Antwort schreiben 
 
Themabewertung:
  • 0 Bewertungen - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
25-06-2016, 23:01
Beitrag: #21
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(24-06-2016 21:19)timbaum schrieb:  ...das einfach nur mit den Standardkemmworten gearbeitet wurde, dann ist das genau so fahrläßig, wie einen Haustürschlüssel am Haus im Blumentopf zu verstecken.
Ich sehe das sogar so, dass die Verwendung der Standardpassworte dem Steckenlassen des Hausschlüssels an der Außenseite der Haustür entspricht.
Und trotzdem haben wir auch solche Anlagen schon vorgefunden.

[size=small]Aus Zeitgründen sehe ich meistens von der Korrektur von Schreibfehlern ab. Man möge es mir fazein.[/size]
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
27-06-2016, 17:15
Beitrag: #22
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Also so ein Schmarn im Sommerloch. Wir haben heute Standardmails zu diesem Thema versendet, wenn Jemand angefragt hat. Wir ändern die Zugänge immer, resp. drehen sich die Techniker dann weg und der Kunde ändert selbst. Wieder ein Punkt, warum fachlich Unkundige keine EMA bauen sollten.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-07-2016, 08:21
Beitrag: #23
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Die Standart-Passwort-Diskussion ist doch ein alter Hut. Das Für und Wider ist doch hinlänglich bekannt... Nur um diese Diskussion mal mit "Fakten" zu ergänzen: es gibt KEINEN bekannten bzw. gemeldeten Einbruch über diese vermeintliche Sicherheitslücke.

Kein seriöser Errichter sollte die Installation ohne die Passwörter zu ändern verlassen. Selbst in den meisten Anleitungen und Handbüchern der verschiedensten Hersteller wird darauf hingewiesen. Und wenn der DIY-Erbauer diese aus Bequemlichkeit nicht ändert, dann halte ich es doch ein wenig übertrieben von einer Sicherheitslücke zu sprechen. Denn diese genannte Sicherheitslücke ist - und das betrifft den Großteil aller Sicherheitslücken rund um das Thema Internet - der Nutzer selber.

Ich finde die Art der Berichterstattung zu diesem Thema einfach nur schade und vorallem für Endverbraucher die nicht Internetaffin sind einfach nur verwirrend.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-07-2016, 09:06
Beitrag: #24
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(01-07-2016 08:21)Sneerius schrieb:  ... Nur um diese Diskussion mal mit "Fakten" zu ergänzen: es gibt KEINEN bekannten bzw. gemeldeten Einbruch über diese vermeintliche Sicherheitslücke.

Noch nicht ... Cool - vielleicht waren die Einbrecher bisher einfach "zu blöd" dafür, jetzt haben Sie aber quasi eine "Anleitung" frei Haus bekommen und könnten es doch mal versuchen.

Ich finde es in Ordnung das darauf hingewiesen wird - besonders für die, die selbst Hand anlegen und eben nicht sooo tief drinstecken.

Ausserdem wird dadurch eventuell eine Diskussion über die Sinnhaftigkeit der App-Fernsteuerung im Allgemeinen in Gang gesetzt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-07-2016, 09:36
Beitrag: #25
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Schau dir mal den Artikel vom Spiegel dazu an... das liest sich GAAAANZ anders und als ob schon zig Raubzüge nach diesem Schema passierst sind.

Ich spreche ja gar nicht ab, dass eine Aufforderung das PW zu ändern sinnig ist oder grundsätzlich zufallsgenerierte PW ausgeliefert werden. Aber man sollte bei der Diskussion halt die Kirche im Dorf lassen.

Ich werde den Teufel tun und den Einbrechern den notwendigen Sachverstand absprechen. Aber eine Anleitung ist das noch lange nicht. Und wenn mich nicht alles täuscht ;-) vermischt du gerade den eigentlichen Diskussionspunkt der Passwortsicherheit mit der Appsteuerung. Beides hat in diesem Fall nichts mit einander zu tun :-)

Es wird nicht deine App, dein Mobiltelefon, dein Wlan oder sonst was gehackt. Sondern lediglich per Standartpasswort ins Funksignal deiner Alarmanlage gewurschtelt. Und weil es eine verifizierte Anmeldung an deiner Anlage ist und keine Störung, wird eben kein Jamming erkannt. Je nach Hersteller kannst du Einstellungen der Anlagen ändern bis hin zum Aktivieren/Deaktivieren.

p.s.: ich vermute über 50% der weltweit in Privathaushalten selbst bestimmten vierstelligen Passwörter lautet 1234...unabhängig von Alarmanlagen...bald gehört mir die ganze Welt dank dieses Wissens. Du merkst worauf ich hinaus will :-)
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-07-2016, 09:53
Beitrag: #26
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(01-07-2016 09:36)Sneerius schrieb:  ... Und wenn mich nicht alles täuscht ;-) vermischt du gerade den eigentlichen Diskussionspunkt der Passwortsicherheit mit der Appsteuerung. Beides hat in diesem Fall nichts mit einander zu tun :-)

Oh doch - denn nur wegen der Steuerung durch irgendwelche Apps oder einer Programmiermöglichkeit via Browser ist man gezwungen, das System für Zugriffe von aussen zu öffnen.
Für die normale Alarmierungsfunktionen reicht eine Einbahnstrasse nach draussen ... und damit stellt sich (zumindest dieses) Problem auch nicht mehr.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
01-07-2016, 11:36
Beitrag: #27
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Mal ganz ehrlich... wer die Standard-Passwörter nicht ändert, der hat es nicht anders verdient... . Ich vermute aber, dass die gleichen Leute die die Std-PW's nicht ändern, auch die Leute sind die auf eMails mit dem Inhalt "Sie haben gewonnen!" Geld ins Ausland überweisen um den vermeintlichen Lottogewinn zu bekommen, auch wenn diese Leute genau wissen niemals im besagten Land Lotto gespielt zu haben...

Schweers Anlagentechnik GmbH * Mönchengladbach * Einbruchmeldeanlagen * Videoüberwachung * mechanische Fenstersicherungen DIN18104-2 * Unterbrechungsfreie Stromversorgung (USV) * BHE zertifizierter Facherrichter * www.antec-ups.de
Webseite des Benutzers besuchen Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
05-07-2016, 21:16
Beitrag: #28
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Das Thema wird wohl morgen auch noch einmal bei SternTV in der Sendung behandelt.

Zitat:So unsicher sind zahlreiche Alarmanlagen

Alarmanlagen, die man per Fernzugriff von unterwegs steuern und überwachen kann, werden immer beliebter. Tausende dieser Systeme sichern Privatwohnungen, Geschäfte und Büros in Deutschland. Was viele Besitzer nicht wissen: Ihre Anlage steht für Gauner möglicherweise frei zugänglich im Netz.

http://www.stern.de/tv/tobias-schroedel-...33894.html
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
05-07-2016, 21:51
Beitrag: #29
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Man wird wohl auch in Zukunft in den Grundschulen das Thema IT-Sicherheit besser im EDV Unterricht pflegen müssen. Nicht nur vorlabberm sonder auch entsprechend abprüfen. Sonst geht das nicht in die Köpfe der Leute. Ist eigentlich wie beim Einmaleins. Cool Die Zeiten ändern sich und jetzt haben eben diese Dinge auch einem entsprechenden Platz in unserem Leben eingenommen.

11.Gebot:
Du sollst die Alarmanlage nicht kombiniert mit einer Türverschlusseinrichtung deaktivieren.
—-
Fragen bitte immer ins Forum und nicht meinen Postkasten anfüllen. DANKE!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
06-07-2016, 09:42
Beitrag: #30
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(01-07-2016 08:21)Sneerius schrieb:  ... es gibt KEINEN bekannten bzw. gemeldeten Einbruch über diese vermeintliche Sicherheitslücke...

Wenn der Einbrecher - wie im Artikel beschrieben - nur das Protokoll ausließt um den optimalen Zeitpunkt für den Bruch zu bestimmen, würde vermutlich nicht einmal der Geschädigte selber realisieren, dass er ein Sicherheitsproblem in der EMA hat.

(01-07-2016 08:21)Sneerius schrieb:  ... Kein seriöser Errichter sollte die Installation ohne die Passwörter zu ändern verlassen...

Wenn dann aber Funkmelder die Codes (jetzt vieleicht nicht zum Abschlaten der gesamten Anlage, aber die der einzelnen Melder) im Klartext übertragen, nutzt das auch nur begrenzt.

Insgesamt sehe ich aber eher die Gefahr, dass die Nachbarskinder Spaß daran haben, per Internet Fehlalarme, etc. auszulösen. Ein Objekt auskunschaften, kann man auch prima ohne Zugriff auf die EMA und einfacher als die EMA über das Internet zu hacken und abzuschalten ist die Auswahl eines Objetes ohne EMA (im privaten Bereich sicherlich einfacher zu finden als bei Gewerbeobjekten).
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 16:11
Beitrag: #31
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
In der neuesten c't ist ein Leserbrief abgedruckt zu diesem Thema.

Da hat ein Kunde festgestellt, dass offenbar die ganzen Kunden-Anlagen eines Erreichters einen einzigen Errichter-Code haben.

Anbei der Leserbrief.


Angehängte Datei(en) Thumbnail(s)
   
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 16:40
Beitrag: #32
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
[Bild: Thats-a-cracker-with-hahaha.gif]
...
Das ist ja ein echter Voltreffer Cool
Wahrscheinlich im Büro noch auf nem Postit an die Schreibtischlampe geklebt.Tongue
Der Code? Geburtsdatum vom Chef???

11.Gebot:
Du sollst die Alarmanlage nicht kombiniert mit einer Türverschlusseinrichtung deaktivieren.
—-
Fragen bitte immer ins Forum und nicht meinen Postkasten anfüllen. DANKE!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 16:56
Beitrag: #33
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(09-07-2016 16:11)alarmforum-Nutzer schrieb:  Da hat ein Kunde festgestellt, dass offenbar die ganzen Kunden-Anlagen eines Erreichters einen einzigen Errichter-Code haben.

Auch wenn man es üblicherweise so nicht handhaben sollte, muss man sagen: so lange nur der Errichter den Code kennt, ist das auch kein Problem ... problematisch wird es erst, wenn der Code an Kunden rausgegeben wird oder ein Mitarbeiter die Firma wechselt.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 17:18
Beitrag: #34
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(09-07-2016 16:56)Funkalarmprofi schrieb:  Auch wenn man es üblicherweise so nicht handhaben sollte, muss man sagen: so lange nur der Errichter den Code kennt, ist das auch kein Problem
Der Meinung bin ich nicht. Gerade ein Fachbetrieb sollte hier wirklich für jede Anlage ein eigenes Passwort generieren und in einer entsprechend gesicherten Datenbank abspeichern. Dieses aber von der Firmenzentrale dem Techniker ohne zusätzlichen Kommentar per SMS zusenden wenn der beim Kunden vor Ort ist. Damit da nicht auch wieder Zettelwirtschaft angesagt ist. Und bitte alles über die App Signal.
...
Bin gespannt wann die Kundendienstfahrzeuge geklaut werden. Ich denk da sind auch einige Goldgruben unterwegs. Shy

11.Gebot:
Du sollst die Alarmanlage nicht kombiniert mit einer Türverschlusseinrichtung deaktivieren.
—-
Fragen bitte immer ins Forum und nicht meinen Postkasten anfüllen. DANKE!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 17:22
Beitrag: #35
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(09-07-2016 17:18)evertech schrieb:  ... Dieses aber von der Firmenzentrale dem Techniker ohne zusätzlichen Kommentar per SMS zusenden wenn der beim Kunden vor Ort ist.

Und wie kann man verhindern, das dieses (dann zwar individuelle) Passwort aufgeschrieben / im Handy gespeichert / weitergegeben wird?
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 17:47
Beitrag: #36
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Aufgeschreibrn brauchts nicht. Er hat es an Handy. Wenn der Techniker Passwörter sammelt kannst gar nichts machen. So oder so. Da hast dann den falschen eingestellt. Der hat andere Prioritäten. Für so was gibt es aber eine Vereinbarungen im Arbeitsvertrag als Rückversicherung, daß eine jegliche Speicherung von Passwörtern verboten ist und wie diese Dinge zu handhaben sind. Aber auch wenn jemand das Handy crackt kann er von Signal mit den Passwörtern nichts anfangen. Gibt ja keine Zuordnung zu den Zahlen und bei Telefonklau verwendet man die bekannte Fernlöschung.
...
Daher ganz einfach. Der Techniker ruft wenn er beim Kunden vor Ort ist in der Zentrale an und bittet mit der Auftragsnummer und seinem Identcode um Zugang. Die Zentrale überprüft die Daten, vermerkt Name, Datum und Uhrzeit und sendet per Signal nur den Code an sein Handy. ferdich.

11.Gebot:
Du sollst die Alarmanlage nicht kombiniert mit einer Türverschlusseinrichtung deaktivieren.
—-
Fragen bitte immer ins Forum und nicht meinen Postkasten anfüllen. DANKE!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 20:36
Beitrag: #37
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Nur so nebenbei, warum alles ans Handy senden?

Er kann doch anrufen sich authentifizieren und bekommt den Code angesagt.
Hat den Vorteil nix ist im Handy vermerkt und wenns mal weg ist sind auch keine wichtigen Daten dabei.
Klar kann man damit nicht verhindern das sich der Kollege das trotzdem wo vermerkt aber spätestens beim nächsten mal
wenn er beim selben Kunden vor Ort ist und nicht anruft sollte man sich gedanken machen oder er hat ein gutes Zahlengedächnis.

Aber da gibts ja dieses Blitzdingens von The Man in Black ;-)

Gruß Christian

Murphys Law:
Man hat niemals Zeit, es richtig zu machen, aber immer Zeit, es noch einmal zu machen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 21:26
Beitrag: #38
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
(09-07-2016 20:36)smith007 schrieb:  Nur so nebenbei, warum alles ans Handy senden?

Weil es dann wieder irgendwo notiert wird und danach beim Kunden oder wer weis sonst noch wo liegen bleibt.
Ebenso ist es möglich sehr schnell in die Situation zu kommen sich nochmalig kurz einloggen zu müssen um eine Anpassung durchzuführen. Wenns dann vergessen wurde geht der Tanz mit Anrufen von vorne los und das will keiner. Daher fängt er bei mündlicher Übermittlung gleich zum Notieren an. Somit ist es besser er schaut nur auf sein Handy.
Ich hab zwar beruflich nichts mit Alarmanlagen zu tun aber Passwörter übermittle ich nur in einen Ziffern und Zahlenstring. Der diese Kombi bekommt weis wo er zum Lesen anfangen muss.Big Grin
Einfaches Beispiel für Anfänger:
Übermittelter Zahlenstring
6463467983509

Abgesprochen zwischen den Benutzern ist hier die Zweite und Dritte Stelle.
Die Zweite Stelle zeigt auf den Passwortanfang und die Dritte gibt die Länge vor
Passwort hier wäre 346798
Jetzt sag mir wer kann am Handy mit so einer Nummer was anfangen.Cool
Wenn man das drauf hat geht noch mehr mit Zahlenhüpfen, Subtrahieren oder Addieren.

11.Gebot:
Du sollst die Alarmanlage nicht kombiniert mit einer Türverschlusseinrichtung deaktivieren.
—-
Fragen bitte immer ins Forum und nicht meinen Postkasten anfüllen. DANKE!
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
09-07-2016, 22:42
Beitrag: #39
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Ok macht schon Sinn, wenn es längere Codes sind.
Das Schema was du ansprichst benutze ich übrigens selber auch ;-)

Murphys Law:
Man hat niemals Zeit, es richtig zu machen, aber immer Zeit, es noch einmal zu machen.
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
10-07-2016, 08:49
Beitrag: #40
RE: heise.de: "Sicherheitsleck in vernetzten Alarmsystemen"
Ich glaube, Ihr guckt zu viele Filme ...
Alle Beiträge dieses Benutzers finden
Diese Nachricht in einer Antwort zitieren
Antwort schreiben 




Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste