CCU3 gehackt (Happy Hacking Button) - trotz Warnungen...

[Black]

Führt Black evtl. eine Statistik, wie vielen RaspberryMatic vs. orig CCU FW Nutzern er bereits geholfen hat?

ja, führt er...

1 CCU1
5 CCU2
2 RMatik
0 OVAs
>15 CCU3

Wobei ich allerdings nicht sagen möchte, das eine CCU3 per se hacking friendly ist. Da Jens, Jerome und ich ja wissen, wodrüber wir bei den Vektoren reden (Ohne hier in detail zu gehen), eine OVA liesse sich genauso hacken, wenn die offen im Netz liegt.

Ich denke eher, das die Typischen Anwender einer RMatik oder gar einer OVA da etwas tiefer in der Materie drin sind, ein denke ich etwas weiteres Sicherheitsbewusstsein haben und deshalb auch drauf achten, dass die Systeme nach aussen verrammelt sind.

Eine CCU3 ist halt die Hersteller gelieferte Out of The Box Automatisierung, die sich auch Anwender Max Mustermann kauft bzw kaufte, und dessen Netzwerkwissen sich darauf beschränkt, das ne Adresse vier zahlen hat und der WLan Schlüssel meißtens noch der Factory key ist

Eine RMatik erfordert schon bisschen Affinität zu dem Thema Linux etc, eine OVA schon etwas Wissen. Und wenn man dieses Wissen hat, macht man halt so einen scheiss wie ne portweiterleitung auf eine CCU nicht.

Ziel muss da eher sein, die Anwender diesbezüglich zu sensibilisieren.

Black

[jmaus]

Wobei ich allerdings nicht sagen möchte, das eine CCU3 per se hacking friendly ist. Da Jens, Jerome und ich ja wissen, wodrüber wir bei den Vektoren reden (Ohne hier in detail zu gehen), eine OVA liesse sich genauso hacken, wenn die offen im Netz liegt.

Ist das denn wirklich so? Auch wenn ich dir vor längerem ja geschrieben habe, so hab ich mir das ganze nochmal etwas genauer angeschaut bzw. durch den Kopf gehen lassen und eigentlich sollte – selbst wenn die WebUI (d.h. Port 80/443) frei zugänglich via Port Forwarding erreichbar ist – eine RaspberryMatic recht sicher sein. Da kommen meines Erachtens eigentlich nur folgende Angriffsvektor in Betracht:

1. Unsicheres Passwort (Brute Force Attacke).
2. Passwortloser Zugriff eingeschalten (Gastaccount, etc.).
3. Installation eines unsicheres Third-Party Addons das selbst via Port 80/443 ein Webinterface zur Verfügung stellt oder eigene potentielle Einfallstore hat (z.B. XML-API v1 Addon).
4. Abgreifen/Abfischen der sid=XXXXXX aus einer Zugriffs-URL weil die Verbindung nicht via HTTPS erfolgt und irgendein Webproxy die URL irgendwie/irgendwo cached oder jemand den Traffic via Port 80 abgreift.
5. Zugriff erlangen via alter Sicherheitslücke in lighttpd, web interface, OCCU Lücke, etc.

Oder gibt es da noch etwas das ich irgendwie übersehe bzw. aktuell nicht dran denke? Und ich kann mir eben bei den vielen CCU3 Fällen eben denken das es da einfach einige gibt die entweder durch (1), (2) oder (3) sich ins Bein geschossen haben oder durch (5) weil eine CCU3 ja mit einem alten lighttpd, ner alten SSL Library, etc. daher kommt. Und natürlich kann es auch sein das Nutzer hier ggf. noch weitere Ports nach aussen freigegeben haben (z.B. ReGa-Skripting Port 8181) und deshalb direkt hackbar sich gemacht haben.

Aber eine default RaspberryMatic mit nur Port 80/443 nach aussen, einem sicheren Passwort, abgeschaltetem passwortlosem Zugriff und ohne unsichere Third-Party Addons wie XML-API v1 sollten doch eigentlich recht sicher sein.

Und weisst du denn wie die beiden RaspberryMatic genau gehackt wurden?

[Oliver900]

gelöscht

[tmaey]

Eine CCU3 ist halt die Hersteller gelieferte Out of The Box Automatisierung, die sich auch Anwender Max Mustermann kauft bzw kaufte, und dessen Netzwerkwissen sich darauf beschränkt, das ne Adresse vier zahlen hat und der WLan Schlüssel meißtens noch der Factory key ist

Jeder Nutzer einer CCU3 bekommt bei der Inbetriebnahme den ganz deutlichen Hinweis, dass offene Ports ein erhebliches Sicherheitsproblem ist.

Auf den Gedanken mit dem "nervenden Pop-Up" bin ich durch diesen Tread gekommen. Jowie78 hatte seine Ports ja auch zu, und dann bei einer Installation fälschlicherweise Ports freigegeben und dann vergessen.

Gegen dieses "Vergessen" wäre so ein Pop-Up (oder eine andere Darstellung auf der Startseite) eine deutliche Erinnerung.

[MichaelN]

Viel effektiver fände ich als Vorsorge ein „nervendes Pop-up“, das immer vorhanden ist, wenn ein Port offen ist.

Ja, und es muss jedesmal an einer anderen Stelle aufpoppen.

Oder gibt es da noch etwas das ich irgendwie übersehe bzw. aktuell nicht dran denke?

Auto login

Ich benutze manchmal, meist durch solche threads angeregt, die besagte Suchmaschine. Häufig sieht man den anmelde Bildschirm. Da ist bei mir Schluss. Zum einen aus rechtlichen Gründen, zum anderen weil ich nicht weiß wie man unbefugt Zugang erlangt. Aber ganz häufig landet man auch einfach auf der Startseite.

Und ab und zu ist eine aktuelle RM dabei mit Alarm Meldung bezüglich Portweiterleitung.

Der Nutzen solcher Meldungen ist eben begrenzt.

[jmaus]

Ich benutze manchmal, meist durch solche threads angeregt, die besagte Suchmaschine. Häufig sieht man den anmelde Bildschirm. Da ist bei mir Schluss. Zum einen aus rechtlichen Gründen, zum anderen weil ich nicht weiß wie man unbefugt Zugang erlangt. Aber ganz häufig landet man auch einfach auf der Startseite.

Und ab und zu ist eine aktuelle RM dabei mit Alarm Meldung bezüglich Portweiterleitung.

Das stimmt. Aber es zeigt auch das wohl die Auto-Login Funktion das ist was als eines der ersten Dinge in einer der nächsten Versionen fallen / eliminiert werden muss.

[MichaelN]

Und am besten überzeugst du eq3, das sie diese Optimierungen bezüglich Sicherheit alle übernehmen.

[jmaus]

Und am besten überzeugst du eq3, das sie diese Optimierungen bezüglich Sicherheit alle übernehmen.

Das ist quasi ein dauerhaftes WIP. Allerdings mahlen die Mühlen dort leider sehr viel langsamer als bei mir was man ja alleine schon an den vielen hundert WebUI Patches in RaspberryMatic sieht die eQ3 eigentlich auch Stück für Stück übernehmen woll(t)en. Es gibt da einfach andere Befindlich-/Dringlichkeiten.

[jp112sdl]

Und natürlich kann es auch sein das Nutzer hier ggf. noch weitere Ports nach aussen freigegeben haben (z.B. ReGa-Skripting Port 8181) und deshalb direkt hackbar sich gemacht haben.

Such einfach nach Homematic.

[Black]

Das autologin würde und werde ich als erstes wieder reinpatchen.

Mein Server steht save in seinem vlan und zum Arbeiten isses dann lästig

My 2 Cent black