http://www.heise.de/security/meldung/Deepsec-ZigBee-macht-Smart-Home-zum-offenen-Haus-3010287.html Das ist schon gruselig...
Der gewöhnliche Einbrecher hebelt aber nach wie vor die Terassentür auf, deswegen bleiben die Hersteller bei solchen Meldungen relativ entspannt. Den Einbrecher 2.0 gibt es wohl noch nicht.
Julian B. schrieb: > Der gewöhnliche Einbrecher hebelt aber nach wie vor die > Terassentür auf, > deswegen bleiben die Hersteller bei solchen Meldungen relativ entspannt. > Den Einbrecher 2.0 gibt es wohl noch nicht. So ähnlich hat die Automobilindustrie auch mal argumentiert... Das Video zeigt, dass der Hersteller offenbar nicht viel anders denkt und seinen teuren Schrott für unverwundbar hält.
:
Bearbeitet durch User
Hallo. Ist bei anderen Produkten meist auch nicht anders. Vorsicht ist auch bei den ganzen Funkalarmanlagen geboten. Verschlüsselung, Datenintegrität sind meist Fremdworte - und das auch im höheren Preissegment. Martin
Martin schrieb: > Ist bei anderen Produkten meist auch nicht anders. > Vorsicht ist auch bei den ganzen Funkalarmanlagen geboten. > Verschlüsselung, Datenintegrität sind meist Fremdworte - und das auch im > höheren Preissegment. DESHALB: Selbermachen! 433er Funkmodule nehmen und eigenes Protokoll implementieren.
Moby A. schrieb: > DESHALB: Selbermachen! 433er Funkmodule nehmen und eigenes Protokoll > implementieren. Die Industrie schafft es mit mehre "Spezialisten" nicht ein Protokoll sicher zu suchen, und das sollen ein paar Bastler in der Stube mal schnell hinbekommen? Da kann nichts anders als "Security through obscurity" auskommen.
Moby A. schrieb: > DESHALB: Selbermachen! 433er Funkmodule nehmen und eigenes Protokoll > implementieren. Und Du glaubst, der durchschnittliche Leser von µc.net bekommt ein Protokoll auf Anhieb sicherer hin? Wenn man sich anschaut bei wievielen von Profis entwickelten Protokollen der Krypto-Teil dicke Lücken enthält, dann würde ich sagen daß das dann am Ende eher auf Security-by-obscurity rausläuft. DESHALB: weit verbreitete Protokolle verwenden, die komplett öffentlich dokumentiert sind und über die schon sehr viele Sicherheitsexperten drübergeschaut haben. Z.B. WLAN mit WPA2
Peter II schrieb: > Die Industrie schafft es mit mehre "Spezialisten" nicht ein Protokoll > sicher zu suchen, und das sollen ein paar Bastler in der Stube mal > schnell hinbekommen? > Da kann nichts anders als "Security through obscurity" auskommen. So ein Protokoll bekommt auch der Bastler hin. Das wird hübsch mit variablen Daten (z.B. Zeit) verschlüsselt und überzeugt sicherheitstechnisch vor allem durch seine Einzigartigkeit! Hilfreich ist auch die Erkenntnis, daß es nie um 100% theoretische, sondern immer nur um hinreichend praktische Sicherheit gehen kann.
Gerd E. schrieb: > Z.B. WLAN mit WPA2 Zu blöd daß das so ein Energiefresser ist. Von Mesh-Netzwerken ganz zu schweigen. Also ich würde mal sagen, zuallererst muß es praktikabel sein...
:
Bearbeitet durch User
Da liegt der Hund begraben. Keiner (Heimanwender, nicht Bastler) will da was erlernen oder umständlich einrichten. Es soll simpelst sein. Und das hat dann diese Folgen. Wie so oft sind die Anwender selber schuld...
Naja, immerhin war das offene Scheunentor innerhalb von ZigBee Netzwerken schon seit längerer Zeit bekannt und veröffentlicht. Immerhin hat es gut ein Jahr gebraucht, bis eine IT-Sicherheitsbude da was draus gemacht hat.
Peter II schrieb: > Die Industrie schafft es mit mehre "Spezialisten" nicht ein Protokoll > sicher zu suchen, und das sollen ein paar Bastler in der Stube mal > schnell hinbekommen? Das Hauptproblem bei ZigBee liegt in dem offenen Schlüssel für die Konfiguration. Der Bastler in der Stube hat aber auch nicht das Problem, dass seine Knoten komfortabel konfiguriert werden müssen. Wenn sein privater Key fest in den Knoten geflasht wird und der Flash gegen Auslesen gesichert ist, sind diese Probleme schon mal komplett weg. Der Industrie geht es nur darum z.B. AES256 auf die Verpackung zu schreiben und damit zu werben. Hatten wir bei Festplatten auch schon. Soviel Wertgegenstände habe ich in meinem Haus auch nicht gebunkert, dass sich für einen Angreifer das Knacken der Keys und des Protokolls auch nur ansatzweise lohnt. Bei Sachen die millionenfach im Einsatz sind lohnt sich so was vielleicht, da gibt's dann auch mehr als ein Ziel.
Felix A. schrieb: > Es soll simpelst sein. Das wär aber eine legitime Forderung. Problematisch sind eben Standards die sehr viele Leute fertig nutzen. Da kann man passiverweise nur auf baldigste Behebung der Sicherheitslücken hoffen. ich schrieb: > Soviel > Wertgegenstände habe ich in meinem Haus auch nicht gebunkert, dass sich > für einen Angreifer das Knacken der Keys und des Protokolls auch nur > ansatzweise lohnt. Soviel zu hinreichend praktischer Sicherheit. Wirklich sicherheitsrelevante Dinge wie Türöffner, E-Herd Bedienung usw. würde ich sowieso nicht via Funk zugänglich machen.
:
Bearbeitet durch User
ich schrieb: > Soviel > Wertgegenstände habe ich in meinem Haus auch nicht gebunkert, dass sich > für einen Angreifer das Knacken der Keys und des Protokolls auch nur > ansatzweise lohnt. Tja, nun sind viele Einbruchdiebe aber nicht so wählerisch und spekulieren die Objekte tagelang aus oder machen sich die Mühe elektronische Sperren zu überwinden. Die Mechanischen Riegel sind einfacher zu knacken und mit "versuch macht kluch" findet man schon was. Wir hatten Einbruch in den Kellerräumen. Entwendet wurde eine 2 Jahre alte Stichsäge Baumarktqualität für EUR 49. Alles komplett durchwühlt (ja auch den Weihnachtsbaumschmuck). Versicherung erkennt einen Vandalismusschaden von >1000 EUR. > Bei Sachen die millionenfach im Einsatz sind lohnt > sich so was vielleicht, da gibt's dann auch mehr als ein Ziel. jaja, aber wie gesagt oft ist es einfacher die mechanischen Riegel zu knacken. Für dich hat es auch noch einen Vorteil: jedes Streifenhörnchen und jeder Versicherungsfuzzi wird das als Einbruch werten. Cisco meinte ja auch, dass bei denen eingebrochen wurde, es ist halt nur jemand durch einen Zero-Day Exploid ins dänische Führerschein- und Passregister marschiert. Trotzdem. Solche drahtlos-Technik ist ein zusätzliches Sicherheitsrisiko und fies ist es ja, wenn keine Einbruchspuren vorhanden sind oder die Ermittlungsbehörde die Einbruchspuren nicht entdecken kann.
Rainer B. schrieb: > Naja, immerhin war das offene Scheunentor innerhalb von ZigBee > Netzwerken schon seit längerer Zeit bekannt und veröffentlicht. Immerhin > hat es gut ein Jahr gebraucht, bis eine IT-Sicherheitsbude da was draus > gemacht hat. Da verwechselst Du was, glaube ich. Breite Veröffentlichung hat nichts mit (begrenzter) Ausnutzung zu tun. D.h. obwohl es erst jetzt einem breiten Publikum bekannt wurde, können die bösen Buben das trotzdem schon seit längerem ausgenutzt haben. Die sind nicht total dämlich, die können das auch ohne Hilfe ohnehin dubioser "Sicherheitsbuden". Auch wenn wir uns alle wünschen würden es wäre nicht so. Paranoia rulez, auf diesem Gebiet jedenfalls. Und den Firmen, die dann immer behaupten "alles kein Problem", gehören einfach 20 Kilotonnen aufs Dach geschmissen.
