Merkwürdig: attr xxxx room frei aus dem Internet erreichbar

[Beagel]

Hallo zusammen,

gestern Abend plötzlich unkontrolliertes Schalten von einigen Geräten, Fhem konnte kurz nicht erreicht werden. Als ich dann wieder auf die Oberfläche konnte, alle Räume weg.

Nur noch ein Raum: frei aus dem Internet erreichbar
In der fhem.cfg bei allen Geräten der Eintrag: attr xxxx room frei aus dem Internet erreichbar
siehe Screenshot

Auch funktioniert anscheinend alles noch, Schaltbefehle, Timerbefehle werden ausgeführt.
Im Log ist nichts zuerkennen, für die betreffende Uhrzeit werden nur die um diese Zeit auszuführenden Aktionen angezeigt, nichts aussergewöhnliches.

Fhem lief bis jetzt über Monate ohne Eingriffe vollautomatisch, es wurde seit Monaten nichts am Raspberry verändert.

Gruß Dieter

[Christoph Morrison]

Glückwunsch, du hattest dein FHEM frei zugänglich im Internet und jemand hat dir bei der Konfiguration geholfen.

[Frank_Huber]

Glückwunsch, du hattest dein FHEM frei zugänglich im Internet und jemand hat dir bei der Konfiguration geholfen.

Also frei zugänglich UND ungeschützt.
- kein Passwortschutz
- Freigabe auf Standart-Port

Das wären mal zwei Dinge die ich als MINDEST-Anforderung sehen würde.
Besser natürlich nur VPN bzw Reverse Proxy.

[MadMax-FHEM]

Ich würde mal SOFORT den Port im Router zumachen!

Und dann überlegen: brauche ich Zugriff von "außen" und wenn (unbedingt) ja: vernünftig absichern!

Wie wurde ja genannt...

Gruß, Joachim

[kadettilac89]

Sei froh dass du einen netten erwischt hast. Wenn ich böse wäre, hätte ich mindestenst von /opt/ abwärts alles gelöscht.

Port vom Router zumachen. War dir bewusst, dass dein System offen ist?

[herrmannj]

@Dieter: was genau ist Deine Frage?

[Christoph Morrison]

Sei froh dass du einen netten erwischt hast. Wenn ich böse wäre, hätte ich mindestenst von /opt/ abwärts alles gelöscht.

https://www.gesetze-im-internet.de/stgb/__303a.html

§ 303a Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

Just saying.

Lasst und lieber Dieter helfen, dass er seine Installation sicher bekommt.
Also, Dieter, hattest/hast du dein FHEM ins Internet freigegeben? Wenn ja, stell das bitte umgehend ab (in deinem Router die Portfreigabe löschen). Im nächsten Schritt schreib hier mal, was dein use case ist. Meistens bist du mit VPN besser dran und das können heute auch die meisten Consumer Router (aka deine Fritzbox).

[frank]

mal aus interesse gefragt:

(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert...

trifft das denn in diesem fall überhaupt zu? also die veränderung des attr room.

das könnte doch auch als benutzung eines öffentlich bereitgestellten programs ausgelegt werden, oder nicht?

[CoolTux]

Das kann wenn nur ein Anwalt Dir sagen würde ich behaupten.

[herrmannj]

Das kann wenn nur ein Anwalt Dir sagen würde ich behaupten.

2 Anwälte -> 3 Meinungen 

Grobe Fahrlässigkeit des TE würde sich möglicherweise Strafmildernd auswirken 

[Amenophis86]

Das kann wenn nur ein Anwalt Dir sagen würde ich behaupten.

Selbst der wird es nur erahnen, entscheiden wird es ein Richter

Aber zurück zum Thema:
Ich denke auch, da wollte jemand nett sein und dir zeigen, dass dein FHEM frei verfügbar ist und dir nichts böses. Daher wie gesagt Gegenmaßnahmen ergreifen und melden, was du willst, das man dir helfen kann.

[Christoph Morrison]

mal aus interesse gefragt:
trifft das denn in diesem fall überhaupt zu? also die veränderung des attr room.

das könnte doch auch als benutzung eines öffentlich bereitgestellten programs ausgelegt werden, oder nicht?

