Ecopower 1.0: Software-Update

  • Hallo,


    Montag (22.7.) soll wohl ein Software-Update für den eco 1.0 freigegeben werden. Die stille Post vermeldet, dass es Änderungen wg. VPN-Zugriff und Verbesserungen bei der Anzeige am Gerät geben soll.


    Gibt es dazu schon konkretere Infos? Wenn jemand in den nächsten Tagen bei einem Service eine neue SW-Version aufgespielt bekommt: Was wurde tatsächlich geändert? Funktioniert der Zugang per LAN weiter nur jeweils für eine Stunde?


    Viele Grüße


    Dirk


  • das update sollten eigentlich alle bekommen bzw. die mit wartungsvertrag
    da zur zeit urlaubszeit ist, wird es sich wohl hinziehen..
    denke bis ende September sollte jeder das update haben


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • das update sollten eigentlich alle bekommen bzw. die mit wartungsvertrag
    da zur zeit urlaubszeit ist, wird es sich wohl hinziehen..
    denke bis ende September sollte jeder das update haben

    ... da wurde mir gesagt, dass das Update - da nicht dringend / sicherheitsrelevant - einfach bei der nächsten Wartung / Vor-Ort Service aufgespielt wird. Bei den Vollwartungs-Kunden soll ja irgendwann die VPN Box eingebaut werden, da würde dann das SW Update eingespielt.


    Wie ist denn der aktuelle Stand bei den VPN-Boxen? Die Schulungen der Vaillant-Mitarbeiter laufen wohl grade - gibts schon Kunden bei denen die Boxen regulär eingebaut wurden? Wir haben ja Mitte April eine Feldtest-Box bekommen, mich würde interessieren ob die endgültige Lösung genauso funktioniert (Zugriff über OpenVPN direkt auf die Box, kein Einloggen auf einen zentralen Vaillant-Server).

  • ... da wurde mir gesagt, dass das Update - da nicht dringend / sicherheitsrelevant - einfach bei der nächsten Wartung / Vor-Ort Service aufgespielt wird. Bei den Vollwartungs-Kunden soll ja irgendwann die VPN Box eingebaut werden, da würde dann das SW Update eingespielt.


    wenn es bei der Wartung gemacht wird ist doch ok...
    wer es vorher haben möchte wird es denke ich mal auch früher bekommen
    ich persönlich bzw.die die ich kenne brauchen das update nicht...ist aber ein anderes thema..
    ich weiß nur das die box eingebaut werden soll...und es dann sicher ist 8o
    hat den die feldtest-box funktioniert ? bzw. warst du damit zufrieden ?


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • ich persönlich bzw.die die ich kenne brauchen das update nicht...ist aber ein anderes thema..

    Wie meinst Du das denn? Weißt Du schon was drin ist? Kannst Du uns ein paar Hinweise geben?


    Die eco haben offensichtlich schon noch ein paar Bugs, Phantom-Fehler wenn man Fehler nicht richtig bestätigt, Anzeigeprobleme bei den Graphen etc. Warum sollte ich da ein sinnvolles Update da nicht gut finden? Und bevor Du das falsch verstehst: Ich habe beruflich mit der Qualitätssicherung hauptsächlich von Software zu tun, jede etwas größere Software hat Bugs. Abgesehen vom Saia-Burgess Sicherheits-DAU-GAU ist die eco 1.0 SW schon ganz ok, hat aber noch Verbesserungspotential.

    hat den die feldtest-box funktioniert ? bzw. warst du damit zufrieden ?

    Die Box funktioniert, ich komme mit OpenVPN von meinem Rechner auf den ecoPower, der über die VPN-Box vernetzt ist. Bei unserer Box ist ein Funkmodul und eine SIM-Karte eingebaut, darüber kommt der eco ans Internet (wir haben noch keinen Telefonanschluss / DSL auf der Baustelle).
    Ich bin kein Sicherheitsexperte, aber so weit ich das verstanden habe ist die Anbindung nun viel besser und ein ganzes Stück sicherer: Für den Zugriff wird ein Schlüsselpaar gebraucht, das ein Angreifer wahrscheinlich erst irgendwie umgehen müsste.


