News Alpha Innotec & Novelan: In Firmware hinterlegtes Passwort gefährdet Wärmepumpen
Weyoun
Vice Admiral
- Registriert
- Okt. 2010
- Beiträge
- 6.576
Wer hat das behauptet?SeppoE schrieb:
Thermische Masse? Du meinst die Wärmekapazität? Wenn draußen Minusgrade vorherrschen ist es logisch, dass das Mauerwerk im Inneren noch deutlich mehr Wärme gespeichert hat, als es die Plattenheizkörper an den Raumänden jemals könnten. Dennoch friere ich bereits bei 18 Grad im Wohnzimmer, obwohl das Haus laut deiner Defintion dann noch extrem "warm" ist. Und dieses Gefühl des Frierens ist bei Plattenheizkörpern viel ausgeprägter als bei Fußbodenheizungen, da der geheizte Fuboden aufgrund seiner Masse deutlich mehr Wärme speichert als ein paar Wandheizkörper.SeppoE schrieb:
Ergänzung ()
Würdest du uns an deinen Überlegngen teilhaben lassen? Nicht jeder kann Programmieren.madmax2010 schrieb:
Ergänzung ()
Die Leute stehen aber morgens nicht alle auf die Minute zur gleichen Zeit auf, also verteilen sich die zahlreichen Lastan- und -abwürfe ganz gut auf rund zwei Stunden und löschen sich im optimalen Fall durch Überlagerung ganz gut selbst aus.Elderian schrieb:
Wenn aber jetzt ein böser Hacker auf die Sekunde genau huntertausende Geräte im kW-Bereich zur gleichen Zeit ein- oder abschaltet, dann grillt man Sicherheit diverse Trafohäuschen, sodass ganze Straßenzügige plötzlich "dunkel" werden. Damit es größere Effekte auf die Mittelspannungs- oder gar Höchstspannungsebene gibt, müsste der Hacker die Geräte "soft" anlaufen lassen (damit die Trafohäuschen auf der "letzten Meile" heil bleiben) und dann einfach nur durch die pure Summe am GW die Netze schneller einbrechen lassen als die Netzbetreiber sie ihrerseits stabilisieren können. Letzteres wäre wohl im Sommer möglich, wenn alle privaten PV-Anlagen gleichzeitig beginnen würden, 10kW oder mehr einzuspeisen und der Netzbetreiber sie nicht mehr von außen abschalten kann (weil sie gehackt wurden). Wenn irgendwann mal 10 oder 15 Mio. E-Autos auf den deutschen Straßen herumfahren, wäre ein ähnliches Szenario vorstellbar, wenn die Autos an den Ladepunkten plötzlich per Hack die Laderichtng umkehren und den Strom via V2G oder V2X in das Netz abgeben (mit 11 kW oder 22 kW AC => bei den DC-Ladern gehe ich mal halbnaiv davon aus, dass die besser gegen Hacks von außen abgesichert sind).
Ergänzung ()
Das hängt davon ab, wie groß die Haussicherung ist. Bei Mietswohnungen verständliucherweise ein bis zwei Nummern kleiner als bei Eigenheimen. Bei angenommener Absicherung von 60A pro Phase kann man in Summe 41,4 kW verbrauchen (allerdings begrenzt auf 13,8 kW pro Phase). Da wäre dann schon noch Luft neben Auto (11 kW) und Durchlauferhitzer (es sei denn, du hast einen "Monster-Durchlauferhitzer" mit 27 kW, an den dann zwei Bäder gleichzeitig angeschlossen sind => meist haben die aber um die 12 bis 16 kW).Madcat69 schrieb:
Zuletzt bearbeitet:
Donnidonis
Commander
- Registriert
- Apr. 2009
- Beiträge
- 2.806
Was haben jetzt Smarte Geräte mit meinem Router zu tun? Wenn du meinst: Geräte offen ins Internet zu hängen. Hat halt nichts mit meiner Aussage zu tun. Und auch nicht mit Geräten, die trotzdem ganz groß nach Hause telefonieren.MalWiederIch schrieb:
Donnerkind
Lt. Commander
- Registriert
- Juli 2014
- Beiträge
- 1.123
Bin neugierig. Wie bekommst du die Verbindung (unter der Annahme, da sind auch Privathaushalte dabei)? Gehen die Systeme auf einen Server um sich dort anzumelden? Was ist mit NAT? VPN?Bish schrieb:
Excel
Lieutenant
- Registriert
- Juli 2011
- Beiträge
- 751
Zumal die Drosselung 4,2kW elektrisch vorgesehen ist, das gibt locker >10 kW Wärme. Wird also wohl keiner überhaupt merken.SeppoE schrieb:
Zum Thema Sicherheit: das ist natürlich total nachlässig und geht gar nicht. Leider gibt es wohl noch unzählige andere Einfallstoren, wie Kühlschränke, Fernseher, Sprachassistenten, Rolladen, SmartHome, etc. Ich glaube nicht, dass das alles auch nur annähernd sicher ist.