Naja, die Indizen für ein vorsätzliches Bereitstellen der eigenen Haussteuerung an Dritte sind eher dürftig, oder? Wenn jetzt "Demo" oder so drüber gestanden hätte, wäre es einfach. Allerdings ist dem Täter ja klar gewesen, dass die Installation wohl nicht für ihn gedacht war, sonst hätte er das room-Attribut nicht entsprechend geändert. Ihm war also schon bewusst, dass es nicht seine Daten sind und dass sie auch keine Demo sind. Ich find's allerdings tatsächlich eine humane Lösung (niedriger Schaden, soweit Dieter berichtet hat). Je nachdem wie man auslegt, könnte auch schon das Schalten einer Lampe in einer fremden Installation den §303a erfüllen. Freundlich ist es auf jeden Fall nicht.

Wenn ich eine Installation finden würde, würde ich wohl eher dem abuse-Kontakt des Providers schreiben (bzw. habe das auch schon so getan) und darauf hinweisen, dass ein Kunde hier ein Sicherheitsproblem hat.

IANAL, aber mit ein paar Semestern Rechtswissenschaften.

[Frank_Huber]

https://www.gesetze-im-internet.de/stgb/__303a.html

"oder verändert"
Das ändern von Attributwerten oder das ändern von Schaltzuständen ist hier voll mit drin.

Alleine das schalten von Geräten ohne zu wissen was dahinter steckt kann immensen Schaden verursachen.
Die Attribut-Änderung sehe ich auch eher als richtigen Hinweis. aber dem § nach schon strafbar...

[Beagel]

Danke für Eure Antworten.

Eigentlich sollte der Raspberry / Fhem nur über VPN zu erreichen sein daher hab ich keine weiteren Sicherung für Fhem eingerichtet. VPN ist auf der Fritzbox eingerichtet.

Hab jetzt erstmal alle Ports für die IP des Raspberry gelöscht.

Wie könnte ich Testen ob ich von aussen ohne VPN auf Raspberry /Fhem komme ?

[marvin78]

Mit nem Smartphone und WLAN aus.

[Beagel]

@marvin78 , das ist mir schon bewusst, nur was muss ich eingeben?
Die IP:port von fhem oder noch etwas anderes, den nur mit IP:port kam ich auch vorher nicht auf fhem mit LTE.

[Wernieman]

Wichtig: EXTERNES WLAN ...

Aber als Ersttest: Wlan im StartPhone ausschalten und dann versuchen, auf die IP zu kommen!
(Oder jemand einfach mal zu bitten ...)

Und noch etwas, was mittlerweile vergessen wird: Ist IPv6 Freigeschaltet? Also der Externe zugriff über IPv6??
Hatte da vor kurzem Beruflich damit zu tuhen ...

Ach und noch etwas bezüglich der gemeldeten "Strafbarkeit":
Es ist auch immer Wichtig, welche Hürden der "Angreifer" hatte.

Ein Vergleich:
Tat: Der Täter zerstörst mutwillig ein Fremdes Objekt
- Es liegt frei auf der Sraße
- Es liegt in Deinem Vorgarten
- Es liegt in Deinem Haus
- Es liegt im Banktresor
Ratet mal, wo die höchste Strafe zu erwarten wäre .....

ABER: Auch ich bin kein Anwalt. Also alle Angaben ohne Gewähr!
(Aber obiges Beispiel kommt von einem Anwalt)

Edit:
Beagle war schneller, hatte nur jetzt zu viel Zeit investiert, deshalb lasse ich es stehen.

@Beagel: Wenn Du willst, gib mir Deine aktuelle IPv4/IPv6 und ich mache gerne ein Portscan (per PM).
Ist übrigens, gegen anders lautender Meldungen, auch gegen Fremde Anschlüsse keine Straftat .... solange man es nicht übertreibt

[JoWiemann]

Hallo,

Du hast sechs Einfallstore:

1. Fernzugang FritzBox (myFRITZ) -> komplett löschen und besser nicht mehr nutzen
2. VPN der FritzBox. -> Würde ich komplett löschen, auch den dafür genutzt Benutzer. Und, wenn notwendig neuen Benutze mit SEHR STARKEM Passwort anlegen.
3. WLAN -> Hier würde ich das Kennwort für die Anmeldung am WLAN komplett gegen ein STARKES ersetzen
4. Gäste WLAN -> Eher unwahrscheinlich, da ein eigene vLAN in der FritzBox
5. LAN -> irgendwie erreichbarer LAN-Port?
6. IoT -> Hast Du irgendwelche China IoT Gadgets, die zwar preiswert waren, aber wo Du nicht weist mit wem sie kommunizieren?

Grüße Jörg

[frank]

Naja, die Indizen für ein vorsätzliches Bereitstellen der eigenen Haussteuerung an Dritte sind eher dürftig, oder?

sie ist halt bereitgestellt, und das öffentlich. ohne jeglichen schutz.

§ 303a Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) Der Versuch ist strafbar.
(3) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

§ 202a Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

nach meinem empfinden wurden keine daten im sinne von § 202a Abs. 2 verändert, wenn der "angreifer" fhem über das öffentlich bereitgestellte frontend bedient hat.

allerdings habe ich kein semester in rechtswissenschaften absolviert.

[Jamo]

Danke für Eure Antworten.

Eigentlich sollte der Raspberry / Fhem nur über VPN zu erreichen sein daher hab ich keine weiteren Sicherung für Fhem eingerichtet. VPN ist auf der Fritzbox eingerichtet.

Hab jetzt erstmal alle Ports für die IP des Raspberry gelöscht.

Wie könnte ich Testen ob ich von aussen ohne VPN auf Raspberry /Fhem komme ?

Hallo Beagel,
wenn Du sagst Du hast alle Ports für die IP des Raspberry geloescht,
kann das sein das Du VPN eingerichtet hattest, aber zusätzlich noch dein Raspberry über die Ports von aussen zu erreichen war?

Was Du auch mal checken kannst, ist einen Portscan zu machen, heise bietet das an, dsa ist immer ganz informativ: https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1

Desweiteren in der Fritzbox unter Diagnose -> Sicherheit, findest Du auch alles was deine Ports angeht.

[hankyzoolander]

Hallo,
das ist mir vor jahren auch mal passiert. Hatte mein Fhem einfach offen im Netz um von aussen zugreifen zu können. War ganz cool, wer kann schon von egal wo er ist sein zuhause steuern??    Mega sache.

Es war allerdings nicht mehr so cool, als das ganze Haus AMOK lief, weil sich jemand zugriff verschaffte, und alles WILD an und aus schaltete!!
1. Maßnahme, Stecker vom router raus!!!!
2. Maßnahme, die Freigaben im router gelöscht.
3. Maßnahme, überlegen ob man echt zugang von aussen braucht!!!!!!!

Habe jetzt seit vielen Jahren KEINEN Zugang von aussen, und das ist so auch gut.

Wenn du oder jemand anderes testen möchtest, wie wirklich sicher dein netzwerk nach aussen ist,besorg dir die beiden kostenlosen Programme,

1. Angry IP Scanner  -   dort gibst du mal deine externe IP ein, und lässt ihn mal suchen. Kannst noch einstellen nach welchen Ports er suchen soll.

2. Das wichtigste Programm heißt Sparta.
Gib da deine externe IP ein und lass nen scan machen. Sparta listet alle ports auf und erstellt sogar von den erreichbaren "Seiten" screenshots.

Mit diesen Tools kannst du sehen was wie nach aussen in irgendeiner Form erreichbar ist.
Du kannst mit Sparta dann auch gleich versuchen "gewaltsam" in dein Netz einzudringen, weil Sparta diese Werkzeuge mitbringt.

Wenn du erkennst welche umfänge diese beiden Programme bringen, und wie einfach das ganze ist, ist es erschreckend zu sehen das GAR NICHTS sicher ist. Diese beiden Tools sind nur ein mini Beispiel für die schier Grenzenlosen Möglichkeiten der "Bösen"

Falls du aber unbedingt zugriff brauchst, denk doch mal darüber nach, mit Whattsapp,Telegram zustände abzufragen oder dir schicken zu lassen. Das ist dann nach aussen ZU, und bedeutend schwerer zu knacken.

Falls jemand es besser weiß, teile er es mir mit

[Christoph Morrison]

nach meinem empfinden wurden keine daten im sinne von § 202a Abs. 2 verändert, wenn der "angreifer" fhem über das öffentlich bereitgestellte frontend bedient hat.

Es braucht diesen Zusatz, weil Daten legal als ,,Angaben, (Zahlen-)Werte oder formulierbare Befunde, die durch Messung, Beobachtung u. a. gewonnen werden" definiert sind. "Nicht unmittelbar wahrnehmbar" heißt, dass auch Bits und Bytes in Sinne des §202a Abs. 2 darunter fallen. "Oder" in diesem Kontext bedeutet übrigens auch, dass Daten, die unter §202a fallen, eine der drei Kategorien ( elektronisch, magnetisch oder nicht unmittelbar wahrnehmbar) erfüllen müssen. Außerdem ist die Übertragung solcher Daten explizit geschützt ("oder übermittelt werden"). § 202a Abs. 2 erweitert die Legaldefinition also, um auch "Computerzeugs" drunter fallen zu lassen.

Pfiffige Mitleser werden bemerkt haben, dass sich der §303a nicht auf §202a Abs. 1 bezieht - also braucht es auch keine besondere Sicherung der Daten, außerdem hat Dieter sie wohl nicht für denjenichen bestimmt, der seine Konfiguration geändert haben.

Ergo: Es bleibt bei §303a Abs. 1.

allerdings habe ich kein semester in rechtswissenschaften absolviert.

Macht nix, Google weiß es im Zweifelsfall auch. Die Zeiten wo alles nur in kiloschweren Kommentaren zu den Gesetzbüchern vergraben war, sind glücklicherweise vorbei.

[kadettilac89]

Hallo,
das ist mir vor jahren auch mal passiert. Hatte mein Fhem einfach offen im Netz um von aussen zugreifen zu können. War ganz cool, wer kann schon von egal wo er ist sein zuhause steuern??    Mega sache.

Es war allerdings nicht mehr so cool, als das ganze Haus AMOK lief, weil sich jemand zugriff verschaffte, und alles WILD an und aus schaltete!!

Es gibt von the Big Bang Theory eine Folge in der sie die Haussteuerung bewusst aufgemacht haben und sich freuten dass die Lichter an und aus gingen.

[hankyzoolander]

ja die Folge kenne ich, das war auch sehr witzig
nur im echten Leben ist das halt net so geil

[Wernieman]

Macht nix, Google weiß es im Zweifelsfall auch. Die Zeiten wo alles nur in kiloschweren Kommentaren zu den Gesetzbüchern vergraben war, sind glücklicherweise vorbei.

Nur würde ich mich auf Google NICHT verlassen (sondern ehe im Gegenteil).

Der Unterschied: Wenn ein Rechtsanwalt eine Auskunft gibt, ist es dafür haftbar, Google nicht ...

[aramis]

Einen Test von aussenerreichbaren Ports kann man schnell online erledigen:
https://www.heise.de/security/dienste/portscan/test/go.shtml

[Otto123]

Hallo,

Du hast sechs Einfallstore:

1. Fernzugang FritzBox (myFRITZ) -> komplett löschen und besser nicht mehr nutzen
2. VPN der FritzBox. -> Würde ich komplett löschen, auch den dafür genutzt Benutzer. Und, wenn notwendig neuen Benutze mit SEHR STARKEM Passwort anlegen.
3. WLAN -> Hier würde ich das Kennwort für die Anmeldung am WLAN komplett gegen ein STARKES ersetzen
4. Gäste WLAN -> Eher unwahrscheinlich, da ein eigene vLAN in der FritzBox
5. LAN -> irgendwie erreichbarer LAN-Port?
6. IoT -> Hast Du irgendwelche China IoT Gadgets, die zwar preiswert waren, aber wo Du nicht weist mit wem sie kommunizieren?

Grüße Jörg

Hi,
da fehlt doch mindestens Nummer 7!? Portfreigaben in der FB (hat ja nichts mit myFritz zu tun - ist völlig extra).

Deine Nummer 5 versteh ich als physikalischen Zugang.
Es kann ja auch der "Scriptkiddy Kumpel" vom Kind / Frau / Nanny  - oder der eigene Kumpel zum Männertag - gewesen sein

Gruß Otto