Kurze Zusammenfassung
In diesem Video untersucht der Autor die Nano KVM-Geräte von CPID, eine Reihe von kostengünstigen KVM-Lösungen (Tastatur, Video, Maus) für den Fernzugriff auf Computer. Der Autor analysiert die Hardware, die Sicherheit und die Softwareprobleme dieser Geräte im Detail und kommt zu dem Schluss, dass die Hardware zwar gut ist, die Software jedoch ein Desaster darstellt. Er warnt davor, diese Geräte zu kaufen, da sie erhebliche Sicherheitslücken aufweisen.
- Der Autor untersucht die Hardware der Nano KVM-Geräte in der Light-, Standard- und PCIe-Version
- Er deckt gravierende Sicherheitsmängel in der Software auf, wie unsichere Standardpasswörter, fehlende Verschlüsselung und unverschlüsselte Kommunikation
- Das Unternehmen CPID verwendet eine proprietäre Bibliothek, die für jedes Gerät individuell kompiliert werden muss, was als sehr unsicher eingestuft wird
- Insgesamt empfiehlt der Autor, diese Geräte aufgrund der vielen Sicherheitsprobleme nicht zu kaufen
Einführung
Der Autor stellt zu Beginn fest, dass Fernzugriffslösungen für Computer, die Tastatur, Video und Maus emulieren können, eine revolutionäre Technologie sind. Er hat in der Vergangenheit bereits einige solcher Geräte auf seinem Kanal vorgestellt. Nun möchte er sich die Nano KVM-Geräte von CPID genauer ansehen, da er von Zuschauern darauf aufmerksam gemacht wurde.
Auspacken
Der Autor erhält von CPID drei Nano KVM-Geräte: die Light-Version, die Standardversion und die PCIe-Version. Er packt die Geräte aus und beschreibt detailliert die Hardwareausstattung und Anschlüsse jedes Modells.
Lite-Testung
Der Autor testet zunächst die Light-Version des Nano KVM. Er verbindet das Gerät mit einem Linux-Rechner und kann darauf remote zugreifen, indem er Tastatur und Maus emuliert. Allerdings stellt er fest, dass das Gerät versucht, sich mit verschiedenen Servern im Internet zu verbinden, was er durch die Verwendung eines isolierten Netzwerks unterbindet.
Reverse-Engineering
Der Autor untersucht den Quellcode des Nano KVM genauer und deckt dabei gravierende Sicherheitsmängel auf. Er stellt fest, dass das Gerät standardmäßig mit dem Benutzernamen "admin" und dem Passwort "admin" ausgeliefert wird. Außerdem verwendet es eine proprietäre Bibliothek, die für jedes Gerät individuell kompiliert werden muss, was als sehr unsicher eingestuft wird.
Authentifizierungsfunktion
Der Autor analysiert die Authentifizierungsfunktion des Nano KVM und stellt fest, dass das Passwort in einfacher Textform übertragen und mit einem statischen Schlüssel verschlüsselt wird. Dies ist eine sehr unsichere Methode, die leicht zu knacken ist.
Linux
Der Autor untersucht die Linux-Umgebung, die auf dem Nano KVM läuft. Er findet heraus, dass das Gerät versucht, sich mit verschiedenen Diensten im Internet zu verbinden, ohne dass der Nutzer dies konfiguriert hat.
PCIe-Version
Der Autor testet auch die PCIe-Version des Nano KVM. Er stellt fest, dass diese zwar in einen PCIe-Steckplatz passt, aber eigentlich keine PCIe-Verbindung nutzt, sondern lediglich mechanisch in den Slot eingesetzt wird.
Passwörter
Der Autor kritisiert erneut die unsichere Handhabung von Passwörtern durch den Nano KVM. Das Gerät verwendet standardmäßig das Passwort "root" für den SSH-Zugang, was ein großes Sicherheitsrisiko darstellt.
Firmware-Update
Der Autor versucht, das Nano KVM-Gerät zu aktualisieren, was jedoch fehlschlägt. Er vermutet, dass dies an Inkompatibilitäten zwischen der alten Firmware-Version auf der SD-Karte und der neueren Software-Version liegt.
"USB"-Dongle
Der Autor untersucht den USB-Anschluss des Nano KVM und stellt fest, dass dieser nicht den USB-Standard einhält, sondern eigene, unsichere Funktionen implementiert.
Display
Das Nano KVM-Gerät verfügt über ein kleines Display, das dem Nutzer grundlegende Informationen wie die IP-Adresse anzeigt. Der Autor sieht dies als eine der wenigen positiven Eigenschaften des Geräts.
Fazit
Abschließend kommt der Autor zu dem Schluss, dass die Hardware des Nano KVM durchaus interessant ist, die Software jedoch massive Sicherheitsmängel aufweist. Er rät daher davon ab, diese Geräte zu kaufen, solange die Sicherheitsprobleme nicht behoben wurden.