    Bei unserer SW-Testversion ist es aber noch so, dass das eco 24x7 online ist. Und ich meine es schickt an einen Angreifer, der doch irgendwie per OpenVPN dran kommt, wohl auch noch die Kennworte raus. Muss ich gleich mal ausprobieren... :rolleyes: Wobei ich nicht weiss, wie das bei den neueren SW-Versionen ausschaut.


    Viele Grüße


    Dirk

  • Bei unserer SW-Testversion ist es aber noch so, dass das eco 24x7 online ist. Und ich meine es schickt an einen Angreifer, der doch irgendwie per OpenVPN dran kommt, wohl auch noch die Kennworte raus. Muss ich gleich mal ausprobieren... :rolleyes: Wobei ich nicht weiss, wie das bei den neueren SW-Versionen ausschaut.

    Ok, die bei uns im April aufgespielte Testversion schickt auch noch fröhlich alle Kennworte an den Angreifer (Kunde, Fachhandwerker, Entwickler). Ich hoffe einfach mal, dass das bei der neuen SW-Version behoben ist.
    Wenn jemand ab Montag die neue Version aufgespielt bekommt: Bitte mal mit Fiddler2 oder Wireshark schauen, ob da auch noch die Kennworte im Klartext 1-2 mal pro Sekunde geschickt werden, wenn man die Startseite aufruft, man also noch nicht eingeloggt ist. Danke!

  • Bei der 2.04 war das große Saia Passwort-Flooding bereits durch den Verzeichnisschutz abgestellt, dennoch konnte man sich über andere Wege den großen Zugriff verschaffen. Mit der 2.05 sollte das aber schon im Juni abgestellt worden sein (http://www.bhkw-infothek.de/na…ate-fur-das-ecopower-1-0/), ist die etwa noch nicht im Feld? Was jetzt in Kürze kommen müsste, ist das große Sicherheitsupdate inkl. gepatchter Saia-Basisfirmware... aber vermutlich braucht es noch ein paar Wochen "erfolgreichen Entwicklungsverlauf" bei Saia-Burgess mit Schweizer Gemütlichkeit... Dauert ja erst seit Februar (http://www.heise.de/ct/artikel…-nach-zwoelf-1897198.html)

  • Bei der 2.04 war das große Saia Passwort-Flooding bereits durch den Verzeichnisschutz abgestellt, dennoch konnte man sich über andere Wege den großen Zugriff verschaffen.

    Meinst Du mit "andere Wege", dass man einfach Wireshark oder Fiddler anwirft? Sorry, aber dann ist zumindest in der 2.04 noch gar nichts abgestellt. Ob man nun über den mangelhaften Verzeichnisschutz alle Kennworte bis runter zur Entwicklerebene auslesen kann - oder durch trivialstes Mitlesen des Traffics: Beides sind banalste Anfängerfehler - und es ist unfassbar, dass Saia-Burgess sie bis heute nicht abstellen konnte.


    Der Angriff übers Mitlesen ist ja jetzt auch schon x mal veröffentlicht worden, eine Geheimhaltung ist dabei nicht mehr angebracht. Und damit nicht wieder eco-Besitzer (und andere Saia-Burgess-Kunden...) das Risiko unterschätzen: Es geht NICHT darum mitzulesen, wenn sich ein Vaillant Entwickler einloggt. Jeder der die Webseiten des eco aufruft, egal ob Kunde, Handwerker, Angreifer, bekommt 1-2 mal pro Sekunde ALLE Kennworte im Klartext auf den PC übertragen. Man muss nur noch hinbekommen, dass man sie auch angezeigt bekommt. Mit dem Tipp "Fiddler" oder "Wireshark" können das Grundschüler!


  • ich meinte wegen der Sicherheitslücke brauch ich kein Update....sonstige Verbesserungen sind immer willkommen ;)
    hab mein eco eh nicht am netz, und wenn nötig kann ich das eco per lankabel an pc anschliessen. ansonsten wäre es ja über mein Heimnetzwerk abgesichert.. ?(
    ohne Frage, wenn es von Vaillant angeboten bzw. vorschrieben wird ( i-Net Anschluss ) sollte es auch Funktionieren bzw. sicher sein.
    nur ist es nicht überall möglich einen i-Anschluss 24/7 bereit zu stellen.....bzw. was nützt es Vaillant ?
    auch ist es für Vaillant nicht einfach, neben guten Heizgeräten und Regelungen bauen noch daran zu denken das jeder evtl. das Heizgerät hacken kann X(
    sorry, was ist heute sicher ?
    (hab ne teure kaspersky version drauf..laptop 15 monate alt.....darf ich neu machen....dank java....nix ist mehr sicher)


    mein Display ist aus 2011 und das geht besser als die aus 2013..


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • Daniel, Du bist kein Endkunde. Endkunden brauchen den Vollwartungsvertrag - zum Beispiel weil sie gern die BAFA-Förderung hätten (die schreibt einen Wartungsvertrag vor, ich habe zumindest keinen anderen Wartungsvertrag bekommen können). Oder weil sie wie ich damit rechnen, dass der eco 1.0 einfach mehr Wartung / Service braucht als eine vergleichsweise simple Brennwerttherme - und mit Vollwarter das Risiko kalkulierbar machen wollen.


    Und genau dann braucht(e) man, dass Vaillant 24x7 auf den eco 1.0 zugreifen kann. Oder man hat noch mehr für den Vollwarter gezahlt.


    Klar, jedes IT-System ist irgendwann angreifbar, wenn man ausreichend viel Zeit und Geld investiert. Aber die "Sicherheit" beim eco 1.0 - bzw. bei den Saia-Steuerungen allgemein - ist so unfassbar schlecht implementiert, das geht gar nicht. Das ist so als könnte man ein aktuelles Auto mit einem Zahnstocher öffnen, wenn man nur weiss wo man den reinstecken muss. Anderer Vergleich: Beim eco liegt der Schlüssel Deiner Wohnung unter der Fussmatte. Aber zusätzlich noch der Generalschlüssel vom Haus. Und weil es so praktisch ist auch noch der Schlüssel des Türschlossherstellers.


    Bitte glaub's mir: Meine Vergleiche sind nicht übertrieben!

  • Meinst Du mit "andere Wege", dass man einfach Wireshark oder Fiddler anwirft? Sorry, aber dann ist zumindest in der 2.04 noch gar nichts abgestellt. Ob man nun über den mangelhaften Verzeichnisschutz alle Kennworte bis runter zur Entwicklerebene auslesen kann - oder durch trivialstes Mitlesen des Traffics: Beides sind banalste Anfängerfehler - und es ist unfassbar, dass Saia-Burgess sie bis heute nicht abstellen konnte.


    Der Angriff übers Mitlesen ist ja jetzt auch schon x mal veröffentlicht worden, eine Geheimhaltung ist dabei nicht mehr angebracht. Und damit nicht wieder eco-Besitzer (und andere Saia-Burgess-Kunden...) das Risiko unterschätzen: Es geht NICHT darum mitzulesen, wenn sich ein Vaillant Entwickler einloggt. Jeder der die Webseiten des eco aufruft, egal ob Kunde, Handwerker, Angreifer, bekommt 1-2 mal pro Sekunde ALLE Kennworte im Klartext auf den PC übertragen. Man muss nur noch hinbekommen, dass man sie auch angezeigt bekommt. Mit dem Tipp "Fiddler" oder "Wireshark" können das Grundschüler!


    Traffic mitsniffen, wenn eine korrekte Übertragung erfolgt, ist nun nicht zwingend ein Anfängerfehler... Ok, mit einer SessionID gesalzene Hashes zu Übertragen o.Ä. wären schon angebracht und auf dem PCD7 auch kein Problem zu implementieren. Wohingegen eine echte Verschlüsselung aufgrund von Zertifikatproblemen auf Endnutzerseite und ggf. Performance aber problematisch sein KÖNNTE, was aber wohl lösbar wäre, soweit ich es beurteilen kann. Aber alle diese Überlegungen und hypothetischen neuen Probleme sind auf einem Level weit über dem jetzigen Anfängerfehler der Saia-Programmierer.


