Liebe Heizungsbastler und Messtechnikfreaks…

Auch ich habe schon viel Blödsinn gemacht

… um einen vom Elkement geschätzten Professor zu zitieren.

Der ‚Blödsinn‘ bezog sich in jenem Fall auf solche Erdwärmebohrungen und was man daraus lernen kann – ohne sich jetzt über die Betroffenen lustig zu machen:

Staufen, Risse nach Geothermiebohrung

Staufen, Risse nach Bohrungen für Erdwärmesonden, eines der historischen Gebäude wurde um 45cm gehoben. (Wikimedia, Benutzer Ekem)

In diesem Sinne und ohne IT-Fuzzi-ist-ja-so-gescheit-und-macht-sich-lustig-Allüren:

Auch das Elkement  hat schon auf dubiose Links geklickt und sich den einen oder anderen Virus eingefangen. Jeder ist in einem schwachen Moment auch nur ein Benutzer.

Trotzdem, liebe Heizungsbesitzer:

!!! BITTE !!! stellt Eure Heizungssteuerung nicht ungeschützt ins Internet!

Mittlerweile hat fast jedes konfigurierbare Gerät irgendeine Art von Weboberfläche. Hat man die Verfügungsgewalt über den eigenen Internet-Router kann diese auch „im Internet freigegeben“ werden durch Portweiterleitung. Man sollte hier aber wissen, was man tut. Bedenklich stimmen uns Diskussionen in Foren, die mit Hilferufen gestartet werden wie DNS, VPN, Ports, TCP/IP sagt mir jetzt Null – kann mir jemand erklären, wie ich meine Heizung über das Internet freigeben kann?

Irgendwessen Regelung kann über die Webanwendung des BL-NET bedient werden. So sollte es aussehen, wenn sie von extern erreichbar ist:

BL-NET Webanwendung, Passwörter wurden gesetzt.

BL-NET Webanwendung. Die Meldung zeigt, dass Passwörter gesetzt wurden.

So sollte es nicht aussehen:

BL-NET Webanwendung. Passwörter nicht gesetzt.

BL-NET Webanwendung. Hier wurden keine Passwörter gesetzt.

Beides sind Screenshots von Anlagen, die mittels (einer sehr simplen Variante von) Google-Hacking gefunden wurden. Im zweiten Fall würden sich nicht nur Regelungsparameter verstellen lassen, sondern ein „Scherzbold“ könnte auch Passwörter erstmals setzen und den legitimen Benutzer damit aus seiner eigenen Anlage aussperren. Der Benutzer kann dann nur die Steuerung auf Werkseinstellungen zurücksetzen und das hoffentlich vorhandene Backup einspielen.

Leider können wir die Anlagenbesitzer nicht warnen, da die Computernamen keine direktem Rückschlüsse auf den Besitzer zulassen (zumindest nicht ohne weitere Hacker-Aktvititäten). Viele Benutzer verwenden Dienste wie dynDNS oder NoIP um ihre Geräte trotz dynamischer IP-Adresse von außen erreichen zu können.

Vielleicht ist nicht klar, dass auch ein dynamisch vergebener Name à la 47-11-08-15.dyn.provider.komischername.com auffindbar und evtl. Google-bar ist. Ob man unter dieser Adresse dann wirklich etwas Angreifbares findet, hängt von der Lebensdauer des Namens ab.

Systematischer lassen sich Anlagensteuerungen mit der Gerätesuchmaschine Shodan aufspüren:

BL-NET-Geräte, die über das Internet zugänglich sind

BL-NET-Geräte, die über das Internet zugänglich sind – Ergebnis einer Suche mit Shodan. Ob Passwörter gesetzt wurden oder nicht, würde ein Zugriffstest zeigen.

Mit Shodan wurden unter anderem Verkehrsampeln, Webkameras und medizinische Überwachungsgeräte gefunden.

Selbst wenn Passwörter gesetzt wurden, können Schwachstellen in den verwendeten Webapplikationen dazu führen, dass dieser Schutz umgangen werden kann. Diese mittlerweile behobene Lücke führte zu einer Ausgabe der Passwörter von Heizungssteuerungen direkt im Browser.

Von der BL-NET-Applikation können wir in diesem Zusammenhang nur Positives berichten – sie widersetzt sich allen Versuchen, mögliche Lücken ausnutzen.

Alternativ zu dieser direkten Freigabe der Ports von außen gehen Gerätehersteller dazu über, den Kunden ein Webportal anzubieten. Hier müssen keine Ports an der eigenen Firewall freigegeben werden. Ähnlich zu Fernwartungsdiensten wie Teamviewer baut das Gerät immer selbst eine Verbindung von innen nach außen auf und verhält sich damit firewalltechnisch wie jeder andere „surfende“ Computer im Netzwerk. Das externe Webportal „vermittelt“ dann nur eine Verbindung von außen nach innen über diesen bereits geöffneten Kanal.

Was kann man mit vertretbarem Aufwand als Benutzer tun?

  • Immer Passwörter setzen, auch wenn ein Gerät „vorerst eh nur intern“ verwendet wird – oder Standard-Passwörter (1234, admin) ändern.
  • Firmware von Geräten mit Weboberfläche (Internetrouter, Steuerung) aktuell halten – damit ist die Chance geringer, dass bekannte Schwachstellen ausgenutzt werden können.
  • Suche der eigenen Geräte mit den oben erwähnten Methoden. In Shodan kann  net: verwendet werden.
  • Durchführen eines kleinen eigenen Penetration Tests mittels Tools, die Schwachstellen in Webservern aufspüren (nur im eigenen Netz und nur gegen eigene Geräte!!)
  • Im Zweifelsfall: Angriffsfläche minimieren und Nutzen/Risiko der Internetfreigaben abwägen.

____________________

Weiterführende Links:

UDP Hole Punching – Kommunikation mit einem Gerät hinter einer Firewall (NAT): http://resources.infosecinstitute.com/udp-hole-punching/

Google Hacking im Detail: https://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Long.pdf

5 Gedanken zu „Liebe Heizungsbastler und Messtechnikfreaks…

  1. Pingback: Logging 2.0 – Wer bastelt mit? | punktwissen

  2. Pingback: Liebe Messtechnikfreaks (2) oder: Neues Spielzeug | punktwissen

  3. Es ist ein gutes Gefühl, sooooooo………. einen Security-Experten (eigentlich müsste ich jetzt gendern ;-)) an der Hand zu haben. Danke für die mehr als nützlichen Tipps im Namen all jener, die über ihre Heizungssteuerung selbst wachen können.

    • Na ja, es ist eher so, dass man zum Finden dieser speziellen „Sicherheitslücke“ genau kein Security-Experte sein muss. Das ist ja gerade das Schlimme. Man muss nicht einmal eine spezielle Google-Option nutzen für diese Variante von „Google Hacking“.

      Es ist so, als würde man eine Türe nicht zusperren. Dass man das machen soll, wüsste auch prinziell jeder – und wie man eine offene Tür „hacken“ kann auch. Es kommt jetzt nur drauf an, ob jetzt zufällig jemand vorbeikommt und die Klinke drückt.

Antworte den Siedlern:

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s