Embed Size (px)
Citation preview
ContentsKeine Hintertürchen 2 ......................................................................................................................... Tür zu! 3 ................................................................................................................................................
blog.s
tromha
ltig.d
e
Best Practice - SmartHome - Keine Hintertürchen
Thorsten Zoerner 2/3 https://blog.stromhaltig.de/2016/02/best-practice-smarthome-keine-hintertuerchen/
Baut man ein Haus, so erwartet wohl keiner, dass der Bauträger noch irgendwo ein Hintertürcheneinbaut und so auch noch in Jahren Zutritt hat. Bei der Automatisierung des Eigenheims muss derBauherr jedoch genau damit leben, denn in der digitalen Welt hat das „Home“ keinen besondernrechtlichen Schutz. Konkret: Den Bauträger könnte man dafür verklagen, den Software/Hardware-Lieferanten nicht.
Im Rahmen der Beiträge zur SmartenVerunsicherung, stellt blog.stromhaltig im Jahre 2016 einigeBest Practices vor, die es Entwicklern ermöglichen sollen, die Schwachstellen zu eliminieren,Verbraucher auf Gefahren hinzuweisen und letztendlich die digitale Energiewende doch noch zumErfolg zu machen.
September 2015, nach Recherchen von blog.stromhaltig (und einiger anderer Blogs), entscheidetsich das Industrial Control Systems Cyber Emergency Response Team (kurz ICS-CERT) zurVeröffentlichung einer Warnung mit dem Titel: SMA Solar Technology AG Sunny WebBox Hard-Coded Account Vulnerability.
Das eigentliche Problem war bereits einige Zeit bekannt, jedoch hatte der Hersteller (final?)beschlossen diese Sicherheitslücke nicht zu schließen. In der zugehörigen Diskussion beim PV-Forum finden sich etliche Spekulationen, warum SMA hier nicht mehr tätig werden will. DieBegründung, dass der Hersteller schlicht kein finanzielles Interesse mehr hat, scheint rechteinleuchtend, will er doch lieber neue Hardware unter das Volk bringen.
Der Hinweis, dass der Kunde doch ein VPN einsetzen soll, oder den Zugriff mit anderen Mitteln(Firewall/Router) sperren soll zeigt, wie man Interesse an Neukunden hat – jedoch nicht anbestehenden. Das Verhalten des Herstellers passt nicht mit der Lebenswirklichkeit im Eigenheimzusammen, bei der man gerne sehr langfristig plant und nicht jedes Jahr etwas neues Kaufenmöchte.
Keine HintertürchenIm Falle von SMA wurde die Firmware des Datenloggers „Webbox“ mit einem vordefiniertenPasswort ausgeliefert. Wer Zugriff auf die Webbox bekommt, kann sich mit diesem Passwort ohneProbleme anmelden. Die bedauerlichen Einzelfälle von Kunden, die den Hinweis von SMA zumbesseren Schutz via Firewall/VPN nicht in die Tat umgesetzt haben, kann man gerne beiShodan.io mit Zahlen unterlegen: 3.800 Webboxen sind allein in Deutschland im Netz…
Das eigentlich kritische an diesen Hintertürchen ist, dass viele Geräte, die sich in der Wildbahn derSmartHomes vorhanden sind keine geeigneten Protokolle (Logfiles) besitzen, damit der Kunde einen(ungewünschten) Zugriff erkennen kann.
blog.s
tromha
ltig.d
e
Best Practice - SmartHome - Keine Hintertürchen
Thorsten Zoerner 3/3 https://blog.stromhaltig.de/2016/02/best-practice-smarthome-keine-hintertuerchen/
Wie bei jeder Softwareentwicklung kann man auch beim SmartHome sehr viele Fehler machen. AusRespekt am besonderen Schutz des Heimes sollten Hersteller darauf verzichten Hintertürcheneinzubauen. Wartungszugänge oder Standardpasswörter sind auf jeden Fall tabu!
Tür zu!
blog.s
tromha
ltig.d
e