- Registriert
- Okt. 2015
- Beiträge
- 269
Artikel-Update: Ait Deutschland hat inzwischen auf die Rückfrage der Redaktion geantwortet. In dem Statement heißt es, das Unternehmen stehe „bereits seit längerem mit dem Sicherheitsforscher, der diese Sicherheitslücke entdeckt hat, in Kontakt“. Gepatcht worden sei die Schwachstelle schon Mitte letzten Jahres. Die grobe Zeitangabe von Jaarden könnte folglich daher rühren, dass er womöglich gar keine Information darüber hatte, wann genau die gepatchten Firmware-Versionen veröffentlicht wurden, sodass er den Zeitraum nur sehr grob eingrenzen konnte.
Wozu hat die Wärmepumpe einen Netzwerkzugang?
Die Maschine muss out-of-the-box laufen. Der Service-Techniker darf nur im Störungsfall an die Anlage. Erst dann wird die WP an das Internet angeschlossen.
Falls man noch smart sein möchte, Freigabe nur über einen VPN-Tunnel mit selbst erstellten Passwort.
Die Maschine muss out-of-the-box laufen. Der Service-Techniker darf nur im Störungsfall an die Anlage. Erst dann wird die WP an das Internet angeschlossen.
Falls man noch smart sein möchte, Freigabe nur über einen VPN-Tunnel mit selbst erstellten Passwort.
M
M42
Gast
Da hab ich ja mit meinem Kachelofen nochmal Schwein gehabt!
Vandenburg
Cadet 4th Year
- Registriert
- Okt. 2007
- Beiträge
- 122
Das ist nur eine von vielen Herstellern.
Ich war 10 Jahre bei einem Heizung und Klimageräte Hersteller für die Außenstelle in AUT Sysadmin
1.) Keiner der Hersteller kontrolliert dies. Die kaufen die Steuerung meist zu.
2.) Bedenken wegen der Sicherheit der Schnittstellen Module wurden von dem Mutter Konzern nicht beantwortet oder heruntergespielt.
3.) Die Verantwortlichen für Heizung und Klima kennen sich mit IT tetc. garnicht aus.
4.) Gerade in Bürogebäuden mit Leitsystem etc. werden E-BUS, und KNX Schnittstellen zur Steuerung verbaut.
Die Kommunizieren über Bus Systeme und Netzwerken mit den zentralen Steuerungen.
funFact....
In Finnland haben sie einem ganzen Dorf über die Steuerungen die Heizung abgedreht.
Die hatten alle die gleichen Steuerungen verbaut.... schon einige Jahre her.
Was man mir aber gesagt hat, dass bei ÖL und GAS Heizungen, die Steuerrungen so designt sein müssen, das man mit Software Einstellungen keinen Unfälle, etc. erzwingen kann.
Ich war 10 Jahre bei einem Heizung und Klimageräte Hersteller für die Außenstelle in AUT Sysadmin
1.) Keiner der Hersteller kontrolliert dies. Die kaufen die Steuerung meist zu.
2.) Bedenken wegen der Sicherheit der Schnittstellen Module wurden von dem Mutter Konzern nicht beantwortet oder heruntergespielt.
3.) Die Verantwortlichen für Heizung und Klima kennen sich mit IT tetc. garnicht aus.
4.) Gerade in Bürogebäuden mit Leitsystem etc. werden E-BUS, und KNX Schnittstellen zur Steuerung verbaut.
Die Kommunizieren über Bus Systeme und Netzwerken mit den zentralen Steuerungen.
funFact....
In Finnland haben sie einem ganzen Dorf über die Steuerungen die Heizung abgedreht.
Die hatten alle die gleichen Steuerungen verbaut.... schon einige Jahre her.
