Abo
  • Services:

Raspberry Pi: Schutz gegen Übernahme durch Hacker und Botnetze verbessert

Mit einem Raspbian-Update soll der Raspberry Pi besser gegen Missbrauch geschützt werden. SSH ist standardmäßig nicht mehr aktiv.

Artikel veröffentlicht am ,
Boot-Splashscreen
Boot-Splashscreen (Bild: Alexander Merz/Golem.de)

Bei Raspbian, dem Standard-Betriebssystem für den Raspberry Pi, ist in der aktuellen Version vom 25. November 2016 der Zugriff per SSH (Secure Shell) standardmäßig deaktiviert worden. SSH dient dem Zugriff auf Computer über ein Netzwerk. Der Entwickler des Raspberry Pi, die Raspberry Pi Foundation, reagiert damit auf die zunehmenden Berichte über die Übernahme von Geräten in Computernetzwerken durch Hacker und Botnetze.

Stellenmarkt
  1. Garz & Fricke GmbH, Hamburg
  2. über OPTARES GmbH & Co. KG, südliches Baden-Württemberg

Um SSH bei der neuen Raspbian-Version zu aktivieren, muss ein Nutzer es nun aktiv mit dem Konfigurationswerkzeug raspi-config einschalten. Es steht in aktuellen Raspbian-Versionen sowohl als Desktopprogramm als auch als Kommandozeilenprogramm zur Verfügung. Alternativ kann SSH auch aktiviert werden, indem auf der SD-Karte mit der Betriebssystem-Installation eine Datei mit dem Namen ssh im Verzeichnis /boot/ erzeugt wird. Der Inhalt der Datei spielt keine Rolle. Sieht das Betriebssystem diese Datei beim Booten, dann wird SSH dauerhaft aktiviert und die Datei gelöscht.

Standard-Nutzer mit Standard-Passwort

Obwohl bislang keine Angriffe durch von Hacker gekaperte Raspberry Pis bekannt wurde, besteht die Gefahr durchaus: Bei einer Standard-Installation von Raspbian wird ein Standard-Nutzer mit einem vorgegebenen Passwort angelegt, das auch für den Root-Zugriff genutzt wird. Das Passwort kann der Benutzer ändern, muss es aber nicht. Das widerspricht einschlägigen Sicherheitsempfehlungen. Allerdings empfiehlt die Raspberry Pi Foundation explizit die Änderung des Standardpassworts.

Raspberry Pis finden zunehmend Verbreitung. Deshalb steigt die Gefahr, dass die Bastelcomputer attraktiv für die Übernahme von Botnetzen werden. Ein Raspberry Pi, der zum Beispiel als Mediacenter dient, würde so zum Angriffswerkzeug auf Webseiten. Der Benutzer muss das nicht unmittelbar bemerken.

Die Änderung ist das erste wesentliche Update, seit die Raspberry Pi Foundation eine überarbeitete Version von Raspbian im September 2016 vorgestellt hat. Mit dem damaligen Update wurde unter dem Namen Pixel ein neuer Desktop eingeführt.



Anzeige
Spiele-Angebote
  1. (-35%) 38,99€
  2. 5€
  3. 4,95€
  4. 99,99€

bombinho 15. Jan 2017

Danke, es wird immer von Millionen Jahren etc. gesprochen aber es braucht nur einen...

My1 05. Dez 2016

SFTP, geht aber logischerweise nicht ohne SSH.

M.P. 05. Dez 2016

Wer es schafft, ein SSH-Key-Paar zu erzeugen, wird wohl auch einen eingeschränkten SSH...

eMvO 05. Dez 2016

Dann ist er schon kompromittiert, am besten neu aufsetzten. Bei mir hier an einer...

am (golem.de) 03. Dez 2016

Simple Grundregel: Wenn etwas gehackt werden kann, dann wird es auch gehackt. Ein...


Folgen Sie uns
       


Hackerangriff auf die Bundesregierung - Interview

Golem.de-Security-Redakteur Hauke Gierow klärt über den Hackerangriff auf die Bundesregierung auf.

Hackerangriff auf die Bundesregierung - Interview Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Adblock Plus: Bundesgerichtshof erlaubt Einsatz von Werbeblockern
Adblock Plus
Bundesgerichtshof erlaubt Einsatz von Werbeblockern

Der Bundesgerichtshof hat im Streit um die Nutzung von Werbeblockern entschieden: Eyeo verstößt mit Adblock Plus gegen keine Gesetze. Axel Springer hat nach dem Urteil angekündigt, Verfassungsbeschwerde einreichen zu wollen.

  1. Urheberrecht Easylist muss Anti-Adblocker-Domain entfernen

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

    •  /