Smart Home - Smart Hack

    Auf dem jährlichen Kongress des Chaos Computer Clubs berichtet dieses Jahr ein Security-Experte namens Michael Steigerwald über Möglichkeiten des Einbruchs in Home-Netze über Smarthome-Geräte. Der Vortrag ist auf Deutsch, aber trotzdem einigermaßen Technobubble-Hardcore. Wer trotzdem Interesse hat: https://media.ccc.de/v/35c3-97…rt_home_-_smart_hack#t=40


    Es geht um ein (chinesisches?) Unternehmen, das Cloudservices an jedermann verkauft. Das ist erstmal nichts Verwerfliches. Wer ein eigenes Smarthome-Gerät gebaut hat und das mit Cloudanbindung anbieten will, kann sich dort die notwendigen Cloudservices dazukaufen. Die bieten sogar einen Smartphone-App-Generator an und schwups, schon ist man Smarthomegeräte-Anbieter.


    Weiterhin bieten die auch gleich die Smarthome-Geräte an. Man muss also gar nichts selber tun, nur noch bestellen und schon hat man eine Glühbirne + App + Cloud, natürlich alles mit eigenem Logo und kann sich auf dem Smarthomegeräte-Markt tummeln.


    Im Vortrag wird gezeigt, wie der Flashspeicher einer solchen Glühbirne ausgelesen und manipuliert wird. Das kann eigentlich jeder mit ein bisschen Wissen, das man sich ja draufschaffen kann. Also ich kann's nicht so ohne Weiteres, aber es sieht auch nicht so wirklich schwierig aus. So könnte man dann ganz wunderbare Geschenke bauen, die beispielsweise die Zugangsdaten des Homenetzwerks des Beschenkten auslesen und an euch versenden. Oder schraubt doch einfach nachts die Glühbirne eures Nachbarn aus seiner Gartenbeleuchtung und bringt sie ihm "verbessert" zurück.


    Letztendlich geht es hier um das ganze Billigzeugs ("hey cool! Ich habe hier eine smarte Birne für nur zwofuffzig gefunden, von der Smart und Böse GbR, da hab ich mir mal gleich 30 Stück bestellt. Das Modell heißt Bloß nicht reinschrauben, blöder Name, aber für die Kohle ist mir das egal!"). Ich glaube nicht, dass das so einfach geht mit Trådfri- oder Hue-Zeugs - aber weiß man's? Immerhin kaufen wir hier eine Menge kleine Computer, und die meisten hier im Forum haben damit mehr Computer zu Hause herumstehen als dieser Computernerd in der Bekanntschaft. Für manche hier im Forum - für mich! - ist das alles wundervolles Spielzeug, aber in Wirklichkeit ist es das nicht.


    Ich werde mich im neuen Jahr mit SSL für homebridge-config-ui-x auseinandersetzen. Immer wenn ich das aufrufe und in die config.json reinschaue, werden darin enthaltene Zugangsdaten für sonstwas unverschlüsselt über das WLAN übertragen. Das sollte besser nicht so sein. Ich habe zwar keine pubertierenden Blagen, die mein WLAN nutzen und die Zugangsdaten an ihre pubertierenden Freunde weitergeben, von denen besonders der eine, schweigsame Typ mit der dicken Brille den ganzen Tag in meinem Wohnzimmer sitzt und entrückt lächelnd auf seinem Notebook herumhackt. Und meine Bekannten können ohne fremde Hilfe nicht mal ihr iPad einschalten. Bin ich also damit sicher?


    Ich glaube nicht. Ein SSL-Zertifikat zu beschaffen ist nicht sonderlich schwierig, aber mir fallen auf Anhieb kleine Problemchen ein, die das machen könnte. Wenn ich was weiß, werde ich hier eine Anleitung veröffentlichen.


    Stefan

    Gefällt mir 4

    Marco Schmidt Nutze das Plugin zwar nicht aber wäre schön wenn du unter Anleitungen einen eigenen Thread für die Zertifikat Erstellung machen würdest damit der Nutzerkreis der es benötigt es auch finden kann :thumbup:

    Zitat von Marco Schmidt

    Nastra Hab ich schon gemacht.

    Super. Geile Anleitung.


    Wie man Keys baut, weiß ich, weil das zu meinen beruflichen Pflichten gehört. Mich hat im Vorfeld interessiert, wie die Domain heißen könnte, auf die das SSL-Zertifikat ausgestellt wird. Und ich wollte wissen, ob man das Cert selber bauen soll, so wie du das machst, oder vielleicht eins von Let's Encrypt nimmt. Bei mir würden sicherlich die Pfade zum Key und Cert andere sein, aber das sind ja Kleinigkeiten.


