Durch die Vergabe von Standard-Passwörtern und Schwächen im firmeneigenen DDNS-Dienst waren Smart-Home-Systeme von Loxone über das Internet angreifbar. Auf Hinweis von c't dämmte der Hersteller das Problem stark ein; ein Restrisiko besteht aber weiterhin.
-
Weiterlesen: http://heise.de/-3308004 -
Wer Geräte mit Default-Passwörtern ins Netz hängt hat es nicht anders verdient. Was anderes ist es allerdings wenn Zugänge/Benutzer existieren die nicht dokumentiert sind....
https://www.shodan.io/search?query=loxone -
Wer hat es nicht anders verdient, derjenige der es integriert hat oder der Endbenutzer der am Ende den Schaden hat weil sein Elektriker ggf. keine Ahnung hatte?
Es kann doch nicht so schwierig sein, ein individuelles Start-Passwort zu vergeben, insbesondere bei so kleinen Stückzahlen wie Loxone. Das Problem mit den Standard-Passwörtern sollte sich doch mittlerweile rumgesprochen haben.
Aber wenn ich sehe, dass der Aufruf über HTTP (ohne S) geschieht herrscht bei den Kollegen ohnehin noch Nachholbedarf.
Kommentar
-
cooler Link, wie funktioniert die Suche, auch wenn nicht der Standard Port verwendet wird?Kommentar
-
Da wird einem ja schlecht. Hab auf Anhieb zwei gefunden mit Standard Passwort. Da kann man schon übles mit machen :-( Ich denke gerade daran, wenn dann nur jemand zu hause ist, der sich damit nicht auskennt. Da kann man richtig Ärger mit machen...Kommentar
-
ja, ist echt krass... man kann bei dem einen sogar die Waschmaschinen Steckdose an/aus machen...*grussel*Zitat von marsie Beitrag anzeigenDieser Beitrag enthält keine Spuren von Sarkasmus... ich bin einfach so?!Kommentar
-
Mir tun die Leute echt leid. Da richtet man das ein und ist wahrscheinlich richtig stolz, dass das läuft und dann, wahrscheinlich ne ganze Zeit später spielt alles verrückt und der Partner macht einem die Hölle heiß weil das Kleinkind beim Mittagsschlaf durch die Rollos geweckt wurde, die Waschmaschine die Wäsche für den Urlaub nicht mehr wäscht und die Zimmer auf einmal alle 30 Grad war sind.
Das ist eine sehr schlechte Werbung für Hausautomation. Ich könnte meiner Frau noch so oft sagen, dass ich das bei uns absicher. Wenn sie sowas liest ist sie sehr verunsichert, egal welches System wir verwenden... :-(Kommentar
-
Ich denke derjenige der es installiert hat haftet in dem Fall.Zitat von ITler Beitrag anzeigen
Das ist schwieriger als gedacht, wie man bei vielen Wifi Routern gesehen hat sind individuelle default Passwörter oft mit einem schwachen Algorithmus erzeugt und man kann sie anhand der MAC oder ähnlichem ausrechnen. Ok, übers Netz ist anders als in nem WIFI schwer an die MAC zu kommen.Zitat von ITler Beitrag anzeigen
Was wirklich hilft ist einfach dem User beim ersten Login zu zwingen ein Passwort zu vergeben und fertig, Cisco/Cisco z.b funktioniert ja auch nur genau 1 mal zum einloggen.Kommentar
-
Immer diese als "Sicherheitshinweis" getarnten Werbeartikel... Ts ts ts
Und wieder ne DB gehackt - von irgendeiner bis dato unbekannten Singlebörse... Nach 2 Wochen ist's vergessen - aber der Name wurde so oft erwähnt, dass er dann doch irgendwie hängengeblieben ist
Spontan würden mir vermutlich Dutzende Gerätschaften mit admin/admin einfallen (einschl. EDOMI). Ja und?! Wenn ich ein solches Gerät in Betrieb nehme, ändere ich IMMER als erstes die Zugangsdaten - selbst beim Telekom-Router vor 20 Jahren... Und wenn ich dann auch noch ein Portforwarding ins böse Internetz einrichte, kommen Passwörter wie 24UI5PZOE243WRH678LJK zum Einsatz - oder ich lasse es lieber gleich (VPN).
Gut, weniger computeraffine Menschen denken vielleicht nicht an derartige Maßnahmen, daher würde ich als Heise & Co. eher viiiiele Grundlagenartikel und How-To's publizieren - statt immer wieder diese blöden "oh mein Gott!! Admin/Admin is in da house"-Artikel zu verfassen
EDOMI - Intelligente Steuerung und Visualisierung KNX-basierter Elektro-Installationen (http://www.edomi.de)Kommentar
-
Ja, bei manchen Herstellern wird man dazu genötigt beim ersten Login auch gleich ein neues Passwort einzugeben.Zitat von gaert Beitrag anzeigen
Kommentar
-
Stimmt, sogar beim LAN-Zugang des Helios-Webservers (KWL). Da ich den Zugang nur im LAN zulasse, kann so ein Passwort (mit div. Sicherheitsanforderungen) super lästig sein - fehlt nur noch, dass ich es turnusgemäß ändern muss...Zitat von heckmannju Beitrag anzeigenGruß
Frank
Soziologen sind nützlich, aber keiner will sie. Bei Informatikern und Administratoren ist es umgekehrt.Kommentar
-
Die Betroffenen tun mir leid, aber einen Teil der Verantwortung haben IMHO auch die - meissens privaten - Betreiber selbst. Wie kann es sein, dass solche Systeme von aussen erreichbar sind? Vermutlich haben 99% der Bevöllkerung mit Internetanschluss in Deutschland einen Router, bei dem standardmäßig eingehender Traffic von dessen Firewall geblockt wird. Wer hat die auf Durchzug gestellt???
Ich jedenfalls lasse meinen Elektriker nicht an meine Firewall.
Und dass das Internet kein Ponyhof ist, sollte sich anno 2016 eigentlich herumgesprochen haben.Kommentar
-
In Zeiten von Facebook, Twitter, WhatsApp und wie sie alle heißen sind die Leute so dermaßen abgestumpft und benutzen die Dinge ohne nachzudenken.Zitat von Lyra Beitrag anzeigen
Da bleibt der Ponyhof im verborgenen.
Beispiel an meiner Nichte: Die bekommt es hin X-Facebook, Twitter, bla bla Accounts anzulegen, aber einen Virenscanner bekommt sie nicht installiert und wundert sich wieso ihr Laptop plötzlich komische Sachen macht.
Geniale Menschen sind selten ordentlich, ordentliche selten genial. (Albert Einstein)Kommentar
-
Wer Geräte zur Hausautomation oder andere andere relevante Systeme ins Netz hängt hat es nicht anders verdient.Zitat von Caesium Beitrag anzeigenKommentar
-
Aber genau das ist es doch, was 2/3 der Nutzer unter "Smart Home" verstehen: Von unterwegs die Heizung hochdrehen, das Wasser in die Badewanne lassen und die Jalousien kontrollieren.Zitat von Alexander79 Beitrag anzeigen
Wenn's nicht der Loxone-Server ist, ist's der Router. Wenn's nicht ein Default-Passwort ist, dann ist's eine andere Sicherheitslücke. Egal ob Jeep, Buderus-Heizung oder Loxone-Server: wenn Dinge ins Internet (oder auch nur in ein Funknetz) gehängt werden, werden sie früher oder später gehackt.
Dagegen hilft nur, mehrere Barrieren aufzubauen und dauernd nach Updates Ausschau zu halten.
Hand hoch wer bei sich und seinen Kunden immer nach den Gira-Sicherheits-Richtlinien installiert, inkl. der zehn VLANs und managed Switch.Zuletzt geändert von mmutz; 01.09.2016, 09:12.Kommentar
Kommentar