    Das angesprochene Mitsniffen der Passwortliste für das Java-Applet ist ja nur möglich, eben weil die Passwörter zur Prüfung im Browser des Aufrufenden völlig unverwürfelt und dann noch fortlaufend übertragen werden. Daneben gibt es aber auch noch andere mögliche Angriffsvektoren der Stufe Programmier-DAU...


    Bei der 2.04 wird jedoch das Passwort-Flooding zur Appletprüfung durch den Verzeichnisschutz unterbunden, oder anders gesagt die Passwortliste liegt hinter dem Verzeichnisschutz. Dennoch ist es beim Endkundenlogin bei der 2.04 möglich noch immer mit der ganz simplen Methode Passwörter zu besorgen. Die taugen aber nur noch für FHW (nicht mehr Experte) und auch nicht für den Nutzer "Entwickler" und ohne zusätzlich den Verzeichnisschutz zu überwinden, kommt man mit diesen Passwörtern auch nur auf der Endkundenseite rein... Aber für eben den Verzeichnisschutz gibt es einen - zumindest bei der Vaillant-Implementierung - neuen Angriffsvektor zur Aushebelung eben dieses Verzeichnisschutzes.


    Aber mit der 2.05 sollte wie im Infothek-Artikel steht alles besser werden. Also nochmal die Frage: Hat jemand 2.05 oder neuer in freier Wildbahn gesehen?

  • Traffic mitsniffen, wenn eine korrekte Übertragung erfolgt, ist nun nicht zwingend ein Anfängerfehler...

    Leider nicht, klar. Das war schon x mal in der Presse bei anderen Firmen. Dass Vaillant nur http statt https nutzt, war ja auch schon sehr lange klar.

    Das angesprochene Mitsniffen der Passwortliste für das Java-Applet ist ja nur möglich, eben weil die Passwörter zur Prüfung völlig unverwürfelt und dann noch fortlaufend übertragen werden.

    Nein. Das Problem ist, dass die Kennworte überhaupt vom eco an das Applet auf dem PC übertragen werden. Jeder normale Programmierer schickt die Kennworte (nicht im Klartext!) vom PC an den eco und prüft auf dem BHKW ob der Benutzer rein darf.


    Ich erwarte einfach dass eine Firma wie Saia-Burgess, die davon lebt dass sie professionell solche Steuerungen entwickelt, auch Profis beschäftigt die sich mit Sicherheit auskennen. Und ihre Produkte idealerweise regelmäßig extern auditieren lässt und Probleme ZEITNAH behebt.


    Wobei es auch ganz nett wäre, wenn Vaillant ein ganz bisschen mehr auf Sicherheit achten würde... "1234", "2435" und "Vaillant" sind ja als Initialkennworte ok, aber dass die auf einem von Vaillant in Betrieb genommenen System noch nicht umgesetzt sind...? Das Vaillant Entwicklerkennwort muss auch nur einmal irgendwo raus kommen (sagte ich schon Wireshark und Fiddler2?), dann kommen Endkunden an Parameter und Funktionen, von denen sie wirklich besser die Finger lassen sollten...

    Einmal editiert, zuletzt von Dirk42 () aus folgendem Grund: Der erste Satz war missverständlich: Dass man durch mitsniffen von Internet-Traffic Kennworte oder Nutzersessions kapern kann, ist selbst schon auf Pro7 und der Computer-Bild bekannt

  • Daniel, Du bist kein Endkunde. Endkunden brauchen den Vollwartungsvertrag - zum Beispiel weil sie gern die BAFA-Förderung hätten (die schreibt einen Wartungsvertrag vor, ich habe zumindest keinen anderen Wartungsvertrag bekommen können). Oder weil sie wie ich damit rechnen, dass der eco 1.0 einfach mehr Wartung / Service braucht als eine vergleichsweise simple Brennwerttherme - und mit Vollwarter das Risiko kalkulierbar machen wollen.


    Und genau dann braucht(e) man, dass Vaillant 24x7 auf den eco 1.0 zugreifen kann. Oder man hat noch mehr für den Vollwarter gezahlt.


    das mit den Zahnstocher passt schon.....aber der Zahnstocher bezieht sich doch nur aufs eco ? oder schaltet das eco das Heimnetzwerk frei ?
    und wo steht in der Bafa das ich/oder mein endkunde einen Wartungsvertrag mit Vaillant abschließen muss ? ?(


    und wegen 24/7....ich warte seit 1,5 Jahren auf einen Tel/i-net anschluss ( Kabel ) also eco ans netz, bei mir nicht möglich
    habe jetzt alles über umts...und das muss ich täglich aktivieren bzw. schaltet sich ab...kann ich nichts für...und wegen sowas gibt dir Vaillant keine Garantie über 10 Jahre ?
    sorry :-)_:-) ....
    denkst du wirklich das Vaillant alle geräte überwachen tut ? ich denks nicht


    gruß daniel

    db Strom Wärme Wasser
    16356-Werneuchen-Wegendorfer Str. 51
    zertifizierter Vaillant ecoPOWER-Partner
    BHKW: ecoPower 1.0 PV: 26,2 kWp HV: Fröling S4
    geplant für 2014: Vaillant Brennstoffzelle

  • Hallo Daniel,


    die BAFA schreibt - wenn ich richtig informiert bin - vor, dass man einen Wartungsvertrag nachweist. Mit wem auch immer. Ich habe für den eco 1.0 nur den von Vaillant / PowerPlus gefunden. Bietet denn für den kleinen eco noch jemand anderes Wartungsverträge an?


    Wegen UMTS: Unsere Baustelle hat auch noch kein DSL, deswegen haben wir die Feldtest-VPN Box mit UMTS. Vielleicht wäre das bei Dir auch die beste Lösung? Soll ich Dir die Kontaktdaten der Ansprechpartner bei Vaillant schicken? Wenn ich sie auf der ISH richtig verstanden habe ist noch nicht klar, ob sie die UMTS-Box auch normal anbieten wollen: Es ist einfach nicht klar, ob bei ausreichend vielen Kunden Bedarf für so eine Lösung besteht.


    In der IT ist es ganz normal, dass man alle wichtigen Server automatisch überwacht. Warum sollte da Vaillant nicht automatisiert alle eco mit Vollwartungsvertrag checken? Das steigert die Zufriedenheit der Vaillant-Kunden, reduziert die Ausfallzeiten - und hilft Vaillant weitere Kunden für ihre Geräte und Vollwartungsverträge zu gewinnen. Und ja: Ich habe vor ein paar Wochen einen Anruf von Vaillant bekommen, dass unser eco eine Störung gemeldet hätte: Vaillant überwacht aktiv die eco 1.0 - wobei ich echt neugierig bin, wie sie das machen - rein berufliches Interesse ;)


    Viele Grüße


    Dirk


    Ps: Garantie und Vollwartungsvertrag sind etwas komplett unterschiedliches...

  • Das Vaillant Entwicklerkennwort muss auch nur einmal irgendwo raus kommen


    Das war kein Problem. Ich kenne es. Werde es nicht weiter publizieren aber für den Kundendienst bietet es noch zusätzliche Möglichkeiten. 8o

    Rechnen hilft. Bleistift, Stück Papier und ein Taschenrechner und man wird sich über einige Ergebnisse wundern. ?(
    http://perdok.info/
    Oscar Perdok GmbH
    Gildeweg 14, 46562 Voerde
    Beratung, Planung und Installation von: KWK-Anlagen, PV-Anlagen, Stromspeicher mit Notstromfunktion, Eigene Herstellung von Ladestationen für E-Mobile, Energie-Effizienz incl. Kosten/Nutzen-Betrachtung, Ladestation für E-Mobile (kostenlos)