Hallo Peter von Limes

offensichtlich kann man Dir keine PN schreiben (?).

Wärst Du so nett und würdest mir Deine Kontaktdaten auf peter.sperlich@hispeed.ch schicken?

Danke im Voraus
Peter

Vielen Dank für den interessanten Einblick!

Limes
Finde ich toll, dass Ihr euch hier zu Wort meldet und das Vorgehen weiter beschreibt. Vielen Dank dafür.

Hallo zusammen, Peter von der Limes Security hier!

Bevor hier die Spekulationen zu wild werden, möchte ich mal das Mysterium hier etwas aufklären. Einige Gedanken die hier bereits angesprochen wurden gehen schon in die richtige Richtung. Als wir den Anruf erhalten hatten waren wir uns zunächst auch nicht sicher, ob wir hier weiterkommen werden. Zum einen sind wir vollkommen ausgebucht, zum anderen mussten wir auch erst Strategien entwickeln, wie man wohl an das Passwort kommt. Das ganze wird auch noch für die Community genauer aufbereitet und wird wie oben richtig beschrieben auch auf Security-Konferenzen vorgetragen werden.

Kurz zusammengefasst: Der Schlüssel befand sich im Speicher einer der Komponenten. Wir konnten den Speicher durch direktes Ansprechen auf der Platine auslesen. Ob das auch bei anderen Geräte geht oder ein Einzelfall war ist Gegenstand von Untersuchungen. Der ausgelesene Speicher ist zunächst eine lange Wurst an scheinbar zufälligen Bytes. Wir haben durch Überlegungen und Tricks es dann geschafft den in Frage kommenden Speicherbereich stark einzugrenzen und diese dann per Bruteforce durchzuprobieren. Der Bruteforceangriff liefert dann binnen Sekunden den Key.

Wir haben übrigens den Key auch schon bei anderen Betroffenen versucht: das klappte bisher nicht.

Bitte richtet euch ein VPN ein um aus der Ferne zu Warten. Möchte hier an der Stelle jetzt keine Seitenlange Anleitung zusammenschreiben, aber KNX hat übrigens ein nicht ganz schlechtes Paper zu dem Thema Zugang über Internet: https://www.knx.org/wAssets/docs/dow...n-Paper_en.pdf

Um auf ein paar konkrete Aussagen einzugehen und die berechtigte Neugierde etwas zu stilen:

Du hast recht: Dekompilieren (bzw. Debugging) wurde als ein möglicher Weg angedacht, ist aber furchtbar langwierig. Daten wie das Passwort werden aber nicht reinkompiliert, sondern abgelegt. In diesem Fall sogar ungeschützt als Klartext.

Dann tu es bitte einfach nicht


Sehr guter Lösungsanatz und recht nah an dem wie wir es geschafft haben, siehe oben.

Vielleicht

Bitte bei mir per PM melden. Aber ich habe wenig Hoffnung, dass es das gleiche PW ist, siehe oben.


Das ist tatsächlich auch einer unserer Gedankengänge. Hier ist es sehr spannend von euch zu lernen, ob das praktikabel ist. Schlimmstenfalls verschiebt sich das Risiko von "jemand kann mich aussperren" zu "es sperren sich regelmäßig Betreiber selbst aus".


Korrekt, würden wir auch eher scripten.

Das ist in der tat schwierig und eher eine ethische denn eine rechtliche Frage. Unser Ziel ist es das Passwort zu veröffentlichen und dadurch vielleicht doch noch anderen damit helfen zu können. Auftraggeber wird angefragt, ob das auch für Ihn in Ordnung ist.

An die habe ich auch schon gedacht

Sie wussten es einfach 😉 (Diese Nachricht zerstört sich in wenigen Sekunden).

eine weitere möglichkeit habt ihr alle übersehen, aber ich will niemandem was böses unterstellen

Spontan kommen mir da die üblichen Verdächtigen in den Sinn:
- Brute Force, wobei das dann ein PW „zu Beginn“ war, da relativ schnell gefunden;
- ein Wörterbuchangriff mit speziellen 8-Buchstabigen Wörtern wie BABECAFE; oder
- Reversen

Oder eine Kombination davon. Z.B. das Brute Forcing nicht mit dem Adapter und Bus mit 9600 kBaud machen, sondern die Routine extrahieren und auf einem schnelleren System brute forcen oder anhand des Sourcecodes - falls vorhanden - den relevanten Teil der Routine auf ein schnelleres System crosskompilieren … wie auch immer, und dann brute forcen. Vielleicht gibt es bei der (über)nächsten Blackhatkonferenz einen neuen Vortrag von Limes.

Oder das sind einfach „fähige“ Leute die Limes…

Ich denke die waren in der Lage die Bruteforce Methode zum laufen zu bekommen und haben das dann genutzt.

Sorry, Klaus.

Natürlich abhängig vom Stack. Ich bin ja kein Entwickler und drücke mich da manchmal nicht ganz korrekt aus.
Danke für die Korrektur.

Gruss Peter

Der BCU Key hat mit dem Applikationsprogramm doch nichts zu tun, der wird von KNX-Stack (in der Firmware) verwaltet. Beweis: er wirkt auch, wenn man das Applikationsprogramm entlädt.

Oder einfacher: einfach auf den Button "Trotzdem versuchen " (o.s.ä.) klicken, den die ETS anbietet.

Hallo Kollege..

folgende Infos zum Sachstand:

1. Nicht alle Hersteller verwenden heute noch das BCU-Passwort (im ursprünglichen Sinn), da es in den Anfägen des EIB zu viele Servicefälle (teils Missbrauch) gegekommen ist.
2. Denn: Weil man es nicht auslesen oder rekonstruieren kann, mussten die Geräte eingeschickt werden, neu geladen, oder komplett ersetzt. Das war mehr Aufwand als Nutzen.
3. Die Daten des BCU Passwortes sind kompliliert in der BCU.
   (Wie die Limes Security an das Passwort gekommen ist, findet der Entwickler höchstinteressant. a) denn das Passwort steht in jedem Stack woanders b) wie bekommt man das Passwort aus einem kompilierten Programm wieder heraus? Schon mal versucht bei einem Videospiel den ursprünglichen Quelltext zu generieren? )
4. Siemens hatte das BCU Passwort in den alten Geräten tatsächlich nutzbar. Jetzt nicht mehr. Man schreibt einfach auf Aufforderung "Irgendwas rein" (oder klickt auf "weiter").
5. MDT hat es nie benutzt. Auch hier einfach nach Aufforderung "irgendwas" reinschreiben.
6. Bei Apricum-Geräten ist das BCU-Passwort auch "ohne Funktion".

Falls noch nicht ausprobiert: Einfach nach Aufforderung "irgendwas" reinschreiben. Bin mal gespannt, ob es funktioniert.

Für Rückfragen und weitere Abklärungen stehe ich gerne zur Verfügung.

Gruss Peter