Sicherheitsrisiko meine-homematic.de

[Herbert_Testmann]

sehe ich dass richtig dass dann der Zentralenbesitzer jede Komponente zu EQ-3 hätte schicken dürfen?
besondern haarsträubend bei eingebauten Schaltern/Dimmern etc.

Nein das siehst Du nicht richtig.
Die meisten Komponenten lassen sich vom User in der Werkzustand zurück setzen.
Ausserdem ist nach einer Änmderung des Schlüssels an allen batteriebetriebenen Geräten das Drücken der Anlerntaste notwendig. Und nur ein Teil dieser Geräte wäre von einem Problem betroffen.

---------
BTW Falls noch jemand wirkungsvollere Ideen hat, andere User zu schädigen, darf er diese gern für sich behalten. Andernfalls werde ich nicht zögern, vom Beschwerde Button Gebrauch zu machen.

[Homoran]

Ich finde es nicht zielführend Dritte in diesem öffentlichen Forum auf solche Möglichkeiten hinzuweisen.

Gruß
Rainer

EDIT Herbert war schneller und deutlicher

[wuscheltuschel]

es liegt mir fern, andere Nutzer zu schaden.

wer sowas vor hat findet vermutlich anderswo im Internet detailierte Anleitungen.

es würde mich wundern wenn sich die Experten vom CCC nicht irgendwo im Wordwideweb verewigt hätten.

mir geht es darum: was kann mir alles blühen wenn ich den Dienst meine-homematic.de nutze, welche Probleme hätten im Worst Case passieren können wenn MEIN Zugang vom Problem betroffen gewesen wäre.

Ich finde es nicht verwerflich nachzufragen, denn ich möchte abwägen ob ich diesen kurzzeitigen Fehler auch als nicht betroffener akzeptieren kann oder eben nicht. Ob ich den Dienst noch vertrauen kann oder nicht.

Speziell auf diese Nachfrage bin ich gekommen weil ich irgendwo im Forum von der Thematik "Sicherheitsschlüssel beim Bewegungsmelder vergessen" gelesen habe. Finde leider den Thread nicht aus dem Stegreif.

Ausserdem ist nach einer Änmderung des Schlüssels an allen batteriebetriebenen Geräten das Drücken der Anlerntaste notwendig. Und nur ein Teil dieser Geräte wäre von einem Problem betroffen.

sicher dass dies auch bei den neuen Qivicon kompatiblen Version 2 Geräten der Fall ist?

z.B. HM-SEC-SC-2 (Funk Fensterkontakt) bzw. Bewegungsmelder Version 2



edit: theoretisch wie praktisch stellt sich die Frage genauso bei Apps zweifelhafter Entwicklerherkunft wo der Programmierer vielleicht Zugangsdaten abgreift und dann aus Langeweile oder Misserfolg Unsinn anstellt.

Ich finde auch technisch nicht versierte Nutzer haben das Recht zu erfahren was passieren kann wenn man den falschen Leuten vertraut.

[chrisfoerg]

kurze Frage, was hat der CCC damit zu tun?

[wuscheltuschel]

die Jungs haben den Plan

http://www.youtube.com/watch?v=KlRLW4jJWgc

[chrisfoerg]

Danke dir

[Herbert_Testmann]

hallo

grundsätzlich muss jeder User selbst abwägen, ob er seine CCU ins Internet hängt, oder nur lokal betreibt.
Meist siegt die bequemlichkeit über Sicherheitsbedenken.

Was ich an dem ganzen Vorgang nicht so ganz verstehe ... offensichtlich geht es um den Web Zugang zur WebUi der CCU der fehl geleitet war. Ich nutze zwar diesen Zugang nie, sondern nur eine App, habe das aus gg Anlass aber mal getestet.
Bei meinem Zugang lande ich auf dem Anmeldebildschirm der CCU. Der Schädling müsste also zumindest erst mal Passworte raten.
Wenn jemand das AutoLogin bei der CCU belassen hat, kann er auch den Haustürschlüssel von aussen stecken lassen.

[leknilk0815]

...was mir etwas seltsam erscheint ist, daß die Überschrift des Freds "Sicherheitsrisiko..." lautet und dann, wenn auf Risiken hingewiesen wird, mit dem Beschwerdebutton gewedelt wird.
Hier:
http://www.seceng.informatik.tu-darmsta ... Theuer.pdf
gibts z.B. eine öffentliche "Anleitung" der Uni Darmstadt, wie man Drucker missbraucht. In der Facharbeit ist u.A. auch beschrieben, wie man über Google Webcams (oder auch Homematics) findet, sofern sie über Ports nach aussen offen sind.
Wenn man auf Risiken nicht mehr hinweisen darf, verliert das Forum langsam an Sinn.
Gefahr erkannt - Gefahr gebannt
...oder gilt der Spruch nicht mehr?

[wuscheltuschel]

Danke leknilk0815, Du sprichst mir aus der Seele, da ich über die ersten Reaktionen doch etwas überrascht war.

Bei meinem Zugang lande ich auf dem Anmeldebildschirm der CCU. Der Schädling müsste also zumindest erst mal Passworte raten.
Wenn jemand das AutoLogin bei der CCU belassen hat, kann er auch den Haustürschlüssel von aussen stecken lassen.

ich wusste bis vor zwei Tagen als ich im Forum rumgewühlt habe nicht mal von dieser Möglichkeit ein Anmeldepasswort zu sezten.

allerdings habe ich auch keine Keymatic die jemand aufsperren könnte.

geht dann auch noch PocketControl und so? vermute bestimmt. würde nachschauen aber muss ins Bett.

[chrisfoerg]

Das Video hatte ich schon wieder vergessen bzw. für mich selber das Thema als "nicht betreffend" abgehakt. Kann sein, dass ein Nachbar auch HomeMatic einsetzt und einen großen Forscherdrang entwickelt, aber ich verstehe die Benutzer eher als Bastler und Tüftler am System und denke nicht, dass einer, der das System verwendet auf der "dunklen Seite der Macht" wandert und irgendjemanden schaden will. Interesse am anderen System ja (was man hier auch lesen konnte) und vielleicht der Versuch, den Anderen darüber zu informieren, aber schaden denke ich jetzt nicht.

Dass Probleme bei Dienstleister auftreten können, denke ich, wird immer wieder passieren. War auch schon bei Apple, Microsoft und Co., als Daten oder eMails nicht mehr vorhanden und auch nicht wieder herzustellen waren. Oder aktuell das Thema mit Apple und der Diagnosesoftware auf den iOS Geräten. Lösen lässt sich dies, wenn man Alles selber macht, doch wo ist da die Grenze. Es ist zwar vieles Möglich, doch um von meinem Tablet auf meine CCU zuzugreifen müsste ich mir das Tablet selber herstellen, mein eigener Mobilfunk und DSL Anbieter sein usw.
Umgehen kann ich das Ganze etwas, in dem ich halt eine verschlüsselte Verbindung benutze (was aber auch Andere erfunden haben und pflegen) und anstelle einer App den Browser auf meinem Tablet einsetze. Ansonsten bleibt mir nur noch die Möglichkeit manuell auf den Lichtschalter zu drücken oder mit Kerzenlicht zu leben.
Ich für mich werde es mit OpenVPN (iPhone/iPad -> DrayTek Router) und einem Browser in Verbindung mit DashUI (auf MacMini) lösen.

Das Thema Wiki wurde hier sicherlich/vielleicht auch schon angeschnitten und ich kenne den Ausgang der Gespräche jetzt nicht, doch würde ich es gerade für Anfänger (und ich bin selber einer in Bezug auf HomeMatic) spitze finden, wenn es so etwas geben könnte mit Anleitungen, Hinweisen und Beispielen, egal jetzt ob OpenVPN Verbindungen oder HomeMatic Einstellungen. Vieles ist im Forum schon drin, doch manchmal sieht man vor lauter Text die Buchstaben einfach nicht. Falls es sowas schon gibt, dann bitte eine PN an mich, denn ich will den Thread hier nicht in eine andere Richtung biegen.

Interessant für ein paar freie Minuten ist auch http://www.youtube.com/watch?v=Pvn2osMB0QA. Hier ist ab 1h 11min ein passendes Thema mit offenen Ports und Portweiterleitung in Bezug auf das VNC Protokoll.

Euch noch eine gute Nacht,
Christian