Amnesia:33 und Ripple20
Moderator: Co-Administratoren
-
- Beiträge: 266
- Registriert: 05.10.2019, 21:17
- Hat sich bedankt: 110 Mal
- Danksagung erhalten: 2 Mal
Amnesia:33 und Ripple20
Hallo Zusammen,
ich habe gerade gelesen, dass kritische Sicherheitslücken aufgedeckt wurden.
https://www.heise.de/news/Amnesia-33-ei ... 82063.html
Kann mir jemand sagen, ob Homematic davon auch betroffen ist ?
Vielen Dank
Hugo
ich habe gerade gelesen, dass kritische Sicherheitslücken aufgedeckt wurden.
https://www.heise.de/news/Amnesia-33-ei ... 82063.html
Kann mir jemand sagen, ob Homematic davon auch betroffen ist ?
Vielen Dank
Hugo
- Dateianhänge
-
- Amnesia33.pdf
- (1.5 MiB) 61-mal heruntergeladen
Zuletzt geändert von Roland M. am 08.12.2020, 10:15, insgesamt 1-mal geändert.
Grund: Thema verschoben
Grund: Thema verschoben
-
- Beiträge: 266
- Registriert: 05.10.2019, 21:17
- Hat sich bedankt: 110 Mal
- Danksagung erhalten: 2 Mal
Re: Amnesia:33 und Ripple20
Hi Shartelt,
danke für die Rückmeldung. Hört sich ja nicht so gut an. Ich hatte nach dem Artikel die Hoffnung, dass ELV die Lücken vielleicht schon geschlossen hätte.
Vielleicht sollte ich meine CCU erstmal offline weiter betreiben oder was meinst Du ?
Hugo
danke für die Rückmeldung. Hört sich ja nicht so gut an. Ich hatte nach dem Artikel die Hoffnung, dass ELV die Lücken vielleicht schon geschlossen hätte.
Vielleicht sollte ich meine CCU erstmal offline weiter betreiben oder was meinst Du ?
Hugo
-
- Beiträge: 12108
- Registriert: 20.11.2016, 20:01
- Hat sich bedankt: 848 Mal
- Danksagung erhalten: 2148 Mal
- Kontaktdaten:
-
- Beiträge: 14149
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 583 Mal
- Danksagung erhalten: 1497 Mal
Re: Amnesia:33 und Ripple20
Wenn Du Deine CCU nicht per Portweiterleitung aus dem Internet erreichbar gemacht hast, sollte diese Sicherheitslücke kein Problem für Dich sein. Wer seine CCU so erreichbar gemacht hat, ist selbst Schuld. Selbst in der WebUI wird in aktuellen Firmwareversionen gewarnt und hier im Forum wird auch oft genug darauf hingewiesen. Unabhängig davon haben wohl dem Vernehmen nach so einige ihre CCU im Netz hängen, weil ihnen die Sicherheit weder etwas Aufwand (VPN) oder die Kosten eines Diensteanbieters (ca. 2 EUR pro Minat) nicht wert sind.
Gruß Xel66
Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
-
- Beiträge: 266
- Registriert: 05.10.2019, 21:17
- Hat sich bedankt: 110 Mal
- Danksagung erhalten: 2 Mal
Re: Amnesia:33 und Ripple20
Naja ist in meinem lokalen Netzwerk eingebunden. Von unterwegs greife ich per VPN darauf zu...
Keine Portfreigabe etc , nur über VPN Verbindung zum Router.
Nun mach ich mir Gedanken, ob das noch sicher ist bzw. was passieren könnte.
Ich habe ja schon einiges Gelesen über Hacker, die den Sicherheitsschlüssel geändert haben etc.
Habe in der CCU Passworte vergeben und die Firewall eingeschaltet. Hoffe das genügt...
Keine Portfreigabe etc , nur über VPN Verbindung zum Router.
Nun mach ich mir Gedanken, ob das noch sicher ist bzw. was passieren könnte.
Ich habe ja schon einiges Gelesen über Hacker, die den Sicherheitsschlüssel geändert haben etc.
Habe in der CCU Passworte vergeben und die Firewall eingeschaltet. Hoffe das genügt...
-
- Beiträge: 12108
- Registriert: 20.11.2016, 20:01
- Hat sich bedankt: 848 Mal
- Danksagung erhalten: 2148 Mal
- Kontaktdaten:
Re: Amnesia:33 und Ripple20
Mit
hast du ja schon alles richtig gemacht.Hugo Oberstein hat geschrieben: ↑08.12.2020, 10:20Keine Portfreigabe etc , nur über VPN Verbindung zum Router.
-
- Beiträge: 266
- Registriert: 05.10.2019, 21:17
- Hat sich bedankt: 110 Mal
- Danksagung erhalten: 2 Mal
Re: Amnesia:33 und Ripple20
Da haben sich unsere Antworten überschnitten:-)Xel66 hat geschrieben: ↑08.12.2020, 10:16Wenn Du Deine CCU nicht per Portweiterleitung aus dem Internet erreichbar gemacht hast, sollte diese Sicherheitslücke kein Problem für Dich sein. Wer seine CCU so erreichbar gemacht hat, ist selbst Schuld. Selbst in der WebUI wird in aktuellen Firmwareversionen gewarnt und hier im Forum wird auch oft genug darauf hingewiesen. Unabhängig davon haben wohl dem Vernehmen nach so einige ihre CCU im Netz hängen, weil ihnen die Sicherheit weder etwas Aufwand (VPN) oder die Kosten eines Diensteanbieters (ca. 2 EUR pro Minat) nicht wert sind.
Gruß Xel66
Danke aber für die Erläuterung. Also müsste es für mich unproblematisch sein.
-
- Beiträge: 14149
- Registriert: 08.05.2013, 23:33
- System: Alternative CCU (auf Basis OCCU)
- Wohnort: Nordwürttemberg
- Hat sich bedankt: 583 Mal
- Danksagung erhalten: 1497 Mal
Re: Amnesia:33 und Ripple20
Davon würde ich in diesem Falle unter der Maßgabe der ausschließlichen Nutung per VPN ausgehen. In den Berichten mit den gehackten CCUs hat sich immer herausgestellt, dass diese direkt aus dem Internet per Portweiterleitung erreichbar waren. Ich suche nicht selbst, bin aber mal vor längerer Zeit selbst bei einer Standardsuche (Sciptschnipsel) auf einer fremden CCU gelandet. Leute mit den richtigen Suchbegriffen und der richtigen Suchmaschine haben keine Probleme, noch eine Vielzahl solcher CCUs zu finden.
Gruß Xel66
-------------------------------------------------------------------------------------------
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch
524 Kanäle in 146 Geräten und 267 CUxD-Kanäle in 34 CUxD-Geräten:
343 Programme, 334 Systemvariablen und 183 Direktverknüpfungen,
RaspberryMatic Version: 3.65.11.20221005 + Testsystem: CCU2 2.61.7
-------------------------------------------------------------------------------------------
Einsteigerthread, Programmlogik-Thread, WebUI-Handbuch