Hacker kon software van zonnepanelen met omvormers Chinese Solarman aanpassen

De Nederlandse hacker Jelle Ursem wist toegang te krijgen tot het systeem van het Chinese Solarman, dat zonnepanelen beheert en monitort. Hij kon de namen en adressen van klanten inzien en veranderen. Ook was het mogelijk om de firmware van de omvormers aan te passen.

Ursem, die op Tweakers bekendstaat als SchizoDuckie, ging op onderzoek uit naar aanleiding van een tweet van ethisch hacker Célistine Oosting. Ursem vond de inloggegevens van het systeem via GitHub en kreeg daarmee toegang tot het adminportaal van Solarman, meldt Follow the Money. Het wachtwoord bestond uit een Chinese naam met '123' erachter. Tweefactorauthenticatie was niet ingeschakeld. Ursem zoekt als ethisch hacker vaak op GitHub en dergelijke platforms naar repo's waar wachtwoorden of api-keys in staan opgeslagen. Tweakers sprak hem daar eerder dit jaar over.

Met de inloggegevens was het mogelijk om de persoonsgegevens van Nederlandse klanten in te zien. Ursem zegt dat hij nieuwe gebruikers kon aanmaken en bestaande gebruikers kon verwijderen. Daarnaast kon hij onder meer de gps-coördinaten en de hoeveelheid stroom die de zonnepanelen opwekken inzien. Ook was het mogelijk om de firmware van de omvormers te downloaden, aan te passen en weer te uploaden.

Aanvallers met toegang tot het systeem konden de zonnepanelen van Solarman-klanten zelfs op afstand uitschakelen of onklaar maken. Daarnaast zou een hacker het internet van eigenaren van zonnepanelen kunnen platleggen als de omvormer is verbonden met het thuiswifinetwerk. Ook is er kans op brandgevaar als de beveiligingsinstellingen rond de spanning op een bepaalde manier worden aangepast.

Oosting kwam tot de ontdekking dat de klantendata naar China wordt gestuurd, wat in strijd is met de AVG. Ook kan China op afstand de omvormers van in Nederland geplaatste zonnepanelen beheren. En dat terwijl Chinese bedrijven vanwege een te groot risico voor de staatsveiligheid geen vitale delen van het Nederlandse stroomnet op de Noordzee mogen bouwen.

Ursem trok vorig jaar aan de bel bij het Dutch Institute for Vulnerability Disclosure. Dat stuurde vervolgens een mail naar Solarman. Een reactie kwam er niet, maar het wachtwoord werd wel aangepast. In februari van dit jaar ontdekte Ursem echter dat het oude wachtwoord toch weer werkte. Inmiddels is het lek gedicht. Voor zover bekend heeft het niet tot schade geleid.

Solarman, dat in Nederland meer dan 42.000 klanten heeft, beweert in een reactie aan RTLNieuws dat het wachtwoord enkel toegang gaf tot een testomgeving, maar geeft toe dat het mogelijk was om de software van de omvormers aan te passen.

Update, 25 juli: In een vorige versie van dit artikel stond dat Solarman omvormers voor zonnepanelen levert. Het gaat echter om monitoringssoftware voor omvormers.

Update, 4 september: In dit artikel stond dat Ursem ontdekte dat er klantendata naar China werd gestuurd. Dit is onjuist. Het was ethisch hacker Célistine Oosting die dit ontdekte. Het artikel is daarom aangepast.

Door Sabine Schults

Redacteur

25-07-2022 • 09:36

141

Submitter: Stukfruit

Reacties (141)

141
140
74
9
0
61
Wijzig sortering
Voor Growatt omvormers heb ik een oplossing gemaakt: https://github.com/johanmeijer/grott

Grott zelf is een proxy tussen de omvormer en Growatt website. Hiermee kun je zelf de data lezen en verwerken (bv sturen naar een eigen influx database of via mqtt naar een homeautomation oplossing zoals home assistent, Openhab of domoticz of naar pvoutput sturen). Grott zelf stuurt de data nog wel naar een server, maar kan wel de data (commando's) van de server tegenhouden. Dus vanuit China kan de omvormer niet meer bestuurd worden.

Ik heb ook een Grottserver gemaakt die de Growatt server kan vervangen.

Met Grott en Grottserver kun je alle data zelf verwerken zonder de Server van de leverancier in China.
Mij onbekend of het werkt op nieuwere Growatt-systemen, maar via de RS232-poort kun je de gegevens ook zelf direct uitlezen. Daarmee kun je een netwerkverbinding vanuit de converter in zijn geheel omzeilen. Het had wat voet in aarde, maar ik lees ze nu direct uit voor verwerking in Openhab. Voor inspiratie: https://github.com/lemval/growatt-rs232-reader
Voor uitlezen van opbrengst kun je ook zoiets gebruiken https://www.homewizard.com/nl/shop/wi-fi-kwh-meter-1-fase/
Bedankt, interessant!

Heb je dit gemaakt omdat je gewoon zelf de data wilde kunnen uitlezen, of (en?) omdat er een beveiligingsprobleem is met Growatt omvormers?

Ik heb ook een Growatt omvormer en Safari heeft me wel eens gewaarschuwd dat mijn username / password daarvoor mogelijk betrokken zouden zijn bij een datalek, dus ik heb toen mijn password direkt aangepast.
Ik heb het eerst gemaakt omdat ik de data zelf wilde verwerken. Later besefte ik (na analyseren van het protocol) dat er commando's gegeven (stop/start etc) en configuratie aanpassingen vanuit China gedaan konden worden. Toen heb ik de blokkade mogelijkheid ingebouwd.

Ik vind het zelf niet zo erg dat mijn meetgegevens naar China gaan maar er was een uitdrukkelijke wens vanuit de Grott community voor een oplossing. Vandaar Grottserver (die het ook nu mogelijk maakt om via een eigen api commando's te geven en instelling te wijzigen). Draait op je eigen server dus hoeft het pand (je eigen netwerk) niet te verlaten ;).
Mooi project. Zelf zocht ik via rs485 aan te sturen voor negatieve uurtarieven, maar te weinig tijd om automatisering basis onder de knie te krijgen.

Ik ga dit in ieder geval als firewall gebruiken, met mogelijk de server later ernaast.
Let wel standaard staat het blokkeren niet aan. Je moet blockcmd=True in de grott.ini specificeren.
Deze setting had ik nog niet aan staan, inmiddels wel ;-)
Thanks, Johan!
Mooi project, Grott draait hier al sinds december j.l.
Hier is het uitgebreide oorspronkelijke artikel van Follow The Money
https://www.ftm.nl/artike...RnCu%2FgeouE2zi2TeohLjtew
Zou een soortgelijke oplossing ook werken voor SolarEdge systemen?
Ik zie deze op github:

https://github.com/jbuehl/solaredge

Weet niet of deze goed is (heb zelf geen solaredge inverter). Maar lijkt wel een active github.
Dank @Johan_meijer
Ik denk echter dat dit mijn knowledge iets te boven gaat, bovendien wordt bij gebruik van de Ethernet Port de SolarEdge losgekoppeld van zijn server en krijgt geen updates meer, dat lijkt me onwenselijk.
Dit soort dingen is wereldwijd denk ik een grote uitdaging. Ik woon in een 'nieuw'bouw wijk van 2017 waar ruim 150 huizen zijn voorzien met zonnepanelen direct vanuit de bouw met Omniksol solar converters.
het bedrijf wat door de aannemer in de hand was genomen heeft honderden panelen aangesloten en converters geplaatst met default instellingen.
Toen ik in mijn huis kwam wonen dook in de Solar converter in en sloot hem aan op wifi na wat google werk wat de default instellingen zijn, dit door een ad-hoc wifi verbinding op te zetten met de converter. Ik kon verbinding maken met de hele wijk en had toegang tot alle gegevens en instellingen.
In mijn DNS server zag ik direct meer dan 1000 verzoeken per dag van de converter naar solarmandata.com. Terwijl er in de config niks daarover vermeld staat. zodra de converter op wifi zit gaat die het internet op. Dit geblokkeerd aan alle kanten natuurlijk.
Maar die andere 149 huizen staan nog steeds op dezelfde manier geconfigureerd en staan of op default, of als ze op wifi aangesloten zijn meteen het internet op. Nergens gegevens van het aannemers bedrijf dat het verstandig is dit te wijzigen etc etc.

En als je de buren er over spreekt, als non ITers, zeggen ze: achja dat weet ik allemaal niet, ze verkopen me stroom dus ik ben happy.
hahaha... exact hetzelfde hier gebeurt met GoodWe omvormers. Allemaal hadden ze dezelfde naam en allemaal dezelfde login gegevens. Ik heb dus met een laptop op mijn oprit gestaan en alle omvormers de netwerknaam aangepast binnen mijn wifi bereik. Vervolgens mijn omvormer uitgeschakeld en gewacht totdat er 1 WiFi netwerk verdween uit mijn lijst... dat was dus mijn omvormer. Die geconfigureerd en afgeschermd. Tot op heden (na 6 jaar), zijn er nog altijd omvormers die de instellingen bevatten die ik toen heb ingesteld. Dus er wordt niet veel gebruik van gemaakt.
Nergens gegevens van het aannemers bedrijf dat het verstandig is dit te wijzigen etc etc.

En als je de buren er over spreekt, als non ITers, zeggen ze: achja dat weet ik allemaal niet, ze verkopen me stroom dus ik ben happy.
Even ‘advocaat van de duivel’
Een aannemer is geen ITer? Misschien dat de aannemer (die dit overigens door een onderaannemer laat uitvoeren) dit niet eens weet.
Ik snap je punt, maar dit soort informatie is niet dagelijkse kost ;)
Helemaal mee eens! Een bakker is geen stratenmaker. Maar als hoofdaannemer zat er een grote jongen zoals bam of Heijmans of 1 van de andere grote boven. Juist dit soort situaties wordt niet over nagedacht.

In het kader van paranoïde complottheorieën vergt dit soort situaties steeds meer kans op instabiliteit in stroom netwerk door kwaadwillende. De maatschappij omarmt (ICT)techniek zo veel en in rap tempo dat we de meest negatieve scenario's (nog) niet voor ogen hebben.
Sommige dingen worden helemaal uit het verband getrokken door sommige mensen.

Het betreft omnik omvormers. Het bedrijf daar achter is al enkele jaren failliet. De opbrengst logging is over genomen door solarman.

Ik repareer deze omvormers al enige jaren. Ze zijn redelijk betrouwbaar maar hebben geen hoge efficiëntie bij lage instraling.
Een veel gemaakte fout door installeurs is dat de open wifi AP niet uitgezet is nadat ze verbinding gemaakt hebben met het netwerk in huis.

Voor firmware upgrades moet je verbonden zijn met het AP van de omvormer zelf. Uitzetten van de omvormer is niet mogelijk via het AP van de omvormer, het laten herstarten of resetten van het AP/Wifi module heeft geen enkel invloed op de productie van de omvormer.

Je kunt eenvoudig de wifi module verwijderen of geen verbinding met je thuis netwerk laten maken en dan is het hele china avg verhaal niet meer aan de orde.

Solarman heeft de spullen niet op orde gehad. Dit staat los van de omvormers.
Bedankt voor de info dat de wifi module zonder problemen kan worden verwijderd. Daar twijfelde ik nog aan. Werkt je in De Rijp toevallig? :)
Lees ik een schrijffout want ik volg je vraag niet helemaal. 8)7
Werkt = Werk, typefout ja. Ik was toevallig onlangs bij de firma MetDeZon in De Rijp omdat mijn Omnik (die ik bij hen heb gekocht) na bijna 10 jaar defect was. Jouw verhaal deed me aan hen denken, vandaar.
Ben je verplicht je zonnepanelen aan het internet te hangen ? of kan het ook lokaal draaien ?
Nee, dat ben je zeker niet.

De meesten doen dat wel om via de bijbehorende app, de stats van de omvormer in te zien zoals opgewekt vermogen en #KWh. De data wordt dan verstuurd naar de database van de leverancier, waarbij je de app gebruikt om het weer te geven zonder vebonden te zijn met je thuisnetwerk.

Als alternatief kun je een omvormer vaak uitlezen met een seriele poort of de gegevens zelf uit de wifi module van de omvormer te lezen. Dit is prima te doen (voor tweakers) met bijvoorbeeld homassistant in icm. met een ESP32 oid. Je kunt het dus prima lokaal draaien, maar dat moet je dan wel zelf regelen en voor velen is dat een brug te ver.

Op de alternatieve manier houd je het zelf wel in de hand...

[Reactie gewijzigd door LeNNy op 23 juli 2024 12:20]

Nog een andere eenvoudige methode is om een BPM (bruto-productiemeter) te regelen bij je energietransporteur en die uit te lezen via de P1-poort. Dit laatste kan ook weer via home-assitant of domoticz)
dat is in NL een methode om ook in je eigen voet te schieten. ;)
(dan mis je salderen, en anders krijg je die meter niet.)

(beter een eigen BPM regelen, kan al voor een paar 10tjes maar afhankelijk van je situatie.
geen P1 poort, maar vaak een ander systeem.)
Waarom mis je salderen? Bij mij zit de BPM van Stedin tussen de zonnepanelen en de reguliere electriciteitsmeter. En er wordt bij mij nog steeds gewoon gesaldeerd.

Dus ik snap je hier niet.
Ik heb er een kilowattuur meter tussen gezet.
Ofwel komt er hier al 11 jaar stroom uit het niets, ofwel kan het perfect zonder internet. :P
Verplicht niet, maar je kunt niet bij iedere leverancier lokaal je data uitlezen.
Ja en nee.

Soms is het een clausule in de garantievoorwaarden.
En je bent verplicht om je omvormer op de meest recente netcode te houden. Sommige merken regelen die updates via internet. In nederland wijzigt dat niet zo vaak. Dus zo hard is het niet nodig.

Voor de functionaliteit is het meestal niet nodig.

[Reactie gewijzigd door jeroen3 op 23 juli 2024 12:20]

er zijn hier redelijk wat dingen kwalijk en gevaarlijk te noemen.
Dit is namelijk heel makkelijk uit te buiten voor cyberspionage en ook kan er dus vanuit china invloed uitgeoefend worden op onze energievoorziening.

We hebben de problemen bij meer merken gezien(telefoons en netwerk infra en cameras). Wat mij betreft verbieden deze partij, maar daar zal meer bewijs voor nodig zijn dan de bevindingen van 1 persoon denk ik.
Wat mij betreft verbieden deze partij
Probleem is een beetje dat de juridische opties tot ingrijpen maar zeer beperkt zijn.

Deels kan de AP hier ingrijpen maar allereerst is die veel te onderbezet om de grote bergen "alibaba-troep" allemaal te gaan controleren en handhaven, en ten tweede gaan die alleen over persoonsgegevens, niet over het andere probleem dat hier speelt, namelijk beveiliging en veiligheid van zonnepanelen - dat iemand op afstand bij wijze van spreken je apparaat in de fik kan zetten.

Dan heb je nog de route van civiele aansprakelijkheid (conformiteit, voor de consument), dat is wel zo breed opgezet dat hier zowel privacylekken als beveiliging als veiligheid onder vallen, maar die route is heel indirect: dan moet een consument zelf aan de bel trekken bij degene waar hij het paneel gekocht heeft, en die moet weer naar de fabrikant, eventueel nog met een leverancier als tussenpartij. Bij elke schakel zal slecht een klein gedeelte van de consumenten/aannemers/leveranciers echt werk maken van de gebreken van deze zonnepanelen, dus die ene klager die daadwerkelijk bij de fabrikant terecht kan vrolijk genegeerd worden.

Wat mij betreft zou gewoon een keiharde "blacklist" van producten of fabrikanten hier niet misstaan. Hup, van de markt deze troep. En laat de fabrikant zelf maar moeite doen om aan te tonen dat ze hun leven gebeterd hebben, want als officiële instanties als de AP dat allemaal zelf moeten onderzoeken zijn ze over 1000 jaar nog niet klaar.

[Reactie gewijzigd door bwerg op 23 juli 2024 12:20]

