WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher

Allgemeines zur HomeMatic Haussteuerung

Moderator: Co-Administratoren

homematic_fan
Beiträge: 163
Registriert: 04.09.2010, 20:08

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von homematic_fan » 24.02.2017, 10:22

Familienvater hat geschrieben:Dieser Beitrag wird bei google mit CCU2 Portforwarding als Suchbegriff prominent an 2+3 Position gefunden. Das schlimmste ist aber, das dort beschrieben ist, das sämtliche Dienste-Ports weiterzuleiten sind, nicht nur die WebUI, auch 2000-2002 und 8181, und dann kann ich wirklich die Zentrale auch im Außenbereich montieren.
Tatsächlich! Ich fasse es nicht. Die Leute von elv und eQ-3 sind ja wirklich komplett bescheuert.

Grüße
HM-Fan

alchy
Beiträge: 10752
Registriert: 24.02.2011, 01:34
System: CCU
Hat sich bedankt: 65 Mal
Danksagung erhalten: 672 Mal

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von alchy » 24.02.2017, 10:27

anli hat geschrieben: Noch einmal: Wenn jemand seine CCU ohne Passwortschutz in das Netz stellt muss man doch davon ausgehen, dass er will, dass jedermann darauf zugreift, oder nicht?
Nein - muss man überhaupt nicht. Wie kommst du darauf? Das ist ags. der Grund für unsere Meinungsverschiedenheit.
Wenn jemand vergisst den Autoschlüssel abzuziehen, will er das sein Auto vom nächsten mitgenommen wird?
(o.k. blödes Beispiel, mag auf einen Teil derjenigen vielleicht sogar zutreffen :mrgreen: )

Die meisten der Besitzer wollten einfach nur von unterwegs auf ihre CCU zugreifen, und wussten es nicht besser. Sie wurde teilweise sogar so beraten.
Haben es auch hier im Forum gelesen. Wieviel Aussagen gibt es denn hier: nicht so schlimm - man muss nur....
Geh gegen die an, das ist dein Gegner, nicht ich. :wink:

99% der von mir angeschriebenen User wussten nicht und wollten auch nicht, das andere Zugriff auf ihr System haben.
Die sind / waren einfach nicht in der Lage diese Handlung abzuschätzen - deshalb ist es auch richtig und wichtig vor Portweiterleitung zu warnen und Sicherheitsmängel anzusprechen usw. - volle Unterstützung.
Klar sind diese User selber Schuld, wenn sie sich nicht bilden - aber wirklich mit allen möglichen Konsequenzen?
Natürlich findet man Informationen WIE man offene CCUs findet auch woanders, aber muss man es hier im Forum finden?

Ich mag nicht mehr. Das ist Wortglauberei.
Mach was du für richtig hältst und wie du es für richtig hältst. Ich habe meine Moderation zur Genüge begründet.
Egal was ich schreibe, oder wie ich es versuche zu begründen, es wird immer wieder so ausgelegt, das es weiter gehen muss.

In Zukunft werde ich eben nur noch den Meldenbutton drücken wenn mir etwas nicht passt und dann anderweitige Konsequenzen ziehen, wenn keiner reagiert.
Das ist jedoch gegen meine Natur und entzieht mir den Spaß und den Willen hier im Forum zu moderieren und zu helfen.

Alchy

PS: Du hast meinen Beitrag gemeldet - kein anderer Mod / Admin hat sich bisher bei mir gemeldet oder hier reingehangen.
Ich werde natürlich die Meldung nicht schliesen, da sie mich ja selbst betrifft.

Blacklist................... almost full
Ignoranz ist die Summe aller Maßnahmen die man ergreift, um bestehende Tatsachen nicht sehen zu müssen.

© Sandra Pulsfort (*1974)

Lies bitte die Logik von WebUI Programmen und die Tipps und Tricks für Anfänger.

Wichtig auch CUxD ersetzt System.exec. Die HM Script Doku (Downloadart Skripte) hilft auch weiter.
Zum Testen von Scripten den >> HomeMatic Script Executor << von Anli benutzen.

Benutzeravatar
anli
Beiträge: 4326
Registriert: 10.06.2009, 14:01
Wohnort: 20 Min. nördlich von Hannover und bei Bremen
Hat sich bedankt: 1 Mal
Danksagung erhalten: 23 Mal
Kontaktdaten:

Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi

Beitrag von anli » 24.02.2017, 12:04

alchy hat geschrieben:
anli hat geschrieben: Noch einmal: Wenn jemand seine CCU ohne Passwortschutz in das Netz stellt muss man doch davon ausgehen, dass er will, dass jedermann darauf zugreift, oder nicht?
Nein - muss man überhaupt nicht. Wie kommst du darauf? Das ist ags. der Grund für unsere Meinungsverschiedenheit.
Ja, genau das ist er :mrgreen: Was will ich denn sonst mit einem nicht passwortgeschützten Webserver im Internet :mrgreen: ? Die meisten zahlen sogar viel Geld dafür dass der ganz als erstes gefunden wird :mrgreen:
alchy hat geschrieben:Wenn jemand vergisst den Autoschlüssel abzuziehen, will er das sein Auto vom nächsten mitgenommen wird?
(o.k. blödes Beispiel, mag auf einen Teil derjenigen vielleicht sogar zutreffen :mrgreen: )
Nein, will er nicht. Aber der Vergleich hinkt: Der User vergisst nichts, wenn er seine WebUI offen ins Internet stellt (abgesehen davon den unsicheren Passwortschutz zu aktivieren). Er stellt sein Auto bewusst mit Schlüssel an die Straße und hängt ein Schild dran: Dies ist ein Auto mit Schlüssel, setzt Euch rein und seht Euch um, Ihr dürft auch das Licht und die Blinker anmachen und auch mit allem anderen spielen.
alchy hat geschrieben:[...]Sie wurde teilweise sogar so beraten. Haben es auch hier im Forum gelesen. Wieviel Aussagen gibt es denn hier: nicht so schlimm - man muss nur....
Geh gegen die an, das ist dein Gegner, nicht ich. :wink:
Gegen die "kämpfe" ich mit allen möglichen Mitteln, sogar mit meiner Signatur und mit der künstlichen Erhaltung dieses Artikels am Leben, da mein zwischenzeitlich erfüllter Anpinn-Wunsch wieder rückgängig gemacht wurde. Dich empfinde ich in dieser Sache nicht als Gegner sondern als Verbündeten. Ich diskutiere mit Dir vielleicht über die Bedeutung des Begriffs "Anleitung" aber auch das ist nicht wesentlich. Das, was mich wirklich störte hast Du ja aus der Welt geschafft, alles gut.
alchy hat geschrieben:Natürlich findet man Informationen WIE man offene CCUs findet auch woanders, aber muss man es hier im Forum finden?
Meiner Meinung nach ja, damit jeder sieht und versteht wie einfach es ist und dass es genau 0,0 Expertenwissen erfordert, diese Geräte zu finden.
alchy hat geschrieben:PS: Du hast meinen Beitrag gemeldet - kein anderer Mod / Admin hat sich bisher bei mir gemeldet oder hier reingehangen.
Ich werde natürlich die Meldung nicht schliesen, da sie mich ja selbst betrifft.
Kannst Du aus meiner Sicht. Ich hatte es ja nicht wegen Deiner Moderation gemeldet sondern wegen des mittlerweile bereinigten Themas das mich gestört hat. Ich verstehe es aber auch, wenn Du es einen anderen Mod schließen lässt.
Herzliche Grüße, anli

Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.

Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)

Einsteiger-Hilfeerweiterter Skript-Parser

Benutzeravatar
zautrix
Beiträge: 382
Registriert: 22.05.2016, 18:41
Wohnort: Badisch-Sibirien
Danksagung erhalten: 37 Mal

Das ist schon der Hammer!

Beitrag von zautrix » 24.02.2017, 15:05

Hallöchen,

mal wieder etwas zum Thema.

Da ja anli im ersten Beitrag dieses Threads geschrieben hat, dass es möglich ist den Passwortschutz der Webui ohne das Kennen des Passwortes zu deaktivieren habe ich mir mal überlegt wie das wohl gehen würde. Mir war das ja auch neu. Naja, jedenfalls habe ich nach 3 Stunden Nachforschen in der Webui gerade meine CCU2 per Chrome Browser ohne Anmeldung von "Login mit password" auf "autologin" gesetzt. Das ist schon der Hammer!
Aber wäre das nicht etwas für die Tipps&Tricks hier? Das wäre doch sehr nützlich, wenn jemand sein Passwort vergessen hat.
Und so ein "Life-Hacking" über Shodan ,der eigenen CCU natürlich, mit deaktivieren der Passwortabfrage wäre doch ein guter Vortrag für das Usertreffen im Mai. Wenn ihr also Interesse habt...
Gruß aus Nord-Baden,
z.

homematic_fan
Beiträge: 163
Registriert: 04.09.2010, 20:08

Re: Das ist schon der Hammer!

Beitrag von homematic_fan » 24.02.2017, 15:40

zautrix hat geschrieben:Naja, jedenfalls habe ich nach 3 Stunden Nachforschen in der Webui gerade meine CCU2 per Chrome Browser ohne Anmeldung von "Login mit password" auf "autologin" gesetzt. Das ist schon der Hammer!
Über Port 443? Ein anderer Port gilt nicht. :D

Grüße
HM-Fan

Benutzeravatar
Herbert_Testmann
Beiträge: 11062
Registriert: 17.01.2009, 11:30
Danksagung erhalten: 7 Mal

Re: Das ist schon der Hammer!

Beitrag von Herbert_Testmann » 24.02.2017, 18:36

zautrix hat geschrieben:Hallöchen,

Aber wäre das nicht etwas für die Tipps&Tricks hier? Das wäre doch sehr nützlich, wenn jemand sein Passwort vergessen hat.
Und so ein "Life-Hacking" über Shodan ,der eigenen CCU natürlich, mit deaktivieren der Passwortabfrage wäre doch ein guter Vortrag für das Usertreffen im Mai. Wenn ihr also Interesse habt...
Hallo

muss man wirklich alles was möglich ist immer gleich an die große Glocke hängen.
Kann man nicht erst mal das Sicherheitsloch stopfen und dann sagen, wo es war.

Eine Beschreibung hilft doch nur dem Einbrecher, weil der User im Moment gar nicht weiss, wie er sich schützen kann.

Ist eine Beschreibung für "den perfekten Mord" wirklich nützlich?
---
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig

Benutzeravatar
zautrix
Beiträge: 382
Registriert: 22.05.2016, 18:41
Wohnort: Badisch-Sibirien
Danksagung erhalten: 37 Mal

Re: Das ist schon der Hammer!

Beitrag von zautrix » 24.02.2017, 19:37

Herbert_Testmann hat geschrieben: Ist eine Beschreibung für "den perfekten Mord" wirklich nützlich?
Ich bitte doch um Versachlichung der Diskussion. Schließlich sind wir hier nicht im Kindergarten. Es geht um haarsträubende Sicherheitslücken und nicht um Mord. Und wenn wir schon blumige Beschreibungen verwenden wollen würde ich eher zu "perfektem Selbstmord" tendieren wenn man die CCU2 per Portweiterleitung im www hat - ob mit oder ohne "auto-login".

Ich habe meine CCU2 nicht per Portweiterleitung im www sondern ein cloudmatic account. Und ich habe meine CCU2/WebUi per Login mit Passwort "geschützt".

Wenn selbst so ein "Hacker-Depp" wie ich rausfinden kann wie man den Login auf "auto" setzen kann, können das noch viele mehr!

Nun mal meine Erkenntnisse:
Im CCU2 Programmcode sind !deutsche! Kommentare. Dass ein professioneller Softwareentwickler nicht englische Kommentare für seinen Programmcode verwendet habe ich noch nicht erlebt.
EQ3 schafft es nicht das "200 Variablennamen max in Scripten" Problem zu finden, denn geschweige zu beheben (Statement EQ3 letztes User Meeting 2016).
Ob und wie schnell das von anli bekannt gemachte und von mir selbst herausgefundene "webui login ist nur placebo" Problem von EQ3 gefixt werden kann bleibt nun als Einschätzung dem geneigten Leser überlassen.

Mich interessiert eigentlich nur eine Frage:
Welchen "Schaden" kann jemand anrichten, der es bis in die Webui geschafft hat. Wie auch immer. Meine Login Abfrage ist ja nur Placebo. Natürlich habe ich ein Backup. Ich habe einen Sicherheitsschlüssel gesetzt. Jetzt sehe ich folgendes Angriffsszenario: Sicherheitsschlüssel ändern - Geräte (zumindest die ohne Bakterien, die übernehmen den Schlüssel sofort) aus CCU entfernen ohne "in Werkzustand zurücksetzen", Sicherheitsschlüssel wieder ändern. Nun sollten die aus der CCU entfernten Geräte eigentlich dauerhaft unbrauchbar sein.

DAS FÄNDE ICH DANN WENIGER LUSTIG!

Ich sehe als einzige Möglichkeit, und da stimme ich anli zu, die Sicherheitslücken alle zu veröffentlichen.
Gleichzeitig respektiere ich natürlich den Wunsch des Forenbetreibers sowie der Admins hier dieses NICHT HIER ZU MACHEN.
Aber auf dem Userfreffen im Mai fände ich einen passenden Zeitpunkt... schon allein die Reaktion von EQ3 wäre interessant.
Gruß aus Nord-Baden,
z.

homematic_fan
Beiträge: 163
Registriert: 04.09.2010, 20:08

Re: Das ist schon der Hammer!

Beitrag von homematic_fan » 24.02.2017, 19:52

zautrix hat geschrieben:Im CCU2 Programmcode sind !deutsche! Kommentare. Dass ein professioneller Softwareentwickler nicht englische Kommentare für seinen Programmcode verwendet habe ich noch nicht erlebt.
Das ist natürlich eine Sicherheitsmaßnahme von eQ-3, damit russische Hacker die Kommentare nicht lesen können. 8)

Aber jetzt mal Butter bei die Fische. Über Port 443 läßt sich der AutoLogin doch nicht einschalten???

Grüße
HM-Fan

osu
Beiträge: 229
Registriert: 13.06.2016, 19:02
Hat sich bedankt: 19 Mal
Danksagung erhalten: 2 Mal

Re: Das ist schon der Hammer!

Beitrag von osu » 24.02.2017, 20:07

zautrix hat geschrieben: Mich interessiert eigentlich nur eine Frage:
Welchen "Schaden" kann jemand anrichten, der es bis in die Webui geschafft hat.
Je nach individueller Ausstattung der CCU, Aufmerksamkeitsspanne und Spieltrieb des Eindringlings. Ich fände da einige Möglichkeiten sehr, sehr unangenehm.
zautrix hat geschrieben: Aber auf dem Userfreffen im Mai fände ich einen passenden Zeitpunkt... schon allein die Reaktion von EQ3 wäre interessant.
Interessant fände ich das auch. Die alleinige Einleitung rechtlicher Schritte gegen den Sender durch eQ-3 hilft dem User jedenfalls nicht bei der Behebung der Lücken. Von anlis Bemühungen mit den Entwicklern mal abgesehen.

Benutzeravatar
zautrix
Beiträge: 382
Registriert: 22.05.2016, 18:41
Wohnort: Badisch-Sibirien
Danksagung erhalten: 37 Mal

Re: Das ist schon der Hammer!

Beitrag von zautrix » 24.02.2017, 20:43

homematic_fan hat geschrieben: Das ist natürlich eine Sicherheitsmaßnahme von eQ-3, damit russische Hacker die Kommentare nicht lesen können. 8)
HM-Fan
Achso! ;) Wirklich genial sind aber japanische Kommentare ... habe ich auch schon erlebt in open source code.
homematic_fan hat geschrieben: Aber jetzt mal Butter bei die Fische. Über Port 443 läßt sich der AutoLogin doch nicht einschalten???
Ägypten? Bahnhof? Rembrandt? Sobald ich die Webui (d.h. die loginabfrage) erreichen kann, kann ich auch das "autologin" freischalten. Port 443 ist https - das bedeutet die Kommunikation ist (abhör-)sicherer als mit http. Das hat aber nix mit der Webui zu tun.
Gruß aus Nord-Baden,
z.

Antworten

Zurück zu „HomeMatic allgemein“