Ecopower 1.0: Sicherheitslücke: "Verbesserung der Fernkommunikationslösung"

Zitat von endurance

Sicherheitslücken hat jedes System von daher nichts ungewöhnliches. Ich habe da wenig Blutdruck, da ist mir mein bankaccount wichtiger

Hallo Gruß nach Backnang,

Dein Gottvertrauen in allen Ehren! Mal sehen wann sie dein Bankacount hacken!

Jetzt auch hier. Warum auch sollte gerade Vaillant hier besser sein als viele andere, viel größere companies wie MS, ADOBE oder die JAVA Vertreiber! Es hilft demnach nur noch: LAN Stecker ziehen!

Zitat:
"Was Vaillant seinen Kunden in diesem Schreiben nicht mitteilt, ist die Tatsache, dass potentiellen Angreifern ein umfassender Zugriff auf das Gerät einschließlich der Kundendienst- und Entwicklerebene möglich ist und zudem alle an das Internet angeschlossenen Geräte aufgrund eines unbedarft programmierten Adressdienstes leicht auffindbar sind.

Also jetzt wissen wir es: Es wurde unbedarft programmiert!

Am 12 Feb 2013 verfasste ich eine kurzes Statement zum Thema Datensicherheit im Thread "Fernwartung durch Vaillant, wie funktioniert´s?" und outete mich als "Bedenkenträger".

Viel Reaktionen warenn damals a la endurance. Auch einige "Profis" waren der Meineung: "Vaillant kann das schon".

Sobald man die Abschottung des Hausnetzes aufgibt, ist man natürlich auf mehren Ebenen angreifbar. Wer garantiert, das der Zugriff nur auf den Systemregler beschränkt blleibt?

Damit wären wir wieder beim Bankaccount.

Gruß aus Heilbronn.

Hallo Doriar,

Deine Nachricht am 12.2. habe ich sehr wohl gesehen, einen riesigen Schreck bekommen und gehofft, dass niemand über das Scheunentor-große Loch stolpert, das ich eine Woche vorher an Vaillant gemeldet hatte. Ich denke das ging allen so, die zu dem Zeitpunkt bereits geahnt haben was auf uns zukommt... und die deswegen auf Deinen Artikel nicht geantwortet haben.

Klar könnte man die These vertreten, dass es sowieso nie ein 100% sicheres System geben kann. LAN-Kabel ab = "Air Gap". Abgesehen davon dass Vaillant für den Vollwartungsvertrag die Internetverbindung quasi vorschreibt - sonst kostet der Vollwarter ja deutlich mehr - gibt es aber auch andere Anwendungsfälle, bei denen der Zugriff von Außen sinnvoll ist. Und dafür akzeptiere ich ein gewisses Risiko. Aber die bisher eingebaute sicherheitstechnische Umsetzung beim eco 1.0 ist so... ähm... "speziell", dass das Risiko absolut nicht tragbar ist.

Mit VPN, Direktverbindung nur zu Vaillant etc. kann ich das Risiko gut mitgehen - unser eco ist mit Feldtest-VPN seit letzter Woche wieder im Netz. (Hoffentlich probiert' jetzt niemand unsere Kiste zu hacken... )

Viele Grüße

Dirk

Zitat von Dirk42

Hoffentlich probiert' jetzt niemand unsere Kiste zu hacken...

Moooment

Zitat von BHKW-Forum

Eine kritische Sicherheitslücke im Systemregler des Vaillant ecoPOWER 1.0 ermöglicht unberechtigte Fremdzugriffe bis hin zur Entwicklerebene über das Internet. Vaillant rät seinen Kunden: Sofort den Netzwerkstecker ziehen! Alle Hintergründe haben wir ausführlich bebildert und mit einem Video zusammengefasst.

-> Zum Artikel und Video

-

Und mittlerweile bei heise:
http://www.heise.de/newsticker…erheits-Leck-1840919.html

The H (englisch):
http://www.h-online.com/securi…ting-systems-1842489.html

Tweakers (niederländisch):
http://tweakers.net/nieuws/885…heid-in-webinterface.html

DORIAR

In glaube du unterschätzt mein sicherheitsbewusstsein. Mein heimnetz ist mit NAT und Proxy inklusive Firewall abgesichert. Kritische sw laeuft in eigenen virtuellen Umgebungen etc.
Wenn ich mich aber ueber jede sicherheitsluecke aufregen wuerde waere ich tot, an Herzkasper gestorben.
Die vaillant sw haette bei mir keine Freigabe bekommen höchstens mit den entsprechenden hinweisen in den releasenotes. Da sind auch sonst noch genügend Bugs drin, auch sicherheitsirrelevante. Leider ist bananensoftware heute quasi Standard.

Wenn ich jetzt VPN lese kommt bei mir die frage auf wie das genau technisch realisiert werden soll.

Apropos bankaccount, der ist mir eBen wichtiger als Heizung, bisher war ja auch nicht klar was alles offen liegt. Mt den heutigen Infos kommt das Eco bei mir auch nicht ans Netz (nicht direkt jedenfalls).

Nachtrag: prinzipiell ist jedes System knackbar solange es einen Zugangspunkt gibt - immer eine Frage des Aufwandes.
Wieviel Aufwand jemand treibt hängt wohl von der Zielsetzung und dem möglichen Benefit ab. Heizungen zu hacken halte ich jetzt erstmal für wenig lukrativ somit wird es weniger potentiell "motivierte" Einbrecher geben. Wenn der Aufwand aber nahe null geht (wie in diesem Fall) wird es kritisch.

Aus meiner Sicht ist Sicherheit immer verbunden mit einem Abwägen von Risiken und Kosten/Aufwaenden zu Risikominimierung und dem eigenen "Komfortbedarf".

Vaillant hat definitiv geschlampt, da gibt es kein vertun. Trotzdem bin ich positiv überrascht, dass Vaillant reagiert bevor alle Medien das issue veröffentlicht haben. Die eine oder andere Firma haette das versucht auszusitzen und gewartet wie groß denn der Sturm der Entrüstung wird.

Richtig bei mir funktionieren Historiedatenauch nur sporandisch (zeigt mir z.B. immer den Inbetriebnahmetag an).

Portfreigaben und weiterleitung deaktivieren sollte reichen (mir würde es reichen)

Zitat von endurance

Portfreigaben und weiterleitung deaktivieren sollte reichen

Die "Steinzeittechnik" der FÜ des ecopower 3.0/4.7 wurde im Forum schon häufig bemängelt. Ich halte die analoge Wählverbindung aber für eine sehr sichere (bezogen auf Hacker) Variante. Ist doch nicht immer alles so schlecht, was in der "Steinzeit" entwickelt wurde. Einiges könnte man vielleicht auf die Netzwerktechnik übertragen. Eine Wählverbindung ähnlich VoIP mit eine "Bediensoftware" auf Kundendienstseite würde das Problem erheblich reduzieren. Dazu müsste man sich eine entsprechnede Telefonnummer zuordnen lassen. Da die Telefonnummer anders verwaltet werden als z.B. die DynDNS bietet das schon einen höheren Sicherheitsstandart. Auch ist dem potentiellen "Hacker" erst mal nicht bekannt ob das nun eine Telefon-, Fax- oder Datennummer ist. Bei dem ecopower 3.0/4.7 wird dann noch abgefragt ob die Bediensoftware (ecoServ) mit der richtigen Version auf der anderen Seite ist. Ist das nicht der Fall wird die Verbindung abgebrochen.

Entspricht vielleicht nicht den heutigen Wunschvorstellungen im Internetbereich aber wenn Sicherheit gefragt ist, muss man einige Dinge eben einschränken.

So lange kein dyndns eingerichtet ist bzw keine Portfreigabe vorgenommen wurde, halte ich das Risiko für sehr begrenzt. Deshalb werde ich das Kabel auch im Systemregler lassen und es vom iPad beobachten und steuern.

Denn, welcher Hacker kennt meine IP und weiß, dass in meinem Netz ein ecoPower 1.0 läuft?
Und was kann der Hacker wirklich für Vorteile erzielen? Er kann aller höchstens einen Schaden anrichten aber er kann für sich keine Vorteile erzielen. Von daher werden eher spielende Hacker als ernsthafte Hacke überhaupt an dem Thema interessiert sein.
Aso immer den Ball flach halten und nicht gleich in Panik verfallen. Und immer die Dinge mit gesunden Menschenverstand hinterfragen.

PS
Ich halte den Artikel in der Infothek für sehr sachlich und auch keine Panikmache.

Zitat von Ecojo

Reicht es nicht einfach die Portfreigaben zu löschen ? Dann müsste ich doch innerhalb des Hausnetzwerks noch arbeiten können...

Ja, das sollte reichen. Wichtig ist, dass niemand von außen (Internet) auf die Login-Seite kommt. Denn es muss klar sein, dass jeder der die Login-Seite der Java-Applikation aufrufen kann, erschreckend einfach an alle Funktionen kommt, die ein Entwickler von Vaillant auf dem ecoPower auslösen kann. Samt Zurücksetzen auf den Auslieferungszustand, komplettes Umkonfigurieren etc.

Zitat von woever

Denn, welcher Hacker kennt meine IP und weiß, dass in meinem Netz ein ecoPower 1.0 läuft?

Aus meiner Sicht - ich bin aber kein Netzwerk-Spezialist - besteht das größte Risiko dann, wenn das ecoPower direkt von außen erreichbar ist. Ich hatte Anfang Februar zufällig ein eco gefunden, da ich mit Google auf Suche nach Infos zur Java-Applikation war. Sprich: Das eco war genauso leicht zu finden wie viele WebCams.

Zitat von woever

Und was kann der Hacker wirklich für Vorteile erzielen? Er kann aller höchstens einen Schaden anrichten aber er kann für sich keine Vorteile erzielen. Von daher werden eher spielende Hacker als ernsthafte Hacke überhaupt an dem Thema interessiert sein.

Bisher bin ich auch noch nicht auf Ideen gekommen, wie der Hacker echte Vorteile hätte. Aber der Gedanke, dass Skriptkiddies einfach mal alle eco ausschalten, testen was passiert wenn man auf "Clear Drive History" oder "Clear all History" klickt - oder ob Fußboden- oder Wandheizung sicher bei 45 Grad abregeln - das brauche ich auch nicht. Klar: Wenn man dafür "kriminelle Energie" brauchen würde wie der Vaillant Mitarbeiter im Video gesagt hat - sprich: Brute Force, "Hackertools" - dann wäre das Risiko nicht so hoch. Aber statt "Brute Force" braucht man für das eco nur "Gruppen-Kitzeln" oder "Wattebäuschchen-Werfen"...

Es soll auch Menschen geben, die auf bezahlte Sicherheits-SW setzen und sehr gut damit fahren.
Meinereiner gehört zu dieser Spezies.
Bis dato wurde noch jedweder Angriff erfolgreich abgewehrt.

Moin,

Zitat

Es soll auch Menschen geben, die auf bezahlte Sicherheits-SW setzen und sehr gut damit fahren.

das mußt Du mal bitte näher erklären. Welche "bezahl" Software, wo installiert, kann Angriffe aus dem Internet auf das Eco verhindern ??

mfg