Moby A. schrieb: > DESHALB: Selbermachen! 433er Funkmodule nehmen und eigenes Protokoll > implementieren. Das mit dem eigenen Protokoll ist Quark. Lieber ein etabliertes Protokoll nehmen für das es bereits etliche Implementierungen gibt wie z.B. SSL/TLS und das auch leicht mit neuen Algorithmen und Schlüsseln aus kommt. Das Hauptmanko bei wirklich allen security relevanten Dingen ist die Abwägung zwischen Sicherheit und usability. Das sicherste Produkt nützt nichts wenn der User 2 Wochen braucht um sich in die Rechtevergabe und das Key- & Certificate-management einzuarbeiten. Man muss immer abwägen wie viel Aufwand dem User zuzumuten ist, ansonsten liegt das sichere Produkt im Regal und das Unsichere im Einkaufswagen. Gruß Heiko
Mir kommt der IOT-Dreck sowieso nie ins Haus. Grund: Nach ein paar Jahren gibts keine Patches mehr für die ganzen IOT-Haushaltsgeräte. Dann darf ich nach 10 Jahren eine voll funktionsfähige Waschmaschine wegwerfen, weil sie ohne Internet nicht mehr läuft, aber unsicher ist, und keine Patches mehr bekommt. Oder weil der Server abgeschaltet wurde. Das Problem sieht man jetzt schön an dieser ZigBee Sache. Fast alles mit ZigBee wird man über kurz oder lang updaten oder wegwerfen müssen, weil es bald einfach zu bedienende Exploit-Tools für jeden Kleinkriminellen oder für jedes pickelige Script-Kiddie gibt. Und Updates wird man nicht für alles bekommen. Echt nicht, den Dreck kann die Industrie schön behalten :-( Nachdem die ganzen Swombies der Industrie Haushaltsgeräte mit Onlineaktivierung quasi aus der Hand reißen werden, wird sich sowas aber leider für die Mehrheit der Geräte durchsetzen...
Heiko J. schrieb: > Das mit dem eigenen Protokoll ist Quark. Ganz und gar nicht. Was es braucht sind nur günstige bidirektorale Module und ein einfacher Steuerstring mit ein paar Bytes für Quelle/Adressat, laufender Nummer, Daten und einer Checksumme. Der Master fragt reihum seine Aktor/Sensorslaves ab und die antworten koordiniert. Das Ganze kann man noch mit variablen Daten (z.b. Zeit) verschlüsseln und das wars auch schon. > Das Hauptmanko bei wirklich allen security relevanten Dingen ist die > Abwägung zwischen Sicherheit und usability. Was Selbstdefiniertes bietet ohnehin genug praktische Sicherheit. Davon abgesehen sollte man das mit der Sicherheit nicht allzu hoch hängen. Ist ja nicht so, daß hinter jeder Ecke Hacker warten, die unbedingt die Heizung regeln oder Licht einschalten wollen... Wer hätte denn davon was. Dinge, die den Wohnungszutritt erleichtern (Tür/Fensteröffner) oder z.B. den E-Herd sollte man nur überwachen, nicht aber an ein drahtloses Netz zur Fernbedienung hängen.
WehOhWeh schrieb: > Mir kommt der IOT-Dreck sowieso nie ins Haus. Grund: > Nach ein paar Jahren gibts keine Patches mehr für die ganzen > IOT-Haushaltsgeräte. Dann darf ich nach 10 Jahren eine voll > funktionsfähige Waschmaschine wegwerfen, weil sie ohne Internet nicht > mehr läuft, aber unsicher ist, und keine Patches mehr bekommt. > Oder weil der Server abgeschaltet wurde. Du gehst ja echt vom Schlimmsten aus. Also im schlimmsten Fall müsste der Käufer von Lösungen von der Stange eventuell damit rechnen. Wenn, dann kann ich mir das aber nur für eine Übergangszeit vorstellen, solange hersteller-unabhängige Standards noch nicht richtig festgezurrt sind. > Nachdem die ganzen Swombies der Industrie Haushaltsgeräte mit > Onlineaktivierung Du malst ja wirklich ein Horrorbild an die Wand. Hab lieber Vertrauen in die freie Marktwirtschaft. Da setzt sich mehr denn je nur das durch, was dem Konsumenten Otto Normalo einen wirklichen Nutzen und eben keinen sinnlosen Ärger beschert. Online-Aktivierungen und ständige Patches gehören definitiv nicht dazu. Da stirbt eher der PC aus ;-)
Moby A. schrieb: > WehOhWeh schrieb: >> Mir kommt der IOT-Dreck sowieso nie ins Haus. Grund: >> Nach ein paar Jahren gibts keine Patches mehr für die ganzen >> IOT-Haushaltsgeräte. Dann darf ich nach 10 Jahren eine voll >> funktionsfähige Waschmaschine wegwerfen, weil sie ohne Internet nicht >> mehr läuft, aber unsicher ist, und keine Patches mehr bekommt. >> Oder weil der Server abgeschaltet wurde. > > Du gehst ja echt vom Schlimmsten aus. > Also im schlimmsten Fall müsste der Käufer von Lösungen von der Stange > eventuell damit rechnen. Wenn, dann kann ich mir das aber nur für eine > Übergangszeit vorstellen, solange hersteller-unabhängige Standards noch > nicht richtig festgezurrt sind. Du bist ein Optimist. Die Haupteigenschaft von Standards ist, dass es so viele davon gibt, zwischen denen man dann wählen muss. Die meisten sind obendrein Scheisse, die Standardorganisationen sind heutzutage ja auch gekauft. >> Nachdem die ganzen Swombies der Industrie Haushaltsgeräte mit >> Onlineaktivierung > > Du malst ja wirklich ein Horrorbild an die Wand. > Hab lieber Vertrauen in die freie Marktwirtschaft. Bwahahaha, freie Marktwirtschaft? Existiert bei genauerem Hinsehen nicht, hat noch nie existiert. Kann IMHO garnicht existieren. Mit der real existierenden (nicht so besonders freien) Marktwirtschaft wird es so 10 - 20 Jahre dauern, falls der Staat zwischendurch mit ein paar sinnvollen Regulierungen (fette Chance) eingreift, bis da mal was brauchbares rauskommt, wenn überhaupt. Stichworte geplante Obsoleszenz, VW - wir sind das Auto, usw. usf. Ich mache um all den IoT-Schwachsinn auch einen grossen Bogen. Heh, man kann die Beleuchtung per Internet steuern, oder die Kaffeemaschine in DE vom Handy in AU aus einschalten. Toll, bloss, WARUM IN GOTTES NAMEN?
Na ja, das ist halt sehr praktisch: du bist halt in AU, in DE wird bei dir eingebrchen, und kannst den Einbrecher mit Kaffee begrüßen... :P
>Da kann nichts anders als "Security through obscurity" auskommen.
Iss eher security by individuality. Erst wenn jeder dein Gerät hatt iss
es das negative "through obscurity".
Jasch schrieb: > die Kaffeemaschine in DE > vom Handy in AU aus einschalten. ... ist natürlich ausgemachter Blödsinn. Nur weil sich mit IOT alles steuern lässt heißt das nicht, daß alles einen Sinn ergeben muß. Ich würde heute noch niemandem dazu raten, voll mit kommerziellen Lösungen einzusteigen, zumindest wenn Geld eine gewisse Rolle spielt. Da kommt dann z.B. sowas bei raus: www.golem.de/news/elgato-homekit-vs-devolo-z-wave-das-eine-smart-home-is t-fertig-das-andere-nicht-1511-116863.html Als Bastler sieht die IOT Welt hingegen schon völlig anders aus, wenn man selbst planen und sich selbst helfen kann.
