Hallo zusammen,
Vorab: ja ich bin ein IT'ler und bin gerade im Begriff ein Haus bauen zu lassen, wo ich mich als Inschenschiör gehörig in die Planung und Umsetzung der Elektr(otechn)ik inklusive Hausautomation und Alarmanlage einmische ... bin ja schliesslich derjenige der es zahlen muss.
Ich habe einige Zeit hin und her überlegt, ob ich diesen Thread starte oder nicht. Ja, ich lese eigentlich nur still mit, kann bei dem geballten Fachwissen hier im Forum als blutiger KNX-Anfänger ja auch nicht wirklich viel beitragen.
Aber ich glaube hier im Forum existiert eine gewisse Ignoranz dem Thema Security gegenüber und hier bin ich einfach mal völlig anderer Meinung wie diverse Koriphäen. Ich denke, das sollte man den anderen stillen Lesern nicht vorenthalten. Gerade erst wieder im Thread "ETS Inside und ETS 5.5" die "Mär vom Einbrecher auf dem Dach" mit der ETS auf dem Laptop und dem nicht lohnenden Angriffsziel Eigenheim
KNX ist nicht mal im weitesten sondern eher im engsten Sinne IT ... ob das den altgediehnten KNX-Herren in den Kram passen mag oder nicht. Und IT ist nunmal angreifbar ... die Distanz zum Objekt der Begierde spielt dabei erstmal eine untergeordnete Rolle. ... es gibt fuer alles Mittel und Wege ...
Ich bezweifel nicht, dass die Wahrscheinlichkeit eines Bruchs via KNX heute eher klein ist und es ist auch aus meiner Sicht eher unrealistisch, dass der Einbrecher sich direkt vor dem Bruch auf das Dach begibt, um sich von dort einzuhacken. Aber wer "verbietet" es dem Einbrecher dort ein kleines Kästchen zu installieren, welches dann in aller Ruhe die Buskommunikation mitschneidet? Wie oft schaut der normale Hausbesitzer auf's Dach ... 1x im Jahr?
Eigene Adresse, brauche ich (erstmal) nicht, selbst wenn ich die Tür oder das Garagentor nur einmael oeffnen muss, dann gebe ich mich halt als irgendein Teilnehmer am Bus aus, die Source wird vom Empfaenger ja (derzeit) eh nicht verifiziert.
ETS-Lizenz, wozu? Ich will ja nicht umprogrammieren, sondern nur das richtige Päckchen senden, um Tür/Tor zu öffnen. Ausserdem habe ich von durchaus ernst zu nehmenden Quellen vernommen, dass es bereits Eigenentwicklungen gibt, die die ETS in ihrer Funktionalitaet sogar in den Schatten stellen ... Ist ja auch nicht weiter schwierig, die Buskommunikation ist ja gut dokumentiert und das ist es was zaehlt, ich will ja nicht den Source-Code der ETS nachbauen, wozu auch ...
Auf dem Dach hat es in der Regel sogar genug Sonnenschein, um via Solarzelle den Strom selber zu produzieren, sodass man es nichtmal am Stromverbrauch auf dem Bus merken wuerde, wenn man den regelmaessig kontrollieren wuerde. Mal ganz abgesehen davon, dass die Buskommunikation elektrische Signale sind, welche auch um das Kabel herum ein elektromagnetisches Feld erzeugen, was man mitschneiden und auch beeinflussen kann. Realistisch? ... keine Ahnung, aber technisch moeglich und damit ein zulaessiges Szenario.
Und auch der Funkempfang duerfte nicht so schlecht sein, dass man das in aller Seelenruhe ueber Tage/Wochen/Monate austuefteln und sonstwohin uebertragen kann.
Aufwand fuer die Installation des Kästchens ... 5 Minuten oder weniger? Vllt. kann man so ein Kästchen mittlerweile als Bausatz kaufen ... die Herstellungskosten dürften wohl um die 10-20 Euro liegen ...
Jeder der glaubt, es gäbe in (s)einem Haus nix, was einen Einbruch Wert wäre, irrt gewaltig ... es geht nicht immer nur um Gold und Diamanten. Ein (hochwertiges) Auto in der Garage kann ein Angriffsziel sein und das knackt sich am einfachsten mit dem Autoschlüssel aus dem Haus nebendran. Auch Erpressung liegt absolut im Bereich des Möglichen ... warum sind die Erpressungstrojaner so erfolgreich? Es wird schwierig in einem Haus zu wohnen, in welchem das Licht "nach belieben" an und aus geht. Die Firmware in den Sensoren und Aktoren ist auch nur menschliches Teufelswerk und sicher nicht vor Angriffen sogar via KNX-Bus geschützt.
Die Motivation eines Angriffes spielt in allen gängigen Angriffsszenarien eine untergeordnete Rolle ... einzig entscheidend ist die Tatsache, dass es technisch möglich ist und damit wird es (irgendwann) auch gemacht. Möchte ich das erste Opfer eines neuen Angriffs sein? NEIN!
Und dass Versicherungen erst bei höheren Werten eine Alarmanlage fordern ist auch ein ganz klares Beispiel von Risikomanagement ... habe ich ein paar Millionen Verträge, wo der Versicherungswert eher niedrig ist, stört es mich nicht weiter, wenn ein paar hundert davon zur Auszahlung kommen. Aber bei dem einen Vetrag, wo der Versicherungswert wirklich sehr hoch ist, möchte ich das nach allen Möglichkeiten verhindern, weil das können die anderen Millionen Verträge nur schwer abfedern ... (schonmal drueber nachgedacht, warum man bei den Gewinnspielen im Fernsehen ein paar 1000 Euro "gewinnen" kann? ... nur weil ein paar Hunderttausend Idi... für wenige Cent anrufen ... 100000 x 10Cent = 10000 Euro ... kann jeder gerne selber auf dem Taschenrechner tippen ...)
"Security by Obscurity" ist auch bei KNX ganz klar keine Alternative, egal wie viele bekannte Angriffe es bereits gegeben hat (es gibt nunmal keine verlässlichen Quellen für nicht bekannt gewordene Angriffe). Zumal bei einer KNX-Installation von 10000€ oder mehr ein Linienkoppler und eine Drossel/Spannungsversorgung zum Preis von 200-300 Euro kein wirkliches Preisargument sein sollten.
Schade das es noch keine Busteilnehmer mit KNX-Secure gibt, ich wäre einer der Ersten, der die Teile kaufen würde ... hoffentlich kann man das mal per Firmware-Update "nachrüsten" ...
In diesem Sinne ein schönes Wochenende
fasi
Vorab: ja ich bin ein IT'ler und bin gerade im Begriff ein Haus bauen zu lassen, wo ich mich als Inschenschiör gehörig in die Planung und Umsetzung der Elektr(otechn)ik inklusive Hausautomation und Alarmanlage einmische ... bin ja schliesslich derjenige der es zahlen muss.
Ich habe einige Zeit hin und her überlegt, ob ich diesen Thread starte oder nicht. Ja, ich lese eigentlich nur still mit, kann bei dem geballten Fachwissen hier im Forum als blutiger KNX-Anfänger ja auch nicht wirklich viel beitragen.
Aber ich glaube hier im Forum existiert eine gewisse Ignoranz dem Thema Security gegenüber und hier bin ich einfach mal völlig anderer Meinung wie diverse Koriphäen. Ich denke, das sollte man den anderen stillen Lesern nicht vorenthalten. Gerade erst wieder im Thread "ETS Inside und ETS 5.5" die "Mär vom Einbrecher auf dem Dach" mit der ETS auf dem Laptop und dem nicht lohnenden Angriffsziel Eigenheim
KNX ist nicht mal im weitesten sondern eher im engsten Sinne IT ... ob das den altgediehnten KNX-Herren in den Kram passen mag oder nicht. Und IT ist nunmal angreifbar ... die Distanz zum Objekt der Begierde spielt dabei erstmal eine untergeordnete Rolle. ... es gibt fuer alles Mittel und Wege ...
Ich bezweifel nicht, dass die Wahrscheinlichkeit eines Bruchs via KNX heute eher klein ist und es ist auch aus meiner Sicht eher unrealistisch, dass der Einbrecher sich direkt vor dem Bruch auf das Dach begibt, um sich von dort einzuhacken. Aber wer "verbietet" es dem Einbrecher dort ein kleines Kästchen zu installieren, welches dann in aller Ruhe die Buskommunikation mitschneidet? Wie oft schaut der normale Hausbesitzer auf's Dach ... 1x im Jahr?
Eigene Adresse, brauche ich (erstmal) nicht, selbst wenn ich die Tür oder das Garagentor nur einmael oeffnen muss, dann gebe ich mich halt als irgendein Teilnehmer am Bus aus, die Source wird vom Empfaenger ja (derzeit) eh nicht verifiziert.