Was man mir aber gesagt hat, dass bei ÖL und GAS Heizungen, die Steuerrungen so designt sein müssen, das man mit Software Einstellungen keinen Unfälle, etc. erzwingen kann.
Der Fehler war sicherlich vermeidbar und sowas darf auch nicht passieren wenn ein Gerät baut was man gewerblich verkaufen will aber der Fehler hier sollte auch nicht über bewertet werden. Man muss erstmal über ssh an das Gerät rankommen. Dazu ist Zugriff zum Netz nötig in dem sich das Gerät befindet was sich in der Praxis weitaus schwieriger gestaltet.MalWiederIch schrieb:
Da musste schon wissen wer genau so ein Gerät hat und musst das wifi Passwort haben und der User muss alles im gleichen Netzwerk haben.
Also ja wenn man einen nicht so netten Freund hat dem man das wifi Passwort anvertraut hat dann könnte der theoretisch dort Unsinn machen, sofern alles in einem Netz sich befindet
DNS81
Cadet 2nd Year
- Registriert
- Okt. 2007
- Beiträge
- 27
Knighty schrieb:
Danke, dass du das klargestellt hast.
Ich kenne die rechtlichen Regelungen (vor allem die umfangreiche Festlegung der Bundesnetzagentur zur genauen Ausgestaltung). Nur, die Person auf die ich mich bezog, hatte mit markigen Worten und unerschütterlicher Gewissheit verkündet, dass das ganz anders und nachlesbar ist.
Nein, aufgrund von möglichen Steuerungen wegen Netzengpässen wird keiner frieren. 4,2 kW bei Einzelanlagen bzw. sogar mehr Mindestleistung bei mehreren Wärmepumpen sind ausreichend für eine warme Wohnung.
Marco01_809
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.902
Heute ist man wohl Programmierer wenn man eine Versionsnummer lesen kann...Weyoun schrieb:
Linux 2.6.33 wurde Februar 2010 veröffentlicht, letztes Update 2.6.33.20 ist vom November 2011.
Einprogrammiertes Passwort hin oder her, das System ist je nach verwendeter Treiber anfällig für zahllose Sicherheitslücken der letzten 12 Jahre.
So ein System mit Internetanbindung zu verkaufen ist grob fahrlässig und grenzt an Betrug.
Die hoffnungslos veraltete Systemumgebung deutet noch mehr als das einprogrammierte Passwort (in 3DES?? Hallo!!??) auf einen massiven Kompetenzmangel hin.
Bzgl. https://github.com/Jaarden/CVE-2024-22894
Interessant ist das die Firmware Updates offenbar nur geänderte Dateien zur Auslieferungsversion enthalten. Die Updates sind nämlich tar-Archive mit einer Ansammlung loser Dateien. Schon das directory listing enthält mehr Dateien. Erwarten würde man eher ein Disk Image, wie es z.B. bei Android oder Routern der Fall ist. In den Updates, z.B. V3.89.4 ist auch kein Kernel image zu finden. Fraglich ist also ob ein Update des Kernels überhaupt vorgesehen bzw. möglich ist.
Denkst du.Don_2020 schrieb:
Da wirds ähnlich wie bei den PV-Heimspeichern gehen.
Sobald das Teil mal länger offline ist erlischt automatisch die Garantie. Ertrags- und Verbrauchsaufzeichnung ist direkt weg, die geht nur online.
Und ja die telefonieren regelmäßig nach Hause und werden auch per OTA geupdatet. Merkst du wenn mal wieder etwas nicht wie gewohnt funktioniert.
Und damit liegst du goldrichtig. (auch wenn du es mit Sicherheit nicht so gemeint hast)pacifico schrieb:
Die Lebensdauer bzw. die Nutzungszeit einer Heizung ist erheblich länger als die von jedem Rechner, Smartphone, etc.
Irgendwann gibts keine Updates mehr, ggf. noch nicht mal den Hersteller und du kannst da auch gar nichts daran ändern weil die Hardware viel zu leistungsschwach ist für halbwegs aktuelle Software.
Wir merken davon aktuell noch nicht viel, weil die wirklich alten Steuerungen alle offline mit MS-DOS oä. werkeln und es nach wie vor Disketten sowie Diskettenlaufwerke zu kaufen gibt.
(Nur bei der Hardware, inbesondere bei Mainboards mit ISA-Steckplatz wirds immer schwieriger ...)