Moby A. schrieb: > Jasch schrieb: >> die Kaffeemaschine in DE >> vom Handy in AU aus einschalten. > > ... ist natürlich ausgemachter Blödsinn. > Nur weil sich mit IOT alles steuern lässt heißt das nicht, daß alles > einen Sinn ergeben muß. OK, Zustimmung. Obwohl, wäre zur Abwechslung mal erfrischend wenn irgendeins der angepriesenen Features sinnvoll wäre. > Ich würde heute noch niemandem dazu raten, voll mit kommerziellen > Lösungen einzusteigen, zumindest wenn Geld eine gewisse Rolle spielt. Da > kommt dann z.B. sowas bei raus: > www.golem.de/news/elgato-homekit-vs-devolo-z-wave-das-eine-smart-home-is t-fertig-das-andere-nicht-1511-116863.html Nicht gelesen, wird wohl die übliche Horrormeldung sein. Wie z.B. bei LED-Lampen, wann immer jemand die [1-3]0000 Stunden Lebensdauer mal nachprüft. Wo dann immer rauskommt, dass die Definition der Lebensdauer (LED hat noch x Prozent der ursprünglichen Lichtstärke, nein, natürlich nicht: das Gesamtgerät funktioniert mindestens so lange) nicht ist was der Kunde logischerweise erwartet. > Als Bastler sieht die IOT Welt hingegen schon völlig anders aus, wenn > man selbst planen und sich selbst helfen kann. Man sollte dabei unbedingt das 'I' in der Akü beachten. Wer als Bastler seine Kreationen tatsächlich ans Internet (oder irgendwas mit drahtlosem Interface) anschliesst hat meiner Meinung nach einen maximal grossen, nicht reparablen Knall. Sorry.
>Wer als Bastler seine Kreationen tatsächlich ans Internet (oder >irgendwas mit drahtlosem Interface) anschliesst hat meiner Meinung nach >einen maximal grossen, nicht reparablen Knall. Sorry. nur weil die ganzen funk-nachrüst-komfort lösungen für mietwohnungen das thema in verruf bringen, heißt das nicht das jede Lösung schlecht ist.. wer per VPN auf die VISU seiner kabel-Hausautomatisierung zugreift hat also eine Knall?? wie das? Hausautomatisierung (gibt es seit 50 jahren) hat doch sowieso genau nix mit IoT zu tun..., auch wenn man sich eine VISU bastelt (gibts seit 20 Jahren?) und per VPN drauf zugreift..
Julian B. schrieb: > Der gewöhnliche Einbrecher hebelt aber nach wie vor die Terassentür auf, > deswegen bleiben die Hersteller bei solchen Meldungen relativ entspannt. > Den Einbrecher 2.0 gibt es wohl noch nicht. Viel zu viel Arbeit, die Beute für paar k€ kann man sich auch so erarbeiten, und mit dem Wissenstand über solche Technologien lässt auch so das gutes Geld LEGAL verdienen.
Jasch schrieb: > ... Die Haupteigenschaft von Standards ist, dass es so viele davon gibt, > zwischen denen man dann wählen muss. > > Die meisten sind obendrein Scheisse, die Standardorganisationen sind > heutzutage ja auch gekauft. Bei den Preisen, die die häufig aufrufen, damit man an die Dokumente mit den Spezifikationen ran kommt, sollten die Organisationen doch eigentlich finanziell unabhängig und "nur" interessengetrieben sein. Eine Firma, die ihren Hausstandard zur Erweiterung des Marktes auf eine breitere Basis stellen möchte, muss sich doch zwangsweise mit anderen zusammen tun, eine Standardorganisationen ins Leben rufen und sich dort federführend engagieren. Und so gibt es eben viele davon, weil jeder seinen eigenen durchsetzen möchte.
Robert L. schrieb: >>Wer als Bastler seine Kreationen tatsächlich ans Internet (oder >>irgendwas mit drahtlosem Interface) anschliesst hat meiner Meinung nach >>einen maximal grossen, nicht reparablen Knall. Sorry. > > nur weil die ganzen funk-nachrüst-komfort lösungen für mietwohnungen das > thema in verruf bringen, heißt das nicht das jede Lösung schlecht ist.. Nein, natürlich nicht. Es gibt bloß so wenige wirklich vertrauenswürdige Lösungen. Alles mit "vertrauen Sie uns, das ist sicher" oder "Firmengeheimnis!" oder "Schweigen im Walde" fällt schon mal aus... > wer per VPN auf die VISU seiner kabel-Hausautomatisierung zugreift hat > also eine Knall?? > > wie das? Hab ich nicht gerade heute etwas gelesen daß die Mehrzahl der VPN-Anbieter für ein neues Sicherheitsproblem anfällig sind? Ja, ja ich denke schon. Merke: bloss weil ein VPN involviert ist, ist es noch nicht sicher daß es sicher ist.
Werner M. schrieb: > Jasch schrieb: >> ... Die Haupteigenschaft von Standards ist, dass es so viele davon gibt, >> zwischen denen man dann wählen muss. >> >> Die meisten sind obendrein Scheisse, die Standardorganisationen sind >> heutzutage ja auch gekauft. > > Bei den Preisen, die die häufig aufrufen, damit man an die Dokumente > mit den Spezifikationen ran kommt, sollten die Organisationen doch Wundert mich auch immer. Normalerweise sollte man denken, die Standards kostenlos zu verteilen würde die Markt-Durchdringung fördern. Scheint ganz offenbar kein Ziel zu sein. :-( > eigentlich finanziell unabhängig und "nur" interessengetrieben sein. Klar, getrieben von den Interessen der (überwiegend grossen) Mitgliedsfirmen. Zum Spass: nachlesen was die "connector conspiracy" war. Dasselbe wird heute über Standards geregelt. > Eine Firma, die ihren Hausstandard zur Erweiterung des Marktes auf eine > breitere Basis stellen möchte, muss sich doch zwangsweise mit anderen > zusammen tun, eine Standardorganisationen ins Leben rufen und sich dort > federführend engagieren. Und so gibt es eben viele davon, weil jeder > seinen eigenen durchsetzen möchte. Es gibt viele, aber relativ wenige sind wirklich breit relevant. Da aber auch die unterwandert sind - schöne Scheiße für alle Betroffenen. In anderen Worten: heutzutage sind (moderne) Standards weitgehend nutzlos, sie werden großflächig zur Marktmanipulation benutzt und wer es als Marktführer nicht nötig hat, hält sich einfach nicht dran. Real existierende Standards wie z.B. USB sind heutzutage mehr oder weniger ein Unfall/Glück/Zufall. Und auch da: z.B. OnePlus, musste gerade zugeben total schrottige USB Type-C Kabel zu verkaufen, die tatsächlich nicht-OnePlus-Hardware zerstören können. Standards, heilige Scheiße, hör mir bloss auf...
Frank T. schrieb: > Julian B. schrieb: >> Der gewöhnliche Einbrecher hebelt aber nach wie vor die Terassentür auf, >> deswegen bleiben die Hersteller bei solchen Meldungen relativ entspannt. >> Den Einbrecher 2.0 gibt es wohl noch nicht. > > Viel zu viel Arbeit, die Beute für paar k€ kann man sich auch so > erarbeiten, und mit dem Wissenstand über solche Technologien lässt auch > so das gutes Geld LEGAL verdienen. Nö, die Praxis zeigt, daß die Kriminellen zu Arbeitsteilung übergehen sobald es sich lohnt. Da entwickelt der eine ein Steuergerät um die Wegfahrsperre vom teuren Auto XY auszuhebeln und baut das als fertigen Kasten mit drei Knöpfen drauf und ner kurzen Anleitung. Das verkauft er dann, wahrscheinlich über "Distributoren" oder Untergrundmarktplätze, an das kriminelle Fussvolk die damit Autos klauen gehen. Oder die Typen die sie neulich hochgenommen haben die die Geldautomaten leergeräumt haben. Auch da haben sich Cracker und kriminelles Fussvolk zusammengetan. Oder diese Banden die Lücken in den Zufallsgeneratoren von bestimmten Geldspielautomatenmodellen gecrackt haben und dafür dann eine einfach bedienbare Software auf dem Smartphone hatten mit der der Quasi-Zufallsgenerator ne Weile beobachtet wurde und dann nach ner Weile das nächste Ergebnis vorhergesagt wurde. Wenn sich so eine Lösung also etwas im Markt verbreitet hat, wird jemand ein einfach bedienbares "Knackgerät" entwickeln und das dann an andere Kriminelle verkaufen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.