Hilfe! Benutzername und Passwort vergessen

[alf29]

Fakt ist, ich bin mir von LANCOM ziemlich verarscht und alleine gelassen vorgekommen. (Die Telefonrechnung hat mich dann aber nicht alleine gelassen...)

Ohne den ganzen Fall zu kennen ist das erstmal nur eine subjektive Sichtweise...

Da ich ein schlaues Kerlchen bin,

Eigenlob stinkt...

Stellt sich die Frage, wer jetzt mit dem Beleidigen / Kindergarten angefangen hat...

wer mit dem Provozieren angefangen hat, dürfte klar sein...

Egal. Fakt ist, ich bin seriös, ansonsten wäre ich schon längst von der Bildfläche verschwunden;

Nun, das bestreite ich noch immer. Frust ist eine Sache, das als Begründung vorzuschieben,
eine mögliche Sicherheitslücke für sich zu behalten und damit Geld zu verdienen, eine
andere.

Aber ich in meinem Leben je wieder bei LANCOM anrufen

Oh, verletzter Stolz? Inzwischen sollte Dir klar geworden sein,
daß einige der Poster in diesem Thread (mich eingeschlossen) bei LANCOM
arbeiten, eine PM würde also völlig genügen. Aber offensichtlich geht's
Dir darum, daß LANCOM 'zu Kreuze kriecht'?

Gruß Alfred

[AndreasMarx]

ruhig Leute, ruhig... das ihr Euch jetzt darüber streitet, wer bei wem anruft, das finde ich dann wirklich skurril.

@l-walker: Du bist nicht "verarscht" worden. Support (zumindest was über die Dokumentation hinausgeht) ist eine Dienstleistung, und daß LANCOM sich diese Diensteistung (in geringem Umfang --- die 0190 ist sicher nicht kostendeckend) bezahlen läßt ist erst mal in Ordnung. Das Auslesen einer Konfiguration bei vergessenem Passwort ist nicht vorgesehen, Du kannst Dich also auch nicht auf einen Mangel berufen. Was hättest Du denn erwartet? Daß LANCOM den Router im Labor ausliest? Was hätte das wohl gekostet? Hätte LANCOM das überhaupt machen dürfen, wenn sie eben gerade zusichern, daß es nicht geht?

@LANCOM-Kollegen: Auch wenn's vielleicht keine Master-Passworte gibt, vor Fehlern ist keiner gefeit, wie wir alle jeden Tag bei Heise-Security nachlesen können. Mal unterstellt, daß es diese Lücke gibt, dann ist das Know-How von l-walker erst mal sein geistiges Eigentum, das er auch (zu lauteren Zwecken) vermarkten darf. Aus seiner Sicht ist es auch kein Hack sondern eine Lösung. Für seriös halte ich es allerdings auch nicht...


Es wäre jetzt natürlich schön für alle LANCOM-Kunden, wenn ihr zusammenkommen könntet. Das setzt voraus, daß l-walker nicht überzogene Ansprüche stellt (Auslagenerstattung fände ich für das Finden eines Exploits angemessen) und vielleicht erst einmal "in Vorleistung tritt", z.B. indem er LANCOM mal mitteilt, ob das ein remote-Exploit ist. LANCOM wiederum sollte sich nicht zu Schade sein, in einem solchen Fall auch mal auf den Kunden zuzugehen.

Viele Grüße,
Andreas

P.S. "Schlaue Kerlchen" gibts bei LANCOM sicher auch. Wenn aus der Aktion also nix wird, dann ist Polen vielleicht trotzdem noch nicht verloren.

[eddia]

Hallo Andreas,

Mal unterstellt, daß es diese Lücke gibt, dann ist das Know-How von l-walker erst mal sein geistiges Eigentum, das er auch (zu lauteren Zwecken) vermarkten darf.

Eine Lücke zur Vermarktung nutzen? Und dann sprichst Du noch von lauteren Zwecken?

Aus seiner Sicht ist es auch kein Hack sondern eine Lösung. Für seriös halte ich es allerdings auch nicht...

Die Sicherheit eines Produktes zeichnet sich gerade dadurch aus, dass es keinen 'Hack' gibt. Und wenn Du das als Lösung bezeichnest, müsste ja jeder Hersteller eine Hintertür für vergessene Passwörter einbauen.

Wie schon geschrieben wurde, ist es allgemein üblich, zuerst den Hersteller zu informieren und ihm eine Frist bis zur Veröffentlichung der Lücke zu geben. Wer anders handelt, verstösst zwar nicht gegen irgendwelche Gesetze, handelt aber zutiefst unmoralisch.

Gruß

Mario

[COMCARGRU]

Die Sicherheit eines Produktes zeichnet sich gerade dadurch aus, dass es keinen 'Hack' gibt. Und wenn Du das als Lösung bezeichnest, müsste ja jeder Hersteller eine Hintertür für vergessene Passwörter einbauen.

*Grins* erzähle das mal Cisco! Es wurde mir schon erzählt, daß es ab einer gewissen Größe absolut erfoderlich ist, Hintertüren zu haben. Könnte ja sein, daß man als Kunde "SuperBigMegaKonzern" hat und dort irgend so ein A....h von Admin das Paßwort vergißt. Dann kann man ja dem "SuperBigMegaKonzern" nicht sagen: Sorry, weil einer DEINER Admins zu blöde ist, mußt du deine 50.000 Router resetten und neu konfigurieren.

Dazu sage ich: Sorry! Dann muß "SuperBigMegaKonzern" das eben tun

Gruß
COMCARGRU

[AndreasMarx]

Dazu sage ich: Sorry! Dann muß "SuperBigMegaKonzern" das eben tun

Gruß
COMCARGRU

Stimmt, ab einer gewissen Größe muß man das wohl. Ich bin aber froh, daß LANCOM das eben nicht tun muß und ich ein Gerät bekomme, bei dem ich glauben kann, daß der Hersteller alles tut, um es sicher zu machen. LANCOM hat sich hier also erst mal gar nix zu schulden kommen lassen, auch nicht, indem man l-walker nicht helfen konnte/wollte.

l-walker kann man auch nicht so recht einen Vorwurf machen. Er hatte ein Problem und keiner hat ihm geholfen. Er hat nicht drangegeben und versucht es selbst zu lösen und es (vielleicht) geschafft. Daß er deswegen sauer auf LANCOM ist ist ungerechtfertigt, daß er Geld damit machen will unmoralisch, daß er dafür in einem LANCOM-Forum Werbung macht (nichts anderes war der Hinweis auf seine Website) provokant. Aber ihn deshalb nicht anzurufen wäre unprofessionell. Es geht doch hier um die Sache, nicht im persönliche Befindlichkeiten, oder?

Gruß,
Andreas

P.S. Selbstkritische Anmerkung: Es kann ja durchaus sein, daß LANCOM der Sache nachgeht, wir das hier aber nicht mitbekommen --- diese Forum ist ,wenn auch inoffiziell, doch irgendwie LANCOM-Außenauftritt. Ich werde also aufhören hier schlaue Reden zu schwingen und hoffe, daß die Geschichte sich irgendwie erledigt (wenn es sie denn überhaupt gibt).

[REPTILE]

mhh...

naja kann ich mir nicht vorstellen das Cisco eine hintertür im IOS hat... bzw wüsste von keiner........ zumindest keiner die eine "gefahr" darstellen sollte...

ich weis zwar wie man an die konfig kommt ohne passwort, nur ist das nur möglich wenn man an das Gerät physikalisch ran kommt und da ist es ok wie ich finde.... ein potentieller hacker kommt wohl meistens nicht in reichweite der geräte selber

aber... steitet euch ruhig weiter... *popkornhol* am besten schlagt euch

[COMCARGRU]

Reicht das für den Anfang?

http://www.heise.de/newsticker/result.x ... ords=Cisco

da gibt es noch mehr...


Gruß
COMCARGRU

p.s. wer schlägt sich denn? Wir tauschen bislang nur Wissen aus

[REPTILE]

vieleicht mal richtig lesen..... da steht was von default passwort bei standart konfiguration.... wo liegt das problem?... die LANCOMs haben bei auslieferung garkein passwort..... wer keins setzt oder das bei den ciscos net ändert ist wohl selber schuld...... mal davon abgesehen reden die da garnicht von IOS systemen.......

[COMCARGRU]

vieleicht mal richtig lesen

*grins* - ja eben lies es mal richtig! Vorallem auch diesen Link, der dort steht: http://www.heise.de/security/news/meldung/55892

Darin heist es wörtlich:

Cisco warnt seine Kunden vor fest einprogrammierten SNMP-Community-Strings

Hard codiert!!! - Bitte erkläre mir, wie man ein fest einprogrammiertes Paßwort ändert?

Gruß
COMCARGRU

[COMCARGRU]

Und ob IOS oder nicht, spielt keine Rolle. Ich bezog mich oben ja nicht auf Router im speziellen. Und wenn die sowas in ihren Conference Systemen haben, wer weis wo noch überall?

Gruß
COMCARGRU

[Lonesome Walker]

Also, um ma alles abzukühlen, heute hab ich einen Anruf von LANCOM angenommen, denen die "Lücke", wenn man denn die so nennen will... mitgeteilt.

Eigentlich ist diese Lücke gar nicht möglich; wurde bei LANCOM getestet.
Scheint also, daß mein Kunde "Glück" gehabt hat. Ich teste jetzt aber auch noch mal bei mir. ISt halt einerseits toll, weil man hat eine Möglichkeit, wenn man ma was vermurkst hat, daß man wieder rein kommt; andererseits wieder Mist...

PS: Der "Angriff" *weglach* auf den Router wurde mit Script-Kiddie Tools bewerkstelligt... (weils halt einfach ist *rins*)

[backslash]

Hi

Bei dem "Angriff" den du gefahren hast, hast du nur Glück gehabt, daß eine der 1440 Anfragen die das LANCOM an einem Tag mit falschem Paßwort zuläßt (je 5 alle 5 Minuten), das korrekte Paßwort enthielt. Klar kann man das auch soweit automatisieren, daß kein Versuch ins Leere läuft: 5 Paßwörter ausprobieren, dann 5 minuten warten und dann wieder 5 Paßwörter....

Das ist aber *KEINE* Sicherheitslücke, da diese Methode bei einem sicheren Paßwort (Mehr als 8 Buchstaben, Groß/Kleinschreibung, kein lesbares Wort, mindestens zwei Sonderzeichen, etc.) fürhestens nach einigen Jahrtausenden zu einem Ergebnis führt - und das ganz ohne Login-Sperre.

Das wichtige ist halt: Die Sicherheit hängt am sicheren Paßwort - und wenn das mit einem Wörterbuchangriff innerhalb von 5 Minuten geknackt ist, dann helfen die besten Sicherheitsmechanismen nicht mehr weiter...

Gruß
Backslash

[COMCARGRU]

iss nich war, daß war das *Problem*?

Gruß
COMCARGRU

[filou]

Ich hab´s geahnt, ´ne Bruteforce-Attacke ...und so´n Wind drum gemacht ...Glück gehabt, dass das PW simpel war
War sicher ein "guter" Admin

P.S. Wie backslash schon erwähnt hat ...immer "schöne" Passwörter setzen.

[eddia]

Hallo Jens,

Ich hab´s geahnt, ´ne Bruteforce-Attacke ...und so´n Wind drum gemacht ...Glück gehabt, dass das PW simpel war

bestimmt 123 oder abc.

Schade nur, dass sich die 'Lücke' so schnell geklärt hat. Ich hätte es dem 'Superhacker' gewünscht, dass er beim nächsten Einsatz zum 'definitiven Knacken' des Lancom-Passwortes ordentlich auf die Nase gefallen wäre.

Gruß

Mario