Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Secvest im Fernsehen bei Voss und Team im MDR
15-03-2019, 20:46
Beitrag: #1
Secvest im Fernsehen bei Voss und Team im MDR
Am 14.03. war die Secvest sowie ein Modell von Daitem im Fernsehen im MDR zu sehen. Der Beitrag ist aktuell in der Mediathek zu finden.

https://www.mdr.de/mediathek/fernsehen/v...8fa4e.html

Das Alarmanlagenthema läuft ab Minute ~31...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
15-03-2019, 21:07
Beitrag: #2
RE: Secvest im Fernsehen bei Voss und Team im MDR
Ist bereits bekannt Big Grin

ÖR-Volksverdummungs-TV schadet aber dauerhaft dem Hirn Big Grin
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
16-03-2019, 10:47
Beitrag: #3
RE: Secvest im Fernsehen bei Voss und Team im MDR
Das Thema ist ja schon alt und überholt. Die Fernbedienungen sind ja inzwischen auf Rolling Code umgestellt.

Roy Decker
cm-security Wanfried
Secvest Kompetenz Partner
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
16-03-2019, 11:05
Beitrag: #4
RE: Secvest im Fernsehen bei Voss und Team im MDR
(16-03-2019 10:47)cm-security schrieb:  Das Thema ist ja schon alt und überholt. Die Fernbedienungen sind ja inzwischen auf Rolling Code umgestellt.

Sicher? Ich habe es jetzt nicht überprüft, aber hier steht etwas anderes.

Wir verkaufen keine ABUS, trotzdem wäre es cool, wenn das mal jemand endgültig aufklären könnte.

Nichts desto Trotz ist es m. E. nicht nötig, zu ein und dem selben Thema mehrere Beiträge aufzumachen - das nervt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
16-03-2019, 15:38
Beitrag: #5
RE: Secvest im Fernsehen bei Voss und Team im MDR
Sorry, hatte nur nach "Voss" gesucht und kein Thema gefunden... ...und habe ihn auch immer noch nicht entdeckt. Ist der andere Beitrag im Secvest Bereich?

Gefunden: https://www.alarmforum.de/showthread.php?tid=15285
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
16-03-2019, 16:16
Beitrag: #6
RE: Secvest im Fernsehen bei Voss und Team im MDR
Danke für den Querverweis, was aber nicht erklärt wie im Beitrag ein Angriff gezeigt wurde, der dank Rolling Code längst überholt ist. Im Beitrag wurde ein klassischer Raplay Angriff demonstriert, der mit Rolling Code ausgeschlossen ist. Unabhängig davon ob der einzelne Code jetzt Verschlüsselt ist oder nicht. Code aufzeichnen und 1:1 wiedergeben geht nicht. Wenn die Secvest eine aktuelle FW hat und in der Fernbedienung (Werksseitig) Rolling Code aktiviert ist.

Wenn mich jemand beobachtet während ich eine TAN oder ein OTP-Token im Handy eingebe ist es doch auch halb so wild, da sie anschließend ungültig wird.

Die Geschichte mit der Uhr war mal ganz nett, ich glaube aber nicht, dass es aktuell noch so easy umsetzbar ist.
Es ist leichter ein Ziel zu beobachten wenn jemand einen Zifferncode in eine Tastatur eingibt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
16-03-2019, 16:27
Beitrag: #7
RE: Secvest im Fernsehen bei Voss und Team im MDR
(16-03-2019 16:16)Ollibs schrieb:  Es ist leichter ein Ziel zu beobachten wenn jemand einen Zifferncode in eine Tastatur eingibt.

Sehe ich nicht so ... wenn dem so wäre, dann müssten wir alle massiv um unsere EC Karten bangen, denn dort wäre es viel einfacher etwas zu holen Wink ... aber den meisten Fällen hängen die Tastaturen ja eh im gesicherten Bereich und sind damit relativ safe was das ausspähen angeht.

Wie gesagt: das in meinen Augen größte Risiko geht der Betreiber ein, wenn er sein Bedienmedium bei sich führt und es gestohlen wird ... egal ob Schlüssel, Transponder oder Fernbedienung - alles andere sind Spekulationen im Promillebereich.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 14:11
Beitrag: #8
RE: Secvest im Fernsehen bei Voss und Team im MDR
(16-03-2019 11:05)Funkalarmprofi schrieb:  Wir verkaufen keine ABUS, trotzdem wäre es cool, wenn das mal jemand endgültig aufklären könnte.

https://www.youtube.com/watch?v=ekrwX4Zc6iE
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 14:46
Beitrag: #9
RE: Secvest im Fernsehen bei Voss und Team im MDR
Beeindruckend ... auch wenn ich nicht wirklich glaube, dass sich die Einbrecher von morgen mit derartigem Equipment bewaffnen werden.

Aber wenn man den Film gesehen hat, würde das ja wieder dafür sprechen, dass es dem "Experten" im Beitrag doch genügt hat den Scharf-Befehl zu lesen - der Unscharf Befehl liesse sich dann wohl dementsprechend errechnen.

Ich weiss das Du Dir viel Mühe mit dem Beitrag gemacht hast - und wen es interessiert, der hat sich das jetzt angesehen, aber um niemanden in Versuchung zu führen würde ich es glaube ich begrüßen, wenn das Filmchen nicht unbedingt frei verfügbar wäre, schliesslich gibt es jede Menge "verarschter" ABUS Kunden.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 15:42
Beitrag: #10
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 14:46)Funkalarmprofi schrieb:  Ich weiss das Du Dir viel Mühe mit dem Beitrag gemacht hast - und wen es interessiert, der hat sich das jetzt angesehen, aber um niemanden in Versuchung zu führen würde ich es glaube ich begrüßen, wenn das Filmchen nicht unbedingt frei verfügbar wäre, schliesslich gibt es jede Menge "verarschter" ABUS Kunden.

Nö …. ganz im Gegenteil. Normal müsste der Film-Beitrag millionenfach geteilt werden, bis die Abus-"Spezialisten" endlich wach werden und in die Gänge kommen.

Ich kann die Arbeit von Thomas zwar im Detail nicht nachprüfen weil mir hierzu einfach das nötige Fachwissen fehlt und auch die Zeit sich damit zu befassen, aber …. ich nehme mal an, dass es so ist, wie im Film-Beitrag dargestellt.

Ich finde es jedenfalls prima, dass es Leute gibt wie Thomas, die solche Schwachstellen aufspüren (auch wenn ich der Meinung bin, dass solche Attacken in der Praxis nicht vorkommen). Was mich am meisten ärgert ist eigentlich nicht die Tatsache das man die Zentrale mit solchen Mitteln deaktivieren kann, sondern die Verarsche von Abus einfach die Produktbeschreibung zu ändern. Das ist eigentlich noch viel schlimmer als die Schwachstelle in der Technik.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 15:48
Beitrag: #11
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 14:46)Funkalarmprofi schrieb:  Beeindruckend ... auch wenn ich nicht wirklich glaube, dass sich die Einbrecher von morgen mit derartigem Equipment bewaffnen werden.

Aber wenn man den Film gesehen hat, würde das ja wieder dafür sprechen, dass es dem "Experten" im Beitrag doch genügt hat den Scharf-Befehl zu lesen - der Unscharf Befehl liesse sich dann wohl dementsprechend errechnen.

Ich weiss das Du Dir viel Mühe mit dem Beitrag gemacht hast - und wen es interessiert, der hat sich das jetzt angesehen, aber um niemanden in Versuchung zu führen würde ich es glaube ich begrüßen, wenn das Filmchen nicht unbedingt frei verfügbar wäre, schliesslich gibt es jede Menge "verarschter" ABUS Kunden.

Hallo Funkalarmprofi,

dankeschoen!

Ich habe lange KFZ Elektronik entwickelt. Unter anderem war ich an Zugangskontrollen für KFZ beteiligt. Vor 15 Jahren hat die Autoindustrie auch gesagt, es wird nie passieren, dass sich Diebe mit "Heflerlein" ausruesten. Die Schlagen die Scheibe ein und gut ist. Wenn man sich heute den Markt anguckt, so findet man für viele Autos entsprechendes Equipment. Teilweise werden mehrere tausend Euro für aehnliche Schaltungen wie in dem Video ausgegeben (mit etwas aufwendigerer Software als fuer die Secvest).

Als ich mir die Secvest IP gekauft habe, dachte ich eine Investition für 10 Jahre zu tätigen. Leider war die Anlage komplett unbrauchbar (nicht wegen Security sondern wegen sonstiger Mängel). Damals habe ich mir die "Security" angesehen und mich mit Abus in Verbindung gesetzt. Leider ändert sich nicht viel an der Situation. Erst dem c't Test wurde ein wenig nachgebessert. Aber wieder nur halbherzig. Es werden nach wie vor meiner Meinung nach die Kunden (durch Preis, Produktbeschreibungen, Zertifizierungen, …) in falsche Sicherheit gewogen und es fallen immer noch neue Kunden auf die vermeintliche Sicherheit herein. Würde Abus in der Produktbeschreibung klarstellen, dass die Anlage nicht vor einfachen Angriffen per Funk geschützt ist, wäre alles o.k..
Eine Veröffentlichung hilft sicher nicht den alten Kunden. Aber wenigstens potentiellen neuen Kunden und Errichtern bei der Beratung (in der Diskussion nach dem Fernsehbeitrag hat man ja gesehen, dass selbst Errichter an eine nicht vorhandene Sicherheit glauben). Diese können abwägen, ob sie eine Gefahr innerhalb der nächsten 10 Jahre sehen, oder eher nicht, wenn sie wissen, welchen Schutz die Anlage bietet. Nur ohne dieses Wissen ist es leider schwer und das finde ich einfach nicht fair. Ich werde natürlich keinesfalls den Code veröffentlichen. Nur leider gehört nicht viel dazu, es selbst heraus zu finden.

Das Rolling Code Ding ist nur ein Problem. Eine weitaus einfachere Möglichkeit die Secvest per Funk bei einem Einbruch unschädlich zu machen (ohne auf ein Betätigen der Fernbedienung angewiesen zu sein) ist im Rahmen eines Responsible Disclosures Abus bekannt. Ein seriöses Unternehmen sollte seine Errichter und Kunden meines Erachtens informieren und nachbessern. Aber bisher scheint dies ja noch nicht mal bezüglich Rolling Code geschehen zu sein. Es gab meines Wissen nur die Anpassung der Produktbeschreibung zu der FUBE. Andere Produktbeschreibungen (Secvest Key,...) wurden nicht angepasst, obwohl sie höchstwahrscheinlich das gleiche Problem aufweisen.

Es ist einfach Schade, den Abus hat tolle Ideen meiner Meinung nach. Das man diese auch sicher umsetzten könnte, zeigen Produkte anderer Hersteller (für weitaus kleinere Preise).

BTW: Ich hatte mich damals mit der Secvest IP mal bei einer Anwältin bezüglich Rückgabe erkundigt (Damals waren ja falsche Statements bezüglich Funksicherheit in den FAQ der Abus Webpage und ebenfalls in Beschreibungen). Die Anwältin sagte mir, dass man auf Nachbesserung pochen kann. Erfolgt diese nicht, wäre eine Rückgabe möglich.
Kunden, die nach der alten Produktbeschreibung gekauft haben, haben zumindest mit dem Beitrag die Möglichkeit Nachbesserung bei den Händlern einzufordern...

@Marianne: Danke fuer das Feedback.

VG, Thomas
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 17:01
Beitrag: #12
RE: Secvest im Fernsehen bei Voss und Team im MDR
In Q4 2018 erfolgte seitens Abus noch ein Statement per Mail bzgl. Sicherheit der FB´s. Hier wurde von einem GF nochmal bestätigt, dass die FB´s ein verschlüsseltes Rolling-Code Verfahren implementiert haben und gegen Replay Attacken sicher sind. Da die Abus Werbe-Mails nach unseren selbst erstellten Regeln direkt in den Spam Ordner landen, ist diese leider bereits gelöscht. Smile Der ein oder andere Errichter wird sie denke ich jedoch noch im Verlauf haben...

Das einzige, worin Abus im Bereich der Elektronik gut ist, ist das Marketing. Wofür offensichtlich auch beachtlich mehr investiert wird, als in die Sicherheit ihrer gelabelten Produkte.

Arrow Einbruchmeldeanlagen - Videoüberwachung - Perimeterschutz - Sicherheitsnebel
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 18:59
Beitrag: #13
RE: Secvest im Fernsehen bei Voss und Team im MDR
Hallo,

was für Transponder verwendet Daitem eigentlich?

SG
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 19:21
Beitrag: #14
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 15:48)ThomasD schrieb:  ... Ein seriöses Unternehmen sollte ... informieren und nachbessern.

Das Hauptproblem hierbei dürfte sicher sein, dass ABUS ja nicht Hersteller im eigentlich Sinn ist - sie kaufen einfach genug um das der wirkliche Hersteller deren Namen draufpinselt ... und da wird es eben manchmal schwer eigene Vorstellungen durchzusetzen Undecided
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
23-03-2019, 19:38
Beitrag: #15
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 19:21)Funkalarmprofi schrieb:  
(23-03-2019 15:48)ThomasD schrieb:  ... Ein seriöses Unternehmen sollte ... informieren und nachbessern.

Das Hauptproblem hierbei dürfte sicher sein, dass ABUS ja nicht Hersteller im eigentlich Sinn ist - sie kaufen einfach genug um das der wirkliche Hersteller deren Namen draufpinselt

Ja und? Das ist ja wohl keine Entschuldigung. Dann muss man Druck auf den eigentlichen Hersteller machen, oder eben kommunizieren, dass es mit bestimmten Komponenten „Schwierigkeiten“ gibt und diese nicht mehr vertreiben .... aber nicht einfach die „Fachverkäufer“ im Regen stehen lassen und die Produkteigenschaften ändern.

Merkel-Politik (nix sagen und hoffen das alles gut geht) muss man nicht auch noch im EMA-Bereich haben.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
24-03-2019, 12:00
Beitrag: #16
RE: Secvest im Fernsehen bei Voss und Team im MDR
Naja ... ganz so einfach ist das ja nun nicht, Hersteller die nicht unbedingt auf Aldi, Lidl und Co Niveau stehen ja nicht unbedingt Schlange und selbt professionell tätig zu werden steht wohl (noch?) nicht auf dem Plan bei ABUS.

Und ABUS hat ja dazu noch das "Problem", dass man einen gewissen Spielraum bei der Kalkulation braucht und daher nicht auf den ersten Blick erkennbar sein darf, dass es keine eigene Anlage ist.

Mal sehen wo die Reise hin geht, bzw. ob sich überhaupt was bewegt ...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
24-03-2019, 14:29
Beitrag: #17
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 17:01)SafeHome Moritz schrieb:  In Q4 2018 erfolgte seitens Abus noch ein Statement per Mail bzgl. Sicherheit der FB´s. Hier wurde von einem GF nochmal bestätigt, dass die FB´s ein verschlüsseltes Rolling-Code Verfahren implementiert haben und gegen Replay Attacken sicher sind. Da die Abus Werbe-Mails nach unseren selbst erstellten Regeln direkt in den Spam Ordner landen, ist diese leider bereits gelöscht. Smile Der ein oder andere Errichter wird sie denke ich jedoch noch im Verlauf haben...

Das einzige, worin Abus im Bereich der Elektronik gut ist, ist das Marketing. Wofür offensichtlich auch beachtlich mehr investiert wird, als in die Sicherheit ihrer gelabelten Produkte.

Hallo SafeHome Moritz,

bezueglich RollingCode habe ich am 10.9.2018 Abus detailliert informiert...

(24-03-2019 12:00)Funkalarmprofi schrieb:  Naja ... ganz so einfach ist das ja nun nicht, Hersteller die nicht unbedingt auf Aldi, Lidl und Co Niveau stehen ja nicht unbedingt Schlange und selbt professionell tätig zu werden steht wohl (noch?) nicht auf dem Plan bei ABUS.

Und ABUS hat ja dazu noch das "Problem", dass man einen gewissen Spielraum bei der Kalkulation braucht und daher nicht auf den ersten Blick erkennbar sein darf, dass es keine eigene Anlage ist.

Mal sehen wo die Reise hin geht, bzw. ob sich überhaupt was bewegt ...

Wie sieht es eigentlich mit der Ultivest und dem wAppLoxx aus? Sind das auch Fremdproduktionen? Bei der Ultivest wäre das natürlich nicht so glücklich, da ja nach vielen Awards, im realen Leben viel Ärger bei den Kunden aufgetaucht ist... ...und das Ding glaube ich nach kurzer Zeit wie die Secvest IP tot ist.
Aber die wAppLoxx schien mir erst mal "hochwertig" und mit Bedacht designed (hatte nur den Zylinder und die Basisstation für kurze Zeit in der Hand). Das wäre ja definitiv ein Anfang, wenn es von Abus selbst kommen würde. Ich würde es Abus definitiv wünschen, dass etwas eigenes auf die Beine gestellt wird und der Herstellername nicht durch die eingekauften, und aus meiner Sicht zu teuer verkauften, Systeme leidet.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25-03-2019, 21:52
Beitrag: #18
RE: Secvest im Fernsehen bei Voss und Team im MDR
(23-03-2019 14:11)ThomasD schrieb:  
(16-03-2019 11:05)Funkalarmprofi schrieb:  Wir verkaufen keine ABUS, trotzdem wäre es cool, wenn das mal jemand endgültig aufklären könnte.

https://www.youtube.com/watch?v=ekrwX4Zc6iE

Video ist ersetzt durch https://youtu.be/k_Fw7ZacG9s

(Link zu CVEs hinzugefügt)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25-03-2019, 22:38
Beitrag: #19
RE: Secvest im Fernsehen bei Voss und Team im MDR
Aber die Anlage funktioniert doch nach den Vorgaben von VdS und DIN EN GradII, oder ?

Also nach dem heutigen Stand der Technik ? Sollte dem so sein, führt die Diskussion hier doch ad absurdum.

Gruß Mr.Sintony

Never touch a running system
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
26-03-2019, 15:00
Beitrag: #20
RE: Secvest im Fernsehen bei Voss und Team im MDR
Gerade gefunden. Ganz aktuell ..... Richtig so! Die sollen gefälligst bei Abus in die Hufe kommen Big Grin

https://www.heise.de/security/meldung/Si...49520.html

https://www.golem.de/news/sicherheitslue...40268.html
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 




Benutzer, die gerade dieses Thema anschauen: