IoT: Hacker schalten Heizungen aus
Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
http://www.spiegel.de/netzwelt/web/finnland-hacker-schalten-heizungen-a ...
http://www.spiegel.de/netzwelt/web/finnland-hacker-schalten-heizungen-a ...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 320304
Url: https://administrator.de/forum/iot-hacker-schalten-heizungen-aus-320304.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @ticuta1:
Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
Damit man im Büro sieht, wie warm es zuhause ist (oder um die heizung aufzudrehen, wenn der Liebhaber kommt).
Ode rum zuzuschauen, wenn der Partner sich mit jemand anderem vergnügt.
Oder ...
lks
Moin,
Naja, lachen wir nicht, die Sache ist ernst.
Wartung. Schlicht und ergreifend ist die Wartung einfacher, wenn sich die Heizung bei mir meldet, bzw. ich per welchem Tool auch immer, auf die Heizung zugreifen kann. Davon abgesehen kann ich auch die Heizwerte einfach Monitoren und gewissen so Defekten vorbeugen. Theoretisch. Wie viel man davon wirklich praktisch macht, kann ich nicht sagen. Aber warum man inzwischen eigentlich möchte, dass sich die Geräte untereinander unterhalten können, hat durchaus auch andere Gründe als ein Enduser, der sich eine weitere App auf seinem Smartphone installieren kann. (Wer heute keine App zu seinem Produkt heraus bringt, ist halt einfach außen vor)
Davon kann man nun halten was man will ;)
Gruß
Chris
Oder ...
um die Heizung Twittern zu lassen, dass der Kühlschrank festgestellt hat, dass der Toaster auf Facebook gepostet hat, dass die Kaffeemaschine nicht mehr reichbar ist :DNaja, lachen wir nicht, die Sache ist ernst.
Ich verstehe es immernoch nicht, wieso solche Anlagen ins Internet ansprechbar sein sollen
Wartung. Schlicht und ergreifend ist die Wartung einfacher, wenn sich die Heizung bei mir meldet, bzw. ich per welchem Tool auch immer, auf die Heizung zugreifen kann. Davon abgesehen kann ich auch die Heizwerte einfach Monitoren und gewissen so Defekten vorbeugen. Theoretisch. Wie viel man davon wirklich praktisch macht, kann ich nicht sagen. Aber warum man inzwischen eigentlich möchte, dass sich die Geräte untereinander unterhalten können, hat durchaus auch andere Gründe als ein Enduser, der sich eine weitere App auf seinem Smartphone installieren kann. (Wer heute keine App zu seinem Produkt heraus bringt, ist halt einfach außen vor)
Davon kann man nun halten was man will ;)
Gruß
Chris
Im Grunde genommen ist es doch ganz einfach:
Alle Ports ausser einem schließen,
auf diesem einen Port läuft ein Dienst mit einem eigenen Protokoll das keine Schreibzugriffe oder nur Schreibzugriffe auf sichere/unkritische Funktionen zulässt.
So lala (Links Client | Rechts Heizung)
AUTH; OK
123456789; WELCOME
READTEMP; 21C
SETTEMP; OK
24; OK
SETPRESSURE; UNKOWN
BYE; BYE
Viele Grüße
pelzfrucht
Alle Ports ausser einem schließen,
auf diesem einen Port läuft ein Dienst mit einem eigenen Protokoll das keine Schreibzugriffe oder nur Schreibzugriffe auf sichere/unkritische Funktionen zulässt.
So lala (Links Client | Rechts Heizung)
AUTH; OK
123456789; WELCOME
READTEMP; 21C
SETTEMP; OK
24; OK
SETPRESSURE; UNKOWN
BYE; BYE
Viele Grüße
pelzfrucht
Moin,
Warum? O.o
Es gibt keinen Grund ein weiteres Protokoll auf den Markt zu werfen. Inzwischen bin ich ehrlich gesagt ziemlich froh, dass das fast jeder verstanden hat und RestfulAPI implementiert.
Vorteile: Die Webserver der Software sind inzwischen Rock-Solid und funktionieren bewiesenermaßen. Auch die Authentifizierung ist standardisiert und in weiten Teilen so gut reviewed, dass Sicherheitslücken kaum mehr gefunden werden. All das kriegt man mit komplett eigenen Anwendungen nur sehr teuer hin.
Davon abgesehen sind auch patches für weithin genutzte Anwendungen weit schneller vorhanden und installiert, als für irgendwelche Exotischen Anwendungen, deren entwicklung nach 5 Jahren eingestellt wird, weil man das Heizungsmodell ja nicht mehr verkauft. Die Lebenszeit einer druchschnittlichen Heizung geht aber weit über 5 Jahre hinaus. Das will niemand backporten. Mit weithin genutzter Software ist das für den Hersteller günstiger und wie schon erwähnt auch sicherer.
Also bitte keine Flöhe ins Ohr von wegen "properitäre/reineigententwickelte Software ist sicherer". In den aller meisten Fällen ist das schlicht und ergreifend falsch.
Gruß
Chris
mit einem eigenen Protokoll
Warum? O.o
Es gibt keinen Grund ein weiteres Protokoll auf den Markt zu werfen. Inzwischen bin ich ehrlich gesagt ziemlich froh, dass das fast jeder verstanden hat und RestfulAPI implementiert.
Vorteile: Die Webserver der Software sind inzwischen Rock-Solid und funktionieren bewiesenermaßen. Auch die Authentifizierung ist standardisiert und in weiten Teilen so gut reviewed, dass Sicherheitslücken kaum mehr gefunden werden. All das kriegt man mit komplett eigenen Anwendungen nur sehr teuer hin.
Davon abgesehen sind auch patches für weithin genutzte Anwendungen weit schneller vorhanden und installiert, als für irgendwelche Exotischen Anwendungen, deren entwicklung nach 5 Jahren eingestellt wird, weil man das Heizungsmodell ja nicht mehr verkauft. Die Lebenszeit einer druchschnittlichen Heizung geht aber weit über 5 Jahre hinaus. Das will niemand backporten. Mit weithin genutzter Software ist das für den Hersteller günstiger und wie schon erwähnt auch sicherer.
Also bitte keine Flöhe ins Ohr von wegen "properitäre/reineigententwickelte Software ist sicherer". In den aller meisten Fällen ist das schlicht und ergreifend falsch.
Gruß
Chris
Also bitte keine Flöhe ins Ohr von wegen "properitäre/reineigententwickelte Software ist sicherer". In den aller meisten Fällen ist das schlicht und ergreifend falsch.
Das hab ich nichtgeschrieben.
Hab mich aber wohl etwas missverständlich ausgedrückt,
mit eigenem Protokoll meinte ich ein eigens für den Einsatzzweck entwickeltes Protokoll -
Nicht unbedingt ein proprietäres. Aber gut, das ist ein Streitpunkt
Davon unabhängig ging es mir eigentlich halt da drum das mit einer Firewall alle Ports geschlossen werden
außer den dringend benötigten. Viele Embedded Geräte, oder IoT wie man inzwischen sagt, haben gar keine Firewall, dafür
aber jede Menge Dienste am Laufen die übers Netzwerk erreichbar sind obwohl es nicht nötig ist.
Ebenfalls bin ich der Meinung das Schreibzugriffe in kritische Bereiche (z.B. Boiler Druck) nicht oder nur reglementiert möglich sein sollten. Beispielsweise man will aus der Ferne den Druck ändern, so kann man den Befehl zwar absetzen: Ausgeführt wird es aber nicht sofern eine entsprechende Meldung am Display der Heizungssteuerung nicht bestätigt wurde. So könnte man eine Service Schnittstelle ermöglichen die gleichfalls nicht durch Hacker missbraucht werden kann.
@lks
Und wenn 100000 webcams gleichzeitig deine zimmertemperatur wissen wollen?
Und wenn 100000 webcams gleichzeitig deine zimmertemperatur wissen wollen?
Huston, wir haben ein Problem.
Spaß
Na die übliche Reaktion auf DOS Attacken: Alle (sinnlosen) Anfragen verwerfen.
Und wenn es zu viel wird, Alle Ports für eine bestimmte Zeit schließen (5 Minuten) und anschließend wieder öffnen.
So verhindert man zu mindestens das die Heizungssteuerung die Arbeit einstellt.
Wenn nach 5 Minuten immer noch die DOS Attacke läuft, werden die Ports halt nochmal 5 Minuten geschlossen.. Solange wie nötig.
Oder IP White Listing. (Alle IP Adressen aus dem lokalen Netzwerk + externe Internet IP Adressen)
Wobei eigentlich schon der Router die DOS Attacken abwehren sollte, damit der störende Netzwerkverkehr gar nicht erst ins heimische Netzwerk gelangt. Zu Hause wo man meist Dynamisch IP Adressen erhält, könnte der Router auch einfach beim ISP für eine neue IP Adresse anfragen. Und der DOS Angriff auf die vorherige IP Adresse läuft ins Leere.
Und wenn ich ausgerechnet in den 5 Minuten die Temperatur verstellen mag wo ich gerade angegriffen werden, werde ich meinen faulen Hintern wohl doch mal hoch bewegen müssen um die Temperatur per Hand einzustellen.
Grüße
pelzfrucht