sewi:

Oder die Verzweiflung in einem Forum zu lesen

Hallo zusammen, ich hab mir das Thema hier mit viel Interesse durchgelesen. Mein herzliches Beileid an den TE. Ich finde es ganz wichtig, dass solche tragischen Vorfälle die User hier im Forum immer wieder zur Achtsamkeit in Bezug auf Sicherheitslücken erinnern.

Was ich mich aber die ganze Zeit beim Lesen gefragt habe ist, wie es den Hackern denn gelungen ist auf die Geräte eine neue Applikation mit BCU Code zu spielen? Dazu muss man ja nicht nur die PA aus dem Busmonitor sniffen, sondern auch wissen, um welches Gerät und Applikationkationsprogramm es sich handelt. Bekommen die das dann über ETS Reconstruction raus?

Es gibt vermutlich einen standardisierten Befehl für 'setze Bau-Passwort'. Diesen kann man in der ETS mal mitschneiden und dann vollkommen ohne ETS auf den Bus senden. Einfach für jede physikalische Adresse.

Das wäre ja erschreckend einfach

Und ob es nicht ein Insider war, weiß ja auch niemand.

tobiasr Wenn ich das in der ETS ansehe, die sogar die Raw-Data Pakete zeigt, zusammen mit was das Paket bedeutet: ja, das scheint wirklich einfach zu gehen.

Varone3000 Naja, mit einer Port-Weiterleitung klingt es schon sehr plausibel, dass einfach mal eine Security-Suchmaschine angeworfen wurde. Da kriegt man gleich eine Liste von Opfern, und dort arbeitet man sich mit Häme durch ...

OT: in anderen Bereichen das gleiche. Gerade erlebt, Mietwagen zurückgegeben, angeblich habe ich einen Schaden daran verursacht. Video von der Abholung gezeigt, in dem der Schaden schon existierte. Trotzdem wurde der Schaden gemeldet. Der Vollkasko habe ich das Video auch geschickt und dazugeschrieben, dass der Autovermieter die Versicherung betrügen will. War völlig egal, die haben trotzdem gezahlt. Letztlich bezahlen die Versicherungsnehmer für die „Kulanz“ der Versicherungen.

Eigentlich müsste Mann ein Skript programmieren, welches auf allen IPs mit den offenen KNX Ports auf jeder GA einen Text mit einer Warnung sendet.

henfri


Hier stand Mist

Varone3000

Mit solchen Aussagen würde ich in einem öffentlichen Forum vorsichtig sein.

So könnte man sehr schnell als Verdächtiger gelten.

Ich frage mich gerade, wer den Schaden bezahlt, wenn so etwas eintritt.
Müsste nicht die Firma, die es installiert hat, dafür gerade stehen?

Ein SmartHome wird dann ganz schnell zu einem DumbHome

Jeder Hanswurst von einem Elektriker meint, er hat Ahnung von IT-Netzwerken.
Wenn etwas nicht funktioniert, wird das Gerät einfach ins DMZ im Router gesetzt.

Hab da schon schlimme Sachen gesehen

Mit den ganzen IoT-Geräten mit Cloud-Zwang besteht auch ein Risiko, da jede ausgehende Verbindung missbraucht
werden kann und das IoT-Gerät dann eine Backdoor ins Netzwerk öffnet.

Leider haben nur wenige Endkunden Verständnis dafür, wenn man ihnen erklärt, dass man für eine
Smart-Home-Visualisierung VPN, VLANs und eine Firewall benötigt.


Mein Netzwerkaufbau


IoT WLAN Netz (als böse eingestuft, dürfen sich auch nicht untereinander unterhalten) --> Firewall --> Internet

Gäste WLAN wird ebenfalls als böse eingestuft; es hat nur Zugriff auf die Standardports 80, 443, 587, 995 und ausschließlich auf das Internet.

KNX (eigenes VLAN; Geräte dürfen sich untereinander unterhalten, einschließlich Visualisierung und Co) --> Die Firewall regelt dann die einzelnen Einstellungen, was erlaubt ist.

LAN darf grundsätzlich alles, jedoch nicht ohne weiteres auf den KNX-Bus zugreifen; auch dies regelt die Firewall.

Mobile Clients werden über WireGuard angebunden. Hierbei regelt die Firewall, welche Berechtigungen der einzelne Benutzer hat.​

Man muss nicht zwangsläufig auf zahlreiche physische Geräte zurückgreifen; alles lässt sich elegant virtualisieren.
Ich bin ein großer Fan von Virtualisierung und setze dies selbst seit über 15 Jahren erfolgreich ein.

Aktuell laufen auf meinem Virtualisierungsserver gleichzeitig 25 Betriebssysteme, darunter 4 für die ETS3-6 von WinXP bis Win10 (für Projekt Reparaturen)

​
Allen einen guten Rutsch ins neue Jahr!

mycroft2k

ja hast recht.
Ich beherrsche keine Skriptsprache. Nur mal so als Info.

henfri ist glaub ich sogar strafbar, auch wenn man man's gut gemeint hat.

Deshalb auch mein ursprüngliches Post - wenn man keine entsprechenden Kenntnisse in Netzwerksicherheit hat, bitte einen Fachmann dazuziehen, drüberschauen lassen, statt einfach irgendwas bei der Fritzbox forwarden. Wenn man das macht, und diese Einstellung auch weiterverbreitet, dann verschwinden hoffentlich über kurz oder lang diese Installationen von der Suchmaschine

Ist doch hier das gleiche, kaum jemand verwendet VLAN. Oder können das die FRITZ!Boxen mittlerweile?

Wenn es eine Firma war schon - allerdings muss man das auch beweisen können.

Die meisten dieser derartigen Leichtsinnigkeiten werden aber vom DIY-Eigentümer selber so eingerichtet - YT-DIY-Akademie lässt grüssen.
Das betrifft ja nicht nur KNX, sondern alles, was irgendwie Verbindungen von/in Internet ermöglicht.

Smarthome-Geraffel ist gerade für den DIY-Eigenautomatisierer gedacht, der mit dem Tatschfon seine Funktionen einrichten möchte u. dann vlt. noch weltweit sein Bürolicht ein-/ausschalten will oder gar die Haustür aufsperren.
Aber von diesem Kundenklientel kann man keine IT-Sicherheitsexpertisen erwarten, d.h. mit dem Risiko müssen die Smarthomler sich halt anfreunden.

​Ob man das so braucht oder nicht, hängt ja vom Szenario ab u. ist keine generelle Anforderung.

livingpure
Nein, Fritzboxen können kein VLAN - das wäre als Anspruch wohl auch übertrieben u. ginge wohl auch am avisierten Kundenbereich komplett vorbei.

Sollte ein Zugriff von extern benötigt werden, würde ich nicht empfehlen, den Port für die Visu weiterzuleiten.
Wer sagt denn, dass im Produkt keine Sicherheitslücken vorhanden sind?

Oder wie viele Geräte werden überhaupt auf dem aktuellen Stand gehalten?
Sehr viele deaktivieren ja auch in Windows die Sicherheitsupdates und wundern sich dann.

Leider werden einige noch einiges an Lehrgeld bezahlen müssen, bis sie erkennen, dass man in Sicherheit investieren sollte.