele kennis van zaken hebt en dom staat te brullen
Ik vind je scheldkanonnade en verdere insinuaties aan mij adres werkelijk beneden alle peil. Discussie gaat bij mij om de argumenten, om niets anders. Blijkbaar bij jou wel.
en leren discussiëren.
Juist,
bijvoorbeeld niet stiekem je reacties waar anderen op reageerden veranderen, en daardoor de context verleggen
bijvoorbeeld niet van anderen zeggen dat ze ergens geen verstand van hebben, maar gewoon op de argumenten ingaan
bijvoorbeeld niet anderen de huid volschelden
bijvoorbeeld niet van anderen zeggen wat ze denken, maar vragen wat ze denken

etc..

Met andere woorden, een grappige opmerking van jou.

Het zijn mensen zoals jij die (naar mijn idee) een forum om die redenen onleesbaar maken.

(edit typefouten)

[Reactie gewijzigd door SimonKroller op 2 november 2009 20:53]

Nou nou nou.. Wat een meestervolle hack, zeg.
Ik kan het misbruiken van het standaard root pw nu niet echt een 'hack' noemen.

Sorry, hoor. Maar als je je root pw default laat staan ben je wel een ontzettende prutser, hoor.
Dan snap je OF de implicaties van een open root login niet, OF je weet niet eens dat het er is.
In beide gevallen snap je er gewoon geen donder van, en moet je je niet bezig houden met het klooien aan je telefoon.
Hoe zo iemand binnenkomt lijkt me niet terzake doen eerlijk gezegd. Feit is dat er veel iPhones dus gewoon vrij toegankelijk zijn.

Wat dat betreft is dit bericht alleen maar mooi, want zo wordt men er tenminste op gewezen het standaard wachtwoord te wijzigen.
jup, maar ja.... standaard kan dit ook niet en op een normale iphone kan niet eens een root wachtwoord aanpassen, dus... eigen verantwoordelijkheid van de jailbreak gebruiker imho.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True