ticuta1
Goto Top

IoT: Hacker schalten Heizungen aus

Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
face-sad

http://www.spiegel.de/netzwelt/web/finnland-hacker-schalten-heizungen-a ...

Content-ID: 320304

Url: https://administrator.de/forum/iot-hacker-schalten-heizungen-aus-320304.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 08.11.2016 um 14:12:37 Uhr
Goto Top
Zitat von @ticuta1:

Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
face-sad

Damit man im Büro sieht, wie warm es zuhause ist (oder um die heizung aufzudrehen, wenn der Liebhaber kommt).

Ode rum zuzuschauen, wenn der Partner sich mit jemand anderem vergnügt.

Oder ...

lks
Sheogorath
Sheogorath 08.11.2016 um 19:32:18 Uhr
Goto Top
Moin,

Oder ...
um die Heizung Twittern zu lassen, dass der Kühlschrank festgestellt hat, dass der Toaster auf Facebook gepostet hat, dass die Kaffeemaschine nicht mehr reichbar ist :D

Naja, lachen wir nicht, die Sache ist ernst.

Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen

Wartung. Schlicht und ergreifend ist die Wartung einfacher, wenn sich die Heizung bei mir meldet, bzw. ich per welchem Tool auch immer, auf die Heizung zugreifen kann. Davon abgesehen kann ich auch die Heizwerte einfach Monitoren und gewissen so Defekten vorbeugen. Theoretisch. Wie viel man davon wirklich praktisch macht, kann ich nicht sagen. Aber warum man inzwischen eigentlich möchte, dass sich die Geräte untereinander unterhalten können, hat durchaus auch andere Gründe als ein Enduser, der sich eine weitere App auf seinem Smartphone installieren kann. (Wer heute keine App zu seinem Produkt heraus bringt, ist halt einfach außen vor)

Davon kann man nun halten was man will ;)

Gruß
Chris
pelzfrucht
pelzfrucht 08.11.2016 aktualisiert um 20:01:08 Uhr
Goto Top
Im Grunde genommen ist es doch ganz einfach:

Alle Ports ausser einem schließen,
auf diesem einen Port läuft ein Dienst mit einem eigenen Protokoll das keine Schreibzugriffe oder nur Schreibzugriffe auf sichere/unkritische Funktionen zulässt.

So lala (Links Client | Rechts Heizung)


AUTH; OK
123456789; WELCOME
READTEMP; 21C
SETTEMP; OK
24; OK
SETPRESSURE; UNKOWN
BYE; BYE


Viele Grüße
pelzfrucht
Lochkartenstanzer
Lochkartenstanzer 08.11.2016 aktualisiert um 21:04:48 Uhr
Goto Top
Und wenn 100000 webcmas gleichzeitig deine zimmertemoeratur wissen wollen?

lks
Sheogorath
Sheogorath 08.11.2016 um 21:14:06 Uhr
Goto Top
Moin,

mit einem eigenen Protokoll

Warum? O.o


Es gibt keinen Grund ein weiteres Protokoll auf den Markt zu werfen. Inzwischen bin ich ehrlich gesagt ziemlich froh, dass das fast jeder verstanden hat und RestfulAPI implementiert.

Vorteile: Die Webserver der Software sind inzwischen Rock-Solid und funktionieren bewiesenermaßen. Auch die Authentifizierung ist standardisiert und in weiten Teilen so gut reviewed, dass Sicherheitslücken kaum mehr gefunden werden. All das kriegt man mit komplett eigenen Anwendungen nur sehr teuer hin.

Davon abgesehen sind auch patches für weithin genutzte Anwendungen weit schneller vorhanden und installiert, als für irgendwelche Exotischen Anwendungen, deren entwicklung nach 5 Jahren eingestellt wird, weil man das Heizungsmodell ja nicht mehr verkauft. Die Lebenszeit einer druchschnittlichen Heizung geht aber weit über 5 Jahre hinaus. Das will niemand backporten. Mit weithin genutzter Software ist das für den Hersteller günstiger und wie schon erwähnt auch sicherer.

Also bitte keine Flöhe ins Ohr von wegen "properitäre/reineigententwickelte Software ist sicherer". In den aller meisten Fällen ist das schlicht und ergreifend falsch.

Gruß
Chris
pelzfrucht
pelzfrucht 10.11.2016 um 00:40:59 Uhr
Goto Top
Also bitte keine Flöhe ins Ohr von wegen "properitäre/reineigententwickelte Software ist sicherer". In den aller meisten Fällen ist das schlicht und ergreifend falsch.

Das hab ich nichtgeschrieben.
Hab mich aber wohl etwas missverständlich ausgedrückt,

mit eigenem Protokoll meinte ich ein eigens für den Einsatzzweck entwickeltes Protokoll -
Nicht unbedingt ein proprietäres. Aber gut, das ist ein Streitpunkt face-wink

Davon unabhängig ging es mir eigentlich halt da drum das mit einer Firewall alle Ports geschlossen werden
außer den dringend benötigten. Viele Embedded Geräte, oder IoT wie man inzwischen sagt, haben gar keine Firewall, dafür
aber jede Menge Dienste am Laufen die übers Netzwerk erreichbar sind obwohl es nicht nötig ist.

Ebenfalls bin ich der Meinung das Schreibzugriffe in kritische Bereiche (z.B. Boiler Druck) nicht oder nur reglementiert möglich sein sollten. Beispielsweise man will aus der Ferne den Druck ändern, so kann man den Befehl zwar absetzen: Ausgeführt wird es aber nicht sofern eine entsprechende Meldung am Display der Heizungssteuerung nicht bestätigt wurde. So könnte man eine Service Schnittstelle ermöglichen die gleichfalls nicht durch Hacker missbraucht werden kann.

@lks
Und wenn 100000 webcams gleichzeitig deine zimmertemperatur wissen wollen?
face-smile
Huston, wir haben ein Problem.
Spaß face-smile
Na die übliche Reaktion auf DOS Attacken: Alle (sinnlosen) Anfragen verwerfen.
Und wenn es zu viel wird, Alle Ports für eine bestimmte Zeit schließen (5 Minuten) und anschließend wieder öffnen.
So verhindert man zu mindestens das die Heizungssteuerung die Arbeit einstellt.
Wenn nach 5 Minuten immer noch die DOS Attacke läuft, werden die Ports halt nochmal 5 Minuten geschlossen.. Solange wie nötig.
Oder IP White Listing. (Alle IP Adressen aus dem lokalen Netzwerk + externe Internet IP Adressen)

Wobei eigentlich schon der Router die DOS Attacken abwehren sollte, damit der störende Netzwerkverkehr gar nicht erst ins heimische Netzwerk gelangt. Zu Hause wo man meist Dynamisch IP Adressen erhält, könnte der Router auch einfach beim ISP für eine neue IP Adresse anfragen. Und der DOS Angriff auf die vorherige IP Adresse läuft ins Leere.

Und wenn ich ausgerechnet in den 5 Minuten die Temperatur verstellen mag wo ich gerade angegriffen werden, werde ich meinen faulen Hintern wohl doch mal hoch bewegen müssen um die Temperatur per Hand einzustellen.

Grüße
pelzfrucht