Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Ankündigung
Einklappen
Keine Ankündigung bisher.
Objekt mit 12 Linien & >300 Geräten angegriffen; 70% der Geräte kaputtprogrammiert
Da das Forum öffentlich zugänglich ist, könnte das so manchen Möchtegerncracker auf dumme Gedanken bringen.
Das der Fred hier Neugier weckt, sieht man ja an ein paar Rückmeldungen
Also mir hat dieser Fred v.a. vor Augen geführt, dass wenn das BAU-Passwort nicht gesetzt ist, jedermann der Zugriff auf den Bus erlangen kann, ziemlich viel Schabernack treiben kann.
Dieser Zugriff kann entweder direkt vor Ort erfolgen oder remote über eine Schwachstelle. Sei dies nun eine Schwachstelle in der Konfiguration (offener Port wie hier) oder von Komponenten im Netzwerk ist zweitrangig. Schlussendlich ist alles, was eine permanente Verbindung zum Internet aufweist, nicht vor Angriffen gefeit (direkt oder indirekt mittels pivotting).
Als Konsequenz werde ich in meiner Anlage überall das BAU-Passwort setzen und dies offline gut dokumentieren.
PS: bzgl. fehlendem Businesscase: die Firma Swisswindows ging wegen eines Hackerangriffs konkurs. Es gab nie ein Erpresserschreiben/-mail (Quelle: Rundschau vom 13.10.2021)
PS2: wegen der öffentlichen Zugänglichkeit dieses Freds: gibt es kein Unterforum, welches nur von Mitgliedern einsehbar ist und in welches dieser Fred verschoben werden könnte?
Also ich kenne mehr Anlagen, wo ein vergessenes oder nicht ordentlich dokumentiertes Baupasswort für Ärger gesorgt hat als Anlagen die mutwillig offen ins Internet gehängt wurden.
Den Thread verschieben? Ich würde den so lassen. Vielleicht sehen so noch 2-3 Fachmänner mehr, was sie irgendwo für einen Müll konfiguriert haben.
PS: bzgl. fehlendem Businesscase: die Firma Swisswindows ging wegen eines Hackerangriffs konkurs. Es gab nie ein Erpresserschreiben/-mail (Quelle: Rundschau vom 13.10.2021)
PS2: wegen der öffentlichen Zugänglichkeit dieses Freds: gibt es kein Unterforum, welches nur von Mitgliedern einsehbar ist und in welches dieser Fred verschoben werden könnte?
zu PS: auch da gab es eine Forderung, siehe hier: https://dataloft.ch/security/schweiz...ngriff-pleite/
Zudem: es muss nicht unbedingt ein Erpresserschreiben geben. Auch hier kann einfach nur der Sinn im Vordergrund stehen, einen Wettbewerber zu zerstören. Wenn der einfach in die Insolvenz geht, ist das sogar nachhaltiger, als einmalig Geld zu erpressen.
zu PS2: sehe ich nicht so. Je mehr Leute das hier lesen, werden ggf. sensibel auf das Thema eingestimmt und überlegen sich die Sicherheitsstruktur ihres Internetzugangs. Wer sich wirklich mit der Materie beschäftigt um Schaden anzurichten, hat meist ohnehin die Vernetzung an diese benötigte Informationen zu gelangen. Dafür benötigt der nicht unbedingt die Impulse eines Userforums für KNX.
Allgemein: es wäre vom Threadersteller interessant zu erfahren, wie es jetzt nach über einer Woche dort weitergeht…
zu PS: auch da gab es eine Forderung, siehe hier: https://dataloft.ch/security/schweiz...ngriff-pleite/
Zudem: es muss nicht unbedingt ein Erpresserschreiben geben. Auch hier kann einfach nur der Sinn im Vordergrund stehen, einen Wettbewerber zu zerstören. Wenn der einfach in die Insolvenz geht, ist das sogar nachhaltiger, als einmalig Geld zu erpressen.
Danke für die Präzisierung. Dies ging so aus dem Fernsehbeitrag nicht hervor. Schlussendlich müsste man nun sagen, dass ihre IT eh schrottig war (keine Offlinebackups) und der von der Firma gewünschte saubere Wiederaufbau der IT länger dauerte als gedacht, was schlussendlich zum Konkurs führte.
Kosten für neue Geräte + Aufwand wurden dem Kunden mitgeteilt. Hilft nichts als alle auszutauschen, gibt ja keine Alternative. Außer Siemens zaubert jetzt noch was aus der Trickkiste bevor der Kunde sagt, dass die Sachen bestellt werden sollen. Ob noch eine Versicherung einspringt ist unwahrscheinlich. Polizei/LKA wurde meines Wissens (noch?) nicht eingeschaltet.
tsb2001 dutzende Stunden? Dann guckst du mal hier:
...
Für das Programmieren gibt es evtl. ähnliche Codeschnipsel im Internet. Da habe ich auf die Schnelle (noch) nix gefunden.
Das Tool bringt meiner Meinung nach alles mit.
Scannen, auslesen/setzen etc.(APCI)
Kurz in die die Doku/Wiki geschaut das ganze automatisiert, warten, fertig.
Opfer 1
Das Tool könnte ggf. aber dir auch helfen. Ein Gerät ausgesucht, die Option brute oder authorize mit Automatisierung. Mit der Annahme dass die Passwörter die gleichen sind würde ein Gerät reichen. Am besten das, dass am schnellsten auf die Anfragen antwortet.
Ob das: https://github.com/takeshixx/knxmap/...y-Bruteforcing die Funktion ist? Könnte man mit einem sauberen Gerät mal probieren wo ich selbst ein Passwort setze und dann versuche knacken zu lassen. Wenn ich jetzt noch wüsste wie man aus dem Quellcode da ein Programm macht 😕
ah shit, mal eben Python lernen um das Programm zu benutzen ... wie lang das wohl dauert 😫
ah shit, mal eben Python lernen um das Programm zu benutzen ... wie lang das wohl dauert 😫
Nein, normal sollte z.B. eine Linuxkiste mit einem frischen Ubuntu/Debian etc. mit Python installiert reichen.(evtl. könnte auch eine LiveCD reichen)
Dann das Repository mit git clonen oder alternativ die Zip laden entpacken und aus dem entpackten Ordner heraus
Code:
sudo python setup.py install
ausführen.
Anschließend kannst du das Tool aufrufen (siehe README.md)
Nur... helfen die Module wirklich dagegen? Zum Beispiel das von MDT?
Ja das Sicherheitsmodul von MDT (uns) hätte den Angriff verhindern können, da hier ein Verbindungsaufbau unterbunden wird. Dafür hätte aber in jeder Linie ein Modul sitzen müssen, da es linienübergreifend nicht funktioniert. Das Schöne daran ist, dass damit auch ein Umprogrammieren über den physikalischer Zugriff auf das TP-Kabel geschützt ist und das ganz ohne Data Secure. Völlig ausreichend für die meisten Anlagen, insbesondere für Bestandsanlagen in denen kein Data Secure vorhanden ist.
[/Werbung Ende]
und die Chance ist groß, dass alle das gleiche PW haben.
Aber nach diesem Vorfall werde ich mit meinen Kunden den Einbau eines Sicherheitsmoduls immer besprechen.
Gruß
Florian
Hallo Florian,
würde das heißen, z.b. den normalen MDT IP Router gegen einen neuen IP Secure Router tauschen?
Kann man den dann mit Passwort schützen, oder was ist da anders?
Es gibt eine extra Sicherheitsmodul von MDT, das jegliche Programmierung über TP direkt verhindert (verhindern soll), hat nichts mit KNX Secure zu tun. Keine Ahnung, wie das geht.
Gruß Florian
Nein, normal sollte z.B. eine Linuxkiste mit einem frischen Ubuntu/Debian etc. mit Python installiert reichen.(evtl. könnte auch eine LiveCD reichen)
Dann das Repository mit git clonen oder alternativ die Zip laden entpacken und aus dem entpackten Ordner heraus
Code:
sudo python setup.py install
ausführen.
Anschließend kannst du das Tool aufrufen (siehe README.md)
Habe Ubunutu als VM in Hyper-V und alles gemacht, so dass ich knxmap-Befehle ausführen kann. Kann es sein, dass es mit einer VM nicht geht weil ich z.B. beim Bus-Monitoring nichts sehe und wenn ich die IP-Schnittstelle oder das KNX-Gerät scanne steht da einfach nur "Scanning took 6.0blabla seconds".
Beim Busmonitor kommt nach einiger Zeit:
Code:
Exception in Callback KnxTunnelConnection.knx_keep_alive
usw. kann kein copy-paste machen vom ganzen Text 🙄🤦♂️
Ich habe das Tool nicht ausprobiert.
Aber wenn du die IP Schnittstelle aus der VM erreichst würde ich das direkt mit der Option brute <ip> <PA> versuchen.
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar