Alarmanlagen-Forum - Alarmforum - Fachforum für Sicherheitstechnik / Einbruchmeldeanlagen, Installation / Planung, herstellerunabhängig / wenn es nicht passt v / heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"

Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
24-06-2016, 21:19
Beitrag: #10
timbaum Offline
Super-Moderator
******
 		Beiträge: 4.763
Registriert seit: Jul 2011
Bewertung 44
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Hallo,

ich denke bei der Problematik muss man die Eigenschaften schön sauber auseinander halten.

Trennen wir mal WEB-Zugriff und App-Zugriff.

Bei einem WEB-Zugriff wird DIREKT über eine bekannte IP-Adresse auf das Gerät zugegriffen. Jeder der die Adresse kennt kommt an die "Eingangstür" der Anlage.
Die Berechtigung erfolgt dann über die Eingabe eines Passwortes.
Hierbei ist es halt zwingend notwendig, das vor eingestellte Passwort zu ändern.

Ist das gemacht ist die einzige Hürde noch das Passwort, das sinnvoll kompliziert sein muss.
Eine deutliche Gefahr besteht darin, das meist über das WEB-Interface auch eine Anlagen programmierung möglich ist. Damit steht dann alles offen.


Anders sieht es da bei einem APP-Zugriff aus.
Beschreibe das mal für die Jablotron-App.
Ich denke aber die anderen sollten nicht anders sein.

Hierbei ist die Anlage selber nur in der Lage mit dem Applikationsserver zu kommunizieren. Ein direkter Zugriff ist nicht möglich.
Das bedeutet Ich muss die entsprechende App kennen (das ist meist leicht), dann muss ich mich in das entsprechende Konto einbuchen, Dazu sind zwei Kenngrößen notwendig, der Benutzername und das Passwort. Diese Daten lassen sich nicht per Teststring auslesen. Das bedeutet ich müsste ziemlich viel ausprobieren.
Hätte ich das geschafft, müsste ich immer noch die gültigen Codes zum Unscharf schalten kennen.

Eine Umprogrammierung der Anlage ist über die App nicht möglich.

Zur letzten Frage, bei meinen Anlagen, hat es keinen "Einbruch" über das Interface gegeben. Auch ist mir dies nicht im Kollegenkreis oder im Distributionskanal zu Ohren gekommen.

Wenn ich eine Risikobewertung abgeben dürfte, würde ich sagen, die Wahrscheinlichkeit eines Hackerangriffes auf eine Alarmanlage bis in der Klasse von Telenot und Daitem gegenüber einem Einbruch mit Brechstange und Schraubendrehen, bei 1 : 1 000 000

Ich nehme daher solche Berichte zur Kenntnis, aber wenn die Haupterkenntnis darin liegt, das einfach nur mit den Standardkemmworten gearbeitet wurde, dann ist das genau so fahrläßig, wie einen Haustürschlüssel am Haus im Blumentopf zu verstecken.


Gruß Tim
Ich habe nicht auf jede Frage die passende Antwort,
aber zu jeder Antwort die passende Frage.
Auch wenn es Wenige ärgert, im Zweifelsfall geht mir Information vor Rechtschreibung.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 


Nachrichten in diesem Thema
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen" - timbaum - 24-06-2016 21:19



Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste

Impressum / Datenschutz | alarmforum.de | Nach oben | Zum Inhalt | Archiv-Modus | RSS-Synchronisation