Sicherheitslücke: Hintertür im Smart Home von Loxone

Ja, wurde doch hier auch schon diskutiert, dass der DNSClouddienst unsicher weil "vorhersehrbar" ist. Soweit ich mich erinnere konnte man den nicht einmal abstellen in der LoxoneConfig?

Der Thread ist schon einige Wochen/Monate her. Loxone hätte längst reagieren können. Tun sie ja aber grundsätzlich nicht, wenn Kunden (wir) etwas sagen. Da muss dann erst ein "Skandal" durch die c't her, bevor sie reagieren.

Selbst Schuld.

Ich habe es jetzt noch nicht gestestet, doch man nutzt den Dienst, oder man nutzt ihn nicht. Um ihn zu nutzen muss man schließlich die entsprechenden URL's in der Config eintragen. Nutzt man seine Eigenen, wird auch der CloudDNS nicht mehr genutzt.

Gruß Sven

Ich lach mich tot ist doch kein Skandal zu erkennen nur dumme Reporter der aus der Verunsicherung heraus Profit schlägt.
Die Sicherheit hängt ganz und gar von einem selbst ab bzw. vom Installateur .


Gesendet von iPhone mit Tapatalk

Weil es der User aber eben nicht hinbekommt und auch der "Profi" oftmals überfordert ist, werden WLAN Router heute verpflichtend mit konfigurierter Sicherheit ausgeliefert. Warum darf/kann sich Loxone da rauswinden? Es sollte doch auch in deren Interesse sein nachdem auch von Seiten Loxone immer wieder von Sicherheit gesprochen wird.
Letztlich und da gebe ich ja vollkommen Recht, ist die Sicherheit die Aufgabe des Betreibers.

Gruß Sven

Ist nicht zu vergleichen das eine ist für Endbenutzer das andere für sogenannte Fachleute .
Das der eine Fachmann manchmal nur die Verdrahtung max hinbekommt und sich mit EDV nicht auskennt ist auch ein Sicherheitsproblem .
Deswegen gibt es ja mittlerweile Fachleute alla Systemintegratoren spezialisiert darauf .


Gesendet von iPhone mit Tapatalk

So kann man sich immer rausreden: Dürfen halt nur Fachleute ran.

Jeder Popel-Router kommt heute mit mehr Sicherheit auf den Markt. Zudem ist der CloudDNS per Default eingetragen - und eben nicht "wenn der User es explizit aktiviert".

Escwird regelmässig in allen Medien berichtet, dass wwlche Passwörter sicher sind und welche oft verwendet werden. Wenn User (egal wie technisch versiert) Standartpasswörter verwendet hat er es verdient gehackt zu werden..
Ich bin froh, den MS am anfang über ein Standart Passwort Inbetrieb zu nehmen und es später nach übergabe an Kunde (Mit Kunde zusammen) zu ändern..

Leute die alles selbermachen wollen und das Know How eines Profis nicht bezahlen wollen haben es nicht anders verdient! Für das sind Profis ja da..


Gesendet von iPhone mit Tapatalk

Dann lösche doch einfach deinen Miniserver auf der Loxone Seite unter meine Produkte raus die Cloud DNS war so wie ich weis damit gekoppelt weil wenn ich diesen nicht registriere funktioniert die ganzen Miniserver nicht extern weil der CloudDNS nicht Aktiv ist.

Ich weiß schon, warum mein MS weder aus dem Inet erreichbar ist, noch ein Standardkennwort hat.
Ich muss gestehen, ich kann die Argumentation von Loxone schon nachvollziehen. Wer sowas privat betreibt, sollte zumindest rudimentäre Kenntnisse im Bereich Netzwerktechnik/Sicherheit haben.
Und wenn Profis sowas verkacken, dann sind die aus meiner Sicht weit entfernt davon sich Profi nennen zu dürfen.
Andererseits, aus eigener Erfahrung: Menschen sind faul. Wenn ich jemandem ein 63 Zeichen langes und mit vielen Sonderzeichen gespicktes Wlan Kennwort setze, ist die erste Frage: Tut es nicht auch Muschi123? Sicherheit, ja immer, ich muss mir was merken? Ach Sicherheit ist gar nicht so wichtig...

An dieser Stelle kann ich mich nur wiederholen. Sicherheit und Bequemlichkeit werden nie Sex zusammen haben!

Das sehe ich aber ganz anders. Sicherlich hat jemand selbst schuld, wenn er die Standardkennwörter verwendet, aber das ist ja nur ein Aspekt der Sicherheitslücke. Kritisch wird es ja erst durch den von Loxone propagierten Cloud DNS Dienst. Der Dienst erlaubt es einem Hacker, mit einem einfachen 4-Zeilenskript die öffentliche IP-Adresse und den freigegebenen Port ALLER bei Loxone registrierten Miniserver auszulesen. Das liegt daran, dass der Dienst die URL http://dns.loxonecloud.com/"MAC-ADRESSE-DES-MINISERVERS" verwendet. Jede MAC-Adresse besteht aus 6 Bytes und enthält in den ersten 3 Bytes den Herstellercode und eine laufende Nummer des Herstellers in den letzten 3 Bytes. Selbst wenn die letzten 3 Bytes zufällig vergeben werden, gibt es insgesamt nur 256 * 256 * 256 Kombinationen = ca. 16 Millionen. Wenn die Nummer aufsteigend vergeben wird, dann erheblich weniger, denn sooo viele MS hat Loxone bisher sicherlich noch nicht verkauft. Praktischerweise wird ihm in der Anleitung von Loxone bereits der fest zugeteilte Anteil der MAC-Adresse mitgeteilt: MAC Adresse = EEE000xxxxxx, beziehungsweise 504Fxxxxxxxx (bin mir nicht sicher, ob bei der 2. Adresse mehrere Herstellercodes von Loxone registriert sind). Ich denke, dass die MAC-Adresse viele MS ebenso wie meiner mit EEE000 beginnen. Dieser Wert ist auch ohne Hilfe in der Doku leicht ermittelbar.

Eine weitere Schwachstelle des Cloud DNS Dienstes ist die Tatsache, dass der Dienst immer den Standard HTTP Port verwendet und auf die öffentliche IP-Adresse des eigenen Internet-Anschlusses UND den angegebenen Port des MS per HTTP Redirect umleitet. Damit ist das angepriesene "Sicherheitsfeature", den Port des MS bei der Freigabe zu ändern, hinfällig, weil ihn der Dienst automatisch bereitstellt.

Selbst wenn man kein Standardkennwort verwendet, ist es ein erhebliches Sicherheitsrisiko für den eigenen Miniserver, sofern dieser über ein Portforwarding aus dem Internet erreichbar ist. Ein Hacker kann systematisch über den Cloud DNS Dienst alle öffentlich zugänglichen MS ausspionieren.

Dass c't hier nur einen relativ trivialen Angriff mit den Standardkennwörtern testet, finde ich naheliegend. Da mit diesen Kennwörtern bereits relativ in viele MS eingebrochen werden konnte, reichte es den Redakteuren für den Artikel aus und Loxone wurde auf die Schwachstelle aufmerksam gemacht.

Die Antwort von Loxone finde ich aber bedenklich, denn es sind nicht nur die Standardkennwörter, wo das Sicherheitsrisiko wirklich für jeden offensichtlich sein sollte, sondern der Dienst bietet kriminellen Banden die Möglichkeit, eine gefundene Schwachstelle im Webinterface des MS gezielt auszunutzen und sich darüber systematisch in alle erreichbaren MS einzuhacken. Da der MS typischerweise die Daten des Besitzers, die Adresse etc. enthält, könnten Einbrüche gezielt erfolgen, wenn gerade niemand zu Hause ist. Die Aussage von Loxone, dass es erst durch das vom Kunden eingerichtete Port-Forwarding auf seinem Internet-Router zu einem Problem kommt und damit in seiner Verantwortung liegt, finde ich ziemlich schäbig.

Es mag sein, dass eine Sicherheitslücke im MS bisher nicht bekannt ist, aber bei den häufigen Sicherheitsupdates von Flash Player, MS Windows, Apple iOS um nur einige zu nennen, sollte jedem, der sich auch nur am Rande mit Computern beschäftigt, klar sein, dass es ein absolut sicheres System ohne Lücken nicht gibt und das es gut organisierte Firmen gibt, die Schwachstellen in bestimmten Systemen suchen, um diese dann kriminell auszunutzen.

Ein anderer DynDNS Dienst hat nicht die o.a. Probleme, da der Anwender einen beliebigen Hostnamen für seinen DNS Namen definieren kann und damit weder ein systematisches Erkennen / Ausspionieren von öffentlich erreichbaren MS möglich ist, noch der freigegebene Port ersichtlich ist.

Ich kann jedem nur dringend empfehlen den MS nicht über Portforwarding vom Internet erreichbar zu machen, sondern ein VPN zu verwenden. Mit dem "On-Demand" VPN geht das für iPhones und iPads sogar automatisch - Anleitung gibt es hier im Forum und in der Loxwiki. Außerdem sollte der Cloud DNS Dienst nicht genutzt werden, d.h. der eigene MS sollte sich dort nicht registrieren. Das ist insbesondere dann wichtig, wenn - warum auch immer - ein Portforwarding auf dem eigenen Internet-Router für den MS eingerichtet wird und ein anderer DynDNS Dienst auf dem eigenen Router für die Namensauflösung läuft. Den richtigen Port kann man über einen Portscan relativ einfach ermitteln.

Man kann sicherlich nicht von einem Elektriker / Loxone Partner / Hausbesitzer erwarten, dass er ein Sicherheitsexperte ist und der von Loxone empfohlenen Erreichbarkeit des MS für Apps im Smartphone nicht folgt, sondern etwas anders verwendet. Hier sehe ich ganz klar den Hersteller in der Pflicht. Bisher konnte ich bei Loxone zu Cloud DNS nur den Hinweis finden, dass man keine Standardkennwörter verwenden soll, aber keine Eingeständnisse, dass das Design dieses Dienstes eklatante Sicherheitsmängel enthält, habe ich nicht gefunden.

Man könnte sicherlich eine lange zufällig generierte Zeichenkette in die URL einbetten, die bei der Installation generiert wird. Um dem Anwender das Abtippen in der App im Smartphone zu ersparen, könnte die URL über das interne LAN automatisch an die App übermittelt werden, wenn man sich intern mit dem MS verbindet. Damit wäre ein einfaches systematisches Auslesen aller MS über die öffentliche URL nicht mehr möglich. Ein Nachteil mit dem man nach meiner Meinung leben kann, ist der, dass sowohl die App als auch der MS dafür ein Update benötigen. Ein weiterer Nachteil ist der, dass man die lange URL im Webbrowser eingeben muss. Über Bookmarks ginge das für eigene Systeme sicherlich relativ einfach. Es bleibt nur zu hoffen, dass Loxone so etwas (oder etwas noch besseres) in Kürze mit einem überarbeiteten Cloud DNS Dienst anbietet.

Gruß Jan

Ich habe mal im Wiki einen Artikel zu bekannten Sicherheitslücken im Loxonesystem und Gegenmaßnahmen gestartet: http://www.loxwiki.eu:80/x/zIOO

Zudem habe ich mal einen Artikel gestartet, der Maßnahmen beschreibt wie man verhindern kann, dass ein möglicher Angreifer auch noch gleich auf den Standort des Miniservers und damit auf die eigenen Adresse rückschießen kann: http://www.loxwiki.eu:80/x/3YOO

Das halte ich nämlich für den Super-Gau: Angreifer verschafft sich Zugriff auf den Miniserver, kennt die eigene Adresse, schaut per IP-Haustür-Cam, ob jemand zu Hause ist und öffnet dann über die Konfig in Seelenruhe das Garagentor oder die Haustür.

Ich habe zu dem Thema Security und Smart Home für unsere Firma einen kleinen Artikel geschrieben. Ich persönlich bin der festen Überzeugung, dass man von außen nur einen Zugriff erlauben soll: den für ein VPN. Alles andere ist zwar - wie bereits erwähnt - bequem, aber poteniell unsicher. Letzten Endes muss sich jeder selbst entscheiden, wie sicher/bequem er es haben möchte. Und für mich ist das aktivieren eines OpenVPN-Zugang vom Smartphone keine Aufgabe, die ich nicht gerne erledige, damit ich zumindest einen so hohen Schutz habe, den einen "08/15" Hacker abschreckt.

Generell möchte ich aber noch eins erwähnen: eine Smart Home Lösung ist - egal wie man es sehen mag - ein Computer. Und egal, wie sehr uns die Werbung das glauben lassen will: Computer sind etwas für Menschen, die sich mit der Materie befasst haben. Es ist kein Toaster, es ist keine Toilettenspülung, es ist kein Türschloss. Wenn man eine Smart Home Lösung selbst installiert, sollte man sich damit auseinander setzen. Man kann die Welt einfach nicht idiotensicher machen, auch wenn amerikanische Unternehmen das aus Angst vor ihrem eigenen Rechtssystem gerne tun (ich sag nur: heißer Kaffee, keine Katze in die Mikrowelle stecken - Aufkleber, die man bei uns nicht braucht).

Ein Stück Eigenverantwortung schadet nicht und darf jedem zugetraut werden. Ansonsten gibt es Fachhändler und Experten, die man fragen kann.

@Prof. Mobilux: ich kann gerne ein paar Sätze zum Thema OpenVPN Setup schreiben für die Wiki.

Standardpasswörter benutzt man nicht mal, wenn das Gerät von aussen unerreichbar ist.
Aber naja, solange es Personen ohne Ahnung und netzwerkfähige Geräte gibt, wird es admin/admin auch geben