Absichern china-cloud IOT Geräte
-
Manchem WLAN Gerät aus China was man in ioBroker integrieren will, kann man ja nicht abgewöhnen, chinesische Cloud - Server zu kontaktieren. Die Adapter simulieren dann häufig nur die Smartphone App.
EIGENTLICH versuche ich nur Geräte zu kaufen, die man mit alternativen Firmwares betreiben kann (z. B. Tasmota).
Wenn dann doch mal ein Fehlgriff passiert (neulich 2xMeross MSS310 Steckdosen, bei denen ich dachte, die ließen sich mit Tasmota flashen), bleiben die lange liegen...
Angeregt durch einen Artikel bei Heise.de habe ich mir da ein paar Gedanken gemacht...
"Parallel zum Bericht über den Cyberangriff auf das BKG erläutert der Verfassungsschutz in einem aktuellen Newsletter, wie die Gruppierung "APT 15" und eine weitere namens "APT 31" vorgehen. Demnach hat der Nachrichtendienst aktuelle Hinweise darauf, dass beide Gruppen kompromittierte Geräte mit Netzwerkanschluss in Privathaushalten und bei kleinen Unternehmen nutzen, um bei Angriffen ihre Spuren zu verschleiern. Dazu würden Sicherheitslücken in Routern, Netzwerk-Druckern, Netzwerkspeichern (NAS), aber auch im Internet der Dinge und bei Geräten im Smarthome ausgenutzt, um diese zu übernehmen."
Wie sichert Ihr solchen Geräte ab? Die könnten ja durchaus für solche Zwecke bereits "ab Werk" bewusst kompromittiert sein. Inzwischen muss man da ja schon recht misstrauisch sein.
Zwei voneinander isolierte WLAN-Netze kann nicht jeder Router/Access-Point betreiben. und den Devices im Internet über eine Firewall o. Ä. nur den Zugang zu ihren Servern zu gestatten, damit sie im Fall der Fälle nicht irgendwelchen Spitzbuben als Hilfstruppen dienen, ist recht mühsam zu konfigurieren ...Hat da schon jemand eine Einrichtung hinbekommen, die er für einigermaßen sicher hält?
Wie findet man die notwendigen Zugänge der China-Cloud-Geräte heraus? -
@martinp
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.Obwohl ich das hier mit nem eigenen vlan bzw. alternativem wlan ohne Weiteres lösen könnte. Aber zum Einen wäre mir das für einen "Fehlkauf" zu viel Aufwand und zum Anderen würde ich nur dafür meinen Technikzoo nicht extra erweitern.
Man könnte noch u.U. über einen Einsatz nachdenken, wen sich das Zeug rein lokal betreiben lässt, man also den Dingern das INet total verbieten kann (sofern sie dann noch funktionieren), aber auch dabei hätte ich kein gutes Gefühl.
-
@martinp Bei meinen Reolink-Kameras war ich auch erstaunt das die App auch von außerhalb funktionierte obwohl ich da nichts freigeschaltet oder eingerichtet habe.
Die Kameras kann ich nun auch ohne Internet nutzen, die haben ein lokales Interface.
Die Kindersicherung der Fritzbox (oder ein falsch eingestelltes Standardgateway) verhindern sicher die Kommunikation nach außen. Da die Kameras sich so auch nicht die Uhrzeit aus dem Internet ziehen können und man dort keine IP Eintragen darf, spuckt mein DNS-Server für einen der Anbieter eine lokale IP-Adresse aus (die der FritzBox)Ansonsten versuche auch ich alles mit Tasmota & Co zu lösen
-
@bananajoe said in Absichern china-cloud IOT Geräte:
oder ein falsch eingestelltes Standardgateway
Naja, das ist schon eine ziemliche Scheinsicherheit
Die meisten Nutzer haben eine recht begrenzte Netzmaske für ihr Heimnetz - da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen ... bei den meisten Heimnetzen wären es wahrscheinlich maximal 256 Versuche
EDIT: Das Suchen nach einem Gateway wäre ggfs. eine Möglichkeit, Verhaltensbasiert verdächtige Geräte zu finden ...
-
@martinp sagte in Absichern china-cloud IOT Geräte:
da wäre es für ein böswilliges Device sicherlich nicht besonders schwierig das Gateway aktiv über den Netzmaskenbereich zu suchen
ja, das stimmt. Hatte ich in der Praxis aber noch nicht. Ob die Hacker da noch extra was einbauen ... in der Regel denke ich wozu. Sie würden sich damit ja nur auffällig machen. von 1.000 Usern macht das höchstens einer, und bei dem will man auf den Radar gar nicht scheinen.
Oder man nimmt einen 2. IP-Adressbereich der dann schon technisch gar nicht in das Internet kann. Da würde das gleiche gelten, man könnte den Broadcast belauschen und so herausfinden das es noch andere Adressen gibt.
-
Ich würde Geräte die sich tatsächlich nicht mit alternativer Firmware/cloudfrei betreiben lassen (ernsthaft!) nicht einsetzen. Verkauf ggf. mit Verlust bei Kleinanzeigen oder Vollabschreibung als Totalverlust mit anschließender korrekter Entsorgung.
@samson71 Ich bin da bei den Meross-Steckdosen noch etwas in der Schwebe.
Habe noch nicht ganz begriffen, ob der Hack von "krahabb" die Steckdosen komplett auf einen lokalen MQTT-Broker umbiegen kann... -
@martinp
Nachdem was ich da lese - ja. Da ich aber kein HA nutze, bin ich an der Stelle auch keine Hilfe. -
@samson71 Ich habe das so verstanden, als ob man das Ding auch mit dem MQTT Broker des ioBroker verheiraten könnte ...
Quatsch - hier ist das richtige Repository - https://github.com/albertogeniola/Custom-Meross-Pairer
This app, Custom pairer for Meross Devices is just a tool that is able to configure Meross Devices so that they connect to an arbitrary MQTT broker, rather than the official Meross one.
I probably don't need to explain why that is necessary: that's just the reason you are here after all. In any case, let me be crystal clear: if you are looking for an app to pair your meross smart devices to the official Meross cloud, then you MUST use the original Meross App. (although this app is capable of doing so).
You should use this app if trying to achieve one of the following goals:
- You want to pair your Meross Devices with Homeassistant Meross Lan-Only Addon
- You have your own MQTT broker and you know how Meross protocol works.
EDIT: So ganz astrein ist das auch nicht - die Verbindung über "Manual USER/KEY SETUP" erwartet als "User ID" nur Ziffern (Telefontastatur, nicht Schreibmaschinentastatur)
-
Habe etwas gelesen, wie das ganze Funktioniert - gibt ein paar Fallstricke.
- man muss eine verschlüsselte Verbindung einrichten mit SSL Zertifikat usw ...
- jede Steckdose hat einen eigenen FESTEN mqtt User, (MAC-Adresse ist Bestandteil des Usernamens)
Womöglich kann man das am Besten mit einem vorgelagerten Mosquitto abfangen
Ist eine Aufgabe, wenn alle Kreuzworträtsel und Sudokus ausgefüllt sind, und man Langeweile hat
-
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
-
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
Gerade bei den Fritzboxen kann man die Geräte im Heimnetz doch komfortabel einzelnen Gruppen zuordnen. Einmal eine Gruppe "kein Internet" eingerichtet, alle zweifelhaften Geräte in diese Gruppe, fertig. Oder doch nicht?
Naja, wenn danach die Steckdosen nicht mehr fernbedienbar sind, ist nicht geholfen ...
Die gesamte Kommunikation mit den Steckdosen läuft nach den Vorstellungen des Herstellers über MQTT Broker auf Servern in China, wenn ich das richtig verstanden habe. Wenn man den Dosen also das Internet abperrt, kann man sie nicht mehr mit der APP bedienen ...
Beim Pairing mit der APP richtet diese die entsprechenden URLs und sonstige Einstellungen ein...
Der "Custom Pairer" nutzt den gleichen Mechanismus, biegt den Zugang zum MQTT Broker aber auf einen Broker im Heimnetz um...
DANACH kann man natürlich den Geräte mit der "Kindersicherung" den Weg ins Internet versperren...
-
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten. -
@oliver-w-leibenguth said in Absichern china-cloud IOT Geräte:
@martinp Achso. Im Normalfall sage ich quasi dem Chinesischen Server, dass er bitte meine Steckdose an- oder ausschalten soll und der sagt es dann meiner Steckdose?
Hardware, die so funktioniert würde ich nicht nur das Internet, sondern auch den Aufenthalt in meinem Zuhause verbieten.Das ist ja auch im Lieferzustand vieler ESP-basierter Steckdosen der Fall - da flasht man dann mit Tasmota und hat Ruhe....
Bei dieser Steckdose hatte ich das auch vor, die ist aber nicht ESP-basiert, sondern hat eine ARM-basierte CPU, für die es (noch?) keine alternative Firmware gibt ...