    Darüber wollte ich mich noch ein bisschen über SSL äußern, so dass jeder hier wenigstens eine vage Vorstellung hat, was da passiert und wie man mit der unvermeidlichen Fehlermeldung umgeht, die solche Zertifikate auslösen werden. Vielleicht finde ich einen Weg, der hässliche Meldungen vermeidet. Beruflich kommen die bei mir nicht vor, weil wir in der Firma keine kostenlose Zertifikate verwenden und den professionellen Weg gehen, aber für zu Hause ist das ein bisschen oversized.


    Aber wie dem auch sei: dank Marco Schmidt könnt ihr alle schon loslegen :) Ich bereite derweil meine Silvesterparty vor, und danach bin ich erstmal out of order.


    Stefan

    Zitat von theo69

    Danke für die Info, ja SSL wäre nicht schlecht und den Text zeige ich lieber nicht meiner Frau ;-).

    Gute Idee. Ganz schlechter WAF. Vielleicht können wir ja 2019 ein bisschen mehr Zeit in die Security unserer System stecken.


    Stefan

    Gefällt mir 1
    Zitat von sschuste

    Mich hat im Vorfeld interessiert, wie die Domain heißen könnte, auf die das SSL-Zertifikat ausgestellt wird.


    Da die meisten einen lokalen Server betreiben und somit keine externe Domain haben, bleibt ja nur noch localhost. Hab jetzt gar nicht probiert, ob es auch mit der IP-Adresse klappt, müsste aber.

    Zitat von Marco Schmidt

    Da die meisten einen lokalen Server betreiben und somit keine externe Domain haben, bleibt ja nur noch localhost. Hab jetzt gar nicht probiert, ob es auch mit der IP-Adresse klappt, müsste aber.

    Meiner Meinung nach sollte das nicht funktionieren.

    Moin in die Runde,


    ich bin grad auf ein anscheinend verbreitetes, auf mich persönlich dramatisch wirkendes Sicherheitsproblem aufmerksam geworden, das offenbar bei WLAN basierten SmartHome Geräten "Standard" zu sein scheint. Das dürfte so ziemlich alle Forumsteilnehmer angehen und interessieren.


    Folgendes schon älteres Video aus 2017 stellt das Problem, wie ich finde, beeindruckend dar (Letztes Video "Smart Home absichern ab Minute 28:50 c't uplink 16.5 vom 8. April 2017"/Ab besagter Minute 28:50 wird’s durchgängig gruselig):


    https://www.heise.de/newsticke…rivatsphaere-4281501.html


    Inwieweit welche Hersteller inzwischen welche Sicherheitslücken und "versteckte" Abhöreinrichtungen implementiert oder behoben haben, wäre sicherlich eine ausführliche Recherche wert. Das im Video angesprochene Mikro in den AVM Steckdosen war mir zwar von Anfang an bewusst, was aber bspw. in meinen zahlreichen Koogeek Steckdosen und im Aqara Hub so alles an Passwörtern womöglich frei zugänglich gemacht wird und was alles sonst so weitergegeben wird, würde mich dann doch mal im Detail interessieren. Zumindest bin ich erstmal einigermaßen ernüchtert und hoffe auf einen umfangreichen Wissens-/Erfahrungsaustausch.


    PS: Ein Glück, wenigstens besitze ich keinen App gesteuerten 450-Euro-Dildo (ab ca. Minute 45:00) mit eingebauter Kamera und heimlichem Access-Point sowie Telnet Root-Zugang jeweils mit Standard-Passwort, über den ich mir Sorgen machen müsste =O8|

    Es muss natürlich jemand mit entsprechend präparierter Technik in der Nähe "lauschen", wenn du solche WLAN-Geräte konfigurierst. Den Dildo lassen wir mal aussen vor, dessen Netz ist ja permanent offen.


    Ansonsten mache ich mir da keine größen Sorgen.

    Ganz so sorglos wie NorbertM sehe ich das nicht, schließlich ist die dargestellte Lücke beim Anlernen neuer Geräte offensichtlich ja nur ein Problem von Mehreren (Stichwort Webserver mit Standard-Passwort onboard). Um wirklich sorglos zu sein, müsste man tatsächlich bei jedem einzelnen Mitspieler exakt überprüfen, was die unterschiedlichen Gerätschaften so alles machen, bzw. mit sich machen lassen. Ich denke derzeit besonders an den leichtfertigen Umgang mit dem Aqara/Xiaomi Hub, bei dem ja gerne das Mainland China Zugang zum Hub erhält, um dadurch die volle Automationskontrolle außerhalb von HomeKit freizugeben – warum geht das eigentlich nicht lokal? Bei der Vorstellung, dass dadurch natürlich auch leicht weitergehende Netzwerk-Infos bei unseriösen Stellen landen könnten wird mir doch etwas mulmig. Ein gewisses Abriegeln ist zwar über die Router möglich, jedoch darf man sich dann sicherlich auf diverse Einschränkungen in den Funktionen einstellen. Zwar habe ich mich in Mainland China nicht registriert, dennoch befürchte ich, dass allein der Betrieb dieses und ähnlicher Hubs/Gateways/Bridges Türen und Tore in mein Netzwerk zumindest anbietet – für wen und wie weitgehend auch immer =O

    Sorglos nicht, ich sehe mir das schon alles genau an. Aber ein Webserver mit Standardpasswort wäre bei mir ebenso raus, wie dubiose Accounts bei irgendwelchen Herstellern.

    Nur zur Info:

    https://www.heise.de/newsticke…mware-Upload-4284783.html

    Ich habe hier auch mehrere Tuya-Steckdosen. Die sind aber schon alle angemeldet und fest im Heimnetz. Den Zugang zum Internet habe ich für die jeweiligen IP-Adressen gesperrt und gesteuert werden sie direkt von homebridge-tuya.


    Das sollte sie doch eigentlich nicht mehr nach draußen telefonieren lassen, oder?

    <p>um mich nicht um iot security kümmern zu müssen , was ich auch nicht wirklich kann und Lust darauf habe,habe ich das jmd. anderen überlassen . habe eine iot security komponente im netz, die das regelt. gibt mehrere anbieter, mir hat dojo am besten gefallen, da eine netzsegmentierung stattfindet</p>
    <p><br></p>
    <p><br></p>
    <p>Gesendet von iPhone mit Community</p>

    Einmal editiert, zuletzt von Evo ()

    Ich dachte wir sind alle hier, weil wir der Apple Cloud soweit vertrauen?

    Irgendwelche zusätzlichen Webfrontends ins Internet Forwarden ist ja damit nicht nötig. Selbst homebridge tuckelt vor sich hin ohne groß nötige SSH Sessions. Kein Grund für mich irgendwas außer über die Apple Cloud nach außen zu lassen.


    Billige WLAN Geräte könnten alle durch Zigbee abgelößt werden. Dort gibt es spezifizierte Pairing-Prozesse ohne Hacks mit „Morsecode“.


    Letztendlich muss sich jeder mit dem Thema Sicherheit befassen und auch auf dem neusten Stand bleiben, nur so kann man dem meisten „Unfug“ aus dem Weg gehen und seine Komponenten sinnvoll auswählen.


    Ich muss beruflich hin und wieder Sicherheitsuntersuchungen vornehmen und ich kann sagen: Wenn die Deadline drückt, dann gehen IoT-Dinge auf den Markt auf denen ich nachweislich komplette Accountdaten auslesen konnte... ????

    Hinter den Produkten stehen immer große Namen und entwickelt hat es der Sub vom Sub, der dann natürlich auch die Sicherheit garantiert.


    Schlimm finde ich nur, dass die Tagesschau App voller News zum neusten Datenklau ist... das sind keine News... jeder 16 Jährige mit viel Zeit, kann das hacken was eine kleine Softwarefirma mit ihrem unterdimensionierten Notlageangebot abliefern musste.

    Sicherheit kostet! Keiner wills bezahlen!


    So, genug ausgekotzt.


    VG

    Basti

    WLAN basierte IoT Geräte kommen mir sprichwörtlich nicht ins Haus, solange es nicht eine einigermaßen adäquate Alternative gibt.


    Raspberry und Hue Bridge dürfen nur zeitweise fürs Update mal raus, ansonsten per Fritzbox geblockt. Rest ist aktuell nur Zigbee und ZWave.

    Zitat von Melvil

    WLAN basierte IoT Geräte kommen mir sprichwörtlich nicht ins Haus, solange es nicht eine einigermaßen adäquate Alternative gibt.


    Raspberry und Hue Bridge dürfen nur zeitweise fürs Update mal raus, ansonsten per Fritzbox geblockt. Rest ist aktuell nur Zigbee und ZWave.

    Dafür gibts sogar ne ICD10. :P