FHEM Forum

Mir ist noch nicht so recht klar, was die Chinesen damit anfangen können, wenn ich eine Steckdose geschaltet habe. Was ist das Problem, wenn die Steckdose nach Hause telefoniert? Klar, ich möchte das grundsätzlich nicht, kann aber das große Problem dabei noch nicht erkennen. Offensichtlich macht sie das ziemlich häufig. Ich habe bei meiner Fritzbox das Netzteil abgeklemmt um einen neue IP zu bekommen. Nach kurzer Zeit konnte ich aus dem Mobilnetz die Steckdose schalten, dh die Steckdose muss die neue IP-Adresse sehr schnell bekanntgebenen haben. Eine meiner Analysen ergab, dass da ein IRC-Port offen ist.

Vielleicht kann mir wer Beispiele nennen, wo das sehr problematisch ist. Ich sehe das größere Problem dabei, dass am Server die ganzen Zeitschaltungen liegen, die haben aber nichts mit dem nach Hause telefonieren zu tun. Die Steckdose schaltet, wenn einmal programmiert, auch ohne Internet.

Hi,

ob der Chinese mitbekommt wann du ein/ausschaltest oder wo du wohnst (TPLink überträgt die Koordinaten) ist wohl egal. Aber weißt du wie sicher/gut die Server und die Firmware gegen Angriffe geschützt sind? 10000 Steckdosen sind sicher in Betrieb wenn nun ein schlaues Kerlchen rausfindet wie er über die in dein Netz kommt wird's spannend ;-)

Grüße
Achim

Grundsätzlich ist die China Steckdose nichts anderes als ein "mini" Computer. Ich mach ein simples Beispiel - würdest du einen Rechner von mir in deinem Netzwerk aufbauen? Ich habe nichts böses vor, was soll auch schon passieren wenn ich einen Rechner bei dir im Netzwerk habe? ;)

Das selbe gilt natürlich für Alexa und sonstige Hardware die keine "offene" Firmware hat.

Probleme:
1) Privatsphäre: irgendwo weiß jemand ob ich die Steckdose eingeschaltet habe und kann daraus schließen, dass ich gerade zuhause bin und sich mit der Zeit ein Profil über meine Lebensgewohnheiten machen. Wenn die Steckdose gehackt worden ist (siehe Nr.2) kann der Hacker/Einbrecher den besten Zeitpunkt für einen "Hausbesuch" bei Dir ermitteln

2) Sicherheit: die nach China telefonierende WLAN-Steckdose kann ein Einfallstor für Hacker sein, soviel sollte klar sein. Dein Heimnetz kann auspioniert werden, Malware auf Rechnern im Heimnetz installiert werden, deine WLAN-Steckdose sabotiert werden (ein/aus-schalten) - vielleicht hängt da nicht eine Lampe sondern eine Heizung , Aquriumpumpe oder ähnliches dran, wo die Auswirkungen bei unbeaufsichtiger De-/Aktivierung gravierend sein können.

3) Zuverlässigkeit: Du kannst die WLAN-Steckdose nicht schalten, wenn der Cloudserver in China ausgefallen ist. (Das ist mWn bei ungeflashten Sonoff-Geräten so).

Also du gibst deine Sicherheit und Privatsphäre in die Hände einer chinesischen Firma.

Hackt ein Hacker die, hat er dich.
Auch vertraut man auf die lokale Sicherheit... sprich kann ich den von vor der Tür aus hacken, weils scheisse programmiert ist.


Ja und was ist dann? Ja dann baut der dir einen Trojaner in dein Netzwerk. Oder er nutzt dein Anschluss um kinderpornos zu verbreiten oder Spam oder sonstigen dreck zu verbreiten. Oder er verschlüsselt deine Daten und erpresst dich oder oder oder

Es kommt in etwa dem Vergleich gleich.
,,Du legst deinen weit geöffneten und prall gefüllten Geldbeutel, auf ne bierbank im Oktoberfest und sagst .... was kann schon passieren

Hmmm, also m.E. liegt das größte Problem (danach war gefragt...) darin, dass der Fragesteller offensichtlich zu wenig Phantasie hat, um die vielen damit verbundenen Probleme jeweils einzeln bereits als hinreichend großes Problem zu erkennen, die einen dazu bewegen sollten, den Geräten das auszutreiben...

Aber an sich brauchen wir zu dem ganzen Themenkreis nicht gleich mehrere Threads, vgl. https://forum.fhem.de/index.php/topic,95013.0.html
https://forum.fhem.de/index.php/topic,95055.0.html

Weil's dazu passt:

https://amp.handelsblatt.com/unternehmen/it-medien/kongress-35c3-spione-im-haushalt-wie-hacker-das-smart-home-kapern/23812820.html (https://amp.handelsblatt.com/unternehmen/it-medien/kongress-35c3-spione-im-haushalt-wie-hacker-das-smart-home-kapern/23812820.html)

Ich glaube, ich brauche nicht zu betonen, dass mir die Sicherheit egal ist, sonst würde ich nicht in diesem Forum schreiben, aber ...

Zitatob der Chinese mitbekommt wann du ein/ausschaltest oder wo du wohnst (TPLink überträgt die Koordinaten) ist wohl egal

Beim Licht an- und ausschalten sehe ich das ähnlich, beim Standort schon weniger. Ich habe Smart Life beim Registrieren den Standort verboten, vermute aber, dass die trotzdem wissen, wo ich bin. Die MAC vom Router können sie ja auslesen. Ich frage mich aber, was passiert, wenn ich mich an einem anderen Ort registriere. Vgl. https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack Die Position soll angeblich nur bei der Registrierung übertragen werden.

ZitatAber weißt du wie sicher/gut die Server und die Firmware gegen Angriffe geschützt sind?

Ich gehe davon aus, dass meine Daten mehr oder weniger öffentlich sind. Das ist auch ein systembedingtes Problem von IoT.

Zitatwürdest du einen Rechner von mir in deinem Netzwerk aufbauen?

Ein Rechner hat eine ganz andere Power als ein IoT-Device, zumindest zur Zeit und die Frage ist dann auch in welchem meiner Netzwerke.

ZitatPrivatsphäre: irgendwo weiß jemand ob ich die Steckdose eingeschaltet habe und kann daraus schließen, dass ich gerade zuhause bin und sich mit der Zeit ein Profil über meine Lebensgewohnheiten machen.

Das ist unlogisch. Ich mache genau das Gegenteil damit, ich simuliere Anwesenheit, obwohl ich eventuell nicht da bin. Alexa & Co kommen mir nicht ins Haus, aber die simulierte Lichtsteuerung, die sich regelmäßig ändert kann man mit IoT am besten organisieren.

ZitatDein Heimnetz kann auspioniert werden, Malware auf Rechnern im Heimnetz installiert werden

Ich denke es wird immer davon ausgegangen, dass man nur 1 Heimnetz hat, ich habe mindestens 3. Mir ist bewusst, dass mein SSID-PW auslesbar ist, das musst du dann aber bei mir im Garten machen. Mein IoT-Router hängt an einem openwrt-Router hinter der Fritzbox und der IoT-Router ist im Gastnetz, Das ist eine Hürde mehr Wenn du im IoT-Netz bist, wirst du keinen PC finden und ja im schlimmsten Fall kannst du dann das Licht an verschiedenen Stellen aus- und einschalten, die Waschmaschine wirst du nicht starten können, denn die muss man an der Maschine selber dafür freischalten und das gilt max. 24h.

ZitatZuverlässigkeit: Du kannst die WLAN-Steckdose nicht schalten, wenn der Cloudserver in China ausgefallen ist.

Da bin ich mir noch nicht sicher, denn es sieht so aus, dass die Teckin-Steckdosen, auch ohne Internetverbindung schalten, aber ich habe da noch einige Ungereimtheiten beim Routing.

ZitatHackt ein Hacker die, hat er dich.

Na ja, alles eine Frage des Aufwandes, das IoT-Netz dürfte lokal leicht zu hacken sein, aber so weit reicht mein WLAN nicht, da muss er schon sehr nahe ans Haus, ich habe im Haus teilweise Empfangsprobleme. Von der Ferne müssten 2 Router gehackt werden, sicher machbar, aber ob sich der Aufwand lohnt?

ZitatJa und was ist dann? Ja dann baut der dir einen Trojaner in dein Netzwerk. Oder er nutzt dein Anschluss um kinderpornos zu verbreiten oder Spam oder sonstigen dreck zu verbreiten. Oder er verschlüsselt deine Daten und erpresst dich oder oder oder

Da wird es dann schon sehr kriminell, meine Frage ging eigentlich in die Richtung, was die Chinesen damit anfangen können, wenn ich ihnen gezwungerer Massen das erlaube, was die App verlangt. Es geht mir also um das Geschäftsmodell, das dahinter steckt, wenn die wissen, wann eine Stromdose aktiv ist und verbraucht oder nicht bzw. wie die programmierten Schaltzeiten ausschauen. Man kann eben nicht davon ausgehen, wenn morgens das Licht angeht, das ich dann aufstehe.

Zitatmmm, also m.E. liegt das größte Problem (danach war gefragt...) darin, dass der Fragesteller offensichtlich zu wenig Phantasie hat,

Einverstanden, aber ich glaube, dass da immer Annahmen getroffen werden, die nicht automatisch stimmen, zB 1 Netz,

Ich schalge daher vor, dass man hier oder auch irgendwo anders eine Liste erstellt, wie man sein Heimnetz vom Konzept bestmöglich absichert. Keine Frage, ein lokaler Server wie FHEM ist sicher anzustreben, aber so einfach ist das nicht. Ich bin noch dabei herauszufinden, wie ich meine Steckdosen via WLAN flashen könnte ohne dabei Informatik zu studieren. Wie das im VIdeo https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack aufgezeigt wird, ist nicht so einfach. Da braucht es Wissen und Können.

Ich schlage also folgendes vor:

eigenes Netz für IoT
welche Firewallregeln dafür?
Geschwindigkeitseinschränkung der Datenübertragung, wie realisiert man das am besten? Ich nehme jetzt mal an, dass der Router nicht gehackt wurde, sondern nur das IoT-Gerät.

ZitatAber an sich brauchen wir zu dem ganzen Themenkreis nicht gleich mehrere Threads,

Ich habe auf die angesprochenen Bereiche geantwortet. Mein Hintergrund war aber nicht so sehr in Richtung Kriminalität, sondern wie ein App-Anbieter mit den gezwungenermaßen freiwillig hergegebenen Daten Geld machen kann. Darauf gab es im VIdeo auch keine Antwort, sondern es wurde nur vermutet, dass da mehr dahinter steckt.

Zitat von: linuxuser am 30 Dezember 2018, 19:13:19
Ein Rechner hat eine ganz andere Power als ein IoT-Device, zumindest zur Zeit und die Frage ist dann auch in welchem meiner Netzwerke.

Nun ja, vor 10 Jahren war mein Büro PC in etwa mit genauso wenig Power ausgestattet. Mit sinnvoller Vernetzung reicht es allerdings für viele geschäftsträchtige Aktion: DDos, mining, streamen usw. Nur weil die Ginger klein sind und wir nur noch die Rechenleistung unserer Gaming PCs im Kopf haben, heißt das noch lange nicht, dass es nicht doch eben potente kleine PCs sind. Und, hinzu kommt noch, dass die automatischen Updatemöglichkeiten auch hier der Fantasie einen weiten Spielraum lassen. Auf Grund des Nutzungsverhaltens baue ich ein Muster auf. In ungenutzten Zeiten spiele ich eine Firmware auf, die meinen Zwecken dient, um sie dann wieder zu ersetzen, wenn das Nutzungsmuster es verlangt.

Zitat von: linuxuser am 30 Dezember 2018, 19:13:19
Ich habe auf die angesprochenen Bereiche geantwortet. Mein Hintergrund war aber nicht so sehr in Richtung Kriminalität, sondern wie ein App-Anbieter mit den gezwungenermaßen freiwillig hergegebenen Daten Geld machen kann. Darauf gab es im VIdeo auch keine Antwort, sondern es wurde nur vermutet, dass da mehr dahinter steckt.

Das ist genau der Punkt. Es werden zunächst ganz viele Daten gesammelt und dann werden Querdenker und KIs daran gesetzt Muster zu erkennen, die sich zu Geld machen lassen. Ich habe beruflich mit solchen Querdenkern zu tun und bin immer wieder erstaunt, was diesen Kreativen einfällt, wenn man ihnen viele Daten gibt. Du alleine wirst nicht primär das Ziel sein, aber viele, bei denen sich bestimmte Verhaltensmuster oder Eigenschaften häufen können, können schon interessant werden. Die menschliche Kreativität zu Geld zu kommen kennt keine Grenzen...

Grüße Jörg

Zitat von: linuxuser am 30 Dezember 2018, 19:13:19
Ich glaube, ich brauche nicht zu betonen, dass mir die Sicherheit egal ist, sonst würde ich nicht in diesem Forum schreiben, aber ...

Fehlt da ein nicht?

Zitat von: linuxuser am 30 Dezember 2018, 19:13:19
Ich gehe davon aus, dass meine Daten mehr oder weniger öffentlich sind. Das ist auch ein systembedingtes Problem von IoT.

Inwiefern ist das eine systembedingte Eigenschaft von IoT? Ist es nicht vielmehr so, dass die Sicherheit von den Herstellern (und den Usern) fahrlässig ignoriert wird? Wir haben doch alles was wir brauchen um sichere Komponenten zu schaffen, aber so richtig nutzen möchten das die wenigsten. Oder können. Man müsste die Passwörter auf den ranzigen China-Dingern nicht unverschlüsselt liegen haben und die müssten auch keinen CnC-Server in China kontaktieren müssen um geschaltet werden zu können. Man könnte nämlich durchaus bei so einem Gerät auch eine private Cloud-Instanz haben, die für die Fernsteuerung sorgt und das könnte auch der Hersteller bieten ohne zu wissen was ein User tut, aber das geht halt nicht zum Preis von unter 9€.

ZitatEin Rechner hat eine ganz andere Power als ein IoT-Device, zumindest zur Zeit und die Frage ist dann auch in welchem meiner Netzwerke.

Du schaust - wie viele - nur auf dein Setup und verallgemeinerst das auf die große weite Welt. Das ist schon das, was ich im Nachbarthread geschrieben habe: Die meisten Leute sind glücklich wenn sie per App ihre Steckdose zu Hause anschalten können. Von VLAN, Firewall und Co. haben die noch nichts gehört - und sie werden auch vermutlich nur mit Gewalt etwas darüber hören wollen. Und seien wir doch mal ehrlich: Viele der Leute die glauben, sie hätten Ahnung, haben keine. Und die sind noch gefährlicher.

(Man schimpft ja gerne über die Aussagen von Angela Merkel, insbesondere machen sich viele über ihre Neuland-Rede von 2013 lustig. Sie hatte da aber durchaus einen Punkt, den man nicht vergessen darf: Für das Gros der Leute ist das alles Neuland. Auch 2018 noch.)

ZitatDas ist unlogisch. Ich mache genau das Gegenteil damit, ich simuliere Anwesenheit, obwohl ich eventuell nicht da bin. Alexa & Co kommen mir nicht ins Haus, aber die simulierte Lichtsteuerung, die sich regelmäßig ändert kann man mit IoT am besten organisieren.

Das ist nicht unlogisch, sondern beides wahr. Der Chinamann mit dem Wohnzimmerserver weiß etwas über dich und du simulierst Anwesenheit. Das funktioniert, weil der Chinamann weit weg ist und dem Halunken nicht sagen kann, dass deine drei Lichter automatisiert gesteuert werden. Ich überlasse es deiner Phantasie dir vorzustellen was passiert, wenn das nicht mehr so ist, aber deine Situation ist dann schlechter als wenn du gar nichts automatisiert hättest.

ZitatIch denke es wird immer davon ausgegangen, dass man nur 1 Heimnetz hat, ich habe mindestens 3. Mir ist bewusst, dass mein SSID-PW auslesbar ist, das musst du dann aber bei mir im Garten machen. Mein IoT-Router hängt an einem openwrt-Router hinter der Fritzbox und der IoT-Router ist im Gastnetz, Das ist eine Hürde mehr Wenn du im IoT-Netz bist, wirst du keinen PC finden und ja im schlimmsten Fall kannst du dann das Licht an verschiedenen Stellen aus- und einschalten, die Waschmaschine wirst du nicht starten können, denn die muss man an der Maschine selber dafür freischalten und das gilt max. 24h.

Du bist bzw. dein Setup ist nicht repräsentativ. Repräsentativ ist ungefähr das: Herr M. bekommt mit Abschluss seines neuen "Internetvertrages" eine Werbung von der ehem. Bundespost, in der die tollen neuen Möglichkeiten dieses Internets präsentiert werden, u.a. auch die Möglichkeit seine Steckdosen vom Händi aus zu schalten. Da er neugierig ist, kauft er die subventionierten China-Dinger, bekommt das leidlich alles installiert und dann zeigt er beim nächsten Treffen mit Kollegen dass er nun auch dieses Schmart Home zu Hause hat und er jetzt just in diesem Moment zu Hause die Stehlampe an- und ausschalten kann. Muss man sich mal vorstellen! Nächster Punkt auf der Tagesordnung: Fußball, TV oder was so mit dem Meier los ist, der säuft ja inzwischen ungeniert und stellt der Sekretärin vom Chef nach.

ZitatNa ja, alles eine Frage des Aufwandes, das IoT-Netz dürfte lokal leicht zu hacken sein, aber so weit reicht mein WLAN nicht, da muss er schon sehr nahe ans Haus, ich habe im Haus teilweise Empfangsprobleme. Von der Ferne müssten 2 Router gehackt werden, sicher machbar, aber ob sich der Aufwand lohnt?

Wenn ich das Video richtig rekapituliere, reicht es wenn jemand die vielleicht schlecht konfigurierten Server beim Chinamann aufmacht damit er Zugang bekommt. Oder halt ein Gerät aus dem Garten mopst.

ZitatDa wird es dann schon sehr kriminell, meine Frage ging eigentlich in die Richtung, was die Chinesen damit anfangen können, wenn ich ihnen gezwungerer Massen das erlaube, was die App verlangt. Es geht mir also um das Geschäftsmodell, das dahinter steckt, wenn die wissen, wann eine Stromdose aktiv ist und verbraucht oder nicht bzw. wie die programmierten Schaltzeiten ausschauen. Man kann eben nicht davon ausgehen, wenn morgens das Licht angeht, das ich dann aufstehe.

Alleine die Information dass du sowas benutzt ist doch schon Gold wert. Damit hat man schon viel über dich erfahren: Du bist vermutlich männlich, in einer bestimmten Altersgruppe, hast vermutlich ein techn. Interesse, man weiß welches Smartphone du nutzt (und kann damit so ein bisschen aufs Einkommen schließen), man weiß wo du wohnst (Geoscoring ist nichts neues). Dazu hat man ggf. deinen Namen und eine E-Mail-Adresse. Das ist für Marketingleute schon richtig richtig viel. btdt.

ZitatEinverstanden, aber ich glaube, dass da immer Annahmen getroffen werden, die nicht automatisch stimmen, zB 1 Netz,

Ich finde deine Annahmen deutlich unrealistischer.

ZitatIch schalge daher vor, dass man hier oder auch irgendwo anders eine Liste erstellt, wie man sein Heimnetz vom Konzept bestmöglich absichert. Keine Frage, ein lokaler Server wie FHEM ist sicher anzustreben, aber so einfach ist das nicht. Ich bin noch dabei herauszufinden, wie ich meine Steckdosen via WLAN flashen könnte ohne dabei Informatik zu studieren. Wie das im VIdeo https://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack aufgezeigt wird, ist nicht so einfach. Da braucht es Wissen und Können.

Meine erste Frage wäre: Warum zum Geier benutzt du solche Geräte, wenn du deine Steckdosen nicht geflasht bekommst und gleichzeitig weißt, dass das suboptimal ist (sonst hättest du ja kein IoT-Wifi und Trennung)?

ZitatIch schlage also folgendes vor:

eigenes Netz für IoT
welche Firewallregeln dafür?
Geschwindigkeitseinschränkung der Datenübertragung, wie realisiert man das am besten? Ich nehme jetzt mal an, dass der Router nicht gehackt wurde, sondern nur das IoT-Gerät.

Für den Durchschnittsanwender alles zu kompliziert und für den Laien mit Ambition/Fachmann die falsche Lösung. Eigene Firmware + eigenes VPN / eigener Control-Server wäre die bessere Lösung. Dafür gibt's ja FHEM und die anderen Systeme. Wir könnten maximal Hilfe dabei bieten, die Dinger zu flashen, aber seien wir ehrlich: Die meisten machen doch schon in der eigenen Familie ungerne support und da wird sich kaum jemand finden, der zu Leuten nach Hause geht, die Dinger flasht und VPNs aufbaut.

Mein Vorschlag, ganz britisch, wäre: Akzeptieren wir, dass viele Leute da draußen verloren sind und sorgen wir dafür, dass die Auswirkungen davon nicht all zu schlimm werden. D.h. betreiben wir selbst bitte solche Setups nicht, bieten wir hier Hilfe für die Suchenden und Wollenden und verharmlosen wir auch nicht, dass es ein Problem mit diesen Gerätschaften gibt.

ZitatIch habe auf die angesprochenen Bereiche geantwortet. Mein Hintergrund war aber nicht so sehr in Richtung Kriminalität, sondern wie ein App-Anbieter mit den gezwungenermaßen freiwillig hergegebenen Daten Geld machen kann. Darauf gab es im VIdeo auch keine Antwort, sondern es wurde nur vermutet, dass da mehr dahinter steckt.

Ich für meinen Teil finde auch das kriminell. Keiner der Anbieter informiert transparent vor dem Kauf, wo die Gefahren seiner Geräte lauern und häufig ist auch niemand zu belangen, wenn es schief geht.

ZitatFehlt da ein nicht?

Ja, kurz: Sicherheit ist mir wichtig und ich versuche das bestmöglich umzusetzen, aber dazu muss man in der Regel dazu lernen.

ZitatInwiefern ist das eine systembedingte Eigenschaft von IoT?

Das ist die Aussage im Video und die Realität, klar, dass es auch anders sein könnte. Die Masse wird sich nicht mit FHEM, etc. auseinandersetzen, Steckdosen flashen, etc.

ZitatDas funktioniert, weil der Chinamann weit weg ist und dem Halunken nicht sagen kann, dass deine drei Lichter automatisiert gesteuert werden. Ich überlasse es deiner Phantasie dir vorzustellen was passiert, wenn das nicht mehr so ist, aber deine Situation ist dann schlechter als wenn du gar nichts automatisiert hättest.

Die letzten Tage hat die Polizei hier Groißeinsatz, jeden Tag mehrere Eibrüche, die jagen die schon mit Hubschraubern, schnappen aber nur wenige. Ich sehe zur Zeit die Chance gering, dass jemand hier IoT hackt, aber ein Einbrecher kann von außen schwer sagen, ob das Licht automatisiert ist oder nicht, vor allem wenn man das intelligent programmiert, zB Wege im Haus programmiert, etc. Ich bin da aber erst am Überlegen.

ZitatAlleine die Information dass du sowas benutzt ist doch schon Gold wert. Damit hat man schon viel über dich erfahren: Du bist vermutlich männlich, in einer bestimmten Altersgruppe, hast vermutlich ein techn. Interesse, man weiß welches Smartphone du nutzt (und kann damit so ein bisschen aufs Einkommen schließen), man weiß wo du wohnst (Geoscoring ist nichts neues). Dazu hat man ggf. deinen Namen und eine E-Mail-Adresse. Das ist für Marketingleute schon richtig richtig viel. btdt.

Am meisten hat mich geschreckt, dass die auch die Telefonnummer abgreifen. Da ist die Frage wie geschickt die das machen. Meine Telnr ist nach SiM-Kartenwechsel eine andere als die ausgegebene, aber in Zukunft verwende ich dafür mein Handy mit kaputtem SIM-Reader, wollte es schon fast wegwerfen.

ZitatIch finde deine Annahmen deutlich unrealistischer.

Auf die Masse bezogen hast du sicher recht, ich frage mich zB warum sich verschlüsselte Mails nicht durchgesetzt haben. Bei mir auch nicht ;-) Aber alle jammern, wenn irgendwelche problematischen Mails veröffentlicht werden.

Zitat
Für den Durchschnittsanwender alles zu kompliziert und für den Laien mit Ambition/Fachmann die falsche Lösung. Eigene Firmware + eigenes VPN / eigener Control-Server wäre die bessere Lösung.

Ich gebe dir vollkommen recht, aber der Weg zur eigenen Firmware am Stecker ist nicht so einfach. Mit Löten habe ich sehr wenig Erfahrung und bei kleinen Lötpunkten braucht es ein handwerkliches Geschick, das fehlt mir. Ich recherchiere noch immer, wie man das einfach über die "man-in-the-middle"-Methode macht. Manchmal scheinen so Hakcs unter Windows leichter zu sein als unter Linux. Wenn ich was unter Windows machen muss, dann dauert das meist sehr lange, da die Nutzung eines Widows-PCs immer großer Aufwand ist und dann nach davor tagelang die Windows-Updates laufen und in der Regel irgendwas hängen bleibt.

Ich arbeite also am Idealzustand und zur Zeit beschäftigt mich die DNS-Abfrage umzuleiten. Das muss ja alles mit Teilen passieren, die nicht im "Hauptnetz" liegen und ich muss mir dazu was einfallen lassen ohne nicht gleich die Router zu verkonfigurieren.

ZitatMeine erste Frage wäre: Warum zum Geier benutzt du solche Geräte, wenn du deine Steckdosen nicht geflasht bekommst und gleichzeitig weißt, dass das suboptimal ist (sonst hättest du ja kein IoT-Wifi und Trennung)?

Weil das die Nachbarn auch machen um Einbrecher abzuschrecken und bei mir wäre es dann dunkel.

ZitatIch für meinen Teil finde auch das kriminell. Keiner der Anbieter informiert transparent vor dem Kauf, wo die Gefahren seiner Geräte lauern und häufig ist auch niemand zu belangen, wenn es schief geht.

Ich denke das wird immer schlimmer werden. Man kann kein Smartphone nutzen, ohne, dass man ausspioniert wird und ohne, dass man dazu stimmt. Ich habe mich gegen IoT lange gewehrt, aber für bestimmte Dinge ist es für mich zur Zeit das geringere Übel. Einige Zeit dürfen die auch wissen wann, womit und wieviel ich wasche, aber daran arbeite ich auch.

Btw, gerade geht der CCC Kongress in Leipzig zu Ende.
Bei manchen der spannenden Vorträge bekommt man Sachen vorgeführt an die ich bisher kaum geglaubt habe. Z, b. Trojaner über Faxgeräte zu verbreiten etc.
Wir brauchen einfach ein größeres  Bewusstsein für die IT Sicherheit.

Ok, fangen wir einfach mal ganz von vorne an!

Wir haben ein Bildungsniveau erreicht, wo die Mehrheiit nicht mehr weiß was sie tut, wenn sie es tut. Wir benutzen nur noch, aber verstehen es nich mehr!

Eine solche Situation nutzen alle möglichen Versteher zu ihrem Vorteil aus. Seien es Geheimdienste, Kriminielle, oder einfach nur Neugierige, die gerne in des Nachbarn Schalfzimmer schauen.

Vor 20zig Jahren wären die Menschen für mehr Transparenz und Bildung auf die Straße gegangen. Heute gibt es nicht mal mehr ein Axelzucken.

In unserem Unternehmen reißen wir uns den Arsch auf unsere IKT zu schützen, damit die Human Firewall nicht überfordert wird. Viele kümmern sich um Sicherheit. Dass ist im privaten Umfeld kaum mehr möglich.

Wir haben de Fakto aufgegeben. Und das alles, weil es Unausweichbar scheint. Hurra Digitalisierung! (Wobei ich nicht gegen Digitalisierung bin.)

Heißt, wir müssen uns auf den Weg machen und unsere Unversehrtheit einfordern. Digitalisierung ja, aber nicht um diesen Preis. Denn das würde bedeuten, die Mehrheit macht sich auf den Weg in das Digitalproletariat - ja, das ist sehr populistisch, entspricht aber der Wahrheit - und liefert sich den Digitals aus.

Huxleys schöne neue Welt!

Und, wenn ich mir überlege, was ich alles tun muss um mich und meine Familie zu schützen! Und keiner meiner Kinder ist auch nur im Ansatz in der Lage das zu verstehen! Nun gut. Ein Arzt und eine Maschinenbauer als Nachfolger sind nicht schlecht. Aber auch nicht wirklich gewappnet für die Digitalisierung.

