Zugriffssicherheit auf CCU durch Hacker ?!?

zur Übersicht17 Beiträge Thema abonnieren Neue Antwort
Anzeigen  Sortieren 

Zugriffssicherheit auf CCU durch Hacker ?!?

von Haus-Infrarotheizungen » 16.02.2017, 00:23 

In ARD-Sendung 15.2.17 um 21:45 Plus-Minus
wird gezeigt wie CCU2 gehackt wird und manipuliert wird.
Was muss wie konfiguriert werden, damit dies NICHT möglich ist ?
Bitte um ausführliche Doku. Oder gibt es diese schon? In Anwenderdeutsch mit aufgelisteten Schritten ?
Danke.
Hier der Link zum Film:
ARDMediathek
Haus-Infrarotheizungen
Beiträge: 30
Registriert
27.07.2015
Johann Beurer

AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von rainmaker » 16.02.2017, 09:02 geändert am 16.02.2017 09:07

Also im Film sieht es aus, als ob für die CCU kein root-passwort gesetzt ist. Dann ist natürlich alles frei zugängig.
Wenn Du sicher gehen willst kannst z.b. im Router das ssh Port (22) von außen sperren. Das wär mal ein erster Schritt gegen das im Film gezeigt - falls das so stimmt...
Also: root passwort setzen (ein "richtiges") und ssh sperren und der Film würde schon mal nicht so aussehen können.
rainmaker
Beiträge: 1962
Registriert
29.07.2011
Ein Raucherbereich im Lokal ist wie eine Pinkelzone im Pool

AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von k.brueser » 16.02.2017, 09:09 

Alle Zugänge laufen über den Router. Dort kann man auch nur die MAC-Adressen freigeben die gebraucht werden. Alle anderen haben keine Chance.
Ein gutes Passwort (@rainmaker) ist natürlich ein MUSS!

Gruß
k.brueser
Beiträge: 1483
Registriert
22.02.2012

AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von ELV - Technische Kundenbetreuung » 16.02.2017, 11:58 geändert am 16.02.2017 11:59

Hallo zusammen,

folgende Stellungnahme haben wir vom Hersteller eQ-3 AG erhalten:

"[...]Der Bericht ist fachlich unrichtig.
Das genannte Risiko existiert nur bei einer absichtlichen, manuellen Fehlkonfiguration.
Wir prüfen aktuell juristische Schritte und werden rechtlich gegen den Sender vorgehen.[...]"



ELV - Technische Kundenbetreuung
Beiträge: 10489
Registriert
01.07.2011
Mit freundlichen Grüßen Ihr Team der technischen Kundenbetreuung
Dieser Beitrag wurde von 3 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von lindwurm » 16.02.2017, 13:23 

Hallo,

der gestrige Beitrag setzt m. E. auf einen Beitrag in einer der letzten Compterzeitschriften an. Ich habe im vergangenen Jahr darüber schon gelesen, dass einige 1.000 Homematicsysteme durch einen relativ einfachen Netzscan gefunden worden seien, die nicht abgesichert waren. Ich glaube mich daran zu erinnern, dass dies in einem c't- Artikel Ende vergangenen Jahres zu lesen war. Damit war eq3 m. E. schon mal vorgewarnt. Was soll also die Mitteilung, man prüfe juristische Schritte?
Ich selbst beschäftige mich mit dem System seit ca. 3 Monaten, bin also noch blutiger Neuling und gewiss alles Andere als ein Computerspezi. Dass aber nicht mal ein Admin-PW in das BS der CCU2 eingetragen ist und kein Zwang zur Eintragung eines solchen vom Programmierer überhaupt vorgesehen ist, obwohl zumindest bei der Inbetriebnahme der Zentrale eine Internetverbindung zwingend in der BDA vorgesehen ist, halte ich selbst mit meinen rudimentären Kenntnissen für sehr sehr fragwürdig.
Das Ergebnis der "Prüfung" würde vermutlich nicht nur mich interessieren, ebenso wie eine "absichtliche, manuelle Fehlkonfiguration" aussieht. Bitte unbedingt eine Antwort auf Letzteres, ich möchte lernen und nicht in eine Falle laufen...

Gruß Sven
lindwurm
Beiträge: 15
Registriert
08.01.2017
"...man hat es nicht immer leicht, aber ganz leicht hat es einen immer mal..."
Dieser Beitrag wurde von 1 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von Erithacus rubecula » 16.02.2017, 13:54 

Moin,

mit der absichtlichen Fehlkononfiguration ist vermutlich eine Öffnung des Netzwerks durch Portforwarding. Dies ist eine Betriebsart, von welcher der Hersteller auch aktiv abrät. Nicht umsonst liegt einer CCU 2 auch ein Gutschein für die Nutzung eines Dienstes bei, der einen gesicherten Fernzugriff ermöglicht.

Wer allerdings sein Netzwerk öffnet ohne jegliche Schutzmaßnahmen, der gewährt natürlich auch Zugriff auf seiner CCU 2. Die Darstellung in diesem Beitrag ist übrigens schlecht. Ja man kann Geräte wie Netzwerk-Kameras oder eine CCU 2 finden, wenn man weiß, wonach man suchen muss, aber eine spezielle Zentrale in einer solchen Liste zu finden, ist eine wahre Meisterleistung.

Meiner Meinung nach war dieser Beitrag panikmache für den uninformierten Zuschauer.
Erithacus rubecula
Beiträge: 35
Registriert
18.01.2017
Vorsprung durch Hektik
Dieser Beitrag wurde von 1 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von kbeck » 16.02.2017, 14:07 geändert am 16.02.2017 14:10

Im wesentlichen ist doch nur ein einziger Punkt nötig, um eine CCU nicht wie im Film angreifbar zu machen:

KEIN PORTFORWARDING IM ROUTER

Wenn man denn unbedingt von außen auf seine Smart Home Installation zugreifen möchte, so muss man das entweder manuell per VPN oder anwenderfreundlich durch die Nutzung von Diensten wie z.B. meine-homematic.de.

Der Bericht ist blanke Panikmache.
Man kann auch den Schlüssel in der Haustür stecken lassen und das Haus verlassen, das ist ähnlich fahrlässig.
Jetzt gleich abschließend zu sagen, dass Smart Home gefährlich sei, ist unseriös und eigentlich einer Sendung der Öffentlich-Rechtlichen unwürdig.
Man kann auch mit dem Auto gegen einen Baum fahren, trotzdem behaupt man nicht, dass jedes Auto gefährlich sei.
kbeck
Beiträge: 24
Registriert
27.01.2012
Dieser Beitrag wurde von 4 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von Wanderer129 » 17.02.2017, 09:55 

Ich verstehe hier nicht ganz, was rechtliche Schritte bringen sollen. Der Beitrag ist gesendet, ich habe ihn nicht gesehen und werde mir das ersparen.
Grundsätzlich ist jedoch alles irgendwie crackbar, man sollte also die "Prüfungsenergie" lieber doch einmal mehr auf seine Produkte richten.
Was die Inbetriebnahme betrifft: Ich habe bisher 2 CCU2 in Betrieb genommen. Notwendig war lediglich eine LAN-Verbindung, keine Internetverbindung.
Bezüglich der HM-Cloud, die als sicher gepriesen wird, denke ich, dass es eine sichere Cloud kaum geben kann. Man muss nämlich dem Hersteller vertrauen, und wenn ich sehe, wie schwer sich ELV mit einer zeitgemäßen Webseite tut - woher soll da Vertrauen in die IT-Kunst der Firma kommen?
Ich halte es für möglich, dass diese Cloud bisher nur nicht interessant genug für Cracker war, oder auch zu unbekannt. Aber es wurden schon größere und wichtigere Netzwerke gecrackt.
Natürlich waren dort oft menschliche Fehler Schuld, aber auch bei ELV / eQ3 arbeiten nur Menschen.
Eine Anmeldung in einer fremden Cloud kommt für mich persönlich nicht in Frage. Wenn jemand in meine OVPN-Verbindung eindringt, bin ich wenigstens selbst schuld.
Und um auf die c´t bezug zu nehmen: In einem Artikel, in dem Alarmanlagen unter die Lupe genommen wurden, wurde es als Schuld des Herstellers angesehen, wenn der Anwender kein sicheres Passwort verwendet hat. Das muss bei der Inbetriebnahme erzungen werden! Änlich sehe ich das auch bei der CCU2 und allen anderen Smart-Home-Zentralen.
Deshalb nochmal meine Bitte an eQ3: Nochmal die Sicherheit unter die Lupe nehmen, evtl. auch mit Hilfe unabhängiger Dritter.
Wanderer129
Beiträge: 54
Registriert
19.12.2012
Ein Raucherbereich im Lokal ist wie eine Pinkelzone im Pool? - Ja, Tracker im Browser auch

AW: AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von rainmaker » 17.02.2017, 10:04 

Das größte Problem sitzt meist nen halben Meter davor, es sind die Laien, die glauben sich was sehr Technisches antun zu wollen. Erinnert mich an meine "Oracle-Zeiten", da sollte man meinen, daß nur Leute mit gehobenerem Basiswissen sich das antun. Das Admin Passwort für Neuinstallation war damals vorgegeben mit "change-on-install", um klarzumachen, daß man es ändern sollte, wenn man das Zeug frisch installiert. Nun darf man raten, wieviel Installationen man just mit diesem Passwort finden kann... erschreckend viele. Was soll da erst der Laie tun - oder gar verstehen.
Problem ist sicher der Spagat zwischen sicher und "plug&play". Wobei - eine CCU ist sowieso nur für interessierte Käufer spannend, weil wer sonst schreibt scripts?
Beiträge der Panikmacherart finden sich leider meist. Mir fällt eigentlich auf, daß bei allen Themen, wo ich etwas mehr Erfahrung habe all Otto Normalo, sich Fehler und sonstige Blödheiten finden. Daher glaube ich mittlerweile auch nichts mehr dort, wo ich mich nicht so recht auskenne.
Ein gesundes Mißtrauen ist daher immer erforderlich. Einerseits bei den Berichten im TV, andererseits bei den Versprechungen der Hersteller (z.b. Autos mit keyless schnickschnack).
Es geht nichts über selber Denken !
rainmaker
Beiträge: 1962
Registriert
29.07.2011
Ein Raucherbereich im Lokal ist wie eine Pinkelzone im Pool

AW: AW: AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von remo88 » 17.02.2017, 18:22 

Zitat:"
folgende Stellungnahme haben wir vom Hersteller eQ-3 AG erhalten:"

FRAGE

Was ist genau der Unterschied zwischen ELV und EQ3?

Die Adresse ist kein Unterschied, die ist ja die Selbe.
remo88
Beiträge: 15
Registriert
20.12.2016

AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von rainmaker » 18.02.2017, 08:59 

Das Thema gibt immer wieder Anlaß zur Diskussion.
Aus Sicht ELV haben sie "nichts" miteinander zu tun, weil das eine ist die Vertriebsfirma und das andere eine Entwicklerbude.
Aber es ist eine Dachfirma, der selbe Vorstand, das selbe Haus etc.
Aus Kundensicht ist es so, wie wenn ein Handwerksbäcker dem Kunden gegenüber sagt, der Verkaufsthresen hat nichs mit der Bäckerei im Hinterzimmer zu tun, das Brot stammt ja vom Bäcker und nicht vom Verkäufer.

Man kann da oft leider nur den Kopf schütteln, wenn die linke Hand die rechte als "fremd" ansieht, aber: es ist so - und Firmenpolitisch sind es eben 2 Firmen - unter einem Dach und unter der Aufsicht eines Chefs...
rainmaker
Beiträge: 1962
Registriert
29.07.2011
Ein Raucherbereich im Lokal ist wie eine Pinkelzone im Pool
Dieser Beitrag wurde von 2 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von remo88 » 18.02.2017, 11:15 

Naja, aber ELV denkt wohl die Kunden sind ein bisschen zu dumm dafür, das zu merken.
Soetwas ist lächerlich.
Es wäre sicher Kundenfreundlicher, sich im Forum nicht immer einfach abzuschütteln und zu sagen man gibt es dem Hersteller weiter, wenn man es eigentlich selbst ist.
Ist ja reine Kundenverarsche so etwas.

remo88
Beiträge: 15
Registriert
20.12.2016

AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von Haus-Infrarotheizungen » 18.02.2017, 11:29 

Wer sich meine Fragen genau durchliest kann mit den Antworten wenig anfangen. Mein Ziel war es, der CCU-Gemeinde die Schritte von erfahrenen Netzwerkern an die Hand zu geben, die notwendig sind, um das System zugriffssicher zu machen.
Haus-Infrarotheizungen
Beiträge: 30
Registriert
27.07.2015
Johann Beurer

Zugriffssicherheit auf CCU durch Hacker ?!?

von Sheldon_C » 18.02.2017, 14:49 

Hallo, Haus-Infrarotheizungen.

ich kann es nur wiederholen.
Zitat
kbeck schrieb:

KEIN PORTFORWARDING IM ROUTER
Wenn man denn unbedingt von außen auf seine Smart Home Installation zugreifen möchte, so muss man das entweder manuell per VPN oder anwenderfreundlich durch die Nutzung von Diensten wie z.B. meine-homematic.de.


Wer also in seinem Router das Portforwarding selbst aktiv einrichtet, um so mal schnell von außen Zugriff zu erhalten, der handelt einfach grob fahrlässig.

Sheldon
Sheldon_C
Beiträge: 195
Registriert
13.09.2011
Ich bin nicht verrückt… Meine Mutter hat mich testen lassen. (Sheldon Cooper)
Dieser Beitrag wurde von 4 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von Ukle » 20.02.2017, 13:49 

Ich persönlich setzte bewusst die CCU2 ohne Internetzugriff ein.
Das ist ja gerade der wichtige Grund für mich, dass man im Gegensatz zu vielen Anbietern keine "hippe" Internetverbindung für die Funktionalität benötigt.

Wer seinen Web-Port der CCU2 im Router freigibt und dann noch kein Passwort für die CCU2 vergibt, hängt sicher auch den Schlüsselbund für Haus+Auto draußen an der Hauswand an den Nagel. unhappy

Wenn ich von unterwegs auf meine CCU2 von außen steuern will, aktiviere ich kurz einen VPN-Tunnel auf meinem Smartphone in mein Heimnetz und kann sicher werkeln, ohne mein LAN im Internet öffnen zu müssen.

Leider ist ja das Sicherheitsbewusstsein bei Laien sehr oft gar nicht vorhanden oder die Konsequenz des eigenen Handelns wird nicht erkannt.
Bei manchen Dingen sollte man als Unbedarfter vielleicht doch besser vorher Jemanden befragen, der sich mit so etwas auskennt ...
Ukle
Beiträge: 28
Registriert
24.04.2015
Dieser Beitrag wurde von 1 Foren-Nutzern als besonders hilfreich ausgezeichnet.

AW: AW: Zugriffssicherheit auf CCU durch Hacker ?!?

von Haus-Infrarotheizungen » 21.02.2017, 15:36 

So eine Darstellung habe ich mir gewünscht! Ich GRATULIERE zu dieser Ausarbeitung.
J.Beurer

LINK zu Homematic-Inside
Your text to link here...
Haus-Infrarotheizungen
Beiträge: 30
Registriert
27.07.2015
Johann Beurer
Anzeigen  Sortieren 
zur Übersicht17 Beiträge Neue Antwort