Haus gehackt in 30min

Diskutiere Haus gehackt in 30min im Forum Automatisierung, Gebäudesystemtechnik & Elektronik im Bereich DIVERSES - Für Freunde von Knx und Hausautomation http://www.ardmediathek.de/tv/markt/mar ... Id=7486252
Status
Für weitere Antworten geschlossen.
Also ... Du schleust einen Trojaner auf ein Gerät im Netzwerk, für das du eine Sicherheitslücke benötigst in der vorhandenen Software. Dann protokollierst du alle lokalen Zugriffe inkl MAC und IP und versuchst die richtige Kombination herauszufinden um auf die Bedienoberfläche des Servers zuzugreifen um herauszufinden, welcher Server im Einsatz ist. Nun benötigst du eine weitere Sicherheitslücke und eine gute Virtualisierung um an die Passwortgeschützte und nur per LAN zugängliche Konfiguration des Servers zu gelangen. Jetzt hast du aber dummerweise immer noch keinen Zugriff auf den KNX-Bus sondern müsstest hoffen, dass jemand so dumm war, die für Dich interessanten Geräte vorzuadressieren in der Server-Konfiguration - Oder du benötigst eine weitere Sicherheitslücke um vom Server das ganze KNX-Kommunikationsprotokoll zu bekommen. Dann muss der Server auch noch im richtigen Segment kommunizieren, sonst müsstest Du über den Koppler - Und dann musst du immer noch herausfiltern, welche Kommandos die für Dich relevanten sind - und den Server dazu bringen, diese zu replizieren, da du ja keinen physischen Zugriff auf den KNX-Bus hast. Und dann kommt zu allem Übel dazu, dass du den Server vorher zu einem anderen Sender umprogrammiert haben musst, damit der Empfänger das Kommando akzeptiert, wenn es sich um einer Sicherheitsrelevante Komponente handelt.

Mal ehrlich ... Ich hoffe du erlangst Zugriff auf Reichtümer, denn du musst für die Sicherheitslücken, deren Existenz nicht einmal bestätigt ist, einige zig tausende auf dem Schwarzmarkt hinblättern, wenn du nicht gerade ein Technik-Ass bist ...

Und selbst in dieser fingierten Welt habe ich noch keine Zutrittskontrolle über KNX laufen lassen ... Die Sache muss ja auch einen Nutzen haben.

Die Server haben i.d.R. nur Zugriff auf die Heizung/klima-Steuerung und die Beleuchtung und schaltbare Steckdosen. bestenfalls kommst du darüber (aber auch ohne) an das NAS mit den Bikini-Fotos der Tochter und kannst diese an xxx-Seiten verkaufen. Zugegeben, auch ein Schaden - aber ... den Aufwand wert?
 
T.Paul schrieb:
Also mir fällt gerade nur einer von hundert ein, wo der KNX-Bus tatsächlich über das Internet erreichbar sein sollte.

Muss ja nichtmal übers Internet sein. Wie schaut es z.B. aus mit Hotels, wo die Hotelgäste unmittelbaren Zugang auf den Bus haben..? Oder öffentliche Gebäude, wo sich der böse Hacker nur mal in der Besenkammer mit seinem Laptop einschließt und sich an den Bus hängt und somit die gesamte Gebäudesteuerung übernimmt..
 
Max60 schrieb:
T.Paul schrieb:
Also mir fällt gerade nur einer von hundert ein, wo der KNX-Bus tatsächlich über das Internet erreichbar sein sollte.

Muss ja nichtmal übers Internet sein. Wie schaut es z.B. aus mit Hotels, wo die Hotelgäste unmittelbaren Zugang auf den Bus haben..?

Wie gesagt, man kann den Zugriff einschränken - es kostet nur doppelt soviel Zeit in der Programmierung und auch etwas mehr Planung um festzulegen von wo welche Funktion nutzbar sein darf ... Und da wird aus unterschiedlichen Gründen gespart, das ist aber nix anderes wie sich den WLAN-Router mit dem voreingestellten Key hinzustellen und zu hoffen, den kennt keiner ... Wenn ich mein Auto nicht abschließe, brauch ich mich nicht wundern, wenn der Nachbar ein neues navi hat und ich nicht mehr ...
 
Ich brauch nur einen Netzwerksniffer, der die Kommunikation deines Tablets mit dem Homeserver mitschneidet. Und wenn du in den letzten 3 Monaten mit dem IE auf eine präparierte Webseite geschaut hast, hast du evtl. einen Trojaner auf dem Rechner, so lannge hat die Firma gebraucht, die letzte schwere Lücke zu stopfen. Aber selbst ohne Lücke reicht das öffnen eines E-mail Anhangs. für den Trojaner.
Wenn der einmal drauf ist, braucht es weiter nichts. und wenn der Anteil der Smart Homes steigt, gibt es garantiert fertige Tools für Hacker, damit jeder Depp sowas machen kann.
Ist alles eine Frage der Verbreitung. Vor 10 Jahren gab es auch noch keine Viren bei Apple, weil sich keiner die Mühe gemacht hat welche zu programmieren.
 
bigdie schrieb:
Ich brauch nur einen Netzwerksniffer, der die Kommunikation deines Tablets mit dem Homeserver mitschneidet.

Und dann hast du maximal die selben Möglichkeiten - Toll, du kannst den Sollwert der Heizung von 21°C auf 16°C stellen ...
 
bigdie schrieb:
Moorkate schrieb:
Na, wer seine Hausinstallation auch unbedingt ans I-Net anschließt, ist selber schuld.
Sonst geht doch das Kellerlicht nicht per ipad zu schalten

Müssen einige anscheinend unbedingt haben. Mir reicht dafür mein alter Bakalit-Drehschalter anno 1953. Ist noch nie abgestürtzt, braucht keine Sicherheitsupdates und wurde noch nie von außen gehakt. Und funktioniert nach über 60 Jahren immer noch

mfG
 
Moorkate schrieb:
bigdie schrieb:
Moorkate schrieb:
Na, wer seine Hausinstallation auch unbedingt ans I-Net anschließt, ist selber schuld.
Sonst geht doch das Kellerlicht nicht per ipad zu schalten
Müssen einige anscheinend unbedingt haben. Mir reicht dafür mein alter Bakalit-Drehschalter anno 1953.

Weder noch, mein Kellerlicht soll automatisch schalten, meistens habe ich die Hände voll, mich stört schon die Tür ...
 
T.Paul schrieb:
Wenn es gewollt ist draußen eine Steckdose zu haben, ist es ja auch keine Lücke, wenn es keine Schaltmöglichkeit gibt um Fremdnutzung zu verhindern - das ist auch einfach nur verpennte Qualität der Ausführung.
...
Darauf verlassen die sich auch nicht mehr und bringen sich ihren Strom gleich mit.
 
T.Paul schrieb:
Weder noch, mein Kellerlicht soll automatisch schalten, meistens habe ich die Hände voll, mich stört schon die Tür ...
Meins schaltet auch "automatisch". Die Tür muss ich noch manuell öffnen; ein kleiner Endschalter macht das Weitere. :wink:
 
bigdie schrieb:
Ich brauch nur einen Netzwerksniffer, der die Kommunikation deines Tablets mit dem Homeserver mitschneidet...

Wenn die App auf dem Tablet per SSL und PFS mit dem Homserver kommuniziert, hilft Dir ein Mitschneiden nix.
 
Moorkate schrieb:
T.Paul schrieb:
Wenn es gewollt ist draußen eine Steckdose zu haben, ist es ja auch keine Lücke, wenn es keine Schaltmöglichkeit gibt um Fremdnutzung zu verhindern - das ist auch einfach nur verpennte Qualität der Ausführung.
...
Darauf verlassen die sich auch nicht mehr und bringen sich ihren Strom gleich mit.

Der Nachbar mit dem Rasenmäher nicht ...
 
T.Paul schrieb:
Moorkate schrieb:
T.Paul schrieb:
Wenn es gewollt ist draußen eine Steckdose zu haben, ist es ja auch keine Lücke, wenn es keine Schaltmöglichkeit gibt um Fremdnutzung zu verhindern - das ist auch einfach nur verpennte Qualität der Ausführung.
...
Darauf verlassen die sich auch nicht mehr und bringen sich ihren Strom gleich mit.

Der Nachbar mit dem Rasenmäher nicht ...
Rasenmähen mit einem Elektromäher - wohl etwas sehr mühsam. Und wie lang soll denn die Kabeltrommel sein? 200m?

mfG
 
T.Paul schrieb:
Das nennt man falsch gebaut, denn man kann den Zugriff an gefährdeten Punkten einschränken oder sperren, ist aber vielen Betrieben zuviel Aufwand und/oder sie sind nicht richtig geschult worden. Das Problem ist nicht Unbekannt ...

Nun ist es aber so das Gewerbe wo man Leute für sicherheitsrelevante Aufgaben einsetzt, daß eine ist, eine
Hausinstallation die vom (Smartphon/Internet) aus sich steuern
lässt eine andere Sache ist.
Die hauseigentümer sind in vielen Fällen überhaupt nicht mit der Technik vertraut können oft die Anlage/Software und was noch dazugehört nicht richtig bedienen,keine Einstellungen usw.
Das heist hier ist ein angreifbares Objekt vorhanden.
Viele haben schon Probleme ein einfaches Betriebssystem aufzuspielen ist der PC 2 Jahre alt wird einfach ein neuer
gekauft und der alte einfach samt Daten entsorgt, weis wovon ich rede ich habe selbst so ein Modell bei Ebay erstanden.
Da waren in den Ordnern noch Bewerbungsanschreiben,Musikdateien,Briefe,jurist Auseinandersetzungen,Anwalts-Mahnschreiben.
In kurzer Zeit habe ich unfreiwillig mitbekommen wie die Mentalität,Lebensart,Vorlieben usw. dieses Typen sind.
Die neue Technik -Das vernetzte Haus- bietet durchaus viele Bequemlichkeiten sie kann aber auch sehr gefährlich sein-
sind in den Räumen noch Überwachungskameras installiert könnte es sein das der hausinhaber und seine Familie 24h nonstop überwacht werden beim essen,schlafen,fi...en eine
Horrorvorstellung der Traum aber jeder Diktatur.
Wieviel bringt der Nutzen gegen die Gefahren?
 
Torfmann schrieb:
T.Paul schrieb:
Das nennt man falsch gebaut, denn man kann den Zugriff an gefährdeten Punkten einschränken oder sperren, ist aber vielen Betrieben zuviel Aufwand und/oder sie sind nicht richtig geschult worden. Das Problem ist nicht Unbekannt ...

Nun ist es aber so das Gewerbe wo man Leute für sicherheitsrelevante Aufgaben einsetzt, daß eine ist, eine
Hausinstallation die vom (Smartphon/Internet) aus sich steuern
lässt eine andere Sache ist.
Die hauseigentümer sind in vielen Fällen überhaupt nicht mit der Technik vertraut können oft die Anlage/Software und was noch dazugehört nicht richtig bedienen,keine Einstellungen usw.

Das ist ein einmalig installiertes System, an dem der Eigentümer ganz bewusst keine Änderungen der Konfiguration durchführen kann - i.d.R. verbauen wir nicht einmal eine passende Schnittstelle, die liegt in der Laptoptasche ... Wir sprechen von der Schulung und der Ausführung der Handwerker, die das System errichten, nicht über den Nutzer.
 
T.Paul schrieb:
Torfmann schrieb:
T.Paul schrieb:
Das nennt man falsch gebaut, denn man kann den Zugriff an gefährdeten Punkten einschränken oder sperren, ist aber vielen Betrieben zuviel Aufwand und/oder sie sind nicht richtig geschult worden. Das Problem ist nicht Unbekannt ...

Nun ist es aber so das Gewerbe wo man Leute für sicherheitsrelevante Aufgaben einsetzt, daß eine ist, eine
Hausinstallation die vom (Smartphon/Internet) aus sich steuern
lässt eine andere Sache ist.
Die hauseigentümer sind in vielen Fällen überhaupt nicht mit der Technik vertraut können oft die Anlage/Software und was noch dazugehört nicht richtig bedienen,keine Einstellungen usw.

Das ist ein einmalig installiertes System, an dem der Eigentümer ganz bewusst keine Änderungen der Konfiguration durchführen kann - i.d.R. verbauen wir nicht einmal eine passende Schnittstelle, die liegt in der Laptoptasche ... Wir sprechen von der Schulung und der Ausführung der Handwerker, die das System errichten, nicht über den Nutzer.
Ist ja noch schlimmer. Wenn ich etwas mit dem Smartphone bedienen kann, brauch ich irgend einen Server, dieser Hat ein Betriebssystem egal ob Windows, Linux oder Unix. Und letzteres braucht Sicherheitsupdates. Und wenn ich dazu alle 3 Monate eine Firma holen muss, dann kann man das Ganze gleich vergessen. Wenn das Teil das automatisch macht, geht irgendwann mal nichts zu bedienen, und wenn es gar nicht statt findet, dann stehen nach kurzer Zeit alle Tore offen für Hacker.
 
Der Server für die Endbenutzerschnittstelle hat gar nichts mit dem Bus-Zugang von außerhalb ... Wisst ihr, wenn Leute reden, die so etwas aus Prinzip nie verbauen würden und deswegen auch nicht kennen -> Kommen solche Berichterstattungen wie Eingangs heraus. Panikmache auf Bild-Zeitungs-Niveau!

Ich klink mich hier aus, bis jemand eine tatsächliche Sicherheitslücke vorweisen kann.
 
T.Paul schrieb:
Der Server für die Endbenutzerschnittstelle hat gar nichts mit dem Bus-Zugang von außerhalb ... Wisst ihr, wenn Leute reden, die so etwas aus Prinzip nie verbauen würden und deswegen auch nicht kennen -> Kommen solche Berichterstattungen wie Eingangs heraus. Panikmache auf Bild-Zeitungs-Niveau!

Ich klink mich hier aus, bis jemand eine tatsächliche Sicherheitslücke vorweisen kann.
Und du redest wie jemand der sowas verkauft, und damit sein Geld verdient auf Vertreter Niveau, da ist dann immer alles schön.
 
bigdie schrieb:
T.Paul schrieb:
Der Server für die Endbenutzerschnittstelle hat gar nichts mit dem Bus-Zugang von außerhalb ... Wisst ihr, wenn Leute reden, die so etwas aus Prinzip nie verbauen würden und deswegen auch nicht kennen -> Kommen solche Berichterstattungen wie Eingangs heraus. Panikmache auf Bild-Zeitungs-Niveau!

Ich klink mich hier aus, bis jemand eine tatsächliche Sicherheitslücke vorweisen kann.
Und du redest wie jemand der sowas verkauft, und damit sein Geld verdient auf Vertreter Niveau, da ist dann immer alles schön.

Dazu muss man noch sagen es gab bereits in den 80iger und 90iger Jahren in den USA Fälle da haben Mitarbeiter die
Alarmanlagen installiert haben hinterher selbst bei ihrer
"Kundschaft" eingebrochen, denn sie kannten die Anlagen
besser noch als der Kunde und wussten wie man sie außer Gefecht setzt.
Auch gab es Geldtransportfahrer die mit dem Transporter verschwunden sind oder selbst in Überfälle involviert waren.
Ohne jetzt in Paranoia zu verfallen aber Missbrauch ist dort wo Menschen arbeiten nie auszuschließen,und an Daten und Informationen gleich welcher Art zu gelangen ist einfach verlockend und wird gut bezahlt den Markt gibt es dafür egal ob es die Nacktfotos/videos der jungen Nachbarin sind, oder
Informationen im sicherheitsrelevanten Bereich. :wink:
 
ALLES kann gehackt werden!

Jegliche Steuerung, Automatisierung, Alarmanlage usw. die über das Internet zu bedienen ist kann gehackt werden.

Das kapieren halt viele nicht - aber es ist so!

Desgleichen ist den meisten ja nicht bewusst wass alles an privaten Daten, Fotos Videos usw. viele der ach so praktischen Apps auf ihren Handy an diverse Server übertragen....

Aber wer hat den was zu verbergen....

Lauter Ahnungslose sind da unterwegs....
 
Status
Für weitere Antworten geschlossen.
Thema: Haus gehackt in 30min
Zurück
Oben