Smart Home Smart Home und Sicherheit

[maat]

Hallo, einige von euch haben es sicherlich gesehen, auf dem 35C3 gab es einen sehr sehenswerten Vortrag zum Thema Smarthome.
Ich persönlich war beim Schauen ehrlich gesagt ziemlich entsetzt was da mittlerweile verkauft wird.

Aber schaut es euch erstmal selbst an, 50min die wirklich sehr schnell vorbeigehen:

Ich fasse mal zusammen:

Im Smarthomegeräten werkeln Standardchips die von Haus aus quelloffen sind und mit der Standardfirmware schonmal das Wlanpasswort im Klartext übertragen. Diese Geräte funktionieren nur mit der Cloud des Herstellers (der aber nicht der Hersteller des betreffenden Chips ist).
Jeder kann zum Beispiel die smarten Lampen kaufen, mit dem eigenen Brand versehen und mit eigener Firmware. Wird die Lampe ins Heimnetz eingebunden wird sofort der Wlan-Name und Passwort in die Cloud übertragen. Konfiguriert man das ganze über die Smartphone App so ist es möglich sogar Standortdaten mitzuschicken etc.
Es ist nicht möglich diese Geräte ohne Cloud zu benutzen. Die Firmware kann vom Hersteller im Silentmode geändert werden, on the fly. Es werden für jedes device Protokolldaten angelegt, eine Anwesenheitsanalyse ist kein Problem (wann gehen welche Lichter an und aus z.bsp.).
Möchte man das umgehen muss man mit eigener Firmware und eigener Cloud arbeiten.....

Ich habe hierzu paar Fragen an die Smarthome Spezialisten:

1. Funktionieren die Xiaomis auch ohne Cloudanbindung?
2. Gibt es eine Bridge wie bei Hue die alles regelt und die man dann somit vom Internet trennen kann?
3. Erkennt jemand die gezeigten Lampen?

Gruss maat

 

[MathiasJ]

Gut, was Du uns jetzt zeigen willst, ist nicht wirklich eine Neuigkeit.
Da ich Clouds nicht liebe, muß man schon wissen, was man da tut.
Jetzt vom Anfang an, was ich machen würde:

1. Xiaomi Yeelight haben eine betriebdeigene Firmware. Man kann sie nicht ändern, aber man kann sehr wohl in den Router-Einstellungen den Internetverkehr unterbinden. In der Fritzbox ist das die Kindersicherung.
2. Xiaomi Gateway und die dazugehörigen Sensoren und Aktoren arbeiten im Zigbee Funkstandard. Es gibt hier 2 Möglichkeiten. Entweder wir unterbinden den Internetverkehr des Gateways (siehe Yeelight) oder wenn ich die Sensoren und Aktoren z.B. in IObroker einbinden will ersetze ich das Gateway durch einen Zigbee-Dongle, der direkt an der IObroker-Installation angeschlossen und angelernt wird. Soviel ich weiß, kann an diesem Stick nicht nur Xiaomi-Teile angelernt werden. Hier findest Du die ganzen Geräte, die unterstützt werden: Supported devices
3. Alle WLAN-Schalter wie Sonoff können mit einer alternativen Firmware programmiert werden. Da Openhab, IObroker und Co nur die Sprache MQTT sprechen, ist ein flashen einer anderen Firmware unbedingt notwendig! Auch diese Firmware telefoniert nicht mehr nach Hause.
4. Google Assistent und Amazon Alexa arbeiten auch mit einer Cloud. Da gibt es leider keine Möglichkeit denen eine Verbindung mit einer Cloud auszutreiben. Entweder man verzichtet ganz drauf, oder man baut sich seine eigene OFFLINE Sprachsteuerung, die OHNE Cloud auskommt, wie z.B. snips.

Ich hoffe, ich konnte Dir weiterhelfen.
Gruß,
Mathias

 

[maat]

Gut, was Du uns jetzt zeigen willst, ist nicht wirklich eine Neuigkeit.

Naja, prinzipiell war mir das auch vorher bewusst. Allerdings die schiere Menge und der geradezu lächerlich einfache Weg des Inverkehr bringens hat mich schon überrascht.

Xiaomi Yeelight haben eine betriebdeigene Firmware. Man kann sie nicht ändern, aber man kann sehr wohl in den Router-Einstellungen den Internetverkehr unterbinden. In der Fritzbox ist das die Kindersicherung.

Ok, das ist eine einfach zu realisierende Maßnahme.
Benötigt man den zur Erstinbetriebnahme ein Mi-Konto oder ähnliches?

Xiaomi Gateway und die dazugehörigen Sensoren und Aktoren arbeiten im Zigbee Funkstandard. Es gibt hier 2 Möglichkeiten. Entweder wir unterbinden den Internetverkehr des Gateways (siehe Yeelight) oder wenn ich die Sensoren und Aktoren z.B. in IObroker einbinden will ersetze ich das Gateway durch einen Zigbee-Dongle, der direkt an der IObroker-Installation angeschlossen und angelernt wird. Soviel ich weiß, kann an diesem Stick nicht nur Xiaomi-Teile angelernt werden. Ob jetzt aber Phillips und Osram dabei ist, kann ich jetzt nicht auf die schnelle sagen.

Ok.

Google Assistent und Amazon Alexa arbeiten auch mit einer Cloud. Da gibt es leider keine Möglichkeit denen eine Verbindung mit einer Cloud auszutreiben. Entweder man verzichtet ganz drauf, oder man baut sich seine eigene OFFLINE Sprachsteuerung, die OHNE Cloud auskommt, wie z.B. snips.

Das beherrschen geschätzt 0.001% der Zielgruppe. Obgleich Google Assistant und Amazon Alexa ja gar keinen Hehl daraus machen und das ganz offen kommunizieren.
Im hier vorliegenden Fall baut man sich aber ne Menge Wanzen ins Haus deren Gesprächigkeit nirgends dokumentiert ist. Es sei denn man zählt zu den 0,001% die den Quellcode lesen können.

Aber nochmal: selbst wenn man den Devices das Internet abdreht damn wird wenigstens innerhalb des Netzwerks der Schlüssel im Klartext übertragen. Den Auszulesen ist ein Kinderspiel, das schaffen nicht nur Script Kiddies.

 

[MathiasJ]

Genau aus diesem Grund ändere ich

1. Regelmäßig den WPA2-Schlüssel
2. Regelmäßig den VPN-Zugang.

Aber jetzt Hand auf's Herz! Wie viele Benutzer haben das Modem angeschlossen und machen sich nicht mal die Arbeit, den Benutzer und das Paßwort von Admin und Admin auf ein eigenes Login zu ändern? Wie viele Leute surfen zuhause in einem offenem WLAN?
Du wirst erstaunt sein, wenn ich Dir schreibe, bei wie vielen Nachbarn ich war, um deren WLAN sicher zu machen.
Wenn Du nicht willst, daß bei Dir zu.Hause die devices per WLAN kommunizieren, dann mußt Du auf ein anderes System umsteigen.
EQ3 kommunizieren im 868MHz Funkstandard, der AES-verschlüsselt ist. Aber viorher brav den Schlüssel ändern. Der Chaos communication Congress hat auch schon den originalen Schlüssel geknackt.
Gruß,
Mathias

 

[maat]

Genau aus diesem Grund ändere ich

1. Regelmäßig den WPA2-Schlüssel
2. Regelmäßig den VPN-Zugang.

Was bei Klartextübertragung nix nützt.

Aber jetzt Hand auf's Herz! Wie viele Benutzer haben das Modem angeschlossen und machen sich nicht mal die Arbeit, den Benutzer und das Paßwort von Admin und Admin auf ein eigenes Login zu ändern? Wie viele Leute surfen zuhause in einem offenem WLAN?
Du wirst erstaunt sein, wenn ich Dir schreibe, bei wie vielen Nachbarn ich war, um deren WLAN sicher zu machen.

Das kenne ich nur zu gut. Dennoch ist die Dimension mit den kompromittierten Smarthome-Devices ungleich größer und ehrlich gesagt schon einen Zacken schärfer. Das betrifft dann quasi jeden Käufer - auch jene die auf Sicherheit wert legen und im Rahmen ihrer normalen technischen Möglichkeiten alles für ihre Sicherheit tun (WPA2, rootpasswort ändern etc.)

Wenn Du nicht willst, daß bei Dir zu.Hause die devices per WLAN kommunizieren, dann mußt Du auf ein anderes System umsteigen.

Das möchte ich garnicht. Ich möchte WLAN nutzen, aber dann sicher. Es gibt keinen Grund bei WLAN automatisch von einem unsicherem Standard auszugehen.
Ein Netz ist halt auch nur so sicher wie die Geräte die in ihm kommunizieren.

Benötigt man für die MiHome Produkte ein MI-Konto für die Ersteinrichtung?

 

[MathiasJ]

Ich habe mein System auf EQ3-Geräte und Xiaomi Smarthome ohne Gateway aufgebaut.
Inwieweit die ooensource Firmware der Sonoff den WPA2-Key überträgt, weiß ich noch nicht.
Aber wenn Du auf Nummer sicher gehen willst, dann entweder auf EQ3 umsteigen, wegen dem sicheren AES verschlüsseltem Funkstandard, oder einen zweiten Router anschaffen der nicht am Netz hängt.
Was kann dann der Eindringling machen, außer Dein Licht ein- und ausschalten?
Nachteil: der Smarthome-Effekt ist weg bei einem 2. Router.
Um Deine Frage zu beantworten, jain.
Kommt darauf an, wie Du die Smarthome-Geräte konfigurieren willst .
Bei dem Gateway brauchst Du ein MI-Konto, beim Zigbee-Dongle nicht.

 

[maat]

oder einen zweiten Router anschaffen der nicht am Netz hängt.
Was kann dann der Eindringling machen, außer Dein Licht ein- und ausschalten?

Solange ich nur Lampen betreibe, genau das - Licht AN und AUS ;-)
Aber du weißt ja selber was smarthome wirklich bedeutet ;-)

Nachteil: der Smarthome-Effekt ist weg bei einem 2. Router.

Definitiv.

 

[MathiasJ]

Um diese Diskussion zu beenden, die eh zu nichts führt:
Wenn die Geräte, die den WLAN-Schlüssel offen übertragen an einem anderen Router hängen, dann kann der Eindringling auch nur diese Geräte bedienen, oder sehe ich das falsch?
Oder andere Möglichkeit: ich wechsle auf ein sicheres System. KNX kannst Du ja auch vergessen. Auch dieses kabelgebundene System ist nicht abhörsicher.
Oder denkst Du jetzt ernsthaft, die Hersteller werden ihr System ändern?

 

[maat]

Um diese Diskussion zu beenden, die eh zu nichts führt:

Bitte was?
Es steht dir natürlich frei, der Diskussion die Würdigkeit der Fortführung abzusprechen.
Ich sehe gerade das du auf dem Gebiet des smarthome schon sehr weit bist, insofern wundert es mich dass du auf der einen Seite offene Wlans kritisierst und auf der anderen einem vollkommen ungeschütztem SmartHome eine gewisse Akzeptanz bescheinigst.

Wenn die Geräte, die den WLAN-Schlüssel offen übertragen an einem anderen Router hängen, dann kann der Eindringling auch nur diese Geräte bedienen, oder sehe ich das falsch?

Vollkommen richtig. Wobei ich dem Wörtchen "nur" - selbst in dieser absolut unpraktischen Systemstruktur mit einem extra Router - doch eine gewisse Beachtung schenke. Bestenfalls geht auf dem Klo das Licht an, schlimmstenfalls die Haustüre auf oder die Alarmanlage aus.

Oder andere Möglichkeit: ich wechsle auf ein sicheres System. KNX kannst Du ja auch vergessen. Auch dieses kabelgebundene System ist nicht abhörsicher.

Hmm, mir geht es eigentlich nicht um 100%ige Abhörsicherheit sondern um von Haus aus absolut offene Hardware.

Oder denkst Du jetzt ernsthaft, die Hersteller werden ihr System ändern?

Wie kommst du darauf? Ich habe nicht den Eindruck das vermittelt zu haben.

Gruss

 

[MathiasJ]

Nochmal:
Wie soll bei meiner Smarthome-Installation die Wohnungstüre aufgehen?
Ich spreche jetzt nur von meiner Installation.
Alle Xiaomi-Geräte hängen am USB-Stick meines IObroker-Rechners. Ein Xiaomi Gateway das nach hause telefoniert gibt es nicht.
Fakto: wie soll ein Gateway, das es nicht gibt, einen WLAN-,Key offen übertragen?
Wenn Du ein Alarmsystem einbauen willst, das auf WLAN-Kommunikation setzt, selbst schuld!
Ich bin den sicheren und wahrscheinlich auch den teureren Weg gegangen, weil ich den WLAN-Teilen (noch) nicht traue.
Vielleicht kaufe ich mir irgendwann mal die Ikea-Leuchten. Aber auch nur, weil sich diese ebenfalls mit dem Zigbee-Dongle einbinden lassen.
Yeelight kommt mir nicht ins Haus, solange nicht geklärt ist, welchen Übertragungsstandard die haben.
Wie Du siehst, habe ich derzeit mit Geräte, die sich per WLAN einbuchen nichts am Hut, außer den Sonoffs, weil ich weiß, dass die Übertagung und der handshake mit der von mir installierten FW auch verschlüsselt ist.
Zum Ausschalten einer WLAN-gestützten Alarmanlage brauche ich einen WEMOS mini und eine handvoll Ekektrobauteile. Damit lasse ich WLAN-Netzwerke im Umkreis von 100 Metern abstürzen. Jetzt erzähle mir bitte nicht, daß das verboten ist. Dem Einbrecher dürfte das egal sein.
Ach da fällt mir noch etwas ein, was ich im Eifer des Gefechtes total vergessen habe.
Sagen wir mal, es würde jemandem gelingen, in mein WLAN-Netzwerk einzudringen. Was denkst Du, wird als nächstes passieren?
Ich behaupte mal nichts, weil er erst mal die Firewall der Smarthome-Zentrale überwinden muß.
Ja, diese ist extra mit einer Firewall abgesichert. Und ich gebe auch zu, daß ich mich mit der Anschaffung meines neuen Handies selbst ausgesperrt *räusper* habe.
Gruß,
Mathias

 

[maat]

Nochmal:
Wie soll bei meiner Smarthome-Installation die Wohnungstüre aufgehen?

Jetzt verstehe ich langsam....NEIN, der Thread dreht sich NICHT um dich. Er ist für ALLE da die sich für Smarthome interessieren und soll ALLE informieren - auch jene 99% der Zielgruppe die das mit einem herkömmlichen WLAN aufbauen.
Trotzdem Danke für deine Antworten in Bezug auf dein System.
Das Video im EP hast du gesehen?

Zum Ausschalten einer WLAN-gestützten Alarmanlage brauche ich einen WEMOS mini und eine handvoll Ekektrobauteile. Damit lasse ich WLAN-Netzwerke im Umkreis von 100 Metern abstürzen.

Danke für deine Antworten.

 

[MathiasJ]

Ich kann allen nur ans Herz legen:

1. Alle Ports schließen
2. die Smarthome-Zentrale mit einer extra Firewall absichern
3. keine sicherheitsrelevanten Installationen auf WLAN-Basis installieren, sondern nur, die über einer verschlüssetlen Funkverbindung oder besser kabelbasierend sind außer KNX. Ich kann das immer wieder nur betonen!
4. sich vernünftige Passwörter ausdenken wie das hier: tHdQCKp6fd0bMLkyaqy. Nein, ich benutze dieses Paßwort nicht. Mit Paßwörten wie 0123456789 oder Name-Geburtsdatum gewinnt man keinen Blumentopf. dann kann man beruhigt auch WLAN-basierende Lampen etc einbauen.

Jeder ist für seine eigene Sicherheit verantwortlich.
Und nein, ich habe das Video noch nicht gesehen, weil mein Modem defekt ist. ich bekomme dann endlich am Mittwoch ein neues.
Gruß,
Mathias

 

[maat]

Fakto: wie soll ein Gateway, das es nicht gibt, einen WLAN-,Key offen übertragen?

Nicht das Gateway überträgt den Key, sondern das Device welches sich mit diesen Zugangsdaten innerhalb des Netzes authentifiziert. Ein fehlendes Gateway schützt dabei nur vor der Übertragung des Keys in das Internet. Im hier angesprochenen Fall funktionieren die Devices ohne Internet noch nichtmal. Schau dir bei Interesse und Möglichkeit mal das Video an...Vielleicht erkennst du ja paar Geräte.

 

[MathiasJ]

Welche Devices?
Bei mir gibts keine.
Und nochmal,wenn man sich eine vernünftige Firewall installiert, bringen die Zugangsdaten gar nichts. Du kommt trotzdem nicht rein.
Jeder ist für seine Sicherheit selbst verantwortlich!

 

[maat]

Welche Devices?

Lampen, Steckdosen, Schalter, Tür-/Fensterkontakte, Temperaturmelder, Feuchtigkeitsmelder, Türklingeln, Türschlösser, Jalousimotoren etc etc etc
Nochmal: es geht nicht ausschließlich um DICH UND DEIN SYSTEM, bitte EP lesen.

Und nochmal,wenn man sich eine vernünftige Firewall installiert, bringen die Zugangsdaten gar nichts. Du kommt trotzdem nicht rein.

Welche vernünftige Firewall blockiert denn Zugriffe die man mit gültigen Zugangsdaten erreicht? Wofür werden in diesem Netzwerk dann die Zugangsdaten des WLAN verwendet?

Jeder ist für seine Sicherheit selbst verantwortlich!

Ja, quasi mein Leitmotiv zur Erstellung dieses Threads.

 

[MathiasJ]

Fenstersensoren, Wassermelder, Lichtschalter, Steckdosen, Schalter, Temperaturmelder etc etc von Xiaomi funken aber mit dem Zigbee Funkstandard. Lampen kann man auch von Ikea kaufen. Die funken ebenfalls mit Zigbee. Man muß halt aufpassen, was man sich ins Haus holt.
Wie man dem Gateway das austreiben bzw das Gateway ersetzen kann, habe ich in meinem ersten Beitrag schon erklärt, oder?
Wer ein WLAN Türschloss einsetzt, ist selbst schuld. Das gehört zu den sicherheitsrelevanten Aktoren, bei denen WLAN überhaupt nichts verloren hat.
So, habe gerade die Bestätigung bekommen, daß man Sonoff-Tasmota mit dem Kernel 2.3.0 beruhigt einsetzen kann.

 

[maat]

Fenstersensoren, Wassermelder, Lichtschalter, Steckdosen, Schalter, Temperaturmelder etc etc von Xiaomi funken aber mit dem Zigbee Funkstandard.

Danke für die Info.

Man muß halt aufpassen, was man sich ins Haus holt.

Deswegen dieser Thread.

Wie man dem Gateway das austreiben bzw das Gateway ersetzen kann, habe ich in meinem ersten Beitrag schon erklärt, oder?

Hattest du. Warum fragst du?

So, habe gerade die Bestätigung bekommen, daß man Sonoff-Tasmota mit dem Kernel 2.3.0 beruhigt einsetzen kann.

Fein, viel Spass.

 

[MathiasJ]

Und wie geschrieben, keine Yeelight einsetzen. Dann lieber auf Ikea ausweichen, auch wenn die etwas teurer sind. Aber die funken auch nicht im WLAN sondern mit Zigbee.
Ach ja, die Xiaomi Türschlösser funken ebenfalls nicht im WLAN
Ach noch was: auf alles verzichten, was im Funkstandard 433MHz funkt.
Dieser Funkstandard ist nicht verschlüsselt und sehr häufig im Gebrauch. Es wäre schon dumm, wenn der Nachbar damit seinen Christbaum einschaltet und versehentlich Deine Wohnungstür öffnet.

 

[maat]

Die Yeelights wiederum sind für mich eine Alternative weil die sich in mein HUE System einbinden lassen - ebenfalls Zigbee. Das HUE System arbeitet ohnehin ohne Internet, wenn man das möchte.
Hier sollte die Yeelight aber mit Lichtqualität Punkten. Ich habe jetzt zwei Alternativen zu den HUE Lampen getestet und die Lichtwiedergabe und Helligkeit kommen nichtmal ansatzweise an die doch sehr teuren HUE ran.

 

[MathiasJ]

Du hast recht. Nicht nur Ikea, sondern auch Phillips und Osram stehen auf der Liste. Das wäre auch eine Alternative.
Das glaube ich jetzt nicht, daß die Yeelights für Dich eine Alternative sind, weil die im.WLAN funken. Die Mija hingegen funken mit Zigbee. Verwechselt Du hier was?