Wer also soll die nächste Generation schützen? Dass können doch nur noch die, die verstehen. Also müssen wir uns jetzt darum kümmern. Und hier bin ich beim CCC. Aufmerksamkeit schaffen und hoffen, dass viele sich angesprochen fühlen.

PS: Und keiner weiß, was die ICs nicht schon alles im Bauch haben. Wir haben im Rahmen Smart Meter Gateways ein Reengeniering der Chips versucht. Keine Chance... Und wer versucht schon alle Libraries zu analysieren und zu verstehen...

Und ja, für den Einzelnen muss das alles nicht direkt unmittelbare Gefahr bedeuten. Gilt das aber auch für unsere Gesellschaft? Und bitte, das Argument: Ich kann ja nicht alles verstehen... Ja das gilt. Heißt aber nicht, dass ich mich allem fügen muss.

Ich gebe hier jedenfalls nicht auf. Und werde mich auch den nachlässigen Argumenten, wie: Mich betrifft das ja nicht, nicht beugen. Die Aufgabe ist da. Sie muss nur angenommen und bearbeitet werden. Auf geht's.

Soviel zum Jahreswechsel.

Grüße Jörg

Ich kann das gut nachvollziehen. Ich komme mir auch blöd vor, was ich alles mache und dafür Zeit brauche um alles mit meinem Wissen sicher zu machen. Darüber würden wahre Sicherheitsexperten wohl lächeln, aber es ist sicher weit über dem Durchschnitt. Es fängt bei meinen Warnungen bzgl. Backups an. Mittlerweile kostet es mich einen großen Lachanfall, wenn Fotos auf einer Speicherkarte verloren werden und ich vorher mehrmals gewarnt habe. In der Familie ist es ein wenig besser als der Durchschnitt, aber auch nicht viel mehr. Die Leute lernen nur, wenn es weh tut, am besten sehr. Ich fürchte das ist die Generation von heute. Problem dabei ist, dass man vieles gar nicht merkt. Für mich habe ich gelernt, dass man manchmal Risiko abwägen und was riskieren muss. Wenn man gezielt angegriffen wird, dann hat man von Profis als "User" kaum eine Chance, aber da denke ich mir, wozu sollte das jemand beim Durchschnittsuser machen. Was hat ein Profi davon? Die Scriptkiddies ziehen schnell weiter, wenn der PC halbwegs abgesichert ist, es gibt genug mit weit offenen Scheunentüren.

Jo Wiemann,

Zitat
Vor 20zig Jahren wären die Menschen für mehr Transparenz und Bildung auf die Straße gegangen. Heute gibt es nicht mal mehr ein Axelzucken.

Wir haben de Fakto aufgegeben. Und das alles, weil es Unausweichbar scheint. Hurra Digitalisierung! (Wobei ich nicht gegen Digitalisierung bin.)

Nö. Ich gehe auf die Straße, und werde nie aufgeben. Schau Dir mal das Video zur digitalen Souveränität an, https://zkm.de/de/person/peter-a-henning

LG

pah

Hallo,

das Thema sollte man nicht isoliert betrachten.

Wie viele Leute geben sich Mühe, um ihr Haus im Urlaub bewohnt aussehen zu lassen und posten direkt am ersten Urlaubstag ihre ersten Bilder auf Facebook, Instagram oder WhatsApp? Am besten noch mit Text, wie lange man noch weg ist?

Wie viele IoT Apps nutzen Facebook Libraries?

Wie viele Handys haben Facebook Apps vorinstalliert bzw. sogar im Systemimage verankert? Und wie viele Anwender trauen sich, diese zu deaktivieren, wenn eine Warnung angezeigt wird, dass das Handy anschließend evtl. nicht mehr funktioniert?

Die Verknüpfung von IoT Daten mit einem Datenbestand wie Facebook kann richtig unangenehm werden. Vermutlich kommt hier die Telefonnummer ins Spiel, siehe auch die Verknüpfung von WhatsApp Daten mit Facebook.

Gerade Facebook ist ja überall dabei, wo man mit Daten Geld verdienen kann, mich würde es nicht wundern, wenn auch kriminelle Banden unter den Kunden waren oder noch sind.

Natürlich kann man Facebook auch durch andere Big Data Unternehmen austauschen, aber die sind halt am Skrupellosesten.

Gruß, Jochen

Zitat von: Prof. Dr. Peter Henning am 31 Dezember 2018, 06:51:20
Jo Wiemann,Nö. Ich gehe auf die Straße, und werde nie aufgeben. Schau Dir mal das Video zur digitalen Souveränität an, https://zkm.de/de/person/peter-a-henning

LG

pah

Hallo pah,
Du bist 1958 und ich 1959. Irgendwann werden wir aussterben...

Hmm what could possibly wrong ????  ;D

Wer sagt dir das der Chinamann nicht auch gehackt wurde und die neue Firmware jetzt tausende von anfragen ins Netz sendet ?
Klar kann den Kontakt nach aussen blocken etc. aber du musst davon ausgehen das die meisten das garnicht wissen bzw. nicht versiert genug sind das einzustellen ;)

Der Telekom Router hack hat ja gut gezeigt wie weitläufig die folgen sein können.
Du hast einen Router und wieviel Wlan Schalter die nach aussen quatschen dürfen ?  :-\
Es muss ja nicht der Chinamann sein für den interessant ist wann du zuhause bist sonder eventuell für andere Leute .....

Bei der Sonoff App musste man ja auch das Wlan Passwort angeben......wo es überall landet weißt du nicht !
Wenn es auf den Ihrer Datenbank gespeichert wird eventuell in Klartext und die Datenbank nach aussen gelangt.......

Also Argumente gibt es eigentlich genug um diese Daten nicht unbedingt in fremde Hände zu geben.

Kleiner offline tipp :
Lese oder höre dir mal Qualitiland an. Vollkommene Fiktion ?
Anschließend schaust du dir mal das hier an https://www.youtube.com/watch?v=lbN6R6MubSI
und du wirst merken warum es nicht immer eine gute Idee ist seine Daten so weit zu streuen.

Wenn du dir den Beitrag vom 35C3 anschaust bekommst du alle fragen beantwortet

https://www.youtube.com/watch?v=urnNfS6tWAY

Ich unterstelle dem Chinamann dieselbe Absicht wie z.B. Google.

Durch ein kostenloses (Google Suchmaschine) oder preislich attraktives (chinesische Gadgets) Angebot möglichst viele Nutzer zu binden, die mir Daten liefern, die ich später zu gegebener Zeit vergolden kann.

Ich nutze mittlerweile z.B. sehr viele Xiaomi Devices. Vom Staubsauger bis zum Temperaturfühler.
Xiaomi hat kein Interesse an der Temperatur in meinem Wohnzimmer.
Xiaomi hat Interesse, mein komplettes Haus mit hunderten von Devices zu infiltrieren um zu gegebener Zeit davon zu profitieren.

Ob Xiaomi mir dann zielgerichtete Werbung schickt oder mein ganzes Haus auf Knopfdruck lahmlegt, ist heute noch nicht wichtig oder entscheidend.

Entscheidend ist, wer den Wettlauf gewinnt, möglichst viele Haushalte mit seinen Komponenten zu bestücken.

Das Ziel ist übergeordnet und langfristig zu betrachten.

Hi,

interessante Diskussion hier.

Ein ehernes Prinzip wird in diesem Kontext wohl unveraenderlich bleiben:

"Den neuen Komfort solcher IT-Gadgets und Apps nimmt man gerne an. Über damit einhergehende Sicherheitsaspekte macht man sich erst eine ganze Weile spaeter Gedanken - wenn überhaupt."

Leute wie hier im Forum haben schon etwas mehr Hirn in der Birne um die Problemgemengelage zu überblicken, und denken schon mal ein paar Takte drueber nach. Zumindest mir fällt das inzwischen immer schwerer.

Was aber macht ein Otto-Normalverbraucher?

LG, Goggo

(Sinclair Veteran ;-)

ZitatMave : Ich unterstelle dem Chinamann dieselbe Absicht wie z.B. Google.

Google Speichert dein Wlan Passwort im Klartext ? Die Steckdosen schon inklusive deiner GPS Koordinaten ......Praktisch um zu wissen wo man hin muss wenn man Blödsinn machen möchte ;)

Im dem genannten Beitrag vom 35C3 wird sehr schön beschrieben was falsch läuft und was was damit alles für ein Blödsinn möglich ist !
Wer da noch sagen kann das ist mir egal hat nicht verstanden auf was er da sitzt  ;)

Xiaomi Devices werden bestimmt nicht besser Konfiguriert sein im Original zustand. Der FTP Server auf dem Saugrobotern spricht ja nun eigentlich bände

Hallo,
die Cloud hat sicher Vorteile, aber für mich überwiegen die Nachteile. Das ist der Grund, warum ich FHEM verwendet, ich bin nicht auf einen anderen Server angewiesen. D.h. Sicherheit und Wartung liegt in meiner Hand. Egal ob hier Schindluder mit meinen Daten getrieben wird oder nicht. Wenn nun Daten in das WWW laufen, dann sicher erstmal nur um die Steuerung zu machen. Wenn das aber nicht funktioniert, dann geht hald nix mehr. Siehe z.B. Homematic hi und da. Evtl. stellen die ja auch um auf ein Geldmodell zur Steuerung?

Es muß also nicht der große Datenskandal sein, der für FHEM spricht. Wenn man wissen will, was rausgeht, dann ist Wireshark dein Freund.

Grüße Peter