Ist HM/SmartHome noch sicher? Reportage PlusMinus

Wernieman · 16 Februar 2017, 13:19:11

Hoffen Wir ... Zum Glück war es kein Schalter der Aquarium im Namen hatte ... ;o)

Aber so sieht man, wie schnell es gehen kann. Jedenfalls bin ich nicht "der böse Hacker" ......

P.S. So etwas kann übrigens auch durch eine Suchmaschine entstehen, wenn der krawler einem Link folgt ....

@mahowi
Wir reden vom gleichen. Nur .. wie hast Du die Nummer rausbekommen? Dort steht nur die "angerufen Liste". Sonst hätte ich dort mal angerufen ...

topfi · 16 Februar 2017, 13:21:49

Jetzt hört mal auf, noch mehr Details zu posten. Ist doch schon so schlimm genug. Irgendjemand hat ihm auch einen Hinweis in die Konfiguration geschrieben.

Ich denke, dass Thorsten hier irgendwo mitliest, denn die FTUI ist beispielsweise ganz ordentlich gemacht.

@Beta-User: Um den Funk mitzulesen muss man aber in der Nähe sein. Sicher ist das auch keine Hexerei, aber doch weniger wahrscheinlich. Vor allem, wenn man selbst in der Nähe noch keine fremden HM-Geräte empfangen hat, sich also wahrscheinlich niemand mit Sachkenntnis und Equipment dauerhaft in der Nähe befindet.

mahowi · 16 Februar 2017, 13:30:39

Zitat von: Wernieman am 16 Februar 2017, 13:19:11
@mahowi
Wir reden vom gleichen. Nur .. wie hast Du die Nummer rausbekommen? Dort steht nur die "angerufen Liste". Sonst hätte ich dort mal angerufen ...

Im Callmonitor sind die vergebenen Rufnummer sowie die Vorwahl hinterlegt.

marvin78 · 16 Februar 2017, 13:53:05

Das ist der Grund, warum ich hier immer gegen Portfreigabe (ohne entsprechende Maßnahmen) wettere.

Im Grunde muss man aber nicht unbedingt Mitleid haben. Das Sicherheitsthema wird hier im Forum und auch im Wiki ausreichend gut behandelt.

Beta-User · 16 Februar 2017, 13:55:58

Zitat von: topfi am 16 Februar 2017, 13:21:49
@Beta-User: Um den Funk mitzulesen muss man aber in der Nähe sein. Sicher ist das auch keine Hexerei, aber doch weniger wahrscheinlich. Vor allem, wenn man selbst in der Nähe noch keine fremden HM-Geräte empfangen hat, sich also wahrscheinlich niemand mit Sachkenntnis und Equipment dauerhaft in der Nähe befindet.

Ist schon klar

. Ich hatte nur beim ersten Lesen des Titels erst mal gedacht, es ginge um die Sicherheit des Funkprotokolls und nicht um dieses allgemeine Thema mit der Zugänglichkeit aus dem Netz. Daher wollte ich den Punkt hier auch nochmal anbringen, denn vielen scheint auch das nicht klar zu sein

.

Vor einiger Zeit war irgendwo auch zu lesen, dass selbst komerzielle oder öffentlich-rechtliche Kraftwerksbetreiber ihre Anlagen offen im Netzt stehen haben (oder jedenfalls hinsichtlich der graphischen Darstellung des Anlagenzustands nicht richtig abgesichert). Da braucht man sich nicht wundern, wenn nicht jeder Private die Absicherung zum INet hinbekommt... Von daher ist eigentlich nur die allgemeine Überraschung überraschend

.

@marvin78: Lesen scheint eben nicht jedermanns Stärke zu sein, wir tun gut daran, das immer und immer wieder zu wiederholen...

Ma_Bo · 16 Februar 2017, 14:05:03

Oha, durch den Beitrag habe ich gerade ein wenig bammel bekommen.

Wie kann man denn am besten testen ob das EIGENE fhem sicher ist?

Grüße Marcel

Wernieman · 16 Februar 2017, 14:07:13

In dem man einen Freund bitte, von Seinem Anschluß aus zu gucken, was denn erreichbar ist ....

(Wenn Du mir traust, kannst Du mir gerne eine PM schreiben)

Ma_Bo · 16 Februar 2017, 14:09:06

Ich traue niemandem, manchmal sogar mir selbst nicht... [emoji6]

Gesendet von iPhone mit Tapatalk

Wernieman · 16 Februar 2017, 14:10:17

Aber Testen kann man nur "von draußen" ..... alternativ mit dem Latop ins nächste Internetcaffee ... und hoffen, das deren Firewall nicht Deine Probierversuche blockt und Dich in Sicherheit wiegt ...

rageltus · 16 Februar 2017, 14:38:53

Aber jetzt mal ganz ehrlich. Wenn ich einen Raspi bspw. mir mit FEHM hinstelle ist der erstmal gar nicht im freien WWW. Das bedeutet, dass ich explizit eine Internetfreigabe mache, damit FHEM von außen zugänglich ist. Oder halt auf einer Synology welche dann im WWW-Netz hängt. Dann ist doch klar, dass dies nicht sicher ist, wenn ich zumindest kein https oder .htaccess verwende. Warum nutzt man denn generell kein VPN egal ob es für eine owncloud/nextcloud, synology oder fhem instanz ist? Verstehe das nicht... bei der CCU2 ist das ja glaube ich was anderes. Die bieten ja cloud services an etc. keine Ahnung ob das im aktuellen Bericht der Knackpunkt war oder ob die Leute echt die CCU2 ins WWW hängen und dann glaube das es sicher ist.... das macht doch keiner... echt jetzt? Vor allem Unternehmen?? Dem ITler würde ich kündigen .... das ist alles schon grob fahrlässig...

topfi · 16 Februar 2017, 14:46:05

Ich kenne die CCU2 jetzt nicht, aber ein Passwort braucht man doch sicher auch für die, oder?

Wernieman · 16 Februar 2017, 14:52:35

@rageltus

Für Sicherheit wird kein Geld ausgegeben. Meistens sitzt der Dienstleister für die Hardware heute nicht mehr vor Ort, sondern prüft "per Web". Und da keine für Spezialisiertes Adminpersonal Geld ausgiebt, wird für den Dienstleister eben der Zugriff geöffnet. Da der Dienstleister auch keinen Spezialisiertes Admin (und es Ihm mehr Arbeit ohne mehr Geld aufbürgen würde), achtet keine Auf die ASicherheit. Erst wenn was passiert ....

Habe dieses schon persönlich im Beruf erlebt .... (zum Glück nicht als Betroffener)

gloob · 16 Februar 2017, 15:24:53

Ich muss sagen, dass ich es erschreckend finde wieviele Homematic Systeme es gibt, die offen sind und wo man ohne Probleme Türschlösser öffnen kann.
Teilweise frage ich mich jedoch auch, wieso wird im TV gezeigt wie es geht?

Da gibt es sogar "Bewässerungen". Nicht auszudenken wenn dort jemand im schlimmsten Fall eine Wohnung/Haus flutet.

marvin78 · 16 Februar 2017, 15:29:52

Warum soll es nicht im TV gezeigt werden? Das ist noch immer das Medium, das die größte Aufmerksamkeit erzeugt. Auch bei denen, die das Problem beseitigen müssen und das sind die Haushalte selbst. Die Sensibilisierung für das Thema ist gut nicht nicht schlecht. Die Frage ist immer, wie man sowas aufbaut. Wenn man den Eindruck erweckt, der Hersteller der Software ist Schuld oder gar "Smart Home" ist generell Mist, weil unsicher, dann ist das natürlich grob fahrlässig. Aber: Schaut mal, euer Smart Home ist unsicher, weil ihr was falsch macht, ist gut und richtig.

FranzB94 · 16 Februar 2017, 16:22:19

boah, der Text ist aber wohl auch übelst gehackt worden!

Zitat von: Wernieman am 16 Februar 2017, 14:52:35
Für Sicherheit wird kein Geld ausgegeben. Meistens sitzt der Dienstleister für die Hardware heute nicht mehr vor Ort, sondern prüft "per Web". Und da keine für Spezialisiertes Adminpersonal Geld ausgiebt, wird für den Dienstleister eben der Zugriff geöffnet. Da der Dienstleister auch keinen Spezialisiertes Admin (und es Ihm mehr Arbeit ohne mehr Geld aufbürgen würde), achtet keine Auf die ASicherheit. Erst wenn was passiert ....