het zou al helpen als installateurs verplicht worden om de toekomstige gebruiker het wachtwoord te laten wijzigen. ZonneKeur zou zoiets toch eenvoudig in hun regels op kunnen nemen.
Zoals ik het lees betreft de hack het kunnen inloggen op een centraal admin-portaal...dus daar heeft de installateur geen invloed op.
Maar toch is de installateur verantwoordelijk, hij heeft dat product aan de consument verkocht niet de fabriek van het product
Daar gaat de hack toch niet over? De hack betreft centraal portaal en niet de individuele omvormer.
Ja tuurlijk is de omvormer verbonden via internet aan dat portaal omdat de klant graag zijn opbrengst in een appje wilt kunnen bekijken (Gok ik even).
Wat de installateur had kunnen doen is de omvormer niet verbinden met het internet.... 8)7
Helaas is dit niet het enige merk van Chinese omvormers met een dataverbinding naar China toe. Beter zou dus zijn dat generiek te verbieden, niet een enkele partij.
Wellicht een "great wall against China' als evenknie van de Chinese variant?
Ik vermoed dat de data van Solaredge ook niet in Europa blijft maar naar de verenigde staten gaat. En ook hier bestaat de kans dat een buitenlandse mogendheid invloed heeft op de Nederlandse stroomvoorzieningen.
Ik weet niet exact waar de datacenters van SolarEdge staan (het is een Israelisch bedrijf dus het kan ook in Israel zijn), maar de beveiliging nemen ze wel serieus. Ze hebben zelfs een bughunt premie program en moedigen aan om PEN-tests te doen: https://www.solaredge.com/nl/cyber-security-policy
Weer wat geleerd :)
Klinkt alsof er nog steeds ongewild data naar China gaat.
Verast je dat? Ik vraag me al de hele tijd af hoe de Nederlandse of andere Europese AP dergelijke bedrijven die zo op de cloud leunen kan controleren.
Hoe kan de Nederlandse AP controleren of Meta, Google, Microsoft echt hun Europese data in Europa houden? Alle datacenters zitten met hele dikke pijpen aan elkaar vast; die data is in een oogwenk over de hele wereld verdeeld.
Wacht nog even tot die grote players volledig http/2 afschaffen en je verplichten http/3 te gebruiken ( die packets zijn stand. volledig encrypted, waardoor je zelf met wireshark de inhoud niet kan uitlezen.
Dus Europese data kan echt wel overal naartoe, want Europa heeft er momenteel de knowhow niet voor.
Ik hoop dat het AP hier probeert in te grijpen. Als ze hiermee wegkomen kunnen we net zo goed geen AVG hebben.

Niet dat ik verwacht dat de boete betaald zal worden, overigens.
probleem zal zijn dat deze hacker dan wel eerst contact had moeten zoeken met de AP om hen bewijzen te overhandigen (te laten zien wat er werkelijk gebeurt) want nu gaat zo'n bedrijfje ergens in het verre china natuurlijk never-nooit meewerken aan een GDPR-onderzoek

- Enig optie is om direct alle betrokken importeurs en verkooppunten aan te schrijven en hen te dwingen tot een terugroepactie (zij hebben producten verkocht die non-conform de wet zijn) maar gok ik dat je HEEL veel bedrijven met een HELE grote strop opzadelt.
Alternatief is dat de firmware wordt 'gejat' door een Europees bedrijf en dat zij op deze aanpassen naar iets dat wel in lijn is met de wet.... maar dat kost ook bakken met geld..

-knip-

[Reactie gewijzigd door Bor op 23 juli 2024 12:20]

"maar gok ik dat je HEEL veel bedrijven met een HELE grote strop opzadelt."
Tja... Hebben die bedrijven zichzelf niet die strop alvast omgehangen toen ze goedkope chinese zooi gingen verkopen?
Je kunt, als de afgelopen jaren tenminste niet onder een steen hebt gelegen, nou niet zeggen dat dit risico er niet was en dat dit niet in de lijn der verwachting lag.
Dus nu dan ook niet gaan klagen wanneer de autoriteiten nu het krukje onder die strop een schop geven...
We moeten ook altijd het braafste jongetje in de klas proberen te zijn denk ik.

Dat we nu zoveel zonnecellen hebben liggen (inc. de omvormers) is omdat dit dus relatief goedkoop [en snel] wordt geproduceerd in China. En goedkoop produceren geeft soms wat kwaliteitsproblemen (in dit geval misschien dus 'slechte' software).
Dus eerst iedereen blij dat we zonnecellen op het dak kunnen leggen (de klant, de handelaar, de fabriek en de maatschappij als geheel ook wel). En dan een tik op de vingers...

Beter is nu (denk ik): stellen dat het moet worden verbeterd en binnen bepaalde termijn en anders boete.

Ik bedoel vooral: stel je bent gewond en je wordt geholpen door iemand die (nog) geen dokter is en heeft je behoed voor erger (infecties o.i.d). Maar daarna klaag je hem aan omdat hij geen dokter was...
We hebben het niet over een telefoonhoesje van Aliexpress he?
We hebben over vrij serieuze zaken, die je niet met goedkope meuk moet willen oplossen. Hier gaat het over gaten in de software, die blijkbaar nogal wat serieuze gevolgen zou kunnen hebben, varierend van je omvormer fikt uit of je panelen gaan stuk, tot aan de hele hut fikt af of je blaast de zekeringen uit de wijkkast.

We hebben het over belangrijke infrastructuur, waarbij misschien iemand de regie had moeten nemen om die infrastructuur te beschermen, en de mensen die graag voor een dubbeltje op de eerste rang zitten en geen verstand hebben van deze zaken tegen zichzelf beschermen.

Het zou eens een idee zijn om (op zijn minst) die omvormers aan een keuring (door de netbeheerders?) te onderwerpen voordat die uberhaupt aangesloten mogen worden op een belangrijke centrale infrastructuur zoals ons lichtnet.

En voor wat betreft je laatste analogie; ik denk dat het prima is om die iemand die nog geen dokter is aan te klagen, wanneer hij met de beste bedoelingen maar niet gehinderd door enige kennis een chinese, van inferieure materialen gemaakte, niet-steriele naald gebruikte om mij tegen die infecties te proberen te behoeden...
We hebben het niet over een telefoonhoesje van Aliexpress he?
We hebben over vrij serieuze zaken, die je niet met goedkope meuk moet willen oplossen. Hier gaat het over gaten in de software, die blijkbaar nogal wat serieuze gevolgen zou kunnen hebben, varierend van je omvormer fikt uit of je panelen gaan stuk, tot aan de hele hut fikt af of je blaast de zekeringen uit de wijkkast.
Of je schakelt om 13:00 alle 42.000 Nederlandse omvormers (and why stop there, let's do Europe) in een keer uit, en kijkt of daarmee het Nederlandse energienet (of het Europese) zo ver inzakt dat het omvalt. Het stroomnet kan daar niet zo goed tegen, zeker niet als het op veel plekken tegelijk gebeurt.
We hebben het over belangrijke infrastructuur, waarbij misschien iemand de regie had moeten nemen om die infrastructuur te beschermen, en de mensen die graag voor een dubbeltje op de eerste rang zitten en geen verstand hebben van deze zaken tegen zichzelf beschermen.
Ik heb verstand van software en energie, en zelfs van de combinatie. Maar als koper moet je ook op je fabrikant kunnen vertrouwen. Een auto haal ik ook niet uit elkaar om te kijken of er software met sleche bedoelingen inzit (hie terecht ook sinds Audi's trucks...).
We hebben over vrij serieuze zaken, die je niet met goedkope meuk moet willen oplossen.
Gezien de vele topics over offertes rondom PV installaties, die voornamelijk te hoog zijn, is een goedkopere oplossing in trek. Je kunt dus willen dat we het niet met goedkope oplossingen moeten gaan doen maar “het volk” bepaalt.
En daarmee zie je precies het probleem.
We hebben het hier over de hele 'energietransitie' - Over met zijn allen van het gas af, van het gaan naar warmtepompen, van het overstappen naar alleen nog maar volledig electrische auto's.
En we zien nu al steeds meer de problemen ontstaan. Hier te weinig stroom dus bedrijven krijgen geen aansluiting meer, daar weer een overschot waardoor omvormers af (moeten) slaan omdat er te veel wordt opgewekt op zonnige momenten. Eén keer een foute firmware update door een halfbakken partij met anderhalve zolderkamerprogrammeur, en de omvormer slaat even niet meer af bij de 250V...

'Het volk' bepaalt... Ja, en dáár moeten we dus misschien eens vanaf... Dit kun je, blijkbaar, niet aan de markt overlaten, met alleen maar commerciele belangen...?
Nee! Zeker niet vanaf!
Het volk bepaald en blijft bepalen. En dat is een groot goed. Wat je wil is dat de overheid de kaders van veiligheid bepaald en handhaaft.

Laten we al meer dan 10 jaar geen betrouwbare overheid meer hebben... Tja, dat is een ander punt.
Probleem is dat "het volk" geen flauw idee heeft. De meeste mensen nemen niet de moeite zich in zulke dingen te verdiepen of maken zich er van af met "ik hep daar geen verstant fan hoor".
Zelfde met de politiek. Het gros van het volk heeft geen idee waarom ze op iets/iemand stemmen. Stemmen puur op emotie. Anders gezegd, "het volk bepaald" is juist de bron van veel ellende.
Resultaat: misbruik op grote schaal. Altijd al geweest, zal ook altijd zo blijven.
Misschien hebben we wel een "onbetrouwbare overheid" omdat het volk teveel wil bepalen, ook over zaken waar ze te weinig verstand van heeft.
Inderdaad.
Je kunt ook Europese panelen kopen.
Maar die zijn anderhalf keer zo duur, dus niemand wil die.
Alles wat je bedenkt met meer controles of keurmerken vertraagt de uitrol nu eenmaal en verhoogt vaak ook nog eens de initiële kosten.

Je meterkast moest vroeger ook gekeurd worden. Nu niet meer maar kijg je ellende als achteraf blijkt dat het een bende was (en daardoor storing heeft veroorzaakt).
wanneer hij met de beste bedoelingen maar niet gehinderd door enige kennis een chinese, van inferieure materialen gemaakte, niet-steriele naald gebruikte om mij tegen die infecties te proberen te behoeden...
Juist - maar nu zijn de materialen niet eens zo slecht - alleen de security is dus matig / slecht (en dat phone-home gedrag is niet voorbehouden aan deze sector). Dus ongeveer net zoals: de naalden zouden steriel moeten zijn maar vanwege gebrekkige controles zijn dat lang niet altijd.

En dan wil je die aanklagen? Terwijl deze net-niet doktor dus met de beste bedoelingen (beetje twijfelachtig bij zonnepanelen - puur de winst is de reden) je heeft geholpen.


Maar hoe veranderen we de situatie dan wel...?
Inmiddels moeten we ook beseffen dat lage productiekosten het doel is waaraan veel leveranciers willen voldoen om zodoende de prijs laag te houden (en dat moet weer omdat het besteedbaar inkomen relatief laag is tegenwoordig...).
De fabrikant heeft als doel winst te maken - niet om bijv. jonge kinderen in sweat-shops te laten werken. De fabrikant zal dat - helaas - wel doen. Maar de stuwende factor achter dit alles, is de de consument die anders elders de produkten zal kopen.
Nu wil ik ook de schuldvraag niet verplaatsen [naar de consument]. Het is de overheid die moet zorgen voor regulering zodat iedereen netjes behandeld wordt. In dit geval zou de (onze) overheid dus de import belasting moeten opvoeren - omdat de Chinese overheid minder maatregelen neemt. Vervelend maar noodzakelijk.
Dat kan allemaal wel zijn wat je zegt.
Maar dit is al jaren bekend.
En omdat het nu even op tweakers staat een heel verhaal.
In plaats daarvan zou je allang actie hebben moeten ondernemen.
We hebben het hier over substantiële systemen die behalve in de software ook nog in de hardware veilig moeten zijn. Als ze de privacyregelgeving aan hun laars lappen, welke regels negeren ze dan nog meer?

Hier zijn ook gewoon Europese alternatieven voor en die zijn ook aardig aan de prijs, maar die prijs is hoger om een goede reden.

Zo'n zonne-omvormer hoeft geen online klantenbestand te hebben. Het ding werkt ook prima lokaal en moet eventueel met je energieleverancier praten, maar daar is geen cloudonzin voor nodig. Zo'n online inzicht is een leuke bijkomstigheid, maar absoluut niet nodig voor onze energietransitie. Sterker nog, zonder al die online-troep moet het spul nog goedkoper te maken zijn ook, tenzij het bedrijf erachter geld verdient met het verkopen van je data (wat ook direct een probleem is).

Als iemand die nog geen dokter je helpt is dat heel fijn, maar als iemand die geen dokter is je een doosje pillen geeft moet je die niet direct gaan slikken. Het één is nodig, het andere is een leuke bonus.
Het data-hoarding probleem is niet alleen voorbehouden aan omvormers natuurlijk. We hebben ook al deurbellen en nog wel meer, die hetzelfde proberen.

Mee eens dat het ongewenst is en ook niet helpt bij directe kosten besparing maar ja - data is money.

Echter de stelling: ze lappen privacyweggeving aan hun laars dus wat dan nog niet meer is niet eens nodig of houdbaar. De stelling is eerder: het is een goedkopere aanbieder die aan minder regels hoeft te voldoen - dat geeft consessies cq. minder kwaliteit.
Maar... als het vervolgens wordt geleverd door een lokale leverancier dan heeft deze ook wel wat plichten - dus kan kan eisen bij de [Chinese] fabrikant dat aan bepaalde minimale eisen wordt voldaan (oa. elektrische veiligheid).
We hebben het hier over substantiële systemen die behalve in de software ook nog in de hardware veilig moeten zijn. Als ze de privacyregelgeving aan hun laars lappen, welke regels negeren ze dan nog meer?
Als oud-KEMA medewerker kan ik je verklappen, als iets op 220 Volt vastzit met serieus vermogen moet het getest zijn.
Met de kanttekening dat er voldoende lokale dokters beschikbaar waren, maar die vervolgens door de genoemde persoon m.b.v. bedrijfsspionage, staatssteun en dumping strategie grotendeels uit de markt zijn gedrukt. Wij hebben dat in al onze naïviteit en opportunisme (lage prijzen) zelf laten gebeuren.

[Reactie gewijzigd door mac1987 op 23 juli 2024 12:20]

Ik heb gewoon voor Enphase micro invertors en Duitse panelen gekozen. Ik vertrouw de Amerikanen toch net nog even iets meer.
Wat ook niet echt helpt is dat Omnik, een leverancier van omvormers, op een gegeven moment failliet is gegaan. Deze omvormers werden onder andere via aanbestedingen van volgens mij Eigen Huis geleverd. De klanten die de monitoring wilde blijven gebruiken moesten toen verplicht overstappen op Solarman. Het was dus niet een directe keuze om van dit specifieke bedrijf software af te nemen op het moment van aankoop voor veel mensen/bedrijven.
Dat Omnik was al een B merk, en dat vereniging eigen huis gewoon een commercieel bedrijf.
De mensen werden en worden nog flink genept.
Ik heb er vanaf gezien. Nooit meer wat van gehoord. Mijn domotica install leest de omvormer rechtstreeks uit en plaatst de metingen op PVOutput.
Mijn domotica install leest de omvormer rechtstreeks uit en plaatst de metingen op PVOutput.
Het communicatieprotocol tussen de datalogger en de Wifi module van de Omnik is bekend, daarom kunt u de metingen sturen naar https://pvoutput.org
Maar ik heb geen wifi op mijn Omniks, bij mij zijn ze bedraad aangesloten.
Omnik heeft het communicatieprotocol tussen de datalogger en de rj45 aansluiting degelijk obfuscated, met een 'magic word'. Het is me nog niet gelukt dit te hacken wie helpt?
Volgens mij scraped het script dat ik gebruik gewoon de webgui, zie https://www.domoticz.com/wiki/Omnik_Solar_Inverter en https://github.com/sincze/Domoticz-Omnik-Local-Web-Plugin

Een van deze twee werkt al zo'n 4 jaar feilloos
Ja, scrapen van de webgui, dat kan, maar dan heb je het dus al naar omnik / solarman gestuurd. En dat wil ik dus niet.
Je scraped bij mijn weten de GUI van de omvormer zelf, dus binnen je eigen netwerk.
Je scraped bij mijn weten de GUI van de omvormer zelf, dus binnen je eigen netwerk.
Helaas niet voor zover ik weet.
De omvormer heeft geen echte GUI, alleen een stukje hardware communicatiepoort. Eén van twee mogelijkheden: WiFi, of bedraad. Niet beide.
De communicatie via de WiFi-poort is ontcijferd (gehacked!) en kan dus opgevangen en verwerkt worden.
Maar de communicatie van de omvormer met de website via de bedrade poort is obfuscated.
Mijn vriend is hier al jaren mee aan het worstelen..
We krijgen hem niet ontcijferd.
Heeft u een oplossing?
Bij mij zit er een webportaltje op, waar ik alles van kan aflezen.
Wat is precies het model van uw Omnik omvormer? En van het communicatie moduul (er zijn twee mogelijke modules: met RJ45 of WiFi, ze kunnