Fatales Sicherheitsleck beim Smart-Home-System von Loxone

Fatales Sicherheitsleck beim Smart-Home-System von Loxone Da uns nun schon mehrfach unsere Kunden auf dieses Thema angesprochen haben, möchte ich heute auch nochmal von unserer Seite ein Statement zu diesem Thema abgeben. Der originale Artikel ist hier zu finden: http://m.heise.de/ct/ausgabe/2016-19-Fatales-Sicherheitsleck-beim-Smart-Home-System-von-Loxone-3306780.html Was muss man also tun, um diese Sicherheitslücke ausnutzen zu können? Zum einen muss am Miniserver erstmal der Standardbenutzer in Kombination mit dem Standardpasswort vergeben sein (admin/admin). In diesem Zustand werden die Miniserver von Loxone ausgeliefert. Dieses Passwort wird von uns deshalb immer als erstes in ein sicheres Passwort bestehend aus einer Buchstaben-Zahlen-Sonderzeichen-Kombination geändert. Damit ist das erste Problem schon gelöst. Zum anderen muss der Miniserver für einen Angriff über das Internet (z. B. durch eine Portweiterleitung am Router) erreichbar sein. Dies ist bei unseren Kunden nicht immer gegeben. Besonders fatal ist es dabei, wenn man den Loxone eigenen CloudDNS-Service verwendet (eine Alternative zu anderen DynDNS-Diensten), da sich bei diesem Service die externen Webadressen, unter denen die Miniserver aus dem Internet erreichbar sind, sehr leicht erraten lassen. So kann der Service gezielt nach erreichbaren Miniservern gescannt werden. Dazu sind nur wenige Scriptzeilen notwendig, sodass ein derartiger Scan auch von Laien durchgeführt werden kann. Wir weisen unsere Kunden immer explizit darauf hin, dass ein sicherer Zugang nur mittels VPN sichergestellt werden kann. Auf Wunsch richten wir diesen bei unseren Kunden auch ein! Loxone hat den DNS Dienst mit den Userdaten admin / admin übrigens blockiert und als Reaktion auch einen Blog Artikel geliefert. Etwas versteckt, aber hier ist noch einmal der Hinweis zu finden, wie wichtig die Wahl sicherer Zugangsdaten ist und dass der Miniserver auch ohne Internet und vor allem ohne Cloud funktioniert. Hier ist der Link: http://www.loxone.com/blog/dede/mein-miniserver-meine-daten-meine-sicherheit-mein-smart-home. Zusammenfassend sei gesagt, dass sich Sicherheitsprobleme bei den installierten Systemen der Firma Smart Homes auf Grund von unsicheren Passwörtern oder Zugängen nicht ergeben. Fühlen Sie sich jederzeit sicher in Ihrem Safe Home von der Firma Smart Homes. Um auf Nummer sicher zu gehen schauen Sie sich doch auch unsere Sicherheitspakete für Ihr Smart Home unter http://unser-smart-home.de/sicherheit und http://unser-smart-home.de/fuer-sicherheit/ an.

Photos from Smart Homes's post

Heute wird eine schöne Wohnung in Iserlohn zu einem "Smart Home". Der Bauherr wünschte sich eine zeitgemäße Ausstattung mit Musikserver, Lichtsteuerung, Bewegungsmeldern, Heizungssteuerung usw. Wir haben alles für ihn geplant und umgesetzt. Mache auch Dein Zuhause zu einem Smart Home. Wir helfen Dir gerne dabei.

Smart Homes

Smart Homes's cover photo

Smart Homes

Smart Homes