Spielzeug mit Handy-App und Internet...

[Da****]

Ich weiß, ich bin gern der ungehörte Rufer, aber manche hören ja doch zu. (@Mods: Ich hoffe, die Links sind OK so, ansonsten bitte so editieren, dass die Information noch auffindbar ist)

 

Es hat sich mal wieder gezeigt, dass diese Spielzeuge nicht der Brüller sind, was Sicherheit angeht. Oder vielleicht doch zu gut, was das angeht. Jedenfalls wurden diesmal Keuschheitsgürtel gehackt - und die könnten damit keuscher halten als von beiden Partnern erwünscht:

https://www.spiegel.de/netzwelt/gadgets/smarte-sex-toys-hacker-koennen-keuschheitsguertel-dauerhaft-verschliessen-a-e1a423e4-a1a4-41c2-ac29-165bd0764f0b

Hier ist der originale Blogpost, man beachte die Disclosure-Timeline (also die Zeitpunkte, wann mit dem Hersteller kommuniziert wurde). Üblicherweise sind 3 Monate Deadline, danach wird veröffentlicht, egal ob der Hersteller die Lücken geschlossen hat oder nicht (sonst wäre die Veröffentlichungsdrohung nur ein stumpfes Schwert).

https://www.pentestpartners/security-blog/smart-male-chastity-lock-cock-up/

 

Ich habs immer gesagt, und sags wieder: Sexspielzeug hat an einem internetfähigen Gerät nichts verloren, egal ob via Bluetooth oder direkt. 

[Gelöschter Benutzer]

Kommt aufs sextoy an. Die Firma lovense stellt z.b. Vibratoren und plugs her, die per netz steuerbar sind. Wenn die gehackt werden, vibriert es halt. Dann trennt man eben die Bluetooth Verbindung und schaltet die Teile aus.

Beim KG ist es durchaus kritischer. Aber auch da könnte man die Steuerung sicher gestalten: SSL Verschlüsselung in der Verbindung (https) und zusätzlich ein Verfahren mit AES Schlüsselpaaren, die bei der ersten Inbetriebnahme generiert werden und nur das Gerät selber und der zentrale Server die Schlüssel kennen. Für jedes Endgerät gibt es halt dann ein individuelles Schlüsselpaar. So kann die Kommunikation zwischen Server und Endgerät in den Rohdaten nochmals zusätzlich zur Verbindung verschlüsselt werden (verschlüsselte Daten über eine verschlüsselte Verbindung.) So machen es z.b. Messenger wie threema. Wenn man da die Implementierung der Kryptographie nicht verkackt wäre das schon sicher genug.

Das Problem ist also nicht die Steuerung übers Netz, sondern die lausige Implementierung.

[S***-G]

Ist zwar ärgerlich wenn sowas passiert aber im ernst, bis jetzt hab ich noch keinen KG gesehen den ich im Notfall nicht selbst auf bekomme. Dann ist er zwar kaputt, =D aber immerhin offen.

[Se****]

Naja - heftig übertrieben was die schreiben. Internet hat immer ein gewisses Risiko. Egal ob es jetzt Lampen sind die gesteuert werden o. ein Sextoy. Tesla u.a Fahrzeughersteller wurde auch die Bordelektronik auch schon per Internet gehackt und nen Auto das mit 50km/h durch die Gegend rauscht und dank Hack unkontrollierbar wird ist mit nem Sextoy nicht zu vergleichen. Finde gehackte Sextoys harmlos.Gibt auch Alarmanlagen und Türschlösser mit Internetzgang die schon gehackt worden sind. Und die Analysten übertreiben mal eben heftig - nicht mehr rauskommen - lol - der Käfig ist aus Polycarbonat. Da reichen rel. simple Mittel um da rauszukommen und nicht Trennschleifer von dem in dem Bericht die Rede ist. Ne simple Zange ist genug. Das ist kein Titan was ohne Spezialtools nicht entfernt werden kann. Und abgesehen davon - das Toy ist immer so sicher wie mein Handy bei solchen Toys mit Bluetooth-Verbindung. Wer keine Antivirensoftware und Firewall auf dem Handy hat selber Schuld. Ein Grund warum ich kein Apple nutze, weil man keine Firewall installieren kann.

