Hackerangriff (Happy-hacking Button)

[Tourt]

Na dann will ich es nochmal so ausdrücken, wie es denke:

Wer mir wirklich weiter geholfen hat ist Black, danke nochmal!Sehr klasse!
Das sind User mit denen ein Forum lebt und sind eine Wissensbereicherung.

Ein Hinweis, was ich wie wann falsch gemacht oder gelesen habe, trägt nicht wirklich zur Lösung bei und ist für mich Klugscheisserei.
Wie hier sicherlich jeder draus erkennen kann, bin ich nicht derjenige der für Späße wie: "Wer den Schaden hat....." zu haben.

Über 10 Jahre lief für mich die CCU einwandfrei, mit sämtlichen Erweiterungen die ich im Laufe der Zeit dazugenommen habe. Openhab, CuxD, Hue usw., usw.. Und ich glaube es ist hier allen klar, wenn ein System läuft, läuft es und man hält sich an "Never change a running system".
Und ja, fast 10 Jahre lief bei mir das Portforwarding über eine absolut extrem hohe Portnummer. Auch der Admin User war nicht mit Standartpassword, oder gar keins, behaftet. Aber gut, nun ist nunmal passiert.
Für mich ist nun der Zeitpunkt gekommen, das ganze System zu überdenken. Wahrscheinlich ist die Chance 50/50 ob von der CCU auf alle meine Raspis und Debian Server weiter verbreitet hat. Somit heißt es für mich abwarten und weiter Schaden begrenzen.

Das nur nochmal als Erklärung, warum ich da relativ zart besaitet bin

[Black]

Bisher hatten die Script Kiddies , wie Xel auch schrieb, recht begrenzte Fähigkeiten.
Das sind ein paar angelesene Skills, weiter hinaus gings bisher nie.

Theoretisch sind, wie du dir da auch denken kannst, bei einem anders Erfahrenen da andere "Spielchen" möglich. Auch auf einer CCU und ihren Geräten kann man ganz andere Verwüstungen machen.
Ich werde aber weder schreiben welche noch die Wege wie es geht, das Ziel ist nicht, die Spackenkinder klüger zu machen.

Setz die CCU in eine Sandbox und guck dir über 48 Stunden den Netztraffic an. Wenn da komische dinger findest, ok dann mal alram, aber das denke ich nicht. siehe oben: dämliche Spackenkinder.

Black

[Black]

Kollege Nr 2 hat nun auch wieder Zugriff auf seine ccu.

Black

[Black]

Wir warten alle noch gespannt auf die Rückmeldungen.

Was hat der spacken gemacht?
Läuft wieder alles ?
Etc

Black

[jmaus]

Mich würde eher der konkret genutzte Angriffsvektor interessieren. Ich vemute weiterhin, dass ein großteil der Hacks auf genutztes Port-Forwarding in Kombination mit der Installation des XML-API Addons zusammenhängt, was nun ja mit XML-API v2 geschichte sein sollte. Auch würde mich interessieren weile CCU Firmware (Original eQ3 oder RaspberryMatic) genutzt wurde um auch abzuschätzen ob es auch an der im Bezug auf Sicherheit veralteten CCU3 Firmware teilweise mit liegt.

[MichaelN]

Wenn Du Dich mal auf den einschlägigen Suchmaschinen umsiehst, dann findest Du soviele komplett offene CCU, als auch RaspberryMatic - also Ohne Passwort, mit Auto-Login und mit Portforwarding ins Internet gestellt - da brauchst Du keinen Angriffsvektor mehr.

[jmaus]

Wenn Du Dich mal auf den einschlägigen Suchmaschinen umsiehst, dann findest Du soviele komplett offene CCU, als auch RaspberryMatic - also Ohne Passwort, mit Auto-Login und mit Portforwarding ins Internet gestellt - da brauchst Du keinen Angriffsvektor mehr.

Verstehe... Dann wäre wohl die nächste Aktion das Auto-Login Feature endlich mal zu beerdigen...

[Xel66]

Selbst hier im Forum gibt es Anleitungen zum Zurücksetzen des Passwortes durch Austausch des MD5-Hashs. Sowie man irgendwie einen scriptingfähigen Zugriff hat, ist der Rest doch nur noch Fleißarbeit. Und ich bin selbst mal bei einer ganz normalen G...Suche (also nix Spezielles) vor Jahren auf einer fremden CCU gelandet, weil ich als Suchbegriffe einen Scriptauszug gewählt hatte. Geht heutzutage nicht mehr (Nutzung sid), aber wenn ich lese "seit 10 Jahren...". Hmmm...

Gruß Xel66

[jmaus]

Selbst hier im Forum gibt es Anleitungen zum Zurücksetzen des Passwortes durch Austausch des MD5-Hashs. Sowie man irgendwie einen scriptingfähigen Zugriff hat, ist der Rest doch nur noch Fleißarbeit. Und ich bin selbst mal bei einer ganz normalen G...Suche (also nix Spezielles) vor Jahren auf einer fremden CCU gelandet, weil ich als Suchbegriffe einen Scriptauszug gewählt hatte.

All das stimmt natürlich prinzipiell. Sollte aber nicht die Motivation sein, generelle Security-Verbesserungen gänzlich sein zu lassen oder zu sagen "Ist der Nutzer halt selber schuld". Glaub mir, es ist nicht nur in dem jeweiligen Nutzer sein Interesse ihn davor zu bewahren sich selbst in die Füße zu schießen. Es ist auch teilweise in unserem Interesse, denn wenn die nächste Große Pressemitteilung ala "HomeMatic CCU generell unsicher" irgendwo bei eQ3 Entscheidern auf dem Tisch landet kann es sein das dann als nächstes einfach die Abkündigung des Produktes rauskommt und man darauf verweist das alle Nutzer doch bitte auf die Cloud umzusteigen hätten.

Wenn "wir" also gewisse Sicherheitsverbesserung irgendwie zumindest in RaspberryMatic reinbringen können (und was wir ja schon teilweise haben!) dann sollten wir das auch tun. Das erzwingen der sid war ein Beginn, die sicherung der XML-API ein weiterer Schritt. Darauf folgendend sollten wir dann schauen Auto-Login zu beerdigen und ggf. sogar dahin übergehen Methoden einzubauen die ein Port-Forwarding gänzlich unterbinden. Warnungen gibt es ja nun genug und auch das WatchDog Mechanismus prüft ja ein event. Port-Forwarding. Aber vielleicht können wir auch da noch mehr machen. Z.B. das standardmäßige Unterbinden via firewall das man von IP Adresse ausserhalb der typischen privaten Ranges (192.168.x.x, etc.) keine Netzwerkverbindungen zu einer CCU/RaspberrMatic inittieren kann. Dann sollte auch das Port-Forwarding gänzlich nicht funktionieren).

Hierzu habe ich seinerzeit ja auch mal ein entsprechendes GitHub Issue dazu gemacht damit man sich diesbzgl. austauschen kann:

https://github.com/jens-maus/RaspberryMatic/issues/2175

[Xel66]

Glaub mir...

Ich glaube es Dir und ich bin 100% bei Dir und bin definitiv der Letzte der sich wehrt, wenn es um Verbesserung der Sicherheit geht. Ich wollte damit nur zum Ausdruck bringen, dass selbst ich es als Gelegenheits-Linuxer mit ganz begrenzten Skills nicht als Hexenwerk ansehe, mit einem Port 80-Zugriff irgendwie auf die CCU zu kommen. Die notwendigen Tools (z.B. grep, sed) sind ja alle auf der CCU vorhanden. Und die Script-Kiddies wissen das auch. Aus diesem Grund teste ich ja auch gerade meine Warnmeldung für Fremdzugriffe durch Auswertung des WebUI-Server-Logs. Bis jetzt bin ich zufrieden. Ganz zusammengekürzt ist es ein TCL-Script, welches eine Sytemvariable schreibt und ein Linux-Einzeiler. Was man dann draus macht, bleibt jedem selbst überlassen. Projektvorstellung kommt noch.

Gruß Xel66