hallo,

mittlerweile gibt es ja einen Haufen Zeug, dass man Haushaltsgeräte mittels Handy fern steuern kann. Auf Neusprech heißt das "Internet of Things".

Hat von euch wer schon solche Geräte, die ihr mittels Handy aus der Ferne steuern könnt?

Wie sichert ihr euer Zeug ab?

Was passieren kann, wenn man sowas in ein nomales LAN/WLAN steckt, sieht man hier:



https://www.amazon.com/gp/review/R2JVRCO8T1ON0R
I ended up reverse engineering the app in order to find out the configuration packet format, sent it myself and finally had the socket on the network. This is, needless to say, not a reasonable thing to expect average users to do.
If your phone is connected to the same network as the socket then this is just done by sending a command directly, but if not you send a command via an intermediate server in China (the socket connects to the server when it joins the wireless and then waits for commands).

If anybody knows the MAC address of one of your sockets, they can control it from anywhere in the world. You can't set a password to stop them, and a normal home router configuration won't block this.

Ich bin froh, so etwas nicht zu haben.

Viele Häuslebauer haben z. B. Wärmepumpen, die so funktionieren.

Keine Ahnung, welche Möglichkeiten es dort gibt.

Ja und dann die PKW...

Dann kann einem ein Schurke also den Kühlschrank abtauen und die Reaktion nach dem Urlaub auf Video festhalten. Das wird youtube viel spannender machen :D
Die Billigdinger aus dem Kaugummiautomat sind zwar ganz witzig aber in Sachen Sicherheit sollte man da nix erwarten. Ich hab so eine Kamera, da gehts schon los bei der nur unverschlüsselten Übertragung. Für den Hauseingang noch ganz ok, wenn sie vom Rest des LANs getrennt ist.

Viele Kunden solcher Teile sind halt auch nicht viel intelligenter als das entsprechende Gerät selber :D da gibts dann sicher mehr sowas zu lesen:

https://pbs.twimg.com/media/CmCRfQEWEAEpDsB.jpg

UPS :D
Wenn der Toaster DOS-Attacken fährt ... so was fällt dem Nutzer ja gar nicht mehr auf.

Dem "Nutzer" fällt nicht mal auf, wenn sein PC DOS Attacken fährt, außer sein Filesystem wird nebenher verschlüsselt.

Tja, das Problem sind aber nicht die Nutzer, von denen weiß man, dass es keine Experten sind und zumeist nur auf den Preis achten, also Konsumenten sind. Die, die die Produkte auf den Markt bringen, stehen in der Verantwortung. Nur interessiert sie das mehrheitlich nicht.

Da kann ich nur teilweise zustimmen. Beim Fernseher Toaster und der Steckdose bin ich bei dir, bei der Überwachungskamera oder PC sollen sie schon wissen was sie tun sollen und was nicht.

Auch wenn selbst der Facebookgründer nun seiner Cam nicht mehr trauen mag, weil er zu schluderig mit seinem Passwortes war? Ich denke, man überfordert die Menschen per se, selbst wenn sie sich selbst als quasi Nerds sehen. 😉

Ich erinnere mich an einen Hack, da hatten die Chinesen einen Printserver gekapert. Wird bestimmt auch gern mal vernachlässigt, so ein Teil. Dummerweise bot dieses Teil die Option, sämtliche Druckaufträge auch als EMail zu versenden. Also gingen in der Hightech-Firma sämtliche Printjobs mindestens eines Druckers auch nach China :D
Administratoren haben vermutlich keinen guten Schlaf.

Wenn man Kameras und Drucker in ein Subnet oder VLAN hängt, in das man nur durch ein vpn hin kommt, muss man sich da nicht so plagen

Bei der Steckdose gabs sogar noch ein Nachspiel:

https://techcrunch.com/2016/07/01/security-researcher-gets-threats-over-amazon-review/



This makes the manufacturer’s outsized reaction all the more unusual. Garrett sent me a few of the emails he received from the company.

“Just now my boss has blamed me, and he said if I do not remove this bad review, he will quit me. Please help me,” the representative wrote. “Could you please change your bad review into good?”

Garrett responded that he would update the review if the manufacturer fixed the flaw. The AuYou representative insisted she would be fired if the review was not updated. A week later, she followed up again, asking Garrett to take down the review. The representative then said that she would report Garrett to Amazon if he didn’t take down the review, and that other Amazon reviewers had written in to complain about it.

Allein schon der Umstand dass überhaupt ein Server in China kontaktiert wird um ein einfaches Kommando-Packet zu senden sollte dieses Produkt schon disqualifizieren. Intelligenterweise sollte man aber auch die MAC-Adresse seines Smartphones in der Firewall hinterlegen, und Zugriffe ausschliesslich über diese zulassen. Warum muss ich von irgendeinem Gerät solche Kommandos schicken können ?

Tja, so wie die Firma drauf reagiert, macht die Sache sicher nicht Vertrauenserweckender.

Die einzigen extern erreichbaren Geräte bei uns sind unsere Überwachungskameras am Haus und der Router. Beides aber gut gesichert.

Gerade bei solchen Geräten für mich ein Muss, da ich über Alarme direkt informiert werde und auf die Kameras von überall per VPN zugreifen kann.

Sowas würde ich aber noch nicht als "Smartes Gerät" bezeichnen.

In diese Kategorie fallen für mich eher intelligente Kühlschränke, Waschmaschinen & Co. die selbstständig aktiv werden können, um beispielsweise bei Fehlbestand Nachbestellungen durchführen zu können.

Bis das aber wirklich serienreif kommt wird noch etwas zeit vergehen. Ich bin mir aber auch sicher auf Grund meiner beruf. Herkunft das Ganze einigermaßen absichern zu können.

Was SmartTV betrifft - für mich eine völlig uninteressante Entwicklung. Ganz im Gegenteil geht es mir mittlerweile auf den Geist, dass ich gefühlt 10 Geräte im Haushalt habe, die genau die gleichen Funktionen erfüllen. Hier würde ich mir ein Back2TheRoots der TV Hersteller sehr wünschen. Verzicht auf Triple-Tuner und SmartTV, dafür wieder qualitativ hochwertige Panel verbauen.

Ja, nur mit "nur Panel" lässt sich keiner ködern.

Also ich höre in letzter Zeit auch von nicht so technikaffinen Bekannten, dass Sie das Überangebot an Smart-Features mittlerweile kritisieren. Wenn ich überlege wie viele Geräte mittlerweile Amazon Video, Spotify, Watchever, Netflix, Youtube und Co. abspielen können, das braucht eigentlich kein Mensch ;)

Die Dinger müssen nur vernünftig abgesichert werden, und mit einer sinnvollen Technologie erstellt, dann ist das kein Problem.

Wofür muss man in einen Fernseher ein komplettes Linux-System einbauen ? Nur weil das "einfacher" ist ? Wenn man einen dedizierten Mikrokernel benutzt der nix kann ausser Streaming und einfache B-Code-Plugins, dann kann man den auch nicht mit irgendwas "infizieren". Ausser mit nem blöden Video.

Man gibt heute zig Millionen für "Marketing-Campagnen" mit dämlichen Schauspielern oder Sportlern aus, ohne mit der Wimper zu zucken. Aber die Software müssen billige Hilfs-Tagelöhner für ein paar Euro die Stunde zusammenstümpern, weil man ja "Kosten sparen" muss. Das kommt dann dabei raus. Wenn man fünf Entwickler hat die ein bischen Plan haben, ist eine wasserdichte Entertainment-Plattform die gar keine Hintertüren für Viren hat überhaupt kein Problem, und die kosten im Jahr zusammen nicht mal die Million die man abgehalfterten B-Promis für 30 Sekunden Bullsh*t in den Rachen wirft.

Wofür muss man in einen Fernseher ein komplettes Linux-System einbauen ? Nur weil das "einfacher" ist ?Ja klar, zumal einfacher hier auch gleichzeitig billiger ist.

Analog zu den Playstations die mal von irgend einer Uni in den USA zu einem Großrechner geclustert wurden (Sony fand das gar nicht gut), könnte man ja zu Hause dann auch diverse Rechenaufgaben an die smarten Geräte vergeben.
So knackt dann z.B. der Toaster das vergessene Passwort mit welchem man den Kühlschrank wieder aufbekommen könnte, und bräunt derweil mit der Abwärme die Brotscheiben.
Das wär mal green IT :D

Ja klar, zumal einfacher hier auch gleichzeitig billiger ist.

Aber nur bei Leuten die bei Betriebskosten gnadenlose Milchmädchenrechnungen aufmachen. Technisch gesehen kostet ein Mini-System das Linux fahren kann nicht mehr, eher weniger, wenn man statt ein ausgewachsenes Linux ein wesentlich einfacheres aber dafür nicht knackbares Entertainment-System fahren kann. Schlicht weil es gar keine Schnittstellen hätte, über die man ausführbaren Code einschleusen könnte. Wenn man die unglaublichen, gewaltigen, extremen, noch nie dagewesenen Lohnkosten von nem kleinen Eierkopfteam auf Stückzahlen in den 100,000en verteilt, dann sind das Minibeträge - im Vergleich zu dem was passiert wenn ein US-Amerikaner eine Milliarden-Dollar-Konventionalstrafen-Klage einreicht, weil eine dusselige von Indern oder Chinesen zusammengestrickte Software zu richtigen Schäden geführt hat, dadurch dass sie primitiv und auf dem intellektuellen Niveau eines 8jährigen konstruiert ist.

So eine Entertainment-Engine für gesicherten, nicht hackbaren Internetzugang muss ein Hersteller nicht mal alleine entwickeln, das könnte man schlicht als Industriestandard für "Internet of things" definieren, der nur ein Subset der Möglichkeiten unterstützt die ein herkömmlicher PC haben muss. Dann macht man eine Referenz-Implementation mit nem kleinen Team, und der sprechende Toaster kostet auf der IT-Seite nur Kleingeld. Die erfolgreichen Angriffe z.B. auf Autos mit Internetzugang sind nur durch eins möglich gewesen, DUMMHEIT auf der Seite der Softwareentwickler die direkte Schnittstellen zwischen dem Entertainment-System und der Fahrzeugsteuerung ermöglicht haben (nur ein System, Internet-Patches, Fernwartung ...).

So ein Konsortium funktioniert aber nur selten, weil die Hersteller sich ja untereinander überbieten wollen und die Features genau so machen, dass man, obwohl genug drin ist, man genau das nicht hat, was aber in der nächsten Serie so klasse ist.

Das kann man über Plugins lösen die kein Maschinencode sind, sondern wie bei entsprechendem Java ein B-Code mit eingeschränkter Funktionalität. Klar wird man wieder das übliche Hickhack erleben, aber das wäre ein technischer Ansatz der nicht durch Obfuscation funktioniert.

Man könnte natürlich auch einen Linux-Kernel extrem abspecken und extrem absichern, dass eine wirklich geschützte Kommunikation nur über ein definiertes Protokoll abgewickelt wird und keine wilden Downloads erlauben. Das erfordert aber eher noch mehr Hirn bei den Entwicklern, und das wird in 99% der Fälle schlicht nicht gemacht werden. 08/15-Linuxe offen wie ein Scheunentor, und der Hersteller hat schicke Fernwartungshintertüren wo man mal eben was "patchen" kann, wenn nicht gerade das China-Hackerteam daran arbeitet. Mein Fernseher hat das alles, aber den habe ich deshalb auch NICHT am Internet, auch wenn der direktes Youtube könnte.

Seit dem es Chromecast und Co gibt, bräuchte man eigentlich eh keine SmartTV mehr.
Ein einfaches Panel mit vielen Aus- und Eingänge, fertig. Aber sowas verkauft sich nicht so.

Ja, heute ginge das.
Idealerweise irgendwo im Haus einen Rechner als Host für virtuelle Maschinen für jeden Zweck. Und zum neuen Fernseher gibt es eben einfach eine virtuelle Maschine zur Befüllung und Steuerung desselben. Der Käufer installiert die VM und steckt die passenden Kabel, und fertig. Passende Standards müsste man eben brachial durchsetzen, aber es sind schon Leute wegen harmloserer Sachen auf dem Schafott gelandet.

Aber nur bei Leuten die bei Betriebskosten gnadenlose Milchmädchenrechnungen aufmachen. Technisch gesehen kostet ein Mini-System das Linux fahren kann nicht mehr, eher weniger, wenn man statt ein ausgewachsenes Linux ein wesentlich einfacheres aber dafür nicht knackbares Entertainment-System fahren kann. Schlicht weil es gar keine Schnittstellen hätte, über die man ausführbaren Code einschleusen könnte. Wenn man die unglaublichen, gewaltigen, extremen, noch nie dagewesenen Lohnkosten von nem kleinen Eierkopfteam auf Stückzahlen in den 100,000en verteilt, dann sind das Minibeträge - im Vergleich zu dem was passiert wenn ein US-Amerikaner eine Milliarden-Dollar-Konventionalstrafen-Klage einreicht, weil eine dusselige von Indern oder Chinesen zusammengestrickte Software zu richtigen Schäden geführt hat, dadurch dass sie primitiv und auf dem intellektuellen Niveau eines 8jährigen konstruiert ist.

So eine Entertainment-Engine für gesicherten, nicht hackbaren Internetzugang muss ein Hersteller nicht mal alleine entwickeln, das könnte man schlicht als Industriestandard für "Internet of things" definieren, der nur ein Subset der Möglichkeiten unterstützt die ein herkömmlicher PC haben muss. Dann macht man eine Referenz-Implementation mit nem kleinen Team, und der sprechende Toaster kostet auf der IT-Seite nur Kleingeld. Die erfolgreichen Angriffe z.B. auf Autos mit Internetzugang sind nur durch eins möglich gewesen, DUMMHEIT auf der Seite der Softwareentwickler die direkte Schnittstellen zwischen dem Entertainment-System und der Fahrzeugsteuerung ermöglicht haben (nur ein System, Internet-Patches, Fernwartung ...).
Äh bitte? So ein Minisystem üsste eerst entwickelt werden und hat dann auch seine Macken. Linux ist schon fertig. Und wenn ne Schwachstelle drin ist kann die immer noch ignoriert werden.

Eine Software die nur einige Streaming-Formate und einfache Gadgets wie Menüs und dergleichen können muss, programmieren Top-Leute in ein paar Wochen so runter dass da nicht viel Raum für gravierende Probleme bleibt. Wenn man da ein halbes Jahr Zeit investiert, hat man einen Spitzen-Nucleus, ohne den Ratten******* an Einfalltoren und Problemen die ein komplexes Betriebssystem mit sich bringt. Ignorieren kann man da gar nix, weil man alles untersuchen und abschalten muss durch das potentielle Störer eindringen könnten. Also die schönen Goodies wie automatisches Alles und Jedes per "Standard-Installation" was halbgare Entwickler so gerne machen muss man dann strikt vermeiden und beseitigen, und das ist beim heutigen Umfang solcher Systeme eine ordentliche Herausforderung. Dagegen ist ein besserer gehärteter Browser mit Streaming-Fähigkeiten und einfachen Plugin-Schnittstellen Pipifax. Es programmiert ja niemand mit einem Fernseher als Entwicklungssystem, das Teil soll Bilder und Videos anzeigen, Pay-per-View abrechnen können und eine vereinfachte Darstellung von Webseiten unterstützen damit man Zeitung lesen kann. Selbst anspruchsvolle Browserspiele müssen damit nicht gehen, weil das die Hardware gar nicht hergibt, dafür muss man eben einen PC anschliessen. Das geht ja auch problemlos.

So ein Fernseher soll neben Streaming-Video nur ein vereinfachtes Internet-Browsen für Dummies unterstützen, denen ein PC "zu schwierig" ist. Also Oma, Opa und Leute die mit Technik nix anfangen können. Vielleicht noch Video-Telefonie mit dem Enkel, aber bitte ohne dass Arschgeigen die Kamera remote mitschneiden können oder schauen was es in der Wohnung so zu klauen gibt. Das ist mit einem stark eingeschränkten System in einer Sandbox deutlich leichter beherrschbar, als ein Standard-Linux oder Windows mit voller Unterstützung von einschleusbarem Binärcode für Intel-Prozessoren zu verwenden, für etwas relativ simples wie Fernsehen. Diese Dummheit wird uns aber noch Jahrzehnte verfolgen, und Todesfälle durch gekaperte Busse bescheren wo das Entertainment-System direkt mit der Motorsteuerung verbunden ist und auf dem gleichen System läuft. "Ups, wieso geht denn die Bremse nicht mehr ???"

Eine Software die nur einige Streaming-Formate und einfache Gadgets wie Menüs und dergleichen können muss, programmieren Top-Leute in ein paar Wochen so runter dass da nicht viel Raum für gravierende Probleme bleibt.
Hast du irgendwas mit der Branche zu tun? Ich glaub du weißt nicht wovon du redest.

Glaubst du dass Samsung und Co generell UAT Tests und BVs machen? :D

Ja, ich habe beruflich damit zu tun, und ärgere mir immer einen Wolf was für stümperhaftes Zeug da zusammengeklöppelt wird weil man keine sinnvollen Grundsatzentscheidungen treffen will. Ich spreche nicht vom Anfang auf der grünen Wiese, sondern von der Zusammenstellung lange bestehender und erprobter Bibliotheken für die verschiedenen Zwecke (Streaming, Browser, Präsentationsschnittstellen), aber eben mit einer stringenten Idee dahinter die auf Problemlosigkeit und Sicherheit abzielt. Die meiste Zeit geht bei derartigen Projekten mit Laberei drauf, weil man bekloppten "Managern" deren abstruse Ideen ausreden muss, kein grünes Licht für die sinnvollen bekommt, und dann zusehen muss wie man unter den bescheuerten "Vorgaben" noch was halbwegs vertretbares zusammenbekommt. Als ich noch freie Hand hatte, habe ich bei durchaus komplexen Problemen (Esprit II CIDAM) 3000 Lines of code in einer Woche runtergeschrieben. Ja, ja, Unix in den 80ern, das waren noch Zeiten. Mit wirklich guten Leuten in einem 10-Mann-Team hat man sowas wie ein Entertainment-System locker in einem halben Jahr geschrieben, aber nur wenn man freie Hand hat das System nach technischen Aspekten zu entwerfen. Wenn ich sehe was für ein Krampf die Horizon-Box ist, und wie unglaublich langsam da alles ist, dann liegt das entweder an den Vorgaben, oder daran dass da halbgare Leute für ganz wenig Geld dran arbeiten.

Was heißt da, entweder - oder? Da geht beides Hand in Hand!

Das mit der Steckdose is eh schon auf golem.de :D
Funksteckdose: Hersteller bedrängt Hacker nach ehrlicher Amazon-Bewertung - Golem.de (http://www.golem.de/news/internet-of-things-hersteller-bedraengt-hacker-nach-ehrlicher-amazon-bewertung-1607-121927.html)


Steckdose hat ungeschützten Internetverkehr
:D

So ein Schwachsinn, kein Wunder, dass alle immer dümmer und fetter werden

_CQA3X-qNgA

:biglaugh:

Genau so stell ich mir das eh vor :D

Ein Kollege von mir hat sich ein Steuerungssystem für's Haus mit Docker und VPN-Zugang auf nem Raspberry Pi gebaut, als "Kompetenzdemo". Das Ding kann quasi alles, mehr als kommerzielle Geräte, und ist ziemlich sicher durch Verschlüsselung, VPN und Machine-Address-Kontrolle. Zeitsteuerung, Annäherungssensoren, Sonnenlicht, Thermofühler, alles wird verwendet um Türen, Beleuchtung, Heizung und Jalousien / Rolläden zu steuern. Genial. Und man sieht dass viele Geräte einfach nur aus Lieblosigkeit gestümpert sind, und die Software das längst hergeben würde.

http://www.bildschirmarbeiter.com/content/images/picdump-17-08-11/picdump-17-08-11-051.jpg

Hab erst kürzlich eine oberflächliche Arbeit drüber geschrieben.

Kurzfassung:
Das IoT und seine Anwendungsmöglichkeiten sind mega und könnten eine Art neue "Evolution" unseres Zusammenlebens einleiten, aber das Problem liegt speziell im technischen Bereich in der Natur von IoT Netzwerken. Durch die Heterogenität innerhalb der Netzwerke, den unterschiedlichen Sicherheits-policies und den extremen Datenmengen und der Art des Datenzugriffs sind herkömmliche, traditionelle Sicherheitsmechanismen und Prinzipien zum Teil schwer umzusetzen und zu implementieren um wirkliche Sicherheit und Privatsphäre zu gewährleisten.
Es gibt Lösungen die einigermaßen funktionieren, diese erfordern aber einen deutlichen Mehraufwand an benötigter Rechleistung und anderen Ressourcen.

Sollte es jemanden wirklich interessieren, hier ist das ganze recht gut dargestellt: Sicari, S., Rizzardi, A., Grieco, L. A., and Coen-Porisini, A. 2014. "Security, Privacy and Trust in Internet of Things: The Road Ahead," Computer Networks (76), pp. 146-164

Hab erst kürzlich eine oberflächliche Arbeit drüber geschrieben....

....

Sollte es jemanden wirklich interessieren, hier ist das ganze recht gut dargestellt: Sicari, S., Rizzardi, A., Grieco, L. A., and Coen-Porisini, A. 2014. "Security, Privacy and Trust in Internet of Things: The Road Ahead," Computer Networks (76), pp. 146-164

Danke!