Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 211 reacties

Een hacker die zich via ssh toegang verschaft tot een gejailbreakte iPhone, kan de gebruikersnaam en het wachtwoord van het iTunes-account van de gebruiker achterhalen. Daarmee kan worden betaald in de downloadwinkel van Apple.

Waarschuwingsscherm iPhone gehackt door McFliatnEen iTunes-account staat gekoppeld aan een creditcard of een Click 'n Buy-account, die weer gekoppeld is aan een bankrekening. Daardoor kan een iPhone-hacker in theorie aankopen doen op rekening van degene die hij heeft gehackt. Dat laat iPhone-hacker McFliatn aan Tweakers.net weten naar aanleiding van het artikel van maandag, waaruit bleek dat een tiener uit Hilversum tientallen iPhones had gekraakt.

McFliatn heeft dinsdagochtend veertig kwetsbare iPhones gevonden in korte tijd. Hij schat dat er honderden iPhones op deze manier gekraakt kunnen worden. De privé-gegevens zouden geautomatiseerd van de iPhones gehaald kunnen worden, denkt McFliatn. "Het is zeker niet moeilijk om hiervoor een bot te schrijven."

McFliatn heeft de iPhones gekraakt om T-Mobile aan te zetten tot betere beveiliging. Met NAT of door het sluiten van poort 22 kan niemand via ssh bij iPhones en is dit probleem opgelost. "Natuurlijk is het niet de verantwoordelijkheid van T-Mobile dat mensen hun iPhone jailbreaken, maar als er soortgelijke lekken onstaan op andere telefoonplatformen zou het net zo makkelijk zijn", meent de hacker. "T-Mobile moet in ieder geval het personeel op de ict-afdeling eens een flinke schop onder de kont verkopen."

De kwetsbaarheid ontstaat als mensen hun iPhone jailbreaken en via een app installer OpenSSH of een soortgelijke applicatie installeren, maar het rootpassword niet veranderen. Op die manier kan via ssh over een 3g-netwerk contact gemaakt worden met het toestel. Een hacker kan dan alle bestanden op de iPhone zien, bewerken, kopiëren en wissen. Bij de installatie van OpenSSH wordt er al op gewezen dat het veiliger is om het wachtwoord van de root te veranderen.

Moderatie-faq Wijzig weergave

Reacties (211)

Kom wat laat in de discussie maar voor hen die het nog niet weten het volgende:
In 9 stappen naar een nieuwe root wachtwoord.

1. Log aan op je Iphone met "MobileTerminal". Heb je die niet, download dit dat uit Cydia of doe het direct over ssh (putty oid, ga naar stap 8);
2. Voor de terminal login heb je geen wachtwoord nodig;
3. Typ nu su - root;
4. Er wordt een wachtwoord gevraagd, neem het default wachtwoord, "alpine";
5. Je bent nu root;
6. Verander je wachtwoord door "passwd" in te typen;
7. Kies nu een vrij sterk wachtwoord met een combi van cijfers, letters en leestekens;
8. Voer 2 keer je nieuwe wachtwoord;
9. Klaar ben je.

Hoop dat iemand er iets aan heeft.

PS. Beter is het overigen om met SBSettings je SSH helemaal uit te zetten!
PS. Beter is het overigen om met SBSettings je SSH helemaal uit te zetten!
beter is 't als je 't pas disabled na 't veranderen van je wachtwoord!!!!!!
ja want het is ook echt "hacken" om alle t-mobile nummers aftegaan met als rootwachtwoord "alpine"

dat de user zelf niet z'n wachtwoord veranderd van root is niet aan t-mobile. NAT en sluiten van port 22 is idioot en ranzig.
Hoezo idioot en ranzig?

Hoeveel mensen SSH'en naar hun telefoon over 3G? Is nauwelijks de moeite waard om te ondersteunen aangezien je het het gewoon over WLAN kunt blijven doen en daarmee de grote clueless massa tot op zekere hoogte veilig houdt.

En waarom zou NATten erg zijn? In principe runt praktisch ieder huishouden met een ADSL-verbinding een NAT. Ze weten het alleen zelf niet. Houdt ze nauwelijks tegen om lekker hun ding te doen met internet.

[Reactie gewijzigd door Keypunchie op 3 november 2009 22:50]

Je hebt 65536 poorten waarvan je in weze enkel die boven de 2048 vrij mag gebruiken (dus voor NAT). onder de 1024 is sowieso enkel voor gereserveerde poorten en de range tss 1024 en 2048 blijf je best ook vanaf.

dit geeft ong. 63,5k poorten en met 2 protocols (udp, tcp) geeft je dat een 130k poorten per NAT-server. wetend dat je al snel meerdere poorten tegelijk gebruikt per klant (het tegelijk binnenhalen van verschillende afbeeldingen van een webpagina bijvoorbeeld) geeft je bij stel max. 10poorten gelijktijdig per user 13k gebruikers per NAT-server/-router. Als ze allemaal tegelijk dezelfde pagina opvragen - bv deze tweakers pagina - zit het systeem al op zijn maximum bij 6k gebruikers. (http = enkel tcp)

Rekening houdend met al het gerommel dat je dan hebt bij sommige programma's die een dubele NAT (bij tethering) niet leuk vinden en dat het moeilijker wordt om dit te schalen naar enkele 100k gebruikers incl. redundantie, loadblancing is het voor een provider veel makkelijker om je een openbar ip te geven en zich niets van de beveiliging enzo aan te trekken. Dit is in mijn ogen ook niet aan de provider.
Hij moet ervoor zorgen dat je een internet-connectie hebt (3G, adsl of kabel, of nog andere manier) en voor de rest moet die zich er niet mee moeien wat er gebeurd tenzij je andere wetten gaat overtreden.

trouwens waarom zou die isp dan nog een ipsubnet van rip kopen? als je met het 10.* private netwerk samen met de 192.168.* netjes toe kunt komen???
(al de gsm-masten een 10.* en iedere mast geeft 192.168.* ip's uit aan de eigen gsm's - bij roaming heb je dan een hoop dhcp gerommel met slechte connectie's - paar seconden tijd nodig voordat nieuw ip is verkregen alles terug correct geNAT is via die andere gsm mast - enzo erbij)

dan was het IPv4-adresruimte probleem nooit ter sprake gekomen eh....
Als je 'oneiding' kon blijven NATten

Bij thuis gebruik is die NAT-grens nauwelijks een probleem want er zijn zeer weinig huishoudens die aan de grens komen (of iedereen moet gan torrenten met veel te veel poorten - en dan gat iedere huis,tuin en keuken router/modem onderuit). En grote bedrijven die daar wel in de buurt komen hebben redundante lijnen, blokkeren een hoop poorten, hebben internet-policy's, hebben meestal ook de redundante en dure hardware die het aankan voor al die gebruikers,...

Bij pc's gebeurd het al dat providers bv poort 25 gaan blokkeren zodat spambotjes het ietjse moeilijker hebben om zelf smtp-server te gaan spelen. (omdat anders de provider zelf in problemen kwam met zijn legale mails wegens gemeld als spammer zodat ie een hoop reclamerende gebruikers hadden die het niet leuk vonden dat hun gewone mails nu niet meer aankwamen bij hun vriendjes, partners, collega's)

Vrij logisch dat het speelveld zich gaat herleggen naar andere populaire systemen/platformen.

Het is niet altijd handig om het meest populaire systeem/platform te zijn.
(meer virussen bekend voor het pc-platform dan voor het mac-platform of het linux-platform - alhoewel die laatste 2 er ook zijn, maar er is minder kans dat je een snelle verspreiding krijgt of een hack die grote impact heeft. Te weinig mac's bij domme thuisgebruikers en te weinig identiek geconfigureerde linux-bakken.
iPhone is ook populair bij vaak domme gebruikers en voila: nieuw doelwit.

'ik moet (laten) jailbreaken want dan kan ik gratis programma's op iPhone zetten of zelfs niet goedgekeurde programma's", "oh, programma heeft SSH nodig, ik weet niet wat dat is maar als het nodig is voor dat leuk dingetje dan zwier ik het er wel bij op" download, aanvaard alles qua default zodat het goed snel op die iPhone komt en voila weer eentje die nadien zeer verrast is dat er iemand haar/zijn iPhone hackt enzo.

(net als al die dommerikken die roepen: 'als ze NATten zou dit probleem er nooit geweest zijn')

Weet jij hoeveel prive-gegevens al de programma's doorsturen 'voor user-onderzoek'?
games die lijst van geinstalleerde programma's doorsturen net als je serialnumber, en gebruiksstats van hoe aak en hoe lng je speelt en wanneer,....


"security is a state of mind. Unfortunally most users are missing their mind"

[Reactie gewijzigd door soulrider op 4 november 2009 04:13]

Dat is wel rot, even me SSH uitzetten :9 Nee maar denk het niet dat het ik thuis gehakt kan worden want dan moet hij toch eerst in je netwerk? Ik heb een iTouch btw :P
Alsof het zo moeilijk is om een Wifi netwerk binnen te komen. In veel gevallen zijn die slecht beveiligd. Dus ja, een iPod touch met een jailbreak kan dan ook ten prooi vallen aan zo'n aanval.
Nou, niet helemaal.. de hacker had toegang verschaft door de IP range van t-mobile af te struinen naar een reagerende SSH.
Thuis gehackt worden is een stuk moeilijker.

Het IS mogelijk, maar een heel stuk onwaarschijnlijker aangezien hij inderdaad eerst door een router heen moet. (maar die zal ook wel weer van buitenaf openstaan met een default password ;) )
Fishticks heeft echter wel degelijk een punt. De iPhone's zijn een makkelijk doelwit omdat ze via het (publieke) t-mobile netwerk makkelijk bereikbaar zijn. (Te vinden met bv een poortscan).

Dit is met je iTouch niet het geval omdat deze in je eigen netwerk zit. Dankzij het standaard gebruik van NAT is deze dus niet rechtstreeks bereikbaar vanuit het internet. (er van uitgaande dat je niet port 22 hebt gemapt naar je iTouch :P)
de stand tot nu:
WEP - gekraakt
WPA1 - gekraakt
WPA2 - nog veilig.
WPA2 PSK is ook gewoon te kraken als de key kort is of een woord is:
https://airheads.arubanet...d-wpa2-dictionary-attacks (en nog meer over te googlen)
Dat is geen kraken maar bute forcen :) daar heeft de ecryptie 0,0 invloed op...
als je met consumenten elektronica zoals een videokaart razendsnel icm CUDA of opencl keys laat maken en je kan een beveilgd wep/wpa netwerk binnenkomen in normale tijd, dan kan je redelijkerwijs toch wel zeggen dat het gekraakt is :P

voor geinteresseerden, backtrack, een hackers linux distributie kan dit dus al nagenoeg out of the box. En zit dus in de orde van miljoenen keys per seconden, om te kunnen bruteforcen

[Reactie gewijzigd door DLGandalf op 3 november 2009 23:05]

En hoe zit het dan met WPA1 op basis van EAP? Volgensmij was alleen maar WPA1+TKIP "gekraakt". Het is in ieder geval niet zo open als WEP is en je hebt nog steeds geen directe toegang tot het netwerk.
Wanneer je verbinding hebt met je telco (3G, gprs) dan kan je er ook al in.
Bedoel je een iPod Touch? Want een iTouch is niets...
Jij snapt het niet helemaal. 8)7
Of hij snapt het wel, een beetje; als je sshserver van buiten uit bereikbaar is en er zit een standaard gebruiker/wachtwoord combinatie als beveiliging op, dan is dit nieuws min of meer van toepassing. Aankopen doen op iTunes is weer een ander verhaal.
Ongeloofelijk, goed dat McFliatn dit gebruikt heeft voor educatieve doeleinden en niet voor zich heeft gehouden. Vroeg of laat zou apple support suit vol gepomped worden door alle support tickets en telefoontjes wat ze binnen krijgen over aankopen die zij helemaal niet gedaan hebben. Ik hoop ook dat t-mobile de ict afdeling wakker gaat maken, want dit kan echt niet.
T-mobile leverd juist als dienst dat je beschikking heb tot jouw volledige portrange met een eigen IP address. Vooral i.c.m. mobiel breedband op je computer vind ik dit prachtig. Voor mij een van pluspunten waar T-mobile zich onderscheidt van Vodafone en KPN.

En nu is het weer niet goed, omdat tientallen prutsers hun root wachtwoord van OpenSSH, van hun gejailbreakte iFoon, niet veranderen, en moet T-mobile het maar oplossen?

Right :/ .

[Reactie gewijzigd door SirNobax op 3 november 2009 16:41]

Ja hier mee ben ik het helemaal met je eens.

Maar goed dat terzijde, is het niet mogelijk dat TMobile een advies vrijgeeft aan alle mensen die hun iPhone bij hun koopt, direct hun default wachtwoord verandert naar een eigen gecreerde of vertrouwde wachtwoord.
Een normale iFoon heeft geen OpenSSH.
Enkel mensen die hun iFoon jailbreaken en OpenSSH installeren, wat nodig is voor de wat zwaardere 'hacks', lopen risico. En in mijn ogen vallen die ook niet onder de verantwoordelijkheid van T-Mobile, of Appel for that matter.

[Reactie gewijzigd door SirNobax op 3 november 2009 16:40]

Oplossing is simpel (hetzelfde als sommige ISPs doen) controlleer je range op exploits en sluit internet-connectiviteit af.
Simpel ? Hoe onderscheiden ze in dit geval de "hackers" van mensen die wél legitiem naar hun iPhone ssh-en ?
Niet, want SSH is encypted. (Public/Private key verhaal)

Zie ook: http://en.wikipedia.org/wiki/OpenSSH

Of ik nu remote mijn, met HSDPA gekoppelde, Linuxbak thuis aan het besturen ben via SSH -X, of iemand download al je persoonlijke gegevens van je iFoon, voor T-mobile zal het precies dezelfde onuitleesbare gibberish zijn. Gelukkig maar! :)

[Reactie gewijzigd door SirNobax op 3 november 2009 17:22]

Nee, ik vind dit geen taak voor T-mobile, en vind het een slechte zaak als T-mobile poorten gaat dichtzetten. Je zal maar net een van de weinigen zijn die ssh voor iets nuttigs gebruikt ......