ETS-Lizenz, wozu? Ich will ja nicht umprogrammieren, sondern nur das richtige Päckchen senden, um Tür/Tor zu öffnen. Ausserdem habe ich von durchaus ernst zu nehmenden Quellen vernommen, dass es bereits Eigenentwicklungen gibt, die die ETS in ihrer Funktionalitaet sogar in den Schatten stellen ... Ist ja auch nicht weiter schwierig, die Buskommunikation ist ja gut dokumentiert und das ist es was zaehlt, ich will ja nicht den Source-Code der ETS nachbauen, wozu auch ...
Auf dem Dach hat es in der Regel sogar genug Sonnenschein, um via Solarzelle den Strom selber zu produzieren, sodass man es nichtmal am Stromverbrauch auf dem Bus merken wuerde, wenn man den regelmaessig kontrollieren wuerde. Mal ganz abgesehen davon, dass die Buskommunikation elektrische Signale sind, welche auch um das Kabel herum ein elektromagnetisches Feld erzeugen, was man mitschneiden und auch beeinflussen kann. Realistisch? ... keine Ahnung, aber technisch moeglich und damit ein zulaessiges Szenario.
Und auch der Funkempfang duerfte nicht so schlecht sein, dass man das in aller Seelenruhe ueber Tage/Wochen/Monate austuefteln und sonstwohin uebertragen kann.
Aufwand fuer die Installation des Kästchens ... 5 Minuten oder weniger? Vllt. kann man so ein Kästchen mittlerweile als Bausatz kaufen ... die Herstellungskosten dürften wohl um die 10-20 Euro liegen ...
Jeder der glaubt, es gäbe in (s)einem Haus nix, was einen Einbruch Wert wäre, irrt gewaltig ... es geht nicht immer nur um Gold und Diamanten. Ein (hochwertiges) Auto in der Garage kann ein Angriffsziel sein und das knackt sich am einfachsten mit dem Autoschlüssel aus dem Haus nebendran. Auch Erpressung liegt absolut im Bereich des Möglichen ... warum sind die Erpressungstrojaner so erfolgreich? Es wird schwierig in einem Haus zu wohnen, in welchem das Licht "nach belieben" an und aus geht. Die Firmware in den Sensoren und Aktoren ist auch nur menschliches Teufelswerk und sicher nicht vor Angriffen sogar via KNX-Bus geschützt.
Die Motivation eines Angriffes spielt in allen gängigen Angriffsszenarien eine untergeordnete Rolle ... einzig entscheidend ist die Tatsache, dass es technisch möglich ist und damit wird es (irgendwann) auch gemacht. Möchte ich das erste Opfer eines neuen Angriffs sein? NEIN!
Und dass Versicherungen erst bei höheren Werten eine Alarmanlage fordern ist auch ein ganz klares Beispiel von Risikomanagement ... habe ich ein paar Millionen Verträge, wo der Versicherungswert eher niedrig ist, stört es mich nicht weiter, wenn ein paar hundert davon zur Auszahlung kommen. Aber bei dem einen Vetrag, wo der Versicherungswert wirklich sehr hoch ist, möchte ich das nach allen Möglichkeiten verhindern, weil das können die anderen Millionen Verträge nur schwer abfedern ... (schonmal drueber nachgedacht, warum man bei den Gewinnspielen im Fernsehen ein paar 1000 Euro "gewinnen" kann? ... nur weil ein paar Hunderttausend Idi... für wenige Cent anrufen ... 100000 x 10Cent = 10000 Euro ... kann jeder gerne selber auf dem Taschenrechner tippen ...)
"Security by Obscurity" ist auch bei KNX ganz klar keine Alternative, egal wie viele bekannte Angriffe es bereits gegeben hat (es gibt nunmal keine verlässlichen Quellen für nicht bekannt gewordene Angriffe). Zumal bei einer KNX-Installation von 10000€ oder mehr ein Linienkoppler und eine Drossel/Spannungsversorgung zum Preis von 200-300 Euro kein wirkliches Preisargument sein sollten.
Schade das es noch keine Busteilnehmer mit KNX-Secure gibt, ich wäre einer der Ersten, der die Teile kaufen würde ... hoffentlich kann man das mal per Firmware-Update "nachrüsten" ...
In diesem Sinne ein schönes Wochenende
fasi
Kommentar