[Da****]

vor 18 Stunden, schrieb dt4y:

SSL Verschlüsselung in der Verbindung (https) und zusätzlich ein Verfahren mit AES Schlüsselpaaren, die bei der ersten Inbetriebnahme generiert werden und nur das Gerät selber und der zentrale Server die Schlüssel kennen.

Nein. Das Problem ist schon, wenn es hier zentrale Server gibt, die irgendwelche Secrets kennen. Und Threema arbeitet auf temporären AES-Keys nur zum E2E-Nachrichtenaustausch, die eigentlich kritischen Keys sind asymmetrisch (RSA oder ED25519), über die Authentication und Schlüsseltausch abgebildet wird. Da kennt kein Server irgendwas außer PubKeys, und die sind public (daher der Name). Das Protokoll dürfte ähnlich dem Key-Auth-Verfahren bei SSH sein, also verschlüsselter Kanal mit Session-ID via Diffie-Hellman und die eigentliche Authentication dann mit wechselseitiger Signatur der Session-Informationen mit fehlender ID, welche vor der Prüfung vom Empfänger wieder hinzugefügt wird (DH-shared secret). Dann ist nämlich MITM auch ausgeschlossen.

Was "ich trenne mal eben die BT-Verbindung" angeht. Bahn, wearable, und ein Bluetooth-Sender. Da trennst du dann nix mehr, da "geniest" du still, und weißt nicht, welcher deiner Mitfahrenden dich da beglückt (wers mag...). Glaub ja nicht, dass das Protokoll sicher ist (kannst dich ja mal mit jiska unterhalten).

vor 7 Stunden, schrieb Seanthiar:

Wer keine Antivirensoftware und Firewall auf dem Handy hat selber Schuld.

Wer AV-Schlangenöl auf sein Andoid installiert, dürfte der größere Schuldige sein. AV reißt immer Lücken, weil zu hohes Rechteset und Scan von allem ohne Userinteraktion. Krieg ich also ne Mail, deren Anhang ich zwar runterladen lasse, aber nie öffne, erledigt das der Virenscanner mit Root-Rechten für mich. Dumm, wenn es dann ein Exploit ist. Selbst auf Windows wird AV-Software immer öfter zum Problem. 

PersonalFirewalls sind eine Krücke. Wer sich Software auf sein Endgerät schubst, der er nicht vertrauen kann, dem bringt die PF auch nix mehr. Und was Firewalls auf der Netzwerkschnittstelle angeht: Die muss man schon einrichten können. Das Installieren allein bringt noch gar nichts, da bleibt nämlich der Regelsatz erstmal leer. 

[Se****]

Jup, machen wir mal Panik u. interpretieren Sachen so das sie ins eigene düstere Weltbild passen - Ehrlich man kann es auch übertreiben. Bleib mal realistisch. Und zu behaupten das die Installation von Firewall u. AV-Software für höheres Risiko sorgt ist so als wenn du sagst die Installation von Bremsen im Auto sorgt für mehr Unfälle. Was du vergisst bzw. bewusst verschweigst ist das wenn man keine Firewall o. AV-Software hat das dann  keine Exploits benötigt werden, denn dann ist das System offen wie ein Scheunentor. BTW, bei der Install einer Firewall wird man gefragt ob Standardregeln installiert werden sollen  wenn man nicht gerade Müll kauft. Ich habe jahrelang Firewalls / AV-Systeme etc betreut und auch mal Systeme nur mit Standardinstallation als Sandbox 24Std testweise ins Netz gehängt (auch Android u. IOS) und von den Sandboxen wurde ohne Ausnahme jede durch Hacker gekapert, mit Trojanern, Malware etc. teilweise auf root-Ebene infiziert. Am schnellsten passierte das bei mobiles wenn der messenger WhatsApp installiert war. Aber das nur nebenher.

Bzgl. der Panikverbreitung - was glaubst du ist attraktiver zu hacken und wo ist es wahrscheinlicher das etwas gehackt wird und der Hack ausgenutzt wird ?  Etwas was Tausende, wenn nicht Millionen von Menschen nutzen wie telegram, whatsapp, ein Handyspiel wo es um Geld geht wie Gacha-Games o. ein sextoy, wo selbst als sextoy der Käfig ein Nischenprodukt ist, was nur wenige nutzen. Das die die Sicherheit von dem Teil getestet haben ist ein netter gag, aber eine Gefahr besteht nicht wirklich, vor allem da wie gesagt das Ding aus Plastik ist !!! - Was soll ein Hacker machen "GIb mir 1000€ o. ich sorge dafür das das Teil nicht mehr aufgeht ?" Der wird ausgelacht - Das Ding kostet 189$ - Zange aus dem Werkzeugkasten, aufmachen und neu kaufen ist billiger wenn das Opfer es nicht gerade geil findet von wem Fremden verschlossen zu werden ohne Kontrolle. Mehr als nervig ist das ganze nicht - wogegen jemand der ein Gacha-Game hackt  richtig heftigen finanziellen Schaden verursachen kann. Es gibt Leute die im Monat 1000e an € in den games verpulvern.

[Da****]

Ich betreib ein paar hundert Linux-Server und schreib die Firewalls für einige auf nftables-Ebene. Wir reden hier nicht von ungepatchten Systemen - wenn ich natürlich Löcher drin hab wie Scheunentore, dann ist das auch kein Wunder. Meine Aussage steht: Eine AV-Software läuft auf einem unixoiden Kernel mit Root-Rechten, das vermeidet man üblicherweise bei Software, wo es nur geht, weil es ein Sicherheitsrisiko ist. Und dass AV-Software alle Dateien interpretieren können muss, um wirksam zu sein, und dabei häufig kritische Fehler macht, ist auch keine neue Erkenntnis:

https://blog.fefe.de/?q=Schlangenöl

Ansonsten ist Lesen echt ein Segen, und genau deshalb hab ich nicht nur den Spiegel verlinkt. Dass man aus der Datenbank persönliche Daten raustragen kann, ist dir wohl entgangen. Gut, persönliche Daten, wen juckt das schon, sind nur Name, Telefonnummer, Geburtsdatum, ein Plaintext-Passwort (und jeder weiß, dass User IMMER für jeden Dienst andere Passwörter nutzen, deshalb gibts auch sowas wie die weakpass_2a nicht...) und Geolocation (wobei sie nicht spezifiziert haben, ob es die GPS-Koordinaten des Handys oder die ungenauere IP-Location ist).

Insofern: "Gib mir 1000 Euro, oder deine Firma bekommt eine nette Mail mit deinen Daten..." - ich glaub, das funktioniert. Ashley Madison hat schließlich auch zu ein paar Suiziden geführt.

[Gelöschter Benutzer]

@Seanthiar were ein Antivirenprogramm installiert sollte sich am besten vom Internet fern halten. AV Software ist Schlangenöl. Da wird ein Geschäft mit wilden Versprechungen und Ängsten gemacht. Dabei reißen av scanner immer wieder riesige Sicherheitslücken auf. Und trotzdessen, dass alle Welt AV Software nutzt, war alle Welt von z.b. den ganzen Crypto Trojanern betroffen. Sowohl Privatpersonen als auch Unternehmen aller Größenordnungen.

AV Software bringt genau nichts. Es richtet, bei der lausigen Implementierung mehr schaden an als es nutzen bringt.

bearbeitet Oktober 11, 2020 von Gelöschter Benutzer
@eingefügt.

[Se****]

Leute ich bleibe dabei - Panikmache, pure Panikmache.

Ein sextoy ist KEIN kritischer Server - Das Interesse ein Produkt zu hacken was wenig verbreitet ist geht gegen Null. 

Und @dt4y zeig mir mal das Mobile einer Privatperson was aktuell und gepatched ist. Ich vermute 90% der Leute hat ein nicht aktuelles OS drauf, da die wenigsten Hersteller es hinbekommen  bzw kein Interesse daran haben das aktuelle OS für ein älteres Mobile zu implementieren. Neues OS und gestopfte Lücken nur mit neuem Mobile und das muss man sich erst mal leisten können. Das ist kein Windows o. Linux, wo die aktuelle OS-Version auch auf nem 10 Jahre altem Gerät läuft.

Und die sch.... Schlangenölbehauptung kann ich nicht mehr sehen. Bis jetzt hat keiner von euch einen Beweis o. auch nur eine unabhängige Untersuchung von Nichtpanikmachern gebracht das AV - Software u. Firewalls für normale Nutzer nutzlos sind. 

Es stimmt das viele Sicherheitsforscher auf den eigenen Rechnern keinen Virenschutz einsetzen – wenn man mal vom Basisschutz durch den Windows Defender absieht. Dabei handelt es sich allerdings um routinierte Anwender, die viel Zeit damit verbringen, sich über Sicherheitslücken und Bedrohungen zu informieren und daher vorsichtig im Netz sind. DAS SIND ABER NICHT DIE NORMALEN NUTZER.

Für normale Nutzer sind AV-Software u. Firewalls ein Sicherheitsgewinn. Selbst wenn ein Virenscanner Sicherheitslücken enthält, hat der Rest der installierten Software auf dem System in der Regel viel größere Sicherheitslöcher. Und die Wahrscheinlichkeit, dass diese angegriffen werden - z.b. auf dem mobile die in whatsapp - ist viel höher. Zudem kann es nach Angriffen beim Online-Banking davon abhängen, ob AV-Software installiert war ob die Bank den Schaden anerkennt oder der Kunde drauf sitzen bleibt. Spricht natürlich nicht die Hersteller davon frei entdeckte Lücken in der AV-Software nicht zu stopfen.

Wer eurem Rat folgt und AV-Software deinstalliert und deswegen einen Betrugsschaden von der Bank nicht ersetzt bekommt - bekommt der dann den Schaden von euch ersetzt  ? Denn nur weil kein Virenscanner mehr auf dem System ist, glaubt nicht das deswegen ein normaler Anwender sein Surfverhalten ändert o. bestimmte apps nicht mehr nutzt.

AV-Software ist Grundausstattung bei dem unkritischen Verhalten was die meisten an den Tag legen.

bearbeitet Oktober 11, 2020 von Seanthiar

[Gelöschter Benutzer]

@Seanthiar, Also ich bekomme bei meinen Geräten mindestens 3 Jahre Lang Android Versionsupdates. Danach auch noch Sicherheitsupdates. Sowie monatlich ein Sicherheitsupdate.

Das Samsung das nicht auf die kette bekommt ist ja nichts neues. Wer sich dennoch ein Samsung kauft ist halt selber schuld.

AV-Software ist auf normalen Clients / Workstations NIEMALS ein Sicherheitsgewinn. Zumindest nicht so lange diese so lausig implementiert ist, wie es derzeit bei 100% der AV-Software der Fall ist. Der unterschied zwischen einer Lücke in einer unwichtigen Software und einem Virenscanner ist, dass der Virenscanner mit einem deutlich höheren Rechteniveau ausgeführt wird und somit deutlich höhere Zugriffe bei einer Kompromitierung erfolgen. Um selbe Berechtigungen durch andere Software zu erreichen, bedarf es in der Regel eine Verkettung einer Vielzahl von Sicherheitslücken um damit eine priviledge Escalation zu erreichen.

Keine Ahnung warum du so versessen auf Virenscanner bist. Lass dir nur weiter dieses Schlangenöl andrehen und die das Geld aus der Tasche klauen. Von 100 IT Profis werden dir 98 bestätigen, das AV Software nichts weiter als Schlangenöl ist. Lies dir den Link von @Damokles durch. Dort findest du jede menge Beispiele wie sehr AntiViren, Software Schlangenöl ist. Und das ist nur die Spitze des Eisbergs

Die einzige Situation wo Virenscanner Sinn ergeben, sind in speziellen Umgebungen wir z.b. im Mailserver Kontext, also einer Umgebung wo der Virenscanner nur eingeschränkte Rechte bekommt und nur das scannen darf, was mittels einer API übergeben wird.  Für eine solche Implementierung ist aber dein Mailprovider in der Pflicht.

 

bearbeitet Oktober 11, 2020 von Gelöschter Benutzer
unötiges Zitat, beeinträchtigt den Lesefluss

[Da****]

vor 5 Stunden, schrieb Seanthiar:

Ein sextoy ist KEIN kritischer Server - Das Interesse ein Produkt zu hacken was wenig verbreitet ist geht gegen Null.

Ein Sextoy sollte GAR KEIN Server sein. Ist es in diesem Falle auch nicht. Aber der Hersteller bietet einen Server an, da sonst die Fernsteuerung nicht richtig funktioniert. Und dieser ist marode. Nur darum gehts. 

 

Dass man den KG zusperren kann, ist eher ein nice to have. Und ja, klar, die Zielgruppe ist klein, aber eben interessant, weil sie zahlungswillig sein werden, wenn sie mit den INFORMATIONEN aus dem Server erpresst werden. Eben weil Sex in unserer Gesellschaft etwas sehr intimes ist, über das die meisten Leute Stillschweigen bewahren, insbesondere wenn die Spielarten etwas ungewöhnlich werden.

Nochmal: Ich rede hier von einer Gefahr für die Zielgruppe, und dass diese nicht so unattraktiv ist, wie behauptet. Du legst hier Maßstäbe für Botnetbetreiber an, die natürlicherweise häufig genutzte Systeme angreifen, weil dann das eigene Botnet mächtiger wird. Wer aber erpressen will, versucht weitgehend unter dem Radar zu bleiben, insbesondere, wenn die Preise hoch werden, weil je mehr Aufmerksamkeit man auf sich zieht, desto mehr Strafverfolger hat man im Nacken.

[Se****]

Noch mal direkt gefragt - Seid ihr beide bereit Schadensersatz zu leisten wenn jemand AVSoftware wg eurem "Tip" deinstalliert und dieser Schaden deswegen im Schadensfall nicht von der Bank übernommen wird ? Wenn nicht dann bitte mit solchen Vorschlägen zurückhalten.

BTW die "links" sind ein Witz - Spiegel kann man nicht wirkl. ernst nehmen - die haben fast Bild-Niveau (erinner nur an die Hitler-Tagebücher) u. pentestpartner - Die reisserische Behauptung im Artikel das man nur mit einem Trennschleifer aus einem Plastikkäfig rauskommt spricht deutliche Worte über die Qualität des Artikels, auch wenn sie später Tips geben wie es anders geht.

Wer googlen kann findet zudem deutlich mehr Seiten wo von zig Experten empfohlen wird AV-Software u. Firewalls zu installieren, auch wenn sie Lücken haben, da ohne diese Software noch viel mehr Lücken auf einem System vorhanden sind. Aber ihr habt eure Meinung - ich habe meine - viel Spass mit eurem Weltungangsszenario - Ich klink mich aus. Nur ein Tip - versucht auch mal es nicht mit der Expertenwissenbrille zu sehen, sondern von Anwenderseite, die teils so wenig Ahnung haben das sie nicht wissen wie man ein system aktuell hält. Das sind Anwender - keine Administratoren - ihr seid leider mit eurer Ansicht etwas Realitäts- und Userfern. Und was updates bei mobiles angeht - gibt genug Anbieter die stellen ein update zur Verfügung, welches nicht mit dem updatetool arbeitet und erwarten dann das man das Update per flashtool durchführt und wenn es schief geht und das mobile bricked - Pech gehabt. 

Bzgl. botnet - hast den Hauptpunkt übersehen - wenn angenommen 1% der Opfer zahlt und die Zielgruppe ist klein (wie bei den sextoys), ist der "Gewinn" klein - ist die Zielgruppe groß ist der Gewinn groß und man kann pro Person eine kleinere Summe verlangen, was die Wahrscheinlichkeit einer Anzeige verringert - siehe Verschlüsselung von Windows inkl. bitcoin-Erpressung (ransomware). Und erwischt wurde bis dato glaub ich keiner/wenige der Verschlüsselungs-Erpresser... Bekannt ist ein "Gewinn" / gezahlte Summen von mind. 705  bitcoin = aktuell ca. 6.8Mio Euro - Da wird keiner mit dem Plastikkäfig dran kommen. Wie gesagt uninteressant - ausser man kennt die Zielperson und weiss das es grossen persönlichen Schaden verursachen würde wenn es bekannt wird und das die Person reich genug ist um eine signifikante Summe zu zahlen. Und die Länder wo man sicher sein kann das so eine Info sicher Schaden verursacht, sind aber auch die wo das Risiko das man die Aufmerksamkeit vom Falschen auf sich zieht auch hoch ist. Aber dafür reichen nicht die Infos aus einer db, die man hacken muss u. evtl. seinen Fingerabdruck hinterlässt, sondern man benötigt Detektivarbeit bzgl. des persönlichen Umfeldes was das Risiko des erwischt werdens noch einmal erhöht. Ein KG für 189$ bedeutet auch nicht das jemand Geld hat, den kann die Herrin gekauft haben. Zudem gibt es da deutlich teurere Teile.

BTW die Zahlungen für ransomware waren zwischen 20€ u. 7000€ per Erpressung laut BKA - und die Angriffe hätten laut BKA auch mit AV-Software etc. vermieden werden können. Wie gesagt ihr habt eure Meinung - ich und viele andere haben eine gegensätzliiche. Viel Spass noch - Ich bin raus aus dem Thread.

[Da****]

vor 9 Stunden, schrieb Seanthiar:

Noch mal direkt gefragt - Seid ihr beide bereit Schadensersatz zu leisten wenn... Bank

Nein. Und zwar, weils unsinnig ist, und das wüsstest du, würdest du nicht nur AV/Firewalls verticken, sondern dich in großen Umgebungen mal mit ISO47k auseinandersetzen. Da werden haufenweise Dinge vorgeschrieben, von technikfernen Schreibtischtätern, welche einfach nur den eigenen Arsch retten wollen und Round-Robin mit der Verantwortung spielen, bis jeder auf alle anderen zeigen kann und am Ende sich alle einig sind, dass es die "phösen Kriminellen" waren, und nicht die vergammelte Software/unzureichenden Sicherheitsmethoden im eigenen Keller - es sei denn, es findet sich ein dummer Schuldiger (=Kunde). Siehe Shitrix/Klinikum Duisburg, siehe Software AG (die sicher ALLE einen Virenscanner auf den Systemen hatten), siehe Exchange-Lücken, siehe Cisco, siehe Banking-Apps, siehe N26, siehe... die Liste lässt sich sowohl in Technik als auch in der Gesellschaft beliebig fortsetzen. Ich kann nur sagen: Seit meine Endanwender, denen ich auch mal so ca. einmal im Jahr auf die Rechner gucke, Linux ohne Virenscanner und extra Firewall verwenden, habe ich kein Problem mehr, wo ich davor noch alle zwei Jahre mindestens ein Windows mitsamt AV/PF neu installieren durfte, weil halt doch irgendein Phishing-Shit aufgemacht wurde, den besagter Virenscanner auch erst erkannt hat, als er bereits auf der Platte war. Komisch, Linux muss nen echt krassen Virenscanner mitbringen, den ich einfach nicht sehe, vermutlich, weil ich zu doof bin. Ach noch was: Wenn der Anwender wissen muss, wie er ein System aktuell halten muss, stimmt was am System schon nicht. Das hat Microsoft auch mit Win10 erkannt, und lässt Updates nicht mehr ewig verzögern. Nerven tun sie trotzdem. Bei Linux - kriegt der Anwender das unattended-upgrades nichtmal mit.

 

Das mit dem Rechnen erkläre ich dir jetzt explizit nicht. Nur soviel: Was glaubst du, wie viele Prozent zahlen, um ihre nie mehr angeschauten Urlaubsfotos von 1993 wieder entschlüsseln zu können, von denen sie noch 2 CDs, ne DVD und drei Datensicherungen auf irgendwelchen externen Festplatten/USB-Sticks haben, und wie viele, um zu verhindern, dass Chefs, Geschäftspartner und/oder Kollegen mitbekommen, wie pervers sie eigentlich sind? Kleiner Tipp: fast alle Ransomware-Angreifer tragen seit Jahren vorher Geschäftsgeheimnisse raus, um eben nicht durch ein einfaches Backup ausgelacht werden zu können.

Google doch mal Ashley-Madison-Hack. Warte, ich helf dir:

https://www.forbes/sites/zakdoffman/2020/02/01/ashley-madison-hack-returns-to-haunt-its-victims-32-million-users-now-have-to-watch-and-wait/#6661fb285677

Der Hack war übrigens vor 5 Jahren. Das ist der Unterschied zwischen Blackmail und Ransom. Letzteres ist one-shot. Ersteres bindet "Kunden" auf lange Sicht. Und genau das macht es so furchtbar interessant, ist auch bei Kleinbeträgen lohnend und erhöht die Zahlungswilligkeit ungemein. Selbst wenn 90% der Daten Bullshit sind, die restlichen 10% werden mit weit höherer Wahrscheinlichkeit (auch mehrfach) zahlen, als es bei reinem Ransom der Fall ist.

 

Und zum BKA noch: Das sind doch die Leute, die ihre eigenen Rechtsradikalen schon nicht finden und selbst Kaltgerätekabel bei der Hausdurchsuchung mitnehmen, weil "Beweismaterial". Die effektiv dem BSI mit seinem Cyberclown nachplappern. Klar, denen glaub ich, die sind am Puls der Zeit.

(das ist jetzt überspitzt - die Jungs und Mädels, mit denen ich aus der Richtung bislang zu tun hatte, waren nicht inkompetent, auch wenn man ihnen anmerkt, dass sie ihren Arbeitstag zu über 50% als Beamte verbringen, und nicht zu 200% als Computerspezialisten, wie das mein Umfeld so macht)

[Ponnyo]

Oder man benutzt eine eigene Lösung. Monitor, Webseite und Arduino mit Lichtsensoren. Wovon keiner weiß, das wird eher selten gehackt. Code zum Eingeben ginge auch. Unhackbar.

[Da****]

Nachtrag bzgl. "Produkt hacken, das kaum verwendet wird": Ist passiert. Ransomware-Code öffentlich auf Twitter:

 

[Gelöschter Benutzer]

Naja... Also mal abgesehen von der Frage ob es diese Toy's tatsächlich so toll sind kann man die Sache doch auf einen einfachen Nenner bringen:

Gehirn einschalten.

Das gilt für alle Devices genau wie für Software. Wenn ich etwas kaufe das nur mit externen Servern lauffähig ist, sich nicht autonom oder in der eigenen Infrastruktur  betreiben lässt und dann auch noch freiwillig meine Daten dahin schicke muss ich mich halt nicht wundern wenn etwas schief geht. Die erste Frage die ich mir in diesem Fall stellen sollte ist: Warum ist das System so designed? Wenn es keinen offensichtlichen Grund dafür gibt solche Spielereien mit dem Internet zu verbinden - und den gibt es fast nie - würde ich da immer Datenklau oder Gier (Abbo & Co.) unterstellen.

Das ein _geschlossenes_ System wirklich problematisch ist glaube ich nicht. Natürlich kann man eine Bluetooth oder Funkverbindung relativ einfach hacken wenn man in der Nähe ist. Aber was im Labor noch gut funktioniert wird im waren Leben schnell zur Herausforderung und ist nichts was Scriptkids mal einfach so zuverlässig hinbekommen - es sei denn sie Wohnen im eigenen Haushalt - und dann ist die Schadenfreude bestimmt groß ... :-) Ich hätte als Kind jedenfalls einen Heiden Spaß dran gehabt so was zu hacken - nur gab es das damals noch nicht und meine Eltern hätten es wohl auch nie für sich nicht gekauft...