Let's face it, iedereen die hier last van heeft heeft willens en wetens z'n iPhone gejailbreakt, en weten dat de consequentie is dat je niet voor support hoeft aan te kloppen. Dus zowel de Apple- als de T-Mobile-helpdesk kunnen die mensen gewoon vertellen dat ze hun orginele firmware terug moeten zetten. Kunnen ze dat niet, of willen ze dat niet, dan houdt het gewoon op qua support.

McFliatn gebruikt gewoon een bekende vunerability om bij de iTunes gegevens te komen, terwijl iedereen sinds gisteren al snapt dat dat bij veel iPhones een eitje is. Niets knaps aan, alleen maar lame, meeliften op de publiciteit die hierdoor loskomt.
Ik ben bang dat dit vooral Apple dit door gaat hebben en de firmware dus nog verder zal dichtspijkeren om jailbreaken wil voorkomen (in hun ogen is dit de schuld van het jailbreak gebeuren). Terwijl ik het een prima manier vind om alternatieve software te kunnen draaien naast wat je via de Appstore wordt toegeschoven.
dit is wat je krijgt als mensen die geen kaas hebben gegeten van IT-gerelateerde zaken (oftewel de gemiddelde Apple gebruiker) gaan prutsen met zaken als SSH etc. iemand die wel weet waar hij mee bezig is zal als eerste het SSH password aanpassen en heeft dus nergens last van.

[Reactie gewijzigd door crookram op 3 november 2009 16:31]

oftewel de gemiddelde Apple gebruiker
of de gemiddelde telefoon-gebruiker, of de gemiddelde pc-gebruiker, of de gemiddelde consument... voor elk van deze doelgroepen is de shell en ssh een ver-van-mijn-bed show.
dit is wat je krijgt als mensen die geen kaas hebben gegeten van IT-gerelateerde zaken (oftewel de gemiddelde Apple gebruiker) gaan prutsen met zaken als SSH etc
Snap niet hoe Apple aan die naam komt. De meeste Apple-gebruikers die ik ken, hebben juist bovengemiddelde IT-kennis, en hebben een Apple omdat het makkelijker werkt met dagelijks netwerk- en server-beheer (voor zover de servers geen Windows zijn, uiteraard), niet vanwege het shiny uiterlijk.

In het algemeen kun je wel stellen dat mensen die weinig verstand van IT hebben, voor een hoop onveiligheid op internet zorgen (botnets etcetera). Om dat nou aan een computermerk te koppelen, vind ik kort door de bocht.

[Reactie gewijzigd door 19339 op 3 november 2009 16:45]

* Orion84 hoopt dat "achterhalen" in dit geval bestaat uit het onderscheppen op het moment dat de gebruiker het wachtwoord invoert en niet dat dat wachtwoord ergens plaintext is opgeslagen?

Op zich is dit verder natuurlijk niet zo'n opzienbarend nieuws. Als je via SSH toegang hebt, dan is het niet heel gek dat die wachtwoorden te onderscheppen zijn. Maar het maakt de hack ineens wel geschikt om commercieel uit te buiten, wat de kans op "kwaadaardige aanvallen" nogal doet toenemen. In tegenstelling tot deze zogenaamde onschuldige hacks die enkel bedoeld zouden zijn om publiciteit te genereren rond dit probleem.
Je kunt je iPhone wel zo instellen dat hij het wachtwoord onthoudt, maar standaard zal hij dat niet doen.
Oh ja? Waar dan? Ik ben die optie nergens tegengekomen.

(Eventueel wil ik dat ook niet: als iemand hem pikt, wil ik niet dat hij even alle TomTom-varianten a 80-100 euro per stuk op mijn kosten downloadt omdat mijn password gecached is.)
Commercieel uitbuiten? Wie wil er nou op illegale wijze mp3'tjes downloaden van iTunes? Heeft dat toegevoegde waarde tov een willekeurige torrent?
Ik heb het al tig keer gezegd, maar zal het nog eens herhalen: ontvang jij toevallig je TAN codes op je iPhone? :w

Het is kinderspel om een keylogger te schrijven voor je iPhone waarmee je passwords en usernames worden binnen gehaald. Presto, je bent de sjaak.

Dit is eventjes iets groter dan een iPhone gijzelen voor 5 euro, of in iTunes liedjes kopen. Denk even een iets groter plaatje...
Ik heb het al tig keer gezegd, maar zal het nog eens herhalen: ontvang jij toevallig je TAN codes op je iPhone? :w
Gisteren zag ik je commentaar inderdaad ook, en daar ben ik het helemaal mee eens; maar dat betekend niet dat door dit nieuws (nl iTunes) deze hack "ineens commercieel uit te buiten" valt, zoals Orion84 zegt.
Wat noem jij het leeghalen van bankrekeningen?

Of het binnenhalen van usernames + passwords van eCommerce websites?

Of usernames + passwords van bedrijfs Exchange omgevingen?

Of usernames + passwords van VPN verbindingen?

Daar kan je een heel mooi, commercieel handeltje in hebben hoor.
Misschien bedoelt wankel dat dat gisteren ook al evident was, en dat deze hack niet echt iets toevoegt. Dat is namelijk mijn mening, deze hack laat (alleen maar) zien wat iedereen sinds gisteren al wist.
Inderdaad, bedankt voor de aanvulling ;-)
Ik zou het juist een slecht idee vinden als poort 22 wordt dichtgezet door T-Mobile omdat je hiermee een verkeerd signaal afgeeft als provider. Volgens Apple is jailbreaken illegaal en zo gaat T-Mobile hier doodleuk mee helpen als er problemen ontstaan door onkunde van gebruikers met deze software.

Degene die openssh-server uitlevert (voor iPhone) zou idealiter root logins niet moeten toe staan. Je kan nu, in Mac OS X maar waarschijnlijk ook in iPhone OS, sudo gebruiken voor acties die waar je root rechten voor nodig hebt.

Om die reden zou je dus het liefst willen dat een gejailbreakte iPhone verplicht een nieuwe user aanmaakt (voor zover dat nog niet gebeurt) met een zelf te kiezen wachtwoord.
In Mac OS X is de root user by default gedisabled.

Mijn mening is dat je dit soort problemen juist bij het jailbreak image wil fixen. Nu kom je binnen als root via openssh maar er zijn genoeg andere manieren te verzinnen waarbij het ook mis kan gaan.

Als normale sterveling hoef je nooit als root in te loggen imho, ook al is je telefoon maar.

Bovendien is dit probleem al veel langer bekend: http://uneasysilence.com/archive/2007/08/11998/
Dit is een artikel van meer dan 2 jaar geleden.
De andere accounts in je iPhone staan disabled qua password. Ze bestaan wel, maar goed... dat is niet zo belangrijk.

De bootstrapping is dus om een wachtwoord in de ssh-server te zetten, waarvan bekent is dat je die moet wijzigen in iets totaal anders.

Verder... wil ik wel even ZEER duidelijk benadrukken dat je goed moet oppassen met sudo gebruiken en claimen dat je dan veiliger bent. Want dan moet je goed weten waarom dat zo is.

Het is om te ontkrachten dat je uberhaupt met een root-shell standaard bezig bent. Maar nu is jou eigen wachtwoord gekoppeld aan twee accounts, die van jezelf EN die van het root-account. Want je authenticeert aan sudo dat jij bent ingelogd met je eigen account en rechten hebt om root te worden. Dus extra beveiliging... niet echt. Een kans minder om je systeem om zeep te helpen (ook je iPhone), dat is het wel. :)
Natuurlijk moet je opletten met sudo en werken als root. Maar omdat je standaard als een non-priviliged user werkt kan je in theorie minder schade aanrichten. Dus natuurlijk ben je veiliger (dan direct als root in te loggen). Alleen sudo is niet genoeg, een goed gekozen wachtwoord blijft natuurlijk ook nodig.
Bovendien heb je als hacker nu zowel een username als wachtwoord nodig en niet slechts een wachtwoord voor de bestaande gebruiker root.

Bovendien gebruik je sudo alleen voor de root acties, met "sudo bash" open je natuurlijk nog steeds een root shell als je wil. Dat heb je standaard overal waar sudo/sudoers gebruikt wordt tenzij je dat dicht timmert

Maar dat is natuurlijk het hele punt niet. Het gaat er gewoon om dat het root account gewoon disabled hoort te zijn op je iPhone. Het simpelweg veranderen van het default wachtwoord is imho niet genoeg. Remote inloggen als root op een iPhone hoort niet te kunnen.
De andere accounts in je iPhone staan disabled qua password. Ze bestaan wel, maar goed... dat is niet zo belangrijk.
Ehhh, nee de user mobile is gewoon actief en heeft een homedir en shell ook:
nobody:*:-2:-2:Unprivileged User:/var/empty:/usr/bin/false
root:*:0:0:System Administrator:/var/root:/bin/sh
mobile:*:501:501:Mobile User:/var/mobile:/bin/sh
daemon:*:1:1:System Services:/var/root:/usr/bin/false
_securityd:*:64:64:securityd:/var/empty:/usr/bin/false
_mdnsresponder:*:65:65:mDNSResponder:/var/empty:/usr/bin/false
_sshd:*:75:75:sshd Privilege separation:/var/empty:/usr/bin/false
_unknown:*:99:99:Unknown User:/var/empty:/usr/bin/false

[Reactie gewijzigd door Mathijs op 3 november 2009 20:51]

Mensen snappen niet dat het zijn bedoeling is om al het binnenkomende verkeer op poort 22 te blokkeren, het uitgaande verkeer zal dus niet geblokkeert worden en dus kan je nogsteeds netjes naar je servertje thuis ssh'en.

En natuurlijk is het niet de schuld van T-Mobile, maar als T-Mobile die maatregelen neemt beschermt zij niet alleen de kwetsbare gebruikers maar ook hun eigen netwerk.

Neem aan dat je het ook niet fijn zou vinden als mensen via jouw verbinding prive account gegevens zouden lopen wegtrekken.

[Reactie gewijzigd door sjaakmat op 4 november 2009 00:02]

En waarom snappen mensen die bedoeling volgens jou niet? Omdat er kennelijk flink wat mensen zijn die het niet eens met hem zijn? Of het uitgaande verkeer niet geblokkeerd wordt doet er niet toe, het gaat er om dat het om een blokkade gaat waar mensen tegen zijn.

Je kan wel heel leuk schermen met een argument dat als T-Mobile inkomend verkeer blokkeert ze kwetsbare gebruikers en hun eigen netwerk zouden beschermen. Maar dat blokkeert tevens het recht van gebruikers om vrij verkeer te kunnen ontvangen. Zelfs als T-Mobile het mogelijk zou maken dat gebruikers na een speciaal verzoek wel dat recht terug krijgen.

Wie het niet fijn vind dat zijn of haar prive gegevens gestolen worden, een systeem wordt overgenomen of andere onplezierige zaken met een systeem of gegevens wenst mee te maken moet zelf verantwoordelijkheid nemen. Verantwoordelijkheid om te beseffen dat als je je systeem gaat aanpassen dat consequenties heeft. Niet alleen maar positieve kanten maar ook kanten die niet plezierig zijn als je er niets tegen doet.

Als je je buitendeur van je huig gaat aanpassen zorg je er ook voor dat je weet dat het veilig is en dat je je deur niet alleen van een klink voorziet. Het is niet verplicht er een deugdelijk slot op te zetten en die te gebruiken, maar je beschermt je prive spullen behoorlijk als je niet wilt dat anderen er aan zitten en anders laat je het na. Of ben je van mening dat de gemeente maar preventief iedere deur moet beschermen tegen indringers voor het geval dat mensen de deur niet goed vergrendelen? Dat zou ieder huis en de gemeente vast wat veiliger kunnen maken, maar het gaat in tegen het principe dat mensen zelf moeten weten wat ze doen, recht op vrije keuze hebben en dus ook moeten weten waar hun eigen verantwoordelijkheid begint en stopt. Zelfs als jij het niet fijn vind dat anderen aan je spullen zouden zitten is het niet jou taak om anderen maar ongevraagd in hun vrijheid te beperken omdat je bang bent dat ze niet hetzelfde doen als jij veilig en goed acht.
En waarom snappen mensen die bedoeling volgens jou niet? Omdat er kennelijk flink wat mensen zijn die het niet eens met hem zijn? Of het uitgaande verkeer niet geblokkeerd wordt doet er niet toe, het gaat er om dat het om een blokkade gaat waar mensen tegen zijn.
Vind dat je goede punten maakt hoor (ben het niet met alles eens), maar als je de comments leest zijn er zo hier en daar mensen die dingen roepen als "maar dan ik niet meer SSH'en vanaf mijn telefoon". Dus vandaar die opmerking, denk ik ;-)

Wat ik me wel afvraag: Wat vind je eigenlijk van Microsoft die heel lang onder vuur lag vanwege security en uiteindelijk tegenwoordig al hun consumenten-OS uitrust met een firewall die heel erg gaat zeuren als 'ie uitstaat.

[Reactie gewijzigd door Keypunchie op 4 november 2009 10:06]

Er is toch helemaal geen sprake van een hack? Ik bedoel, als ik inlog op Tweakers met mijn gebruikersnaam en wachtwoord, hack ik Tweakers dan?

Ik hoop ten zeerste dat er geen trend ontstaat waarbij providers poorten gaan sluiten; ik vind het juist wel prettig om mijn mobiel remote te kunnen benaderen. Daarom staat er ook een SSH-server op. Nee, niet met het een standaard- of leeg (root)password.

[Reactie gewijzigd door wankel op 3 november 2009 16:22]

Inderdaad, er is dus helemaal geen sprake van een hack, en nogal raar dat men het wel zo noemt.
Er is inderdaad discussie over. In dit geval is het iets ingewikkelder dan het inloggen op Tweakers.net (of is dat zo ingewikkeld :P ?)

Je moet ip-ranges scannen en vervolgens jezelf via ssh toegang verschaffen tot, in dit geval, de iPhone van een ander. Ik zie dat als een techvariant van het huis van iemand anders binnengaan en een briefje op tafel leggen dat de bewoner eens een slot op zijn deur moet zetten. Je doet niets verkeerd, en je initiatief is in dat geval met de beste bedoelingen gedaan, maar het is een vorm van huisvredebreuk.

Dat het voor de gemiddelde tweaker niet al te veel moeite kost om het huis binnen te komen, speelt imho nauwelijks een rol. Daarom noemen wij deze mensen hackers: je verschaft jezelf toegang tot de foon van een ander op wederrechtelijke wijze.

[Reactie gewijzigd door arnoudwokke op 3 november 2009 16:30]

Een computervredebreuk-pleger is niet per definitie een hacker. Dus het gebruik van de term is foutief. Een hacker is iemand die een beveiliging moet omzeilen om tot z'n doel te komen, dat is hier niet gebeurd. (en daar heb je dan weer het onderscheid scriptkiddie en hacker, maar dat slaat meer op de manier waarop het spul omzeild wordt).

[Reactie gewijzigd door Rune op 3 november 2009 16:49]

Een hacker is iemand die een beveiliging moet omzeilen om tot z'n doel te komen, dat is hier niet gebeurd.
Waarom niet? Er is een beveiliging en zonder dat het zijn telefoon is, krijgt hij toch toegang. Goed, 't is niet de meest geniale hack, maar een hack nevertheless.

Of moet je per se een buffertje laten overlopen omdat je toevallig de source van een programma gelezen hebt? In mijn ogen is dat 't zelfde, alleen kost wat meer lees/denk tijd.
Maar hij omzeilt niets, hij logt gewoon in, niets geen DoS attack oid, gewoon legaal inloggen. Dat het niet zijn telefoon is is het enige verschil en dus meer te vergelijken met insluipen oid, een inbreker met de sleutel van het huis. Een hacker vind ik toch meer iemand die via het raam gaat met een trucje.
hij omzeilt niets [...] gewoon legaal inloggen
Dat is volgens mij niet correct. Het gaat er, zoals tomhagen al zegt, om dat je een beveiliging omzeilt. Hoe goed of slecht die beveiliging is, doet er niet toe (voor de wet dan). Élke beveiliging is immers te kraken. In principe bestaat er daarom geen verschil tussen brute-forcen of toevallig het wachtwoord weten: in beide gevallen verschaf je jezelf toegang tot een systeem waarvan je weet dat je er niet toe bevoegd bent.
[...]in beide gevallen verschaf je jezelf toegang tot een systeem waarvan je weet dat je er niet toe bevoegd bent.
Misschien wilde hij wel in z'n eigen systeem inloggen, maar wist hij het IP en 't password niet meer, en daarom een scan gedaan en met het standaard wachtwoord geprobeerd in te loggen? :-)
Daarom noemen wij deze mensen hackers: je verschaft jezelf toegang tot de foon van een ander op wederrechtelijke wijze.
Lijkt me niet toch? Hij/zij heeft immers niet voor niets een shellaccount voor de remote gebruiker aangemaakt....
ik gebruik dagelijks SSH vanaf mijn iPhone. als ze dat niet meer toe zouden laten zou ik direct mijn contact verbreken, omdat ze de instellingen zo hebben aangepast dat ik de helft van wat ik met mijn telefoon doe, niet meer kan. (ik zit meer in SSH dan dat ik bel/mail/sms etc op mijn iPhone). ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
ik gebruik dagelijks SSH vanaf mijn iPhone. als ze dat niet meer toe zouden laten zou ik direct mijn contact verbreken, omdat ze de instellingen zo hebben aangepast dat ik de helft van wat ik met mijn telefoon doe, niet meer kan. (ik zit meer in SSH dan dat ik bel/mail/sms etc op mijn iPhone). ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
Ik denk niet dat je je contract kan verbreken om iets wat je officieel nooit hebt gekunt :) Met de iPhone is SSH immers niet mogelijk. (ik zie er het nu ook niet zo van in eerlijk gezegt, en ik ben een echte shell-freak)

voor de rest sluit ik me bij caillin_coilleach aan, inbound SSH staat dicht, jij kan heerlijk ssh'en naar alles wat je maar wilt.
@ cailin_coilleach & Arjankoole:
ook SSH ik vaak naar mijn iPhone (uiteraard niet met het standaard wachtwoord).
blijkbaar stuurt hij aanvragen naar zijn telefoon in plaats van er vanaf. als ze dan inbound dichtzetten dan is hij dus functionaliteit van zijn telefoon kwijt.
Daarnaast, er kan natuurlijk 'n hoop met zo'n telefoon, maar er zullen geen hordes gebruikers op de iP van Arawn inloggen. Voor eigen gebruik is de luisterpoort nog 'ns op 8022 of noem-maar-wat te zetten, of automatisch laten inloggen op je server en vervolgens vanaf een andere locatie via je server weer op je telefoon inloggen.
Ook jij kan duidelijk weer niet lezen. Als we het hebben over blokkeren, dan gaat het om het blokkeren van BINNENkomend SSH, niet uitgaand. Is ook pas een paar keer gezegd :)
Volgens mij typte je zelf te snel: ik zie geen "edit" bij Arawn's naam, terwijl hij duidelijk verteld dat z'n iPhone de remote host is.
Er is toch helemaal geen sprake van een hack? Ik bedoel, als ik inlog op Tweakers met mijn gebruikersnaam en wachtwoord, hack ik Tweakers dan?
Nee, natuurlijk niet. Maar als ik er achter kom dat ik met een default password bij Tweakers kan inloggen en jouw gegevens kan zien, wordt 't een ander verhaal, niet?
Word er van mij niet verwacht dat ik een ander wachtwoord dan "spaties" of vijf sterretjes kies? Of in ieder geval iets dat afwijkt van mijn gebruikersnaam of geboortedatum?
Er wordt ook van systeembeheerders verwacht dat ze security patches downloaden...
Daar heb je gelijk in, en wordt het gebied tussen "wit" en "zwart" toch opeens weer grijs.. ;-)
Niet echt nee, maar het is wel een beveiligings issue :)

Ik weet niet hoe de zogenaamde hacker IP adressen weet te verzamelen, maar wellicht met een speciaal ontworpen site waar hij zogenaamd software aanbied of zo.

Wat je natuurlijk wel ziet is dat heel veel mensen die een iPhone hebben (Jan met de Pet zegmaar) thuis gewoon Windows gebruiker is. Geen idee heeft van GNU/Linux, ???BSD of Mac OSx.

Het hele verhaal (Open)ssh zegt die persoon geen ene drol. En ondanks dat ik het zelf nog nooit heb gedaan zal het jailbreaken van een iPhone met de nodige appicaties ook niet heel erg moeilijk zijn.

En als jij niet weet wat SSH doet, je er niet van weet of what ever (staat dat na breaken erop? of moet je t zelf doen?) EN je poortje 22 blijft open staan met default user/ww sja. Dan ben je natuurlijk wel een potentieel slachtoffer.
> Ik weet niet hoe de zogenaamde hacker IP adressen weet te
> verzamelen

"port scan"

Google it.
"port scan"

Google it.
"portsweep"

Bing it.
Hier, laat ik maar eens wat diep gewortelde donkere geheimen van de blackhat community blootleggen. (sarcasme).

nmap -p 22 <t-mobile subnet>

done.
En dat t-mobile subnet kun je dus weer heel gemakkelijk opvragen via ripe.net, waar alle ip-ranges geregistreerd staan.

[Reactie gewijzigd door .oisyn op 3 november 2009 17:15]

Wel grappig dat SSH wordt gebruikt om 'in te breken':
Wikipedia:
History

In 1995, Tatu Ylönen, a researcher at Helsinki University of Technology, Finland, designed the first version of the protocol (now called SSH-1) prompted by a password-sniffing attack at his university network. The goal of SSH was to replace the earlier rlogin, TELNET and rsh protocols, which did not provide strong authentication or guarantee confidentiality.
En nu laat men het password gewoon default.... 8)7
Goeie genade, lees eens joh.

op een standaard iPhone, in tegenstelling tot een Mac, staat geen SSH geinstalleerd. Via de apps kun je geen root krijgen, want die draaien in een sandbox.

Dus alleen, en uitsluitend als je je iPhone jailbreaked EN OpenSSH server installeerd via cydia OF een obscure app ( gemaakt door een minder fris persoon) kan iemand binnendringen op je iPhone. in de instructies van de SSH install staat expliceit vermeld dat dit risico er is, en meld ook hoe je het default wachtwoord moet veranderen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True