Sicherheit im Netzwerk mit HTPC (IoT) Hardware stark gefährdet (!) (?)

  • Schwierig bei uns das richtige Unterforum zu finden um das zu berichten, was mich gerade nicht schlafen lässt. Vom Prinzip ist es aber HTPC Hardware denke ich.

    Was ist passiert? (Ich muss ausholen)
    Alexa ist bei mir eingezogen. Die meisten die mich kennen, werden diesen Satz bestimmt mehrfach lesen und danach zum Entschluss kommen, dass mein Zugang gebrochen wurde. Niemals würde sich der Chris so eine Datenschleuder nach Hause holen. Ja - stimmt soweit, aber ich wollte es mal testen und werde mein Netz entsprechend absichern. So dachte ich....
    Alexa hat nun also mal lustig Musik abgespielt und sogar meine Frau und Tochter können Inhalte finden und abspielen also schon mal nicht schlecht irgendwie. Dann habe ich die Verbindung zu meinem Logitech Hub geschlagen und endlich kann meine bessere Hälfte nun auch die Anlage einschalten. Nun gut, Alexa sollte erst mal umziehen weil es mir unheimlich wurde. Ich habe sie also in das "rote Netz" umgezogen, meine Harmony Hub steht allerdings im "grünen Netz", meinem sicheren LAN. Getrennt werden meine 3 Netze von einer pfSense, der Zugriff von "rot" (dem WAN) nach "grün" (dem sicheren LAN) habe ich in der pfSense geblockt. Alles gut, ich kann den Schweiß abwischen. Trotzdem sagte ich irgendwann mal zum testen (Alexa, schalte Verstärker ein). Und dann passierte es. Der Verstärker ging an! Moment mal, mein Gerät von "rot" greift auf mein "grün" zu, obwohl die Authorisation vorher von "grün" nicht erfolgte? Was ist denn hier los? Ich rannte ins Schlafzimmer den Baseballschläger holen und wollte die komplette Verbindung ein für alle mal abschalten, habe mich dann aber doch zusammen gerissen, meine Medikamente genommen und analysiert.
    Hierbei habe ich herausgefunden: Der Harmony Hub verbindet sich mit der AWS-Cloud. (Amazon Web Services) Der Harmony Hub hält die Ports dauerhaft offen um den Zugriff von außen zu gewährleisten! Die Firewall hat also korrekt reagiert, der Hub kommt von Innen und macht die Tür aus, die Russen, CIA, NSA, etc. kommen gleich mit rein und sind in "grün". Damit ist der Weg zu allen meinen Daten geöffnet. Dickes Ding! Ich habe dem Hub die Internetverbindung weggezogen, den DNS allerdings nicht. Dann beginnt dieser so stark zu pollen, dass eine Bedienung meiner Geräte über die Logitech Fernbedienung bis im Minutenbereich Verzögerungen mit sich zieht, bis hin zum Reset /Neustart des Hubs. Eine Trennung des Hubs vom Internet wird nicht toleriert von Logitech... Oder den Russen.... Oder den Diensten... Zieht man dem Hub die komplette Verbindung weg, dass es aussieht wie eine Störung vom Provider scheint dies erst mal keine Wirkung zu haben, der Hub verrichtet dann weiter seine Arbeit korrekt.
    Ich habe dann weiter getestet. Alle IoT Geräte bei mir öffnen Ports und lassen diese offen. Den nutzen meiner Firewall stelle ich somit schon fast in Frage. Für mich ist nun klar, IoT ist Böse und zwar richtig Böse. Alle Geräte, außer meine Linuxrechner sind nun vom Stromnetz getrennt. Das letzte was ich meinte von Alexa zu hören war: Das kann ich leider nicht zulassen, Chris. (Anspielung Odysee 2001 H.A.L.)

    Wie meine Lösung nun aussieht?
    Ich ziehe ein weiteres Netz bei mir hoch, ein IoT Netz. In dem Netz sperre ich alle IoT's ein, die ich habe und die ich noch bekommen werde. Mit den Smartphones bin ich mir noch nicht sicher, wahrscheinlich wandern die auch dorthin. In dem Netz sperre ich dann zu für alle weiteren Netze, ohne Wenn und Aber. Ins WAN dürfen die, aber dann können die Russen, die CIA und die NSA über meine IoT nur noch miteinander chatten oder mir halt das Licht ausschalten. Meine Daten sind dann wieder sicher...

    Auf jeden Fall möchte ich hier noch mal vor dem Harmony Hub warnen, ich halte ihn seit meinen Erfahrungen für einen Türöffner. Seitdem mache ich mir auch mehr Sorgen bei Nachrichten wie: Playstation Daten geklaut oder so. Die Tür ist somit offen - aber so was von!

    Kein Backup - kein Mitleid!

    Einmal editiert, zuletzt von BigChris (20. Januar 2017 um 13:04)

  • Zitat

    mit HTPC Hardware


    Im ersten Moment dachte ich, dass du damit "echte" HTPC Hardware meinst. Also sowas wie einen RaspberryPi, einen Intel basierten HTPC oder ähnliches ;). Hat mich ein wenig verwirrt 8)

  • Die Tür ist somit offen - aber so was von!

    Hatte schon mit den Gedanken gespielt mir eine Harmony zuzulegen,
    Dank dir für die aufklärende Information, komm mir manchmal schon so vor als wäre ich der einzige der sich Gedanken über den Sicherheitsaspekt von Web basierender Hardware macht, bei all den (Blind)gläubigen Jüngern da draußen ^^

    Niemand ist frei, der über sich selbst nicht Herr ist. "Matthias Claudius"

  • Sehr interessant, auch wenn es ja eigentlich bekannt ist, dass die Dinger sehr anfällig sind.

    Und nun muss man sich noch vorstellen, dass es viele gar nicht interessiert, was mit den Daten passiert. Und/Oder die meisten verstehen auch gar nicht, was da passieren kann.
    Mit kommen definitiv keine solchen Produkte ins Haus. Nicht nur, dass es ein Einfallstor für NSA oder die Russen oder ein anderes Land ist. Man macht es auch anderen Hackern deutlich leichter sich in massenweise Heimnetzwerke einzuschleusen und am Tag X einfach alles zu verschlüsseln oder zu löschen was nur geht. "Aber ich habe doch meine Daten "sicher" in der Cloud synchronisiert" höre ich auch oft. Was bringt es in diesem Fall einen Sync zur Cloud zu haben, wenn dort dann auch alles verschlüsselt wird? =)

    Ebenso ziehen die Firmen Nutzerdaten ab und analysieren alles. Wobei man auch hier meiner Meinung nach unterscheiden muss, ob etwas analysiert wird um anonym die Daten zu verwenden um ein Produkt zu verbessern oder die Daten um Geld zu machen verkauft werden. Aber dahin entwickelt sich die Gesellschaft und den meisten ist es egal.

    Warum überhaupt darf dein Harmony Hub durch die Firewall ins Internet? Alleine das würde ich schon sperren.
    Zugriff von außen bedeutet für mich einen SSL VPN Tunnel zu nutzen von meinen mobilen Geräten in eine DMZ. Vom VPN Netz zum Heimnetz auch nur bestimmte IPs und Ports freigeben. =)

  • Danke für den Bericht, @BigChris!

    Werde bei mir auch demnächst mal das Netz inspizieren. Welche IoT Geräte hast Du denn noch mit offenen Ports erwischt?

    Und: Verstehe ich Dich richtig, dass der Hub von außen (durch seine Anbindung an die AWS-Cloud ) gesteuert werden kann?

  • Erlaubst du UPnP oder wie schafft es der Hub Ports in deiner Firewall zu öffnen/zu forwarden?

    Waren auch meine Gedanken. Normalerweise werden Ports doch explizit freigegeben, oder liegen wir da total daneben und das läuft anders?

  • Warum überhaupt darf dein Harmony Hub durch die Firewall ins Internet? Alleine das würde ich schon sperren.

    Um sich Updates zu ziehen, etwa weil sich an der Konfiguration was geändert hat.

    Zugriff von außen bedeutet für mich einen SSL VPN Tunnel zu nutzen von meinen mobilen Geräten in eine DMZ.

    Vom Prinzip ja, aber in der DMZ haben eh alle von WAN aus Zugang. Der VPN Tunnel sollte im grünen Netz enden, im sicheren LAN.

    komm mir manchmal schon so vor als wäre ich der einzige der sich Gedanken über den Sicherheitsaspekt von Web basierender Hardware macht

    Du bist nicht allein. Ich habe ein eigenes Netz für die Geräte meiner Partnerin aufgespannt, weil die sich geweigert hat ein längeres Passwort als 4 Zeichen für den Benutzer Root nehmen. --> Sicherheitslücke geschlossen

  • Werde bei mir auch demnächst mal das Netz inspizieren. Welche IoT Geräte hast Du denn noch mit offenen Ports erwischt?

    Mein Marantz SR6006.
    Der FireTV mit Sicherheit auch, da habe ich mir die Mühe nicht mehr gemacht zu gucken, bzw. da war der Strom schon aus ;)
    Bei meinem Drucker wollte ich noch schauen.


    Verstehe ich Dich richtig, dass der Hub von außen (durch seine Anbindung an die AWS-Cloud ) gesteuert werden kann?

    Korrekt!


    Erlaubst du UPnP oder wie schafft es der Hub Ports in deiner Firewall zu öffnen/zu forwarden?

    Der Logitech geht über Port 80 / 443 raus. Die machst du nicht einfach zu ;)

  • Mein Marantz SR6006.

    Hm, das könnte bei meinem AVR auch interessant werden.

    Wobei ich dachte in der FritzBox Oberfläche nicht gesehen zu haben, dass er mit dem Internet verbunden wäre. Aber es ihm aktiv zu verbieten wäre eine Möglichkeit. Man würde halt dann Optionen wie Webradio oder Softwareupdate per Web ebenfalls einschränken/aufgeben.

    Der Logitech geht über Port 80 / 443 raus. Die machst du nicht einfach zu

    Raus ist ja die eine Sache - Rein eine andere, oder irre ich mich?

    Ist allerdings schon frech, dass man den Hub scheinbar nicht komplett ohne Zugang zu Internet betreiben kann. Kenne das Gerät jetzt nicht gut aber ich denke ein Betrieb nur im LAN wäre durchaus ausreichend, oder?

    Zum Thema "Internetverbindung erforderlich" schreibt Logitech ja nur "Software-Download und anfängliche Einrichtung sind erforderlich."

    Klar sehe ich das Potenzial für einen Angriff auf LAN interne Geräte und Daten über Netzwerkteilnehmer wie AVR, Hub, Alexa, etc. und es ist gut darüber offen zu diskutieren.

    Letztendlich ist es aber wie so oft: Jeder Nutzer, der darum weiß, sollte/muss selbst entscheiden, wie viel seiner gekauften Technik er nutzen kann/möchte, und wie wichtig ihm Sicherheit ist.

    Mir bringt ja z. B. ein Webradio-Player nicht viel, wenn ich ihm den Zugang ins Netz auf Verdacht verwehre, nur weil ich glaube, dass über das Gerät ein Angriff auf mein LAN gefahren kann.

    Ausschließen kann man es natürlich nie vollständig.

  • Wobei ich dachte in der FritzBox Oberfläche nicht gesehen zu haben, dass er mit dem Internet verbunden wäre.

    Du bekommst doch Nachrichten, dass ein Update verfügbar ist auf deinem Receiver. Was meinst du wie die Info reinkommt? ;)


    Ist allerdings schon frech, dass man den Hub scheinbar nicht komplett ohne Zugang zu Internet betreiben kann.

    Das habe ich so nicht gesagt: Zieht man dem Hub die komplette Verbindung weg, dass es aussieht wie eine Störung vom Provider scheint dies erst mal keine Wirkung zu haben

  • Du bekommst doch Nachrichten, dass ein Update verfügbar ist auf deinem Receiver.

    Nein, ich polle selbst :)


    Das habe ich so nicht gesagt: Zieht man dem Hub die komplette Verbindung weg, dass es aussieht wie eine Störung vom Provider scheint dies erst mal keine Wirkung zu haben

    Ah, okay: Habe das so verstanden, dass es keine Wirkung auf das zuvor festgestellte Verhalten (Verzögerungen, Neustart, etc.) hat.

  • Wobei ich dachte in der FritzBox Oberfläche nicht gesehen zu haben, dass er mit dem Internet verbunden wäre. Aber es ihm aktiv zu verbieten wäre eine Möglichkeit. Man würde halt dann Optionen wie Webradio oder Softwareupdate per Web ebenfalls einschränken/aufgeben.

    Webradio ist eine Sache, hier einzelne Ports zu öffnen hab ich vor langer Zeit versucht, da hält sich keiner an feste Port regeln. Zusätzliche Endgeräte halte ich zu 99% für überflüssig in der regel läuft sowieso meist irgendwo ein PC(Endgerät), der halt notfalls für einen Komandozeilen Webstream herhalten muss. Was die updates angeht durfte gestern erst feststellen das z.B. bei Philips die Firmwareupdates, scheinbar nur in Kritischen fällen per WWW verfügbar sind, der rest geht über USB raus.
    Was die Fritzbox angeht, dort wird bei mir sowieso erst mal alles was neu ist geblockt, SB Tanke für Datenkraken, gibts bei mir nur in vorgefertigt Form als durchnittsuser, zum treiben in der Masse. ^^

    Lebt sich insgesamt, na ja irgendwie Friedlicher. :pinch:

    Niemand ist frei, der über sich selbst nicht Herr ist. "Matthias Claudius"

    Einmal editiert, zuletzt von felixNew (20. Januar 2017 um 13:26)

  • Der Logitech geht über Port 80 / 443 raus. Die machst du nicht einfach zu

    Bei meinem IPCop kann ich bestimmte Ports für bestimmte Gerätegruppen bzw. für bestimmte IPs von GRÜN (LAN) nach ROT (WAN) zulassen. Bei mir kommt standardmäßig ein neu angeschlossenes Netzwerkdevice gar nicht ins Internet. Aber wenn das Gerät dann nicht richtig funktioniert ist das natürlich keine Lösung.

    Dann doch lieber ein eigenes Netz, in dem sich alles "proprietäre" tummelt. Bei mir kommt auch kein Gerät, dass ich nicht selbst aufgesetzt habe (und das mit Linux) ins grüne Netz, wenn es mit Rot reden muss. Kommt bei mir alles in die DMZ (das Gerät muss dafür noch nicht mal Serverdienste anbieten, die reine Kommunikation mit den WAN reicht mir da). Wenn ich Windows verwendet, dann nur Internet über DMZ. ;)

  • Ich überlege schon eine weile ob ich auch endlich eine Harte Wand aufziehen soll und alles zumache was nicht sein muss. Wenn das leidige Thema Strom nicht wäre :/
    Man braucht ja nur mal ein Log machen was so über den Tag mit der Außenwelt kommuniziert ... da wird mir persönlich übel :(

    Gibt es eigentliche Hardwareempfehlung für eine FW (pfSense?) ? Von der Sache reicht ja ein N3050 mit 2x LAN die es günstig zu kaufen gibt.

  • Gibt es eigentliche Hardwareempfehlung für eine FW (pfSense?) ? Von der Sache reicht ja ein N3050 mit 2x LAN die es günstig zu kaufen gibt.

    Was spräche denn gegen sowas? https://netgate.com/products/sg-1000.html

    Die HW Anforderungen an pfsense sind ja nicht so hoch: https://www.pfsense.org/hardware/#requirements
    Ggf. könnte auch sowas wie ein Banana Pi (Router) taugen: https://forum.pfsense.org/index.php?topic=79007.0

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!