Bekannte Sicherheitslücken
An dieser Stelle werden im Loxone System bekannt gewordene Sicherheitslücken gesammelt und Maßnahmen zu deren Behebung vorgestellt.
Die Sicherheitslücken werden wie folgt eingestuft: Kritisch Mittel Leicht
Inhaltsverzeichnis
Loxone CloudDNS in Verbindung mit Standard-Benutzer und -Passwort
Quelle(n) | https://shop.heise.de/katalog/hintereingang-inklusive |
---|---|
Veröffentlichungsdatum | Aug 31, 2016 |
Betroffen Firmware | Alle (mindestens bis V8.0) |
Einstufung Kritisch
Beschreibung
Die Sicherheitslücke besteht aus 2 Komponenten: Zum Einen muss am Miniserver der Standardbenutzer in Kombination mit dem Standardpasswort vergeben sein (admin/admin). Zum Anderen muss der Miniserver über das Internet (z. B. durch eine Portweiterleitung am Router) erreichbar sein. Besonders fatal ist es, wenn man den Loxone eigenen CloudDNS-Service verwendet (eine Alternative zu anderen DynDNS-Diensten), da sich bei diesem Service die externen Webadressen, unter denen die Miniserver aus dem Internet erreichbar sind, sehr leicht erraten lassen. So kann der Service gezielt nach erreichbaren Miniservern gescannt werden. Dazu sind nur weige Scriptzeilen notwendig, sodass ein derartiger Scan auch von Laien durchgeführt werden kann.
Da viele Installation in Ihrer Konfiguration auch den Standort des Miniservers enthalten (um z. B. die Automatikjalousie zu nutzen) kann ein Eindringling nicht nur die Alarmanlage deaktivieren, die Haustür oder das Garagentor öffnen, er hat auch detaillierte Informationen über den Standort des Objekts, sodass ein Einbruch sehr leicht geplant und durchgeführt werden kann.
Gegenmaßnahmen
Sicheres Passwort
Es muss ein sicheres Passwort für den Standardbenutzer vergeben werden. Leider warnt Loxone (bzw. die Software Loxone Config) zwar davor, wenn man den Standardbenutzer mit Standardpasswort verwendet (admin / admin), verhindert dieses aber nicht. Zudem sollte man auch den Standardbenutzer (admin) umbenennen, um das Erraten einer gültigen Benutzer- und Passwortkombination zu erschweren.
Externer Zugang zum Miniserver
Die sicherste Variante seinen Miniserver von außen erreichbar zu machen ist die Einrichtung eines VPN (Virtual Private Network). Damit ist der Miniserver erst von außen erreichbar, wenn man vom Endgerät einen sicheren Tunnel in das eigene lokale Netzwerk aufgebaut hat. Anleitungen dazu finden sich hier im Wiki: http://www.loxwiki.eu/dosearchsite.action?queryString=VPN
Wenn man seinen Miniserver ohne VPN von außen erreichbar machen möchte (nicht empfohlen), so sollte man aktuell einen alternativen DynDNS-Dienst im Router verwenden und nicht den Loxone eigenen CloudDNS-Dienst (auch wenn sich dieser sehr leicht einrichten lässt). Bei alternativen DynDNS-Diensten kann man die Adresse, unter der der Miniserver von außen erreichbar ist, frei wählen. Sie lässt sich somit schwerer oder gar nicht erraten (Security by Obscurity).
Um den CloudDNS-Service von Loxone zu deaktivieren müssen 2 Schritte durchgeführt werden:
Deaktivieren in Loxone Config
Klicke im Peripherebaum auf Deinen Miniserver und lösche dann im Eigenschaftenfenster unter "Externe Mailadresse" den Eintrag zum CloudDNS-Dienst von Loxone.Löschen der Registrierung Deines Miniservers beim Loxone CloudDNS Dienst
Logge Dich unter http://www.loxone.com in Deinen Account ein und gehe auf "Mein Konto" und dann auf "Meine Produkte". Lösche den Miniserver aus Deinem Account.
Achtung! Wenn Du weitere Dienste von Loxone gebucht hast (z. B. Wetter, den kostenlosen CloudMailer oder den Push-Service) dann geht das so leider nicht und Du würdest auch die anderen Dienste löschen! Wende Dich in diesem Fall an den Loxone Support und lasse den CloudDNS-Service separat deaktivieren.
Erschwere die Lokalisation Deines Miniservers
Konnte sich dennoch ein Angreifer mit Deinem Miniserver verbinden, so ist neben dem Zugriff auf Deine Steuerung das größte Problem, dass der Angreifer anhand Deiner Konfiguration ausfindig machen kann wo sich der Miniserver genau befindet (also Deine Adresse). Die kann er zum Beispiel auslesen, wenn Du die Geokoordinaten Deines Miniservers in der Konfig eingetragen hast.
In diesem Artikel erfährst Du wie man verhindern kann, dass über Deine Konfiguration der Standort Deines Miniservers und damit Deine Adresse herausgefunden werden kann: Lokalisation Deines Miniservers verhindern
Reaktion von Loxone
Loxone hat den DNS Dienst mit den Userdaten admin / admin blockiert und als Reaktion auch einen Blog Artikel geliefert. Etwas versteckt aber doch ist hier noch einmal der Hinweis zu finden, wie wichtig Die Wahl sicherer Zugangsdaten ist und das der Miniserver auch ohne Internet und vor allem ohne Cloud funktioniert. Hier der Link: http://www.loxone.com/blog/dede/mein-miniserver-meine-daten-meine-sicherheit-mein-smart-home/