Hausaufgabe: PW- und Firmeware-Check

[mr.ala]

Kleine Hausaufgabe für's Wochenende...

http://www.heise.de/ct/ausgabe/2016-14-S...42034.html

http://www.heise.de/security/meldung/Sic...47868.html

... ich gehe mal davon aus, dass wir Foren-Aktivisten nicht betroffen sind ;-)

Die erwähnten neuen Firmewares für XT1 und XT2 gibt es hier
http://www.lupus-electronics.de/Neue-XT2...%29-a.html

... und danach am besten die ganze Anlage bzw. das Heimnetzwerk hinter einen VPN Zugang packen.

@Lupus: wäre doch nun ein guterZeitpunkt, den Aufbau eines VPN Tunnel in die App zu integrieren (weil die meisten einen VPN Server im Router haben dürften).
Ein USP, das sich auch prima bewerben lässt.

VG
Mr.ala

[Torte]

@ mr.ala

Hast Du schön in deinem Beitrag zusammengefasst. Hatte gerade den Artikel in meiner C't beim Frühstück gelesen und wollte einen ähnlichen Beitrag verfassen.

Nach Lesen des Berichts habe ich mir erstmal selbst auf die Schulter geklopft, denn bei mir sind alle Passwörter geändert und die Anlage ist nur mittels VPN über das Internet erreichbar. Es scheint aber sehr viele Anlagen zu geben, wo das nicht so ist, siehe verlinkte Artikel. Da werden sicher wieder die Errichter hier den mahnenden Finger heben und das nicht ganz zu Unrecht, wie man sieht.

Nach dem Firmware Update sind übrigens die Logins für 'Expert' und 'User' erstmal deaktiviert. Ich hoffe nur das Lupus den Linux Kernel der XT-Anlagen genügend gesichert hat, damit hier nicht weitere Löcher offen sind!

Als weitere Verbesserung würde ich mir von Lupus wünschen, das alle Benutzer der Anlagen über die App und bei Login über die Web-Oberfläche bei sicherheitsrelevanten Updates eine Benachrichtigung oder Push Meldung zur Aufforderung zum Update der Anlage erhalten.

[Funkalarmprofi]

(25-06-2016 08:23)Torte schrieb:  ... Da werden sicher wieder die Errichter hier den mahnenden Finger heben und das nicht ganz zu Unrecht, wie man sieht.

... und so richtig lachen musste ich, als der "E-Ingenieur" ins Spiel kam, denn augenblicklich hatte ich die vielen, vielen Postings hier im Forum vor Augen, die mit den Worten beginnen: " Ich bin ... " und dann kommen in der Regel Berufsbezeichnungen oder Tätigkeitsbeschreibungen die zwar irgendwas mit "Strom" und / oder "Computer" zu tun haben, aber nie mit der Planung und Errichtung von Sicherheitssystemen.

[alarmwolf]

Das Hauptproblem bei der ganzen Sache war ja eigentlich, dass man den Usern nicht ausdrücklich gesagt hatte, dass sie das Standardpasswort ändern müssen.

Da kann man als normal denkender Mensch natürlich auch nicht auf die Idee kommen, dass 1234 nur ein Standardpasswort des Herstellers ist, welches alle anderen Anlagen dieses Herstellers auch haben.

Man muss natürlich dann als Hersteller die Kunden ausdrücklich auf die Möglichkeit und Sinnhaftigkeit des Änderns solcher für Laien nicht erkennbar "simpler" Passworte hinweisen.

Der gemeine Anwender fragt sich höchstens mal, warum bei sowas Profanen wie Alarmanlagen überhaupt sowas Lästiges wie Passwörter benötigt werden...
Schließlich wird man bereits bei der Arbeit und überall sonst mir diesen lästigen Prozeduren (Zwang zum Passwort ändern und zum Wählen eines komplizierten Passwortes, was sich nachher keiner merken kann) schikaniert. Da will man nicht auch noch im privaten Bereich mit sowas genervt werden.

Also ich habe auch keine Lust, unterwegs immer auf meinen Haustürschlüssel aufzupassen. Deswegen habe ich einen Nagel außen neben der Tür und da hängt der Ersatzschlüssel dran.

Mir hat der Hersteller der Tür bzw. des Schließzylinders nicht mitgeteilt, dass ich das besser lassen soll.