+- Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik (https://www.alarmforum.de)
+-- Forum: Einbruchmeldesysteme nach Hersteller (/forumdisplay.php?fid=97)
+--- Forum: LUPUS Electronics (/forumdisplay.php?fid=166)
+---- Forum: LUPUSEC XT2 (/forumdisplay.php?fid=161)
+---- Thema: XT2 plus: SSL Zertifikat (/showthread.php?tid=14945)
Seiten: 1 2
XT2 plus: SSL Zertifikat - continuouslyboring - 03-01-2019 19:28
Hab mir heute eine XT2 Plus zugelegt, und den halben Tag am Installieren verbracht.
Also dass das SSL Zertifikat nicht austauschbar ist finde ich schon ein wenig seltsam, aber wenn ich mir das installierte Zertifikat so ansehe, hab ich so die Vermutung, dass da auf allen XT2 Plus das Gleiche drauf ist (generiert am 10. Juni 2015). Koennte eventuell mal jemand der ebenfalls eine XT2 plus hat nachsehen wie ihr Zertifikatsfingerabdruck lautet?
Der SHA-256 fingerprint von meiner Box ist:
5A 8E 0C 17 6E 2D 53 5E 4C F2 40 77 FB 64 B8 86
A0 0E 6A 85 61 8A 0F 34 3A BF 40 B0 97 16 82 E6
Mal schauen, aber wenn das tatsaechlich der gleiche Schluessel fuer alle Benutzer ist, waere das schon ein episches Versagen (insbesondere da man ueber DDNS ja von extern drauf zugreifen soll).
Danke!
RE: XT2 plus: SSL Zertifikat - wachwolf - 05-01-2019 11:53
Kann über die Relevanz aus Sicherheits-Sicht nichts sagen,
aber Zertifikat passt.
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 06-01-2019 20:28
Danke!
Ich habe in der Zwischenzeit auch auf anderem Wege bestaetigt, dass alle mit der aktuellsten Firmware von XT2 Plus das gleiche Zertifikat verwenden.
Das heisst es ist ganz einfach moeglich, das Passwort fuer die Anlage aus dem Netzwerkverkehr zu lesen. Das ist zuhause nicht ganz so schlimm (wenn man davon ausgeht, dass nur vertrauenswuerdige Leute das Netzwerk verwenden), aber da die Anlage ja per Port Forwarding praktisch ins Internet gestellt werden kann, wuerde ich es mir zweimal ueberlegen, mich vom Internet aus mit der Anlage zu Authentisieren (ueber das Web oder die Mobile App). Ohne VPN wuerde ich das nicht machen.
Fuer ein Sicherheitsprodukt ist das ziemlich enttaeuschend
.
RE: XT2 plus: SSL Zertifikat - funkistnichtalles - 06-01-2019 21:31
Glaubst du wirklich, dass es so einfach ist das Netzwerkkennwort so mir nichts dir nichts auszulesen? Du weisst, wie die Adresse ist, du weisst, welches Endgerät dranhängt und du weisst, wie das Endgerät arbeitet.
Ich will sagen: DU weisst, dass das ne xt2plus ist, ich scanne dein Netzwerk und bekomme eine IP für ein beliebiges Gerät mit der mac-adresse xy. Ich weiss nicht, was das sein wird, was danach reagiert und was danach als Aktion ausgelöst wird.
Also was soll diese Panikmache?
Das Zertifikat ist jetzt erstmal gültig. Danach musst du erstmal weitermachen wollen oder dann auch können. Bis du das PW geknackt hast, vergeht nochmal Zeit. Die Hackerprofis kümmern sich nicht oder ganz wenig um ne lupus alarmanlage.
Die haben andere Interessen. Wer ne Lupus als Alarmsystem verbaut, hat eh nix zuhause.
Ironie off. Ich setze die Anlage auch ein. Aber nicht bei Kunden, die mir vertrauen.
RE: XT2 plus: SSL Zertifikat - SafeHome Moritz - 06-01-2019 22:39
Es gibt schon Suchmaschinen, welche ungesicherte Smart Home Systeme im Internet ausfindig machen. Dies sind jedoch dann Systeme ohne Passwortschutz oder auch Default-Passwörtern. Das gleiche für IP Kameras.
Interessant wäre in diesem Fall eine Brute Force Attacke, was widerum nur bedingt möglich ist, da dass Konto bei mehreren, hintereinander folgenden Falscheingaben von Passwörtern für eine gewisse Zeitdauer gesperrt wird. Die Arbeit mit Unterstützung von Passwort Sniffern im lokalen Netzwerk wird sich wohl keiner machen wollen.
Zum Slogan "Bei mir ist eh nichts zu holen". Ich weiß gar nicht, wie oft ich diesen schon in Beratungsgesprächen seitens der Kunden gehört habe.
Bei der Lupus Fraktion trifft wohl eher die Geiz ist Geil Mentalität zu, wobei sie schlußendlich nach Fertigstellung ihres DIY-Projekts dann auch häufig feststellen, dass sie für die Summe der bis dahin getätigten Bastel-Investitionen auch zu einem Fach-Errichter hätten gehen können.
RE: XT2 plus: SSL Zertifikat - funkistnichtalles - 06-01-2019 22:44
Mensch SHM, dem ist nichts hinzuzufügen.
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 06-01-2019 22:57
OK, ich interpretiere das mal so, dass ihr keine Fans von Lupus seid
. Das kann ich jetzt auch nachvollziehen.Wegen Panikmache: Das war jetzt nicht mein Ziel, aber come on Lupus. Lupus behauptet: "The XT2 Plus supports SSL encryption (TLS 1.2, SHA-256 with RSA encryption) to enable safe access to the XT2 Plus alarm panel, without disclosing the sent data to a “third party.” "
Wenn der private Schluessel zum SSL Zertifikat im Internet zum Download steht, wuerde ich das jetzt nicht als "safe access" bezeichnen.
RE: XT2 plus: SSL Zertifikat - funkistnichtalles - 06-01-2019 23:03
Das interpretierst du falsch
Ich nehme die Lupus für Anwendungen, wo es wurscht ist, wenn sie mitgeklaut wird.
Ist noch nie passiert, aber die angeschlossenen kameras habens schon mehrmals zerdöppert.
Will sagen, ich setze diese in lost places ein, jedoch sind sie noch nie geklaut worden.
Das ist dem Zustand geschuldet, dass diese Objekte per LTE angeschlossen sind,
Diese nicht ausgelesen werden können und deswegen safe sein wollen??
Käse.
Die lupus ist keine schlechte Anlage. Da gibst mehr Schrott im Markt.
Aber deine Panikmache ist unerheblich.
Ich geb dir morgen mal ne Adresse, wo du dich austoben darfst.
Wenn du soweit bist, dass du auf die Anlage kommst, darfst du dich bei mir melden.
Ich schau hier eigentlich täglich rein, gerne auch per pn.
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 06-01-2019 23:09
Ich glaube du interpretierst mich auch falsch
. Ich hab nie behauptet, dass es aufgrund des SSL-Problems moeglich ist, sich so einfach in die Anlage einzuloggen. Bloss dass wenn jemand den Netzwerktraffic mitlesen kann, dann kann er auch das Passwort mitlesen.Mir ist schon klar, dass das Bedrohungszenario jetzt eher unwahrscheinlich ist - wenn ich von einem offenen Wifi auf meine Anlage zugreife und es liest jemand den Traffic mit, wird er wahrscheinlich nicht zufaellig den privaten Schluessen von der Lupus XT2 Plus dabei haben, und dann noch rausfinden wo ich wohne, damit er in meine Wohnung einbrechen kann.
Trotzdem frag ich mich warum Lupus SSL hat, wenn es komplett fuer die Wurst ist. Da haetten sie auch gleich drauf verzichten koennen, wenn alle Anlagen das gleiche Zertifikat nutzen.
RE: XT2 plus: SSL Zertifikat - funkistnichtalles - 06-01-2019 23:16
Du machst einen Fehler in deiner Argumentation.
Du bist im System unerheblich. Sorry, wenn du das nicht verstehst.
Dein Furz in der Landschaft wird nicht erhört.
Ob dein SSL zertifikat erkannt wird, geht im Rauschen unter.
Kapier es einfach.
Die LUpus funktioniert.
Ob am Ende des Tages ein finanzieller Vorteil zu besseren systemen erscheint, liegt im Auge des Betrachters.
Wenn Diy self vielleicht ja. Aber: ich habe schon lupus Anlagen umgearbeitet, da sind den Usern die Augen aufgegangen, worauf es ankommt und was pillepalle ist.
Dafür bin ich Facherrichter und bin zertifizert.
Ich habe ein Hobby und das kostet mich Zeit. ALarmforum: funkistnichtalles.
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 06-01-2019 23:28
Nix fuer ungut, aber was ist dir denn ueber die Leber gelaufen?
RE: XT2 plus: SSL Zertifikat - funkistnichtalles - 06-01-2019 23:50
Rein garnichts
Hier schlagen regelmaessig Leute auf, die was wissen wollen und nichts bewegen.
Da gehoert dieser Fred dazu.
Er fuehrt zu keinem produktivem Ergebnis.
Es ist nur haette wennste koennste
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 06-01-2019 23:53
OK. Dann ist ja gut :-)
RE: XT2 plus: SSL Zertifikat - olfiHH - 07-01-2019 20:40
mit ein grund, warum man seine Zentrale nicht direkt ins netz hängen sollte, sondern über ein VPN tunneln sollte. Aber du hast natürlich recht, mit dem privaten schlüssel kann jeder der Deinen Netzwerkverkehr mitschneiden kann, das passwort extrahieren. Aber man benötigt den Key halt auch erstmal. Hast du schon versucht ihn aus der Firmeware zu extrahieren? Wird vermutlich irgendwie möglich sein, aber wer weiss, vielleicht hat sich Lupus auch was schlaues einfallen lassen
RE: XT2 plus: SSL Zertifikat - continuouslyboring - 07-01-2019 21:21
Nein, haben sie leider nicht... Der key liegt in /root/script/lupus_svr.key.
RE: XT2 plus: SSL Zertifikat - olfiHH - 07-01-2019 21:28
(07-01-2019 21:21)continuouslyboring schrieb: Nein, haben sie leider nicht... Der key liegt in /root/script/lupus_svr.key.
war auch eher als witz zu lesen. aber spennend. kanns du mir mehr erzahlen, gerne auch per PN wie du ran gekommen bist?
RE: XT2 plus: SSL Zertifikat - powertom - 07-01-2019 22:13
@ continuouslyboring ; Wenn die Aussagen der Fachleute nicht genug Erklärung sind, kannste ja noch Mitglied "lupus" (Fa. Lupus) zu dem Thema einladen.
Vieleicht kann er dir deine Zweifel ausräumen.
RE: XT2 plus: SSL Zertifikat - mucki - 24-01-2020 19:40
Ich würde dieses alte Thema gerne noch mal hervorholen.
Theoretisch ist das Handling mit Zertifikaten seitens Lupusec ja eigentlich "nutzbar". Immer nach dem Motto: wenn der Browser halt mal meckert, dann schaut man halt in die Details und akzeptiert die Situation...
Jetzt ist es aber inzwischen so, dass dieses bei diversen Endgeräten nicht mehr möglich ist. Versucht man zum Beispiel die Lupusec Weboberfläche mit einem iPad und dem Standardbrowser (Safari) zu öffnen, so ist dieses (zumindest beim mir) mit wenig Erfolg gekrönt...
Wie ist das bei euch? Könnt ihr noch mit einem iPad die Lupusec Seite öffnen, ohne einen anderen Browser zu installieren?
VG
RE: XT2 plus: SSL Zertifikat - Wernerw - 25-01-2020 16:32
Hallo
Ohne Probleme mit iPad 7 und Safari
Gruss
Werner
RE: XT2 plus: SSL Zertifikat - mucki - 25-01-2020 17:03
Hallo,
eigenartig...
iPad mit iOS 13.3?
VG
Sorry, Kommando zurück :-)
Habe es gerade noch mal mit einem anderen iPad getestet und ja es geht noch mit "Webseite trotzdem öffnen"...
Meine Schuld, hatte es nur mit einem iPad getestet, welches mit der Policy "Unzuverlässige TLS Verbindungen nicht zulassen" versehen ist...