Moderator: Co-Administratoren
!!! Wenn anli die von mir >>hier<< vorgestellte Lösung zum Einloggen in der WebUI ohne Passwort, zur Schließung der Möglichkeit von unberechtigten Zugriffen auf die WebUI an eq3 weitergegeben hat, dann ist dadurch die Sicherheit auch nicht erhöht.AndiN hat geschrieben:Und der Hersteller wird auch die jetzt bekannte Tür irgendwann dicht machen"
Hallohomematic_fan hat geschrieben: Wenn nun aber die Paßwortabfrage in der CCU abschaltbar ist, dann ist das ungefähr so, als würde man den Schlüssel für die große und schwere Türe unter den Fußabstreifer außen vor der Firewall legen. Diesen merkwürdigen Umstand kritisiere ich
Grüße
HM-Fan
Meinen herzlichen Dank an Anli, dass er als (wie ich vermute) Experte die Diskussion über Sicherheitsaspekte mit eQ3 angestossen hat!Der verwundbare Dienst ist zwar nur im lokalen Netz erreichbar, laut RedTeam lässt sich die Lücke aber auch über speziell präparierte Webseiten ausnutzen, die auf den Dienst im lokalen Netz verweisen (Cross Site Request Forgery, CSRF)
Das ist eine Bequemlichkeitsfrage. Du kannst Windows so konfigurieren, das es direkt in den Desktop durchbootet, ohne weitere Anmeldung... Und dort kann dann jeder das Outlook starten, ohne weitere Anmeldung, oder Dein WebBrowser öffnen, in dem wahrscheinlich auch das ein oder andere Kennwort gespeichert ist. Und je nach Browser muss man dafür auch keinerlei Geheimnisse kennen, um sich das Anzeigen zu lassen.homematic_fan hat geschrieben: Wenn nun aber die Paßwortabfrage in der CCU abschaltbar ist, dann ist das ungefähr so, als würde man den Schlüssel für die große und schwere Türe unter den Fußabstreifer außen vor der Firewall legen. Diesen merkwürdigen Umstand kritisiere ich
Da ist aber immer AKTIV ein Benutzer im Netzwerk unterwegs, der auf ominöse Anhänge klickt, den Virenscanner nicht updated, oder sonst eine Verkettung unglücklicher Umstände.cmjay hat geschrieben:Ich halte die hier mehrheitlich geäusserte Auffassung, das Heimnetz (ohne Portweiterleitung und sonstigen Harakiri) sei ein "sicherer Hafen" für die CCU, für nicht mehr zeitgemäß. Bestes Beispiel eines Angriffsszenarios aus dem Heimnetz ist die dramatisch anwachsende Welle von Erpressungstrojanern, wie z.B. kürzlich "Goldeneye", die nach Infektion ihres Wirtssystems aktiv im Netzwerk nach weiteren Geräten suchen, um diese zu verschlüsseln. Bisher geht es den Kriminellen dabei wohl vor allem um sämtliche erreichbaren Datenspeicher, aber wer will ausschliessen, dass es in den nächsten Jahren keine gezielten Attacken dieser Art auf Hausautomationssysteme / IoT geben wird? Mit zunehmender Verbreitung von Hausautomatisierungslösungen werden sie zum immer lukrativeren Ziel. Und die Malware-Baukästen lassen sich offenbar leicht für neue Aufgabenstellungen anpassen ...
Nein, müssen sie nicht. Schon gar nicht für Angriffe aus dem Internet (auf welchem Weg auch immer), denn für dieses Einsatzsszenarion ist die CCU nicht vorgesehen. Für die Sicherheit in Deinem eigenen Netz bist Du selbst, und nur Du, verantwortlich. Man kann interne Consumer-Geräte nicht gegen jedes Angriffsszenario absichern, schon gar nicht ohne den Verlust von Funktionalität. Dann wären wir in einer Umgebung wie beim Hersteller mit dem angebissenen Obst. Und das will wirklich niemand, dass bei einer Hausautomation nur explzit das geht, was der Hersteller vorgesehen hat. Nach Deiner Lesart gingen dann weder Addons noch die Vielfalt von Steuerungs- und Zugriffsmöglichkeiten, eingehend sowie ausgehend. Die mühsame Implementation von Nicht-HM-Hardware wäre genau so nicht möglich (Webcams, Hue usw.).cmjay hat geschrieben:Daher bin ich der Meinung, dass eQ3 auch die CCU-Firmware gegen solche Bedrohungen härten muss.