WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsicher
Moderator: Co-Administratoren
-
- Beiträge: 2484
- Registriert: 13.02.2012, 20:23
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 302 Mal
- Danksagung erhalten: 116 Mal
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Muss mal die frage stellen ist es so schwierig für den Leien einen VPN tunnel aufzubauen? Ich kenne AVM und Sophos und bei beiden ist dies kein großer Aufwand. Bei AVM wird man so gar an die Handgenommen was in IOS oder Androiden eingetragen werden muss.
Für mich gibt es keinen einzigen Grund nach außen einen Port zu öffnen, der dann auf eine Endgerät verweist wo es keinerlei Sicherheitsupdates gibt.
BTW https://www.heise.de/security/dienste/p ... ?scanart=1
Für mich gibt es keinen einzigen Grund nach außen einen Port zu öffnen, der dann auf eine Endgerät verweist wo es keinerlei Sicherheitsupdates gibt.
BTW https://www.heise.de/security/dienste/p ... ?scanart=1
-
- Beiträge: 163
- Registriert: 04.09.2010, 20:08
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Ich versuche immer noch herauszufinden, auf welchem Sicherheitslevel die CCU implementiert ist. Solche auf Sensation getrimmten Beiträge, wie z.B. der Plus-Minus Beitrag im Fernsehen ("Ui, ui, ui, da kann ein Hacker die Tür öffnen") vernebeln mehr, als daß sie aufklären. Wenn es so gelaufen ist wie im Beitrag gezeigt, dann war der Router offen, SSH eingeschaltet und das Default-Paßwort gesetzt. Das sind schon mal 3 Dinge die normalerweise nicht passieren. Höchstens bei jemand, der überhaupt keine Ahnung hat und dann auch noch Pech dazu kommt. Aber vielleicht gibt es ja noch andere Möglichkeiten und Plus-Minus wollte keine Anleitung für erfolgversprechende Eindringmethoden aufzeigen.Xel66 hat geschrieben:Dass der Hersteller das programmiert hat, steht außer Frage, denn er hat die Firmware erstellt. Ob dieses absichtlich war oder nicht, weiß man nicht. Das hier zu postulieren, ist schon ziemlich nah an "Verschwörungstheorie". Ich gehe eher von einem Bug aus. Unabhängig davon ist die CCU wegen ihrer vielen offenen Schnittstellen nicht vorgesehen, ohne Schutzmaßnahmen online gestellt zu werden. Dafür hat der Hersteller in der Firmware die Nutzung eines externen Anbieters vorgesehen. Wer diesen nicht nutzen will, kann sich selbst nach alternativen sicheren Möglichkeiten umsehen. Eine Portweiterleitung stellt aber keine sichere Möglichkeit dar.homematic_fan hat geschrieben:Mit anderen Worten: eQ-3 hat absichtlich eine Backdoor in die CCU2 reinprogrammiert. Eine andere Möglichkeit gibt es nicht.
Wenn ich von "absichtlicher Backdoor" spreche, dann teils provokant, teils steckt die folgende Überlegung dahinter:
Anli hat ja geschrieben, es gäbe eine URL, mit der könne man jederzeit, also auch ohne Authentifizierung den Paßwortschutz dauerhaft ausschalten. Das hat mich geradezu elektrisiert. Weil nach meinem rudimentären Verständnis von Webservern ist das nicht so ohne weiteres möglich. In der Standardkonfiguration eines Webservers gibt es erst eine Authentifizierung und erst wenn die erfolgreich ist, wird eine Session aufgebaut und erst wenn die vorhanden ist, ist der Webserver bereit, irgendwelche http(s)-Requests zu beantworten. Man kann zwar bei der CCU2 den Paßwortschutz abschalten, aber normalerweise nur, wenn man sich vorher authentifiziert hat. Wenn es da noch einen "Sonderweg" geben sollte, um den Paßwortschutz auch ohne Authentifizierung abzuschalten, dann muß der nach meiner Einschätzung mit einiger Mühe in die Firmware reingeklopft werden. Nach einem zufälligen Bug sieht das für mich nicht aus. Ebenso wenig unterstelle ich eQ-3 irgendwelche dunklen Machenschaften. Damit das auch klar ist. Aber Gedankenlosigkeit der folgenden Art halte ich schon für möglich: Schaffen wir doch eine Möglichkeit, das Paßwort aus der Ferne auszuschalten. Falls der Kunde das Paßwort mal vergessen hat, dann können wir das Problem umgehend beheben. Aber so etwas darf nicht sein.
Es ist richtig, daß die CCU einige mehr oder weniger offene Schnittstellen hat. Darum ist es halt sinnvoll eine, meistens die des Web-UIs offen zu halten und alle anderen Löcher mittels Router zu schließen. Die Web-Server-Technologie ist ja nichts Exotisches. Es gibt Millionen von Web-Servern auf der Welt, die im öffentlichen WWW ihren Dienst tun und mit dem ganzen Traffic fertig werden müssen. Klar, der CCU Web-Server ist nicht so gut gewartet und so leistungsstark wie die Web-Server von Amazon oder der Telekom. Aber es ist die gleiche Technik implementiert und ein gewisser Basisschutz sollte und muß vorhanden sein --- auch ohne VPN.
Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.
Schönen Sonntag
HM-Fan
-
- Beiträge: 380
- Registriert: 05.01.2016, 09:27
- Wohnort: Wien
- Hat sich bedankt: 19 Mal
- Danksagung erhalten: 1 Mal
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
@HM-Fan
Also für mein Verständnis gehst du von falscher Annahme aus. Die CCU2 muss nicht sicher sein. Dein Netzwerk muss es sein. Den die CCU2 hängt ja nur im privaten Teil. In meinem privaten Netzwerk hat niemand was verloren. Einbrüche sind dort zu verhindern. Wenn mal jemand in meinem privaten Netzwerk ist, dann ist es bereits vorbei.
Außer du gehst von bösartigen Angriffen in deinem Haushalt aus.
Lg
Günther
Also für mein Verständnis gehst du von falscher Annahme aus. Die CCU2 muss nicht sicher sein. Dein Netzwerk muss es sein. Den die CCU2 hängt ja nur im privaten Teil. In meinem privaten Netzwerk hat niemand was verloren. Einbrüche sind dort zu verhindern. Wenn mal jemand in meinem privaten Netzwerk ist, dann ist es bereits vorbei.
Außer du gehst von bösartigen Angriffen in deinem Haushalt aus.
Lg
Günther
- anli
- Beiträge: 4326
- Registriert: 10.06.2009, 14:01
- Wohnort: 20 Min. nördlich von Hannover und bei Bremen
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 23 Mal
- Kontaktdaten:
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
E-Q3 war die Lücke bisher auch nicht bekannt. Deshalb habe ich Sie dahin kommuniziert und gerade mit demjenigen telefoniert, der sie schließen kannhomematic_fan hat geschrieben:Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.
Es ist keine absichtliche Backdoor. Es hat sich halt mit der Zeit zu einer Möglichkeit entwickelt an der Passwortabfrage der CCU2 vorbeizukommen. Das liegt einfach daran, dass vor 10 Jahren als die Grundkonzepte entwickelt wurden, keiner die Möglichkeit in Betracht gezogen hat, dass die CCU2 mal per Portweiterleitung am Internet hängt. Daher "musste" das seinerzeit nicht sicher sein
Herzliche Grüße, anli
Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.
Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)
Einsteiger-Hilfe • erweiterter Skript-Parser
Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.
Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)
Einsteiger-Hilfe • erweiterter Skript-Parser
- Herbert_Testmann
- Beiträge: 11062
- Registriert: 17.01.2009, 11:30
- Danksagung erhalten: 7 Mal
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Hallo
die "Anmeldung" an der WebUi ist doch nur Kosmetik, um verschiedene Userrechte vergeben zu können.
Ich kann jederzeit eine Befehlszeile an die CCu schicken und damit Aktoren schalten und SysVar setzen. Ohne mich vorher anzumelden. Und das soll auch so bleiben, denn das ist kein Fehler sondern eine Eigenschaft der CCU, die oft und gern genutzt wird.
Meine Lichtschalter haben auch kein Vorhängeschloss. Wer erst mal im Haus ist, darf auch schalten.
die "Anmeldung" an der WebUi ist doch nur Kosmetik, um verschiedene Userrechte vergeben zu können.
Ich kann jederzeit eine Befehlszeile an die CCu schicken und damit Aktoren schalten und SysVar setzen. Ohne mich vorher anzumelden. Und das soll auch so bleiben, denn das ist kein Fehler sondern eine Eigenschaft der CCU, die oft und gern genutzt wird.
Meine Lichtschalter haben auch kein Vorhängeschloss. Wer erst mal im Haus ist, darf auch schalten.
---
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig
-
- Beiträge: 163
- Registriert: 04.09.2010, 20:08
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Super, das ist das bisher beste Statement in diesem Thread.anli hat geschrieben:E-Q3 war die Lücke bisher auch nicht bekannt. Deshalb habe ich Sie dahin kommuniziert und gerade mit demjenigen telefoniert, der sie schließen kannhomematic_fan hat geschrieben:Danke für Eure Einschätzungen. Ich werde eine Support-Anfrage an eQ-3 stellen. Vielleicht erfahre ich dort, was es mit der Sicherheitslücke auf sich hat, ob die absichtlich ist und offen bleibt oder ein Bug ist und vielleicht mal behoben wird.
Es ist keine absichtliche Backdoor. Es hat sich halt mit der Zeit zu einer Möglichkeit entwickelt an der Passwortabfrage der CCU2 vorbeizukommen. Das liegt einfach daran, dass vor 10 Jahren als die Grundkonzepte entwickelt wurden, keiner die Möglichkeit in Betracht gezogen hat, dass die CCU2 mal per Portweiterleitung am Internet hängt. Daher "musste" das seinerzeit nicht sicher sein
Grüße
HM-Fan
- anli
- Beiträge: 4326
- Registriert: 10.06.2009, 14:01
- Wohnort: 20 Min. nördlich von Hannover und bei Bremen
- Hat sich bedankt: 1 Mal
- Danksagung erhalten: 23 Mal
- Kontaktdaten:
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Ja. Genau das ist jedoch das Einfallstor, mit der Du die Benutzeranmeldung auch ganz abschalten kannstHerbert_Testmann hat geschrieben:Ich kann jederzeit eine Befehlszeile an die CCu schicken und damit Aktoren schalten und SysVar setzen. Ohne mich vorher anzumelden. Und das soll auch so bleiben, denn das ist kein Fehler sondern eine Eigenschaft der CCU, die oft und gern genutzt wird.
Herzliche Grüße, anli
Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.
Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)
Einsteiger-Hilfe • erweiterter Skript-Parser
Alle Angaben ohne Gewähr und Haftung meinerseits. Verwendung der von mir zur Verfügung gestellten Downloads auf eigene Gefahr. Ich bitte um Verständnis, dass ich aus zeitlichen Gründen keine unaufgeforderte Hilfestellung per PN/Mail geben kann. Bitte allgemeine Fragen ins Forum stellen, hier können viele fähige User viel schneller helfen.
Homematic-Manager v2: einfaches Tool zum Erstellen von Direktverknüpfungen und Bearbeiten von Gerätenamen, -parametern etc. für Homematic und HomematicIP (Alternative diesbzgl. zur WebUI)
Einsteiger-Hilfe • erweiterter Skript-Parser
- Herbert_Testmann
- Beiträge: 11062
- Registriert: 17.01.2009, 11:30
- Danksagung erhalten: 7 Mal
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Das ist mir schon klar und trotzdem kann / will ich darauf nicht verzichten. Sollte das nicht mehr funktionieren, dass ich von meinem Web Server oder anderen Geräten aus auf so einfache Weise die CCU steuern kann, wird ein Grossteil der Schnittstellen zu anderen Systemen in meinem Haus nicht mehr funktionieren. Und da wäre ich gar nicht begeistertanli hat geschrieben: Ja. Genau das ist jedoch das Einfallstor, mit der Du die Benutzeranmeldung auch ganz abschalten kannst
---
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig
Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig
-
- Beiträge: 4155
- Registriert: 09.09.2012, 10:41
- System: Alternative CCU (auf Basis OCCU)
- Hat sich bedankt: 78 Mal
- Danksagung erhalten: 301 Mal
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
DAS ist IMO das beste Statement in diesem Thread.Herbert_Testmann hat geschrieben: Meine Lichtschalter haben auch kein Vorhängeschloss. Wer erst mal im Haus ist, darf auch schalten.
Ich käme nie auf die Idee, einen Tresor für meine Wertsachen zu kaufen, den dann mit der Tür nach außen in die Hauswand einzubauen und mich dann beschweren, dass der Tresor kein sicheres Schloss hat.
Es gibt 10 Arten von Menschen: solche die Binärcode verstehen und solche, die ihn nicht verstehen.
-
- Beiträge: 163
- Registriert: 04.09.2010, 20:08
Re: WARNUNG: Per Portweiterleitung erreichbare CCU2 ist unsi
Ich sehe es ein bißchen anders: Mit dem Portforwarding befindet sich ein Teil der CCU, nämlich das Web-UI im öffentlichen Internet und die restlichen Interfaces im privaten Netzwerk. Bildlich gesehen wird mit dem Port-Forwarding eine Tür in die Firewall eingebaut. Weil ich für das Portforwarding nur das HTTPS Protokoll zulasse, handelt sich dabei um eine äußerst stabile und massive Türe, die ähnlich unüberwindbar ist, wie die Firewall selbst. Hinter der Türe befindet sich die CCU mit weiteren Türen, die weniger gut gesichert sind und teilweise sogar offenstehen. Aber das macht nichts, weil diese Türen ja allesamt hinter der Firewall liegen und durch sie keiner in die CCU oder mein privates Netzwerk eindringen kann.Jeeper.at hat geschrieben:@HM-Fan
Also für mein Verständnis gehst du von falscher Annahme aus. Die CCU2 muss nicht sicher sein. Dein Netzwerk muss es sein. Den die CCU2 hängt ja nur im privaten Teil. In meinem privaten Netzwerk hat niemand was verloren. Einbrüche sind dort zu verhindern. Wenn mal jemand in meinem privaten Netzwerk ist, dann ist es bereits vorbei.
Außer du gehst von bösartigen Angriffen in deinem Haushalt aus.
Wenn nun aber die Paßwortabfrage in der CCU abschaltbar ist, dann ist das ungefähr so, als würde man den Schlüssel für die große und schwere Türe unter den Fußabstreifer außen vor der Firewall legen. Diesen merkwürdigen Umstand kritisiere ich
Grüße
HM-Fan