WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher

[chka]

Muss mal die frage stellen ist es so schwierig für den Leien einen VPN tunnel aufzubauen? Ich kenne AVM und Sophos und bei beiden ist dies kein großer Aufwand. Bei AVM wird man so gar an die Handgenommen was in IOS oder Androiden eingetragen werden muss.

Für mich gibt es keinen einzigen Grund nach außen einen Port zu öffnen, der dann auf eine Endgerät verweist wo es keinerlei Sicherheitsupdates gibt.


BTW https://www.heise.de/security/dienste/p ... ?scanart=1

[homematic_fan]

Mit anderen Worten: eQ-3 hat absichtlich eine Backdoor in die CCU2 reinprogrammiert. Eine andere Möglichkeit gibt es nicht.

Dass der Hersteller das programmiert hat, steht außer Frage, denn er hat die Firmware erstellt. Ob dieses absichtlich war oder nicht, weiß man nicht. Das hier zu postulieren, ist schon ziemlich nah an "Verschwörungstheorie". Ich gehe eher von einem Bug aus. Unabhängig davon ist die CCU wegen ihrer vielen offenen Schnittstellen nicht vorgesehen, ohne Schutzmaßnahmen online gestellt zu werden. Dafür hat der Hersteller in der Firmware die Nutzung eines externen Anbieters vorgesehen. Wer diesen nicht nutzen will, kann sich selbst nach alternativen sicheren Möglichkeiten umsehen. Eine Portweiterleitung stellt aber keine sichere Möglichkeit dar.

Ich versuche immer noch herauszufinden, auf welchem Sicherheitslevel die CCU implementiert ist. Solche auf Sensation getrimmten Beiträge, wie z.B. der Plus-Minus Beitrag im Fernsehen ("Ui, ui, ui, da kann ein Hacker die Tür öffnen") vernebeln mehr, als daß sie aufklären. Wenn es so gelaufen ist wie im Beitrag gezeigt, dann war der Router offen, SSH eingeschaltet und das Default-Paßwort gesetzt. Das sind schon mal 3 Dinge die normalerweise nicht passieren. Höchstens bei jemand, der überhaupt keine Ahnung hat und dann auch noch Pech dazu kommt. Aber vielleicht gibt es ja noch andere Möglichkeiten und Plus-Minus wollte keine Anleitung für erfolgversprechende Eindringmethoden aufzeigen.

Wenn ich von "absichtlicher Backdoor" spreche, dann teils provokant, teils steckt die folgende Überlegung dahinter:

Anli hat ja geschrieben, es gäbe eine URL, mit der könne man jederzeit, also auch ohne Authentifizierung den Paßwortschutz dauerhaft ausschalten. Das hat mich geradezu elektrisiert. Weil nach meinem rudimentären Verständnis von Webservern ist das nicht so ohne weiteres möglich. In der Standardkonfiguration eines Webservers gibt es erst eine Authentifizierung und erst wenn die erfolgreich ist, wird eine Session aufgebaut und erst wenn die vorhanden ist, ist der Webserver bereit, irgendwelche http(s)-Requests zu beantworten. Man kann zwar bei der CCU2 den Paßwortschutz abschalten, aber normalerweise nur, wenn man sich vorher authentifiziert hat. Wenn es da noch einen "Sonderweg" geben sollte, um den Paßwortschutz auch ohne Authentifizierung abzuschalten, dann muß der nach meiner Einschätzung mit einiger Mühe in die Firmware reingeklopft werden. Nach einem zufälligen Bug sieht das für mich nicht aus. Ebenso wenig unterstelle ich eQ-3 irgendwelche dunklen Machenschaften. Damit das auch klar ist. Aber Gedankenlosigkeit der folgenden Art halte ich schon für möglich: Schaffen wir doch eine Möglichkeit, das Paßwort aus der Ferne auszuschalten. Falls der Kunde das Paßwort mal vergessen hat, dann können wir das Problem umgehend beheben. Aber so etwas darf nicht sein.

Es ist richtig, daß die CCU einige mehr oder weniger offene Schnittstellen hat. Darum ist es halt sinnvoll eine, meistens die des Web-UIs offen zu halten und alle anderen Löcher mittels Router zu schließen. Die Web-Server-Technologie ist ja nichts Exotisches. Es gibt Millionen von Web-Servern auf der Welt, die im öffentlichen WWW ihren Dienst tun und mit dem ganzen Traffic fertig werden müssen. Klar, der CCU Web-Server ist nicht so gut gewartet und so leistungsstark wie die Web-Server von Amazon oder der Telekom. Aber es ist die gleiche Technik implementiert und ein gewisser Basisschutz sollte und muß vorhanden sein --- auch ohne VPN.

Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.

Schönen Sonntag
HM-Fan

[Jeeper.at]

@HM-Fan

Also für mein Verständnis gehst du von falscher Annahme aus. Die CCU2 muss nicht sicher sein. Dein Netzwerk muss es sein. Den die CCU2 hängt ja nur im privaten Teil. In meinem privaten Netzwerk hat niemand was verloren. Einbrüche sind dort zu verhindern. Wenn mal jemand in meinem privaten Netzwerk ist, dann ist es bereits vorbei.
Außer du gehst von bösartigen Angriffen in deinem Haushalt aus.

Lg
Günther

[anli]

Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.

E-Q3 war die Lücke bisher auch nicht bekannt. Deshalb habe ich Sie dahin kommuniziert und gerade mit demjenigen telefoniert, der sie schließen kann
Es ist keine absichtliche Backdoor. Es hat sich halt mit der Zeit zu einer Möglichkeit entwickelt an der Passwortabfrage der CCU2 vorbeizukommen. Das liegt einfach daran, dass vor 10 Jahren als die Grundkonzepte entwickelt wurden, keiner die Möglichkeit in Betracht gezogen hat, dass die CCU2 mal per Portweiterleitung am Internet hängt. Daher "musste" das seinerzeit nicht sicher sein

[Herbert_Testmann]

Hallo

die "Anmeldung" an der WebUi ist doch nur Kosmetik, um verschiedene Userrechte vergeben zu können.

Ich kann jederzeit eine Befehlszeile an die CCu schicken und damit Aktoren schalten und SysVar setzen. Ohne mich vorher anzumelden. Und das soll auch so bleiben, denn das ist kein Fehler sondern eine Eigenschaft der CCU, die oft und gern genutzt wird.
Meine Lichtschalter haben auch kein Vorhängeschloss. Wer erst mal im Haus ist, darf auch schalten.

[homematic_fan]

Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.

E-Q3 war die Lücke bisher auch nicht bekannt. Deshalb habe ich Sie dahin kommuniziert und gerade mit demjenigen telefoniert, der sie schließen kann
Es ist keine absichtliche Backdoor. Es hat sich halt mit der Zeit zu einer Möglichkeit entwickelt an der Passwortabfrage der CCU2 vorbeizukommen. Das liegt einfach daran, dass vor 10 Jahren als die Grundkonzepte entwickelt wurden, keiner die Möglichkeit in Betracht gezogen hat, dass die CCU2 mal per Portweiterleitung am Internet hängt. Daher "musste" das seinerzeit nicht sicher sein

Super, das ist das bisher beste Statement in diesem Thread.

Grüße
HM-Fan

[anli]

Ich kann jederzeit eine Befehlszeile an die CCu schicken und damit Aktoren schalten und SysVar setzen. Ohne mich vorher anzumelden. Und das soll auch so bleiben, denn das ist kein Fehler sondern eine Eigenschaft der CCU, die oft und gern genutzt wird.

Ja. Genau das ist jedoch das Einfallstor, mit der Du die Benutzeranmeldung auch ganz abschalten kannst

[Herbert_Testmann]

Ja. Genau das ist jedoch das Einfallstor, mit der Du die Benutzeranmeldung auch ganz abschalten kannst

Das ist mir schon klar und trotzdem kann / will ich darauf nicht verzichten. Sollte das nicht mehr funktionieren, dass ich von meinem Web Server oder anderen Geräten aus auf so einfache Weise die CCU steuern kann, wird ein Grossteil der Schnittstellen zu anderen Systemen in meinem Haus nicht mehr funktionieren. Und da wäre ich gar nicht begeistert

[manfredh]

Meine Lichtschalter haben auch kein Vorhängeschloss. Wer erst mal im Haus ist, darf auch schalten.

DAS ist IMO das beste Statement in diesem Thread.

Ich käme nie auf die Idee, einen Tresor für meine Wertsachen zu kaufen, den dann mit der Tür nach außen in die Hauswand einzubauen und mich dann beschweren, dass der Tresor kein sicheres Schloss hat.

[homematic_fan]

@HM-Fan

Also für mein Verständnis gehst du von falscher Annahme aus. Die CCU2 muss nicht sicher sein. Dein Netzwerk muss es sein. Den die CCU2 hängt ja nur im privaten Teil. In meinem privaten Netzwerk hat niemand was verloren. Einbrüche sind dort zu verhindern. Wenn mal jemand in meinem privaten Netzwerk ist, dann ist es bereits vorbei.
Außer du gehst von bösartigen Angriffen in deinem Haushalt aus.

Ich sehe es ein bißchen anders: Mit dem Portforwarding befindet sich ein Teil der CCU, nämlich das Web-UI im öffentlichen Internet und die restlichen Interfaces im privaten Netzwerk. Bildlich gesehen wird mit dem Port-Forwarding eine Tür in die Firewall eingebaut. Weil ich für das Portforwarding nur das HTTPS Protokoll zulasse, handelt sich dabei um eine äußerst stabile und massive Türe, die ähnlich unüberwindbar ist, wie die Firewall selbst. Hinter der Türe befindet sich die CCU mit weiteren Türen, die weniger gut gesichert sind und teilweise sogar offenstehen. Aber das macht nichts, weil diese Türen ja allesamt hinter der Firewall liegen und durch sie keiner in die CCU oder mein privates Netzwerk eindringen kann.

Wenn nun aber die Paßwortabfrage in der CCU abschaltbar ist, dann ist das ungefähr so, als würde man den Schlüssel für die große und schwere Türe unter den Fußabstreifer außen vor der Firewall legen. Diesen merkwürdigen Umstand kritisiere ich

Grüße
HM-Fan