Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
XT2 plus: SSL Zertifikat
03-01-2019, 19:28
Beitrag: #1
XT2 plus: SSL Zertifikat
Hab mir heute eine XT2 Plus zugelegt, und den halben Tag am Installieren verbracht.

Also dass das SSL Zertifikat nicht austauschbar ist finde ich schon ein wenig seltsam, aber wenn ich mir das installierte Zertifikat so ansehe, hab ich so die Vermutung, dass da auf allen XT2 Plus das Gleiche drauf ist (generiert am 10. Juni 2015). Koennte eventuell mal jemand der ebenfalls eine XT2 plus hat nachsehen wie ihr Zertifikatsfingerabdruck lautet?

Der SHA-256 fingerprint von meiner Box ist:
5A 8E 0C 17 6E 2D 53 5E 4C F2 40 77 FB 64 B8 86
A0 0E 6A 85 61 8A 0F 34 3A BF 40 B0 97 16 82 E6

Mal schauen, aber wenn das tatsaechlich der gleiche Schluessel fuer alle Benutzer ist, waere das schon ein episches Versagen (insbesondere da man ueber DDNS ja von extern drauf zugreifen soll).

Danke!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
05-01-2019, 11:53
Beitrag: #2
RE: XT2 plus: SSL Zertifikat
Kann über die Relevanz aus Sicherheits-Sicht nichts sagen,

aber Zertifikat passt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 20:28
Beitrag: #3
RE: XT2 plus: SSL Zertifikat
Danke!

Ich habe in der Zwischenzeit auch auf anderem Wege bestaetigt, dass alle mit der aktuellsten Firmware von XT2 Plus das gleiche Zertifikat verwenden.

Das heisst es ist ganz einfach moeglich, das Passwort fuer die Anlage aus dem Netzwerkverkehr zu lesen. Das ist zuhause nicht ganz so schlimm (wenn man davon ausgeht, dass nur vertrauenswuerdige Leute das Netzwerk verwenden), aber da die Anlage ja per Port Forwarding praktisch ins Internet gestellt werden kann, wuerde ich es mir zweimal ueberlegen, mich vom Internet aus mit der Anlage zu Authentisieren (ueber das Web oder die Mobile App). Ohne VPN wuerde ich das nicht machen.

Fuer ein Sicherheitsprodukt ist das ziemlich enttaeuschend Sad.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 21:31
Beitrag: #4
RE: XT2 plus: SSL Zertifikat
Glaubst du wirklich, dass es so einfach ist das Netzwerkkennwort so mir nichts dir nichts auszulesen? Du weisst, wie die Adresse ist, du weisst, welches Endgerät dranhängt und du weisst, wie das Endgerät arbeitet.
Ich will sagen: DU weisst, dass das ne xt2plus ist, ich scanne dein Netzwerk und bekomme eine IP für ein beliebiges Gerät mit der mac-adresse xy. Ich weiss nicht, was das sein wird, was danach reagiert und was danach als Aktion ausgelöst wird.
Also was soll diese Panikmache?
Das Zertifikat ist jetzt erstmal gültig. Danach musst du erstmal weitermachen wollen oder dann auch können. Bis du das PW geknackt hast, vergeht nochmal Zeit. Die Hackerprofis kümmern sich nicht oder ganz wenig um ne lupus alarmanlage.
Die haben andere Interessen. Wer ne Lupus als Alarmsystem verbaut, hat eh nix zuhause. Big Grin Ironie off. Ich setze die Anlage auch ein. Aber nicht bei Kunden, die mir vertrauen.

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 22:39
Beitrag: #5
RE: XT2 plus: SSL Zertifikat
Es gibt schon Suchmaschinen, welche ungesicherte Smart Home Systeme im Internet ausfindig machen. Dies sind jedoch dann Systeme ohne Passwortschutz oder auch Default-Passwörtern. Das gleiche für IP Kameras.

Interessant wäre in diesem Fall eine Brute Force Attacke, was widerum nur bedingt möglich ist, da dass Konto bei mehreren, hintereinander folgenden Falscheingaben von Passwörtern für eine gewisse Zeitdauer gesperrt wird. Die Arbeit mit Unterstützung von Passwort Sniffern im lokalen Netzwerk wird sich wohl keiner machen wollen.

Zum Slogan "Bei mir ist eh nichts zu holen". Ich weiß gar nicht, wie oft ich diesen schon in Beratungsgesprächen seitens der Kunden gehört habe. Big Grin
Bei der Lupus Fraktion trifft wohl eher die Geiz ist Geil Mentalität zu, wobei sie schlußendlich nach Fertigstellung ihres DIY-Projekts dann auch häufig feststellen, dass sie für die Summe der bis dahin getätigten Bastel-Investitionen auch zu einem Fach-Errichter hätten gehen können.

Arrow Einbruchmeldeanlagen - Videoüberwachung - Perimeterschutz - Sicherheitsnebel
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 22:44
Beitrag: #6
RE: XT2 plus: SSL Zertifikat
Mensch SHM, dem ist nichts hinzuzufügen.
Big GrinLightbulbBig Grin

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 22:57
Beitrag: #7
RE: XT2 plus: SSL Zertifikat
OK, ich interpretiere das mal so, dass ihr keine Fans von Lupus seid Smile. Das kann ich jetzt auch nachvollziehen.

Wegen Panikmache: Das war jetzt nicht mein Ziel, aber come on Lupus. Lupus behauptet: "The XT2 Plus supports SSL encryption (TLS 1.2, SHA-256 with RSA encryption) to enable safe access to the XT2 Plus alarm panel, without disclosing the sent data to a “third party.” "

Wenn der private Schluessel zum SSL Zertifikat im Internet zum Download steht, wuerde ich das jetzt nicht als "safe access" bezeichnen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:03
Beitrag: #8
RE: XT2 plus: SSL Zertifikat
Das interpretierst du falsch
Ich nehme die Lupus für Anwendungen, wo es wurscht ist, wenn sie mitgeklaut wird.
Ist noch nie passiert, aber die angeschlossenen kameras habens schon mehrmals zerdöppert.
Will sagen, ich setze diese in lost places ein, jedoch sind sie noch nie geklaut worden.
Das ist dem Zustand geschuldet, dass diese Objekte per LTE angeschlossen sind,
Diese nicht ausgelesen werden können und deswegen safe sein wollen??
Käse.
Die lupus ist keine schlechte Anlage. Da gibst mehr Schrott im Markt.
Aber deine Panikmache ist unerheblich.
Ich geb dir morgen mal ne Adresse, wo du dich austoben darfst.
Wenn du soweit bist, dass du auf die Anlage kommst, darfst du dich bei mir melden.
Ich schau hier eigentlich täglich rein, gerne auch per pn.

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:09
Beitrag: #9
RE: XT2 plus: SSL Zertifikat
Ich glaube du interpretierst mich auch falsch Smile. Ich hab nie behauptet, dass es aufgrund des SSL-Problems moeglich ist, sich so einfach in die Anlage einzuloggen. Bloss dass wenn jemand den Netzwerktraffic mitlesen kann, dann kann er auch das Passwort mitlesen.

Mir ist schon klar, dass das Bedrohungszenario jetzt eher unwahrscheinlich ist - wenn ich von einem offenen Wifi auf meine Anlage zugreife und es liest jemand den Traffic mit, wird er wahrscheinlich nicht zufaellig den privaten Schluessen von der Lupus XT2 Plus dabei haben, und dann noch rausfinden wo ich wohne, damit er in meine Wohnung einbrechen kann.

Trotzdem frag ich mich warum Lupus SSL hat, wenn es komplett fuer die Wurst ist. Da haetten sie auch gleich drauf verzichten koennen, wenn alle Anlagen das gleiche Zertifikat nutzen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:16
Beitrag: #10
RE: XT2 plus: SSL Zertifikat
Du machst einen Fehler in deiner Argumentation.
Du bist im System unerheblich. Sorry, wenn du das nicht verstehst.
Dein Furz in der Landschaft wird nicht erhört.
Ob dein SSL zertifikat erkannt wird, geht im Rauschen unter.
Kapier es einfach.
Die LUpus funktioniert.
Ob am Ende des Tages ein finanzieller Vorteil zu besseren systemen erscheint, liegt im Auge des Betrachters.
Wenn Diy self vielleicht ja. Aber: ich habe schon lupus Anlagen umgearbeitet, da sind den Usern die Augen aufgegangen, worauf es ankommt und was pillepalle ist.
Dafür bin ich Facherrichter und bin zertifizert.
Ich habe ein Hobby und das kostet mich Zeit. ALarmforum: funkistnichtalles.

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:28
Beitrag: #11
RE: XT2 plus: SSL Zertifikat
Nix fuer ungut, aber was ist dir denn ueber die Leber gelaufen?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:50
Beitrag: #12
RE: XT2 plus: SSL Zertifikat
Rein garnichts
Hier schlagen regelmaessig Leute auf, die was wissen wollen und nichts bewegen.
Da gehoert dieser Fred dazu.
Er fuehrt zu keinem produktivem Ergebnis.
Es ist nur haette wennste koennste

Wahre Männer lesen keine Bedienungsanleitung!
Erfahrung ist eine nützliche Sache.
Leider macht man sie immer erst kurz nachdem man sie brauchte. (Goethe)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-01-2019, 23:53
Beitrag: #13
RE: XT2 plus: SSL Zertifikat
OK. Dann ist ja gut :-)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-01-2019, 20:40
Beitrag: #14
RE: XT2 plus: SSL Zertifikat
mit ein grund, warum man seine Zentrale nicht direkt ins netz hängen sollte, sondern über ein VPN tunneln sollte. Aber du hast natürlich recht, mit dem privaten schlüssel kann jeder der Deinen Netzwerkverkehr mitschneiden kann, das passwort extrahieren. Aber man benötigt den Key halt auch erstmal. Hast du schon versucht ihn aus der Firmeware zu extrahieren? Wird vermutlich irgendwie möglich sein, aber wer weiss, vielleicht hat sich Lupus auch was schlaues einfallen lassen Big Grin

Lupus XT2 plus
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-01-2019, 21:21
Beitrag: #15
RE: XT2 plus: SSL Zertifikat
Nein, haben sie leider nicht... Der key liegt in /root/script/lupus_svr.key.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-01-2019, 21:28
Beitrag: #16
RE: XT2 plus: SSL Zertifikat
(07-01-2019 21:21)continuouslyboring schrieb:  Nein, haben sie leider nicht... Der key liegt in /root/script/lupus_svr.key.

war auch eher als witz zu lesen. aber spennend. kanns du mir mehr erzahlen, gerne auch per PN wie du ran gekommen bist?

Lupus XT2 plus
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
07-01-2019, 22:13
Beitrag: #17
RE: XT2 plus: SSL Zertifikat
@ continuouslyboring ; Wenn die Aussagen der Fachleute nicht genug Erklärung sind, kannste ja noch Mitglied "lupus" (Fa. Lupus) zu dem Thema einladen.
Vieleicht kann er dir deine Zweifel ausräumen.

In fast allen Fällen sitzt der Fehler vor dem Monitor.Big Grin
Gruß Thomas
Für die Richtigkeit, meiner Angaben, gebe ich keine Garantie.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
24-01-2020, 19:40
Beitrag: #18
RE: XT2 plus: SSL Zertifikat
Ich würde dieses alte Thema gerne noch mal hervorholen.

Theoretisch ist das Handling mit Zertifikaten seitens Lupusec ja eigentlich "nutzbar". Immer nach dem Motto: wenn der Browser halt mal meckert, dann schaut man halt in die Details und akzeptiert die Situation...

Jetzt ist es aber inzwischen so, dass dieses bei diversen Endgeräten nicht mehr möglich ist. Versucht man zum Beispiel die Lupusec Weboberfläche mit einem iPad und dem Standardbrowser (Safari) zu öffnen, so ist dieses (zumindest beim mir) mit wenig Erfolg gekrönt...

Wie ist das bei euch? Könnt ihr noch mit einem iPad die Lupusec Seite öffnen, ohne einen anderen Browser zu installieren?

VG
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25-01-2020, 16:32
Beitrag: #19
RE: XT2 plus: SSL Zertifikat
Hallo
Ohne Probleme mit iPad 7 und Safari
Gruss
Werner
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
25-01-2020, 17:03
Beitrag: #20
RE: XT2 plus: SSL Zertifikat
Hallo,
eigenartig...
iPad mit iOS 13.3?

VG

Sorry, Kommando zurück :-)

Habe es gerade noch mal mit einem anderen iPad getestet und ja es geht noch mit "Webseite trotzdem öffnen"...

Meine Schuld, hatte es nur mit einem iPad getestet, welches mit der Policy "Unzuverlässige TLS Verbindungen nicht zulassen" versehen ist...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 


Möglicherweise verwandte Themen...
Thema: Verfasser Antworten: Ansichten: Letzter Beitrag
  XT2 Plus und Alexa robcal 0 352 26-11-2023 13:10
Letzter Beitrag: robcal
  Videoklingel mit XT2 Plus kombinieren Neodym 2 630 22-08-2023 20:07
Letzter Beitrag: ssb-security
  Rauchmelder V1 mit XT2 Plus? Neodym 5 946 16-08-2023 11:09
Letzter Beitrag: Martina H.
  Lupusec XT2 Plus drahtlosen Sensoreingang in beiden Areas aktiv? Oldman 5 1.286 05-08-2023 17:31
Letzter Beitrag: Oldman
  XT2 Plus im Schrank einbauen Killi-T5 5 1.146 31-03-2023 05:30
Letzter Beitrag: Killi-T5
  Lupusec XT2 Plus - kann keine BWG, Statusanzeige Keypad anlernen tor4241 5 1.412 24-03-2023 09:41
Letzter Beitrag: peteralarm
disturbed XT2 Plus SIM-Modem funktioniert in Schweiz nicht mehr! dawy 17 3.199 21-03-2023 17:28
Letzter Beitrag: bastelheini
  Anwesenheit XT2 Plus Hates1209 14 3.322 31-01-2023 21:35
Letzter Beitrag: TritonHawk
  Von XT1 zu XT2 plus mit Branding "Ever Energy" Gunter Philipsohn 2 1.179 16-01-2023 13:53
Letzter Beitrag: Gunter Philipsohn
  Xt2 plus gegen xt 2 neue FW alte FW funkistnichtalles 0 930 29-12-2022 23:51
Letzter Beitrag: funkistnichtalles



Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste