NEWS

[Hinweis] Gefahren durch Port-Freischaltungen



  • Hallo zusammen,

    ich weiß, ihr könnt es nicht mehr hören bzw. lesen, aber es muß sein….

    Macht bitte keine Port-Freischaltungen ins Internet, um von außen auf eure ioBroker-Installationen zugreifen zu können.

    Heute hat es einen von uns so richtig erwischt ... aber nach allen Regeln der Kunst.

    Mit seiner Erlaubnis poste ich hier seinen Hilferuf bei Facebook (er hofft, das seine Erlebnisse andere vor einem ähnlichen Fehler bewahren), damit ihr seht, das es die daraus resultierenden Gefahren tatsächlich gibt und welches Ausmaß es annehmen kann.

    ` > Hilfe!!! Hallo Community,

    ich habe ein riesen Problem. Ich habe ioBroker seit etwa einem Jahr bei mir im Haus laufen.

    Entsprechend viele Aktoren sind da mittlerweile im Einsatz.

    Nun hatte ich immer den Port 8082 in der Fritzbox freigegeben und dem OrangePi die Berechtigung gegeben Ports selbst zu öffnen, was mir nun zum Verhängnis wurde.

    Gestern Nacht ging plötzlich um 3 Uhr Nachts mein Xiaomi Staubsauger los. Nachdem ich ihn wieder manuell gestoppt habe, ist er kurz darauf wieder los.

    Dann starteten mein Fernseher und Verstärker, mein Ventilator und Licht im Raum. Irgendwann dann auch Gartenbeleuchtungen.

    Während ich am Handy versuchte alles zu deaktivieren und zu sehen, was da los ist, merke ich Nachrichten auf dem Telegram. Daniel aus Niedersachen schrieb mir, dass er auf meinem ioBroker ist, den er dann auch passwort geschützt hat. Nach etwas hin und herschreiben (war eigentlich echt nett, dachte er will mir nur harsch zeigen, dass das so nicht geht) hab ich das PW bekommen und alles angepasst.

    Ein altes Backup von Oktober über backitup wiederhergestellt und in der Fritzbox sämtliche Freigaben entzogen.

    Jetzt kommt das verrückte. Heute Nacht um fängt mein Xiaomi plötzlich wieder um 2 Uhr an zu saugen.

    Und dann noch viel schlimmer, um halb 4 waren meine Chromecasts volle Lautstärke am Musik abspielen und haben das gesamte Haus geweckt.

    Bitte verratet mir, was ich noch nicht gesichert habe. Was passt da noch nicht, dass er immer noch drauf kommt? Hat Daniel mir einen Virus aufs System gezogen, dass da jetzt Routinen ablaufen lässt? Oder hat er immer noch extern Zugriff (vielleicht über diesen WebAdapter?)

    Bitte helft mir, ich bin verzweifelt 😞

    Danke schon mal im voraus

    Grüße

    Matze `

    Wer sich den Hilferuf und die Antworten selber ansehen möchte, hier der Link dazu : https://www.facebook.com/groups/440499112958264/permalink/785751481766357/

    Ihr seht, die Warnungen sind nicht unberechtigt.

    Nutzt die Cloud, setzt VPN ein aber macht um Himmels willen keine Port-Freischaltungen.

    Zumal es so schöne Suchmaschinen wie Shodan gibt, die nach offenen, erreichbaren Instanzen (egal ob Homematic, Raspberry,atic oder ioBroker) im Internet sucht. Jetzt (19:06 Uhr) sind aktuell 48 ioBroker-Installationen im Internet zu finden.

    Wie gesagt, macht es bitte nicht.

    Ein wohlgemeinter Rat eures

    ioBroker-Teams



  • Krass. Gut das ich schon im voraus das via VPN gemacht hab



  • Bei mir läuft auch alles ueber VPN… Alle geraerte fürs Internet gesperrt... Werden nur fuer Updates frei geschaltet... Alexa und Google bleiben auch draußen... Dank snips muss ich auf sprachsteuerung nicht verzichten...

    Gesendet von meinem CLT-L09 mit Tapatalk



  • @eric2905:

    Jetzt (19:06 Uhr) sind aktuell 48 ioBroker-Installationen im Internet zu finden. `
    Hallo

    Ich bin mir zwar fast sicher das das bei mir nicht so ist…

    aber kann ich testen ob da meine auch bei den 48 dabei ist??

    oder kann man als Laie eine test machen ob sein eigenes System sicher ist??

    In zeite mit sehr hoher Einbruchsraten und die Gegner von Internet, Alexa und Smarthome immerwieder alles in den dreck ziehen!!

    werde ich immer wieder etwas unsicher!!

    Ich habe keine Portweiterleitung in meiner Fritz...

    Habe für die Fritzbox ein 24 stelliges Passwort...

    Für mein wlan wieder ein eigenes Passwort mit 10 Stellen

    für den iobroker wieder ein eigenes Passwort mit 9 Stellen

    alle Passwörter mit groß und klein Buchstaben und Sonderzeichen und Zahlen..

    Arbeit über die Pro Cloud....

    Habe den Port zum ioBroker geändert (nicht 8082)

    also wenn ich nicht wo einen Fehler eingebaut habe müste das sicher sein?

    oder?



  • Wenn Du keine Portweiterleitungen hast dann ist es schon einmal eher unwahrscheinlich.

    Kannst das hier nehmen um mal zu checken: https://www.heise.de/security/dienste/p … ?scanart=1



  • schaut nicht schlecht aus!! 4668_unbenannt10.png



  • Wobei bedenke! Ist kein "alle alle Ports werden geprüft" check!!

    Nur in der Kombi das Du wirklich keine Port-Freischaltungen hast gibt das ein einigermaßen sinnvolles Bild


  • Most Active

    wäre es nicht möglich in ioBroker ein Script zu integrieren was alle von ioBroker benutzten ports auf weiterleitung an die öffentliche ip ausgibt?



  • Nein, weil man beim freigeben im Router auch die Ports verändern kann.

    Wenn man von einem hacken des Routers absieht muß man es schon selbst gemacht haben.

    Wenn es zu solch einem Einbruch wie oben beschrieben kommt, müßte das gesamte Netzwerk als unsicher gelten.



  • OT: Könntet ihr evtl. ein Unterforum einrichten, wo nur das Team wichtige Infos bzw. Ankündigungen rein schreibt? Dieses Thema hier hatte ich auch nur zufällig gefunden und geht schnell unter….



  • Dazu muss ich mal was fragen: Der Check sagt mir, dass der Port 443 offen ist. Ich habe eine Fritzbox und dort VPN eingerichtet. Ich bin der Meinung, das ging damals nicht einzurichten, ohne nach außen zu öffnen (https). Ich habe den Port nun erstmal umbenannt. Nur ganz deaktivieren kann ich nicht, da sonst mein VPN nicht funktioniert. Wie habt ihr das gelöst ? Viele haben doch VPN über die Fritzbox, da müsste also bei denen immer ROT sein in dem Heise Test ? Ansonsten ist bei mir alles Grün, Router Test usw.

    Gruß Holger



  • Jeder Dienst auf den von außen zugegriffen werden soll braucht einen oder mehrere offene Ports.

    Das ist an sich nichts böses, wenn dahinter alles richtig funktioniert.

    Nur wenn man den Port des IO-Brokers nach außen frei schaltet der ohne weitere Paßworteingabe funktioniert ist das wenig intelligent.



  • Vpn hat aber anderer Port Adressen! 443 ist wenn nicht vpn (zumindest wäre mir das neu)

    Gesendet vom Handy …



  • @nvd126:

    OT: Könntet ihr evtl. ein Unterforum einrichten, wo nur das Team wichtige Infos bzw. Ankündigungen rein schreibt? Dieses Thema hier hatte ich auch nur zufällig gefunden und geht schnell unter…. `
    Dieses Thema steht in allen Unterforen als gepinnter Beitrag ganz oben … in allen Unterforen.

    Wenn man es da nicht sieht, sieht man es Wahlmöglichkeit auch nicht, wenn es in nur einem Unterforum steht, oder? [emoji6]

    Gruß,

    Eric

    Von unterwegs getippert



  • Hallo,

    was mich interessieren würde was bei der Port Weiterleitung die Unsicherheit ergibt. Ist es der Web-Adapter der nicht sicher ist? Vis? Mobilview?

    Mit dem Port 8082 kommt man ja auf die gleiche Oberfläche wie in der Cloud … was ist hier dann anders? Wenn in der Cloud wer auf mein Vis kommt dann hab ich ja das gleiche Problem.

    Ich nehme mal an das die Port Weiterleitung nicht auf einen ioBroker ohne Passwort und ohne SSL war.

    Danke für die Info.

    lg,

    Thorsten

    hatte bis vor kurzem auch die Weiterleitung - jetzt die proCloud



  • Entweder war kein Paßwortgesetzt oder es war zu einfach. Azs der Formulierung "Er hat ein Passwort gesetzt" leite ich ab das keines gesetzt war.



  • Portweiterleitung ist wie eine offene Haustüre und auf der Straße hängt ein Zettel und weißt auf diesen Umstand hin.

    Cloud funktioniert genau andersrum. Das Heimnetz verbindet sich mit der Cloud und fragt dort alles ab. Die Verbindung funktioniert von der Installation nach außen und nicht wie bei der Portweiterleitung nach innen.



  • @apollon77:

    Vpn hat aber anderer Port Adressen! 443 ist wenn nicht vpn (zumindest wäre mir das neu) `

    Doch. Zumindest mein Firmen-VPN nutzt auch den Port 443. Für iobroker habe ich nicht mal VPN im Einsatz. Alles was ich öfters brauche steuere ich über Telgram-Befehle und wenn ich mal direkt draufschauen muss mache ich das per TeamViewer - ich hoffe, der ist sicher…



  • Zusätzlich zu den Port Freischaltungen: Solltet ihr den Cloud Adapter mit Fernzugriff verwenden, verwendet bitte ein starkes Kennwort und verwendet das Kennwort nur dafür (das heißt auch nicht für das Forum o.ä.).

    Auch die Admin, VIS (+Editor), Node Red, (Dashboard und Admin) solltet ihr mit Kennwörtern schützen (nicht nur wenn ihr eine Portfreischaltung habt).

    Das Musik Staubauger o.ä. nachts losgehen ist ärgerlich und in dem Moment auch erschreckend. Falls über iobroker auch Rolläden, Elekronische Türschlösser geöffnet werden können kann das auch andere Folgen haben.

    Bitte dies nicht als Panikmache verstehen, es geht darum sich bewust zu sein welche Möglichkeiten es gibt und auch welche Risiken. Daher sollte ein Mindestmaß an Sorgfaltspflicht gelten. Dazu gehören VPN Verbindungen, Kennwörter, und sichere HTTPS Verbindungen.

    Sicherheit im Smarthome sollte immer Bedacht werden.

    Vielen Dank an den betroffenen das er das bei Facebook geteilt hat, das ist nicht selbstverständlich.

    my two (euro) cents

    sabix

    by the way: das cert für iobroker.net läuft morgen ab. Das heißt der cloud Adapter geht dann nicht mehr bis das cert erneutert wurde…

    12. Dezember 2018, 20:02:09 GMT+1

    (12. Dezember 2018, 19:02:09 GMT)



  • Ich habe mal kurz ein wenig in Shodan geschaut und gesehen, dass momentan sogar 642(!) Admin Instanzen öffentlich zugänglich sind. Schon schockierend. 569 alleine aus Deutschland.


Log in to reply
 

Suggested Topics

  • 2
  • 7
  • 3
  • 8
  • 17
  • 4
  • 29
  • 17

1.7k
Online

29.8k
Users

36.9k
Topics

494.1k
Posts