Lernen durch Schmerzen...

Das die überhaupt was mit LAN und den "unnötigen" Schnittstellen hingekriegt haben grenzte ja an ein Wunder.

Die Aussage "Stecker ziehen" deckt sich auch mit meinen Erfahrungen in Sachen Kompetenz mit diesem Unternehmen.

Euch ist schon klar, dass Ihr auch etwas zu der Meldung beigetragen habt...?

... denn eigentlich hatte ich nur versucht, die Daten aus der Vaillant Java-App mit dem WireGate auszulesen.

Hier gibts mehr Details: Kritische Sicherheitslücke ermöglicht Fremdzugriff auf Systemregler des Vaillant ecoPOWER 1.0

Makki & StefanW: Lest das besser nicht. Ihr glaubt das sicher nicht...

Dirk

(...dessen BHKW mehr Löcher hat als das olle Fachwerkhaus...)

Hallo Dirk,

Du warst das, hätte ich mir fast denken können :-))

Wir glauben das schon, weil solche Dinge kommen öfters vor, auch wenn man sich am Kopf kratzt und sich denkt, dass kann doch alles nicht wahr sein, das müssen die doch wissen, dass man das so nicht machen kann.

Ich denke, die Entwickler solcher Anlagen dürften das auch alles ziemlich genau wissen. Der Grund, warum das nun nicht so implementiert wird, sondern der Einfachheit "1234" oder bekannte Namen für die Anmeldeverifizierung verwendet werden, liegt zumeist daran, dass man Kosten einsparen möchte. Kosten für die Implementierung und insbesondere die Kosten für die Verwaltung sicherer zwei-Faktor-Authentifizierungen.

Nehmen wir an, man würde das "richtig" machen wollen. Dann bräuchte es individuelle Schlüsselpaare, je für Signatur und je für Verschlüsselung auf der Anlagensteuerung, um nur mal grundsätzliche Zugriffssicherheiten auf Protokollebene herstellen zu können.

Für die Anmeldung des Wartungspersonals und der Entwickler dann time-based Authentikatoren (Bauform als Schlüsselanhänger) mit Wechselcode der mit der PIN des Benutzers zu kombinieren wäre (also eine Zweifaktor-Authentifizierung für den Benutzer).

BTW: Solche Authentikatoren vermieten wir seit 10 Jahren mit Authentifizierungsserver und es gibt es auch als Sonderzubehör für das WireGate für Kunden mit Fernzugriff. Solche Sicherheit kostet jedoch, daher bieten wir das nur für Sonderfälle an.

Einen solchen Aufwand wollen die Hersteller zumeist nicht betreiben - und insbesondere die Kunden wollen das nicht bezahlen.


Kritik an den Artikeln auf der BHKW-Seite und bei Heise:
Dem Autor auf der BHKW-Seite, Herrn Stahl, als auch dem Autor der heise-Meldung sollte man einen kleinen Sicherheitskurs verpassen. Den die Aussagen so ungeprüft zu übernehmen, dass es nun mit der VPN-Box sicherer wird weil ja nun alles "verschlüsselt" ist, zeigt, dass auch die Autoren des kritischen Artikels es nicht allzugut verstanden haben:

Wenn eine VPN-Box einen Verbindungsaufbau mit "1234" - also einem einfachen Passwort - zulässt, aber den Datenstrom anschließend verschlüsselt, was ist dann wirklich gewonnen? Nichts. Der Hacker ist nachwievor drin, nur dass sein Datenstrom nun verschlüsselt wird.

Die wichtigsten drei Dinge in Sicherheit sind:

1. Authentifizierung
2. Authentifizierung
3. Authentifizierung

Und darüber steht nichts in den Artikeln hinsichtlich der neuen tollen "VPN Box". Im Gegenteil, es wird bei den Lesern der falsche Mythos "Verschlüsselt = Sicher" weiter genährt. Es wäre kein Fehler, näher hinzusehen und vom Hersteller zu fordern, er möge ein Gutachten vorlegen, wie denn nun die Authentifizierung zwischen den VPN-Boxen ablaufen wird.

Um wieviel wetten wir, dass wieder nur "Pre-Shared" Secrets (also feste Passwörter) für die Authentifizierung verwendet werden? So wie zuvor auch, nur dass jetzt noch eine (praktisch nutzlose) Verschlüsselung zwischengeschaltet wird?


Sehr schöner Blogbeitrag darüber von Dir, hab viel gelacht, Danke Dirk:
Sicherheit Anno 1679 « Einhausbau.de


lg

Stefan

Als ehemaliger Feldtest Teilnehmer muss ich leider sagen dass da der Rückkanal auch echt schlecht ist. Ich hatte von Anfang an darauf hingewiesen dass die technische Umsetzung keinen guten Eindruck macht und Beratung dazu angeboten - leider war das Interesse seinerzeit (2010) noch eher bei null - ich denke da war man noch mit den Basics zu beschäftigt.

Die iPad App ist ja auch eher ein Witz - das ist eigentlich nur ein wrapper für einen webclip der dann die ganz normale weboberfläche zeigt.

Angeregt durch die Info habe ich heute morgen mal kurz beim Morgen-Kaffee nachgesehen und auf Anhieb auch keine Möglichkeit gefunden das Fachhandwerker-Passwort zu ändern. Muss ich nachher nochmal nachsehen.

Generell sollte ein Zugriff ja nur möglich sein wenn der Port 80 auf das Gerät weitergeleitet wird, oder geht das über eine bidirektionale Verbindung auch so?

lg
joe

Es hilft nicht viel, die Kennworte zu ändern...

Hallo Stefan, hallo joe,

leider hilft es nur ganz wenig, die Kennworte zu ändern. Die Implementierung ist so verkorkst, dass die ecoPower Java-Applikation die Kennworte (Kunde, Fachhandwerker, Entwickler) dem Angreifer aktiv unverschlüsselt übermittelt. Und das 1-2 mal pro Sekunde. Beim ecoPower liegt nicht nur der Wohnungsschlüssel unter der Fussmatte, der Hausmeister hat gleich noch den Generalschlüssel fürs Haus daneben gelegt und gesagt "das gehört so wenn Du Vollwartung willst"...

Dieses "Highlight" war es, welches das Fass zum Überlaufen gebracht hat. http, Standardpassworte, abgelaufene Zertifikate, schlechte Java-App wurden bis dahin bei Vaillant hingenommen und Kundenmeldungen ignoriert.

Viele Grüße

Dirk

Das kann ich nur bestätigen - die Ignoranz von Vaillant war da leider ziemlich groß.

Aber nochmal - die Voraussetzung ist doch dass ich den Port 80 freigegeben habe - sonst kann ja kein Zugriff erfolgen. Oder macht das Gerät von sich aus eine Art von Bi-Direktionaler Verbindung auf?

lg - joe

Ich bin vorsichtig geworden, was diese "Implementierung" so alles tut. (Als ich die Passwörter im Klartext gesehen habe bin ich schlagartig sehr wach geworden - nochmal: ich hatte sie NICHT selbst eingegeben...) Aber: Meines Wissens besteht das Risiko nur, wenn der eco 1.0 - wie auch immer - direkt aus dem Internet zugreifbar ist; der Port wäre dabei logischerweise egal.

Das generelle Problem ist doch die Bevormundung der Käufer! Punkt.

Eine lokale - offene - Schnittstelle und fertig.

Diese Geheimniskrämerei geht einem doch echt auf die Nü***.
Die (WireGate-)Community hat bezüglich der verpönten und "geheim gehaltenen" EBus Protokolle für die "normalen" Heizungen von Vaillant richtig was erreicht.
Das war harte Arbeit aber das Ergebnis ist ein offen gelegtes Protokoll und Befehle der Heizungen. Damit lässt sich mit jedem Linux-Rechner der eine physikalische Verbindung zur Heizung hat kommunizieren. Die Verantwortung dafür liegt damit ganz klar beim Nutzer.

Diese Sicherheitsproblematik hätte Vaillant auch ganz klar auf den Betreiber abwälzen können ... aber da bekommt wohl jemand den Hals nicht voll und darf jetzt seine selbstgekochte Suppe teuer auslöffeln. Meine Schadenfreude ist da nicht gerade gering. Schade nur für die betroffenen Käufer. Ob Vaillant daraus lernen wird bleibt nur zu wünschen.

Schade ist, dass es keine Alternative zum 1.0 gibt. Alle anderen Produkte haben mehr Heizleistung bei gleicher Stromerzeugung oder gleiche Heizleistung und weniger Stromerzeugung....

Muss die Verbindung denn dringend ins Internet vorhanden sein beim Vollwartungsvertrag? Weil wenn nein, dann bekommt das gute Stück sein eigenes VLAN ohne Verbindung nach draussen und fertig...

Muss nicht dringend. Aber ohne Verbindung ins Internet kostet der Vollwartungsvertrag 108 Euro mehr pro Jahr. Über 10 Jahre 1080 Euro - das ist die Zeit über die man häufig kalkuliert, ob sich das Mikro-BHKW rechnet.

Jetzt hat die c't auch veröffentlicht, dass die BHKW nur die warme Spitze des Eisbergs sind... über das Heizungs-Leck kam heraus, dass auch Industrieanlagen betroffen sind. Ein Gefängnis. Eine Brauerei. Ein Fußballstadion. Vorhin kam die Meldung schon in den heute-Nachrichten: Digitale Gefahr total real - heute-Nachrichten