Aber stell dir jetzt mal sämtliche Türschlösser, Heizungen, PV-Anlagen. ... mit Internetverbindung in 20-30 Jahren vor.
Bei den 20+ Jahre alten Nutzfahrzeugen wirds auch immer besser.
Da teilweise noch ein Motorsteuergerät mit passender Programmierung zu finden ...
Wenn du nichts anderes beantragst (bzw. macht das dein Elektriker) dann bekommst du einen 35A SLS verbaut. Sind ~24kVA bzw. ~8kVA je Außenleiter.Weyoun schrieb:
63A SLS oder 63A NH + Hauptschalter (anstatt SLS) mit Direktmessung (Ferraris, EHZ und moderne Messeinrichtung) bekommst du heute nicht mehr.
Bei 50A SLS ist mittlerweile Schluss (>34,5 bzw. 11,5 kVA).
Für mehr musst du auf Wandlermessung umsteigen, aber das wird aus Kostengründen kein Privathaushalt machen.
Weyoun
Vice Admiral
- Registriert
- Okt. 2010
- Beiträge
- 6.576
Welche Versionsnummer? Ich las da als unbescholtener Bürger nur ein Datum heraus. Und selbst wenn, was sagt mir diese Nummer als Nicht-Linux-Kenner?Marco01_809 schrieb:
10 Jahre ist übrigens gar nix. Es gibt noch viele Workstation Rechner mit Windows XP oder älter, die produktiv betrieben werden (z.B. Fertigungsrechner in Fabriken, die ihre Geräte über Dekaden hinweg verwenden). Selbst Geldautomaten haben extrem lange noch Windows XP unter der Haube verwendet. Von daher ist das reine Alter nicht alles.
Marco01_809
Lt. Commander
- Registriert
- Mai 2011
- Beiträge
- 1.902
Meinetwegen darf da auch MS-DOS laufen. Habe ich gar keine Sorgen mit. Solange sie nicht mit dem Internet verbunden sind und aus Ferne gekapert werden können.Weyoun schrieb:
Weyoun
Vice Admiral
- Registriert
- Okt. 2010
- Beiträge
- 6.576
Da habe ich ja schon in meiner Nürnberger Mietswohnung mehr und das Haus ist von 1979!Darknesss schrieb:
Unsere Doppelhaushälfte (Hauptwohnsitz) hat meines Wissens eine 63A-Absicherung und das war damals (1998) "Stand der Technik". Wir hatten damals sogar noch einen großen Drehstromanschluss im Keller (Baustrom für hungrige Baumaschinen), den wir dann später mal auf drei Phasen aufgeteilt haben.
Aus welchem Grund? Gerade in Zeiten von PV-Anlagen, privaten Wallboxen und großen Wärmepumpen steigt der Stromverbrauch von Eigenheimbesitzern doch eher als das er sinkt!Darknesss schrieb:
Bekommt man dafür einen speziellen Strommesser? Wir haben letztes Jahr einen neuen Smart-Stromzähler (Messung in beide Richtungen) bekommen, als wir unsere PV-Anlage in Betrieb genommen haben, aber an der Hauptsicherung hat sich da meines Wissens nichts geändert.Darknesss schrieb:
Shoryuken94
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.632
Weyoun schrieb:
Der Unterschied dabei ist aber die Erreichbarkeit im Internet. Kein Unternehmen mit dem Interesse noch längere Zeit am markt aktiv zu sein wird seine Angestellten mit einem Windows XP Rechner arbeiten lassen, auf das Internet zugreifen kann oder gar öffentlich erreichbar ist.
Die ganzen Industriesteueranlagen etc. die teils noch vielältere Betriebssysteme haben, sind nicht das Problem. Solange die für sich isoliert stehen und nur die Steuerung übernehmen, ist da weniger kritisch. Aber ein 12 Jahre altes System erreichbar im Netz? Das ist geradezu eine Einladung. Geldautomaten etc. haben nicht das normale XP, sondern Windows XP Embedded genutzt, dass wurde immerhin bis 2016 supportet.
KitKat::new()
Rear Admiral
- Registriert
- Okt. 2020
- Beiträge
- 5.358
weil je Älter das System, desto mehr ungepatchte Sicherheitslücken gibt es oder wie soll man das verstehen?Shoryuken94 schrieb:
