Wie sicher ist die LUPUSEC Alarmanlage?

[bastelheini]

(05-10-2020 21:47)peteralarm schrieb:  Lesen und verstehen war noch nie deine Stärke.....

Das darfst du gerne auf dich selbst reflektieren, denn:

(05-10-2020 21:47)peteralarm schrieb:  Die Wege, welche prof. Sicherheitstechnik für die App nutzt, sind gänzlich andere.

Gut, wenn das denn so anders ist, erkläre uns doch bitte, auf welchem Weg man von außen zur Anlage gelangt außer via

a) Aufschaltung der Anlage oder eines verbundenen Übertragungsgerätes (wie im Falle der von dir hier im Thread genannten Daitem) ins Internet via "Portfreigabe"

oder

b) Verbindung via P2P-Technik, wie heutztage üblich (ob die Verbindung am NAT vorbei aufgeschossen wird, eine Socket-Verbindung steht o.ä., ist erstmal egal) - Anlage/Übertragungsgerät verbindet sich zum Anbieter-Server, darüber erfolgt der Zugriff.

Und bitte ebenso die Erklärung, warum der dritte Weg denn sicherer sein sollte.

Im Falle der Daitem ergibt sich doch alles aus der Anleitung. In Punkt 4.2.3. der D22 siehst du den Aufbau nach Punkt b), das Übertragungsgerät und externes Zugriffsgerät sind sternförmig über das "Daitem Internet-Portal" miteinander verbunden. Das ist der Anbieterserver, für die Apps ist das z.B. "app.e-daitem.com", im Browser https://e-daitem.com/. Und auch eine Skizzierung für den direkten Zugriff über das heimische LAN. Alles, wie üblich und von mir dargestellt. Kein dritter, bis heute unbekannter Weg erkennbar.

Und auch weiterhin steht in der Anleitung: "Die von Daitem vertriebenen Übertragungsgeräte arbeiten auf der Grundlage von Telekommunikationsnetzen (öffentliche/analoge Telefonnetze, Mobilfunknetze, GSM, IP, GPRS, WIFI etc.)." Also wie zu Erwarten und logisch: OSI-Layer 1-7 mit seinen entsprechenden Protokollen in den Zwischenschichten, und jetzt glaubst du im Ernst, das hätte man alles in der Box selbst implementiert und nicht, wie üblich, auf ein embed fähiges Minilinux (z.B. busybox) zurück gegriffen mit entsprechenden Opensource-Komponenten? Dessen Pakete ständig aktualisiert/gepatcht werden (und per Update auf die Box müssen), weil jeden Tag verteilt neue Lücken entdeckt werden, neue Standards einfließen (z.B. TLS 1.2/1.3 - alles drunter gilt mittlerweile als gebrochen).

Der Weg ins heimische Netz ist auf den ersten Blick alles das gleiche, wie bei den anderen Geräten - und darum ging es in meiner Aussage... Ob die Implementierung (insb auf L7) jetzt besser ist oder nicht, das kann nur ein Audit zeigen, der jährlich wiederholt wird. Entsprechende Zertifizierungen würde aber normalerweise bewerben, denn sie sind nicht billig.

Wieviel Manpower und Ressourcen da jetzt drin stecken, vermag ich nicht einzuschätzen, die App-Bewertungen bei Google und Apple selbst sehen aber nicht so gut aus, zum Stand heute, und das mit scheinbar generellen (Verbindungs-)Problemen. Kein gutes Zeichen.

Funktionen über das Internet-Portal u.a.: Anzeige des Anlagen-Status, einfache Systemkonfigurationen (z.B. Ändern von Tel-Nummern!), Alarmsystem bedienen (z.B. Ändern des Systemzustands -> deaktivieren!?), aufgenommene Videos bzw den Stream der Überwachungskameras anschauen. Man braucht dann noch den in der Anlage hinterlegten Code (d.h. ein Geheimnis, dass der Server erstmal nicht direkt kennt, gut). Spekulation: Der ist ja im Übertragungsgerät und nicht in der Anlage und lässt sich ggf. über die ein oder andere Lücke eben doch auslesen (z.B. durch Speicherüberlauf z.B. eben in den Fremdsoftware-Komponenten) oder verändern. Gerne landet sowas auch in Logs auf dem Anbieterserver, in denen es dann wieder rum durch Dritte auslesbar ist (Mitarbeiter bzw. Personen mit Zugriff, externe durch Lücken). Das sind die klassischen Angriffsszenarien bzw. Nachlässigkeiten, die nicht selten zum Ziel führen. Alles Dinge, die im Rahmen einer Risikoanlyse betrachtet werden müssen. Und selbst, wenn man über das übernommene Gerät die Haupt-Anlage eben nicht habbar werden kann, ist man eben im Netzwerk und könnte eben den ganzen Zirkus treiben, den du den China-Cams vorgeworfen hast.