Nach Hause telefonieren.

Einklappen
X
Einklappen
 
  • Seite von 1
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
  • BSiege
    LoxBus Spammer
    • 04.10.2015
    • 250
    #1

    Nach Hause telefonieren.

    Aus aktuellem Anlass habe ich dem Miniserver wieder mal etwas Freiraum gelassen und die Firewall für ca 24h geöffnet. Dazu ein Packet Trace laufen lassen. Obwohl ich die Cloud-DNS-Funktion deaktiviert habe (aus externer IP entfernt) meldet sich der Server alle 4000 Sekunden (oder 66,6 Minuten) bei der Cloud. Und bekommt ein http 500 Fehler zurück. Was bei http soviel wie internal Server error heisst. Also sinnfrei. Oder doch nicht? Schliesslich ist meine externe IP nun im Serverlog aufgetaucht. Hilft alleine noch nicht viel.

    GET / HTTP/1.1
    Host: dns.loxonecloud.com
    User-Agent: [en]
    Content-Type: text/html; charset=utf-8

    HTTP/1.1 200 OK
    Date: Wed, 07 Sep 2016 00:07:45 GMT
    Server: Apache/2.4.7 (Ubuntu)
    X-Powered-By: PHP/5.5.9-1ubuntu4.11
    Access-Control-Allow-Origin: *
    Content-Length: 39
    Content-Type: text/xml

    <Answer cmd="getip" IP="" Code="500" />


    Ok,

    etwas nach Mitternacht geht dann etwas Interessantes in Klartext raus:

    GET /updatecheck.xml?serial=eee000d81xxx&version=070x0xxx&reason=0 HTTP/1.1
    Host: update.loxone.com
    User-Agent: [en]
    Content-Type: text/html; charset=utf-8

    Da kann man schon etwas zusammensetzen. Und ich denke auch immer daran, dass mittlerweile viele Stellen liebend gerne solche Informationen für Später mitschneiden möchten. Es ist mir bewusst, dass die Allermeisten da nicht so sensibel sind. Aber bei mir kommt der Miniserver definitiv nicht ungefragt raus.

    Positiv zu erwähnen ist, dass Mails von MS zu meinem privaten Mailserver per TLS verschlüsselt raus gehen. Immerhin.
    Profis werden aber schnell darauf stossen:
    TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH"
    Da RC4 vielerorts präventiv abgeschaltet wird, wird das zwangsläufig auch öfters Probleme geben.

    Auch wenn das als Kleinigkeit erscheint: Es ist mir wichtig, dass solche Informationen geteilt werden und sich jeder selber schlau machen kann.

    Stichworte: -
    • Thomas M.
      Lebende Foren Legende
      • 25.08.2015
      • 3300
      #2
      Vorausgesetzt ich würde es zustandebringen, deinem Haus - also deinem Miniserver, zuzuhören. Dazu muss ich aber schon mal in dein Netzwerk, was ich nicht schaffe.
      Die Infos bekomme ich ja nicht, nur wenn ich vor deinem Haus parke und die Glaskugel am Schoss liegen habe.

      Angenommen ich stehe vor deinem Haus, bin in deinem WLAN und weiß die SN und SW-Version. Wenn ich wüsste, dass es bei Version X möglich ist, den MS mit einer DoS-Attacke zu töten, könnte ich das tun.
      Dann funktioniert die Alarmanlage nicht mehr und ich kann ganz beruhigt eine Scheibe einhauen und dein Haus ausräumen.

      Sehr realistisch



      Im Ernst ... was sollte man mit den Informationen anfangen können, wenn du schon schreibst, dass "viele Stellen" die Informationen "für Später" mitschneiden möchten?
      Ich bin vermutlich unter den Allermeisten, darum die doofe Frage.

        Kommentar

        • BSiege
          #2.1
          BSiege kommentierte
          08.09.2016, 07:23
          Kommentar bearbeiten
          Es ging hier mit keinem Wort um Smart Home und Einbrüche oder so. Sondern um Standards und IT-Sicherheit, respektive deren Implementierung.
          • Thomas M.
            #2.2
            Thomas M. kommentierte
            08.09.2016, 12:33
            Kommentar bearbeiten
            Und wer sind jetzt die vielen Stellen die diese Infos für später mitschneiden möchten bzw. was fangen die damit an?

            Ok aha - und was fangen wir im Forum nun mit der Info an?
            Ich bin scheinbar zu doof um das zu verstehen und etwas daraus was zu machen.
            Zuletzt geändert von Thomas M.; 08.09.2016, 12:40.
          • Riesenschnabel
            Extension Master
            • 04.11.2015
            • 106
            #3
            Unabhängig welche "Angriffsszenarien" ich mir mit diesen Daten ausdenken kann, halte ich es ebenfalls für relevant zu wissen, was der Miniserver an Daten aussendet. Ich bin da auch sehr vorsichtig mit solchen Themen und möchte genauso wenig, dass Facebook weiß, auf welchen Seite ich herumsurfe. Datensparsamkeit ist hier oberstes Gebot.
            Und wenn der Hersteller eine Option anbietet, die augenscheinlich das Aussenden dieser Informationen beendet, das dann aber "hintenrum" weiter passiert, dann gefällt mir das nicht so besonders.
            Wenn ich mich an einer tendenziell unwichtigen Stelle nicht auf die Einstellungen im System verlassen kann, dann wird das an kritischeren Stellen vermutlich ebenfalls so sein.
            Also eher eine Frage nach transparenter Informationspolitik des Herstellers und Glaubwürdigkeit.

            Und als allgemeine Verhaltensregel versuche ich mir persönlich folgendes zu eigen zu machen:
            Falls mir nicht auf Anhieb klar ist, wo das Problem ist, halte ich es dann auch eher mit Dieter Nuhr anstatt gleich den Versuch zu starten die Analyse lächerlich zu machen...
            Loxone-Installation mit mehreren Extensions, Dimmer-Extension, DMX, 1-Wire (alles aktuell noch im Auslieferungszustand);
            FritzBox, Netgear Plus Switch mit mehreren VLANs, Intel NUC mit VMWare ESXi 6.5 (pfSense, Loxberry, Kleinkram)

              Kommentar

              • Thomas M.
                Lebende Foren Legende
                • 25.08.2015
                • 3300
                #4
                Finde es nicht lächerlich, ich möchte als Unwissender wissen, was ich mit der Info machen soll/kann.
                Darum die blöden Fragen.

                Ich weiß immer noch nicht, wer "die Stellen" sind, die so interessiert an den Daten sein sollen.
                Hier steht eine Seriennummer und FW Version vom Miniserver im Raum. Was kann man damit machen?
                Ich möchte auch nicht, dass mein MS nach Hause telefoniert wenn ich ein Hakerl gesetzt hätte "nicht mehr nach hause telefonieren". Aber das Hakerl gibts nicht.

                Einerseits bin ich irgendwie froh, wenn ich beim "daheim" nachfragen kann, wieso mein MS rebootet hat.
                Und irgendwie nicht, weil die Info sollte lokal geloggt werden und nur mit Zustimmung - wie beim diversen programmen - "daten zur Verbesserung von irgenwas an den Hersteller senden".
                Wenn ich dann eine Analyse möchte, muss ich eben meine logs "heim" senden und jemand muss sich die anschauen.

                  Kommentar

                  • Jan W.
                    Lox Guru
                    • 30.08.2015
                    • 1492
                    #5
                    Mich interessiert schon, welche Produkte "nach Hause" telefonieren, warum und welche Informationen sie dabei an den Hersteller senden. Die erste Abfrage mit der URL / macht wenig Sinn, solange nur ein XML mit dem angegebenen Inhalt zurückgeliefert wird. Es ist aber ein HTTP Code 200=OK, lediglich der Inhalt enthält auf den ersten Blick wenig sinnvolle Daten und ein Code 500, was immer der auch bedeutet. Loxone könnte allerdings auch den Inhalt unter bestimmten (unbekannten) Bedingungen ändern. Die Frage ist, warum das Paket überhaupt gesendet wird? Vielleicht ist es ein "Rest", wenn man den Cloud DNS Dienst nicht verwendet?

                    Die zweite URL gibt da schon mehr Infos mit (MAC-Adresse, Version des MS und indirekt die öffentliche IP-Adresse des MS über den Absender des Paketes). Vielleicht wird hier geprüft, ob ein Update vorhanden ist? Vielleicht dient es aber Loxone nur dazu, zu erkennen, welche Versionen wie häufig bei Anwendern verwendet werden, wo (Land/Region/Stadt) diese stehen. Vielleicht wird die Funktion aber auch für die "News" im Browser oder der App verwendet. Hab die gerade mal aufgerufen und bin auf der Seite http://www.loxone.com/enen/landing-p...d-ad.html#enuk gelandet, die mir mitgeteilt hat:
                    YOUR MINISERVER IS UNAVAILABLE!
                    To access your Miniserver remotely over the Loxone Cloud DNS service, you must register your Miniserver and set up your own personal login details.

                    Hmm, das Loxone nach den gefundenen Sicherheitslücken im Cloud DNS Dienst und Mängeln im Design nun auch noch für den Dienst wirbt, stärkt nicht gerade mein Vertrauen in die Kompetenz von Loxone in diesem Bereich. Da bleibe ich doch lieber bei meinem DynDNS Provider und VPN.

                    Bedenklich sind die hier gefundenen Inhalte aus meiner Sicht nicht, allerdings würde ich es begrüßen, wenn Hersteller eine Option anbieten und nachfragen, ob man der Sammlung von Statistikdaten zustimmt. Verglichen mit der Sammelwut von Facebook, Google, Apple und Co. sind die gesammelten Daten sicherlich nicht allzu umfangreich. Aus der Sicht von Loxone sind sie sicherlich für statistische Zwecke hilfreich. Es bleibt ein fader Beigeschmack, denn man weiß ja nicht, was der MS sonst noch in einem größeren Intervall oder was die App sendet.

                    Gruß Jan
                    Miniserver v14.5.12.7, 2x Ext., 2x Relay Ext., 2x Dimmer Ext., DMX Ext., 1-Wire Ext., Gira KNX Tastsensor 3 Komfort, Gira KNX Präsenzmelder, Fenster- und Türkontakte, Loxone Regen- und Windsensor, Gira Dual Q Rauchmelder vernetzt, 1x Relais-Modul
                    Loxberry: SmartMeter, MS Backup, CamConnect, Weather4Lox
                    Lüftung: Helios KWL EC 370W ET mit Modbus TCP - via Pico-C
                    Heizung: Stiebel Eltron WPF 5 cool (Sole-Wasser WP) mit ISG, FB-Heizung mit 18 Kreisen, Erdsonde - via modbus/TCP
                    Node-RED: IKEA Tradfri

                      Kommentar

                      Vorherige template Weiter
                      Lädt...

                        Wir verarbeiten personenbezogene Daten über Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen, Werbung zu personalisieren und Websiteaktivitäten zu analysieren. Wir können bestimmte Informationen über unsere Nutzer mit unseren Werbe- und Analysepartnern teilen. Weitere Einzelheiten finden Sie in unserer Datenschutzrichtlinie.

                        Wenn Sie unten auf "Einverstanden" klicken, stimmen Sie unserer Datenschutzrichtlinie und unseren Datenverarbeitungs- und Cookie-Praktiken wie dort beschrieben zu. Sie erkennen außerdem an, dass dieses Forum möglicherweise außerhalb Ihres Landes gehostet wird und Sie der Erhebung, Speicherung und Verarbeitung Ihrer Daten in dem Land, in dem dieses Forum gehostet wird, zustimmen.

                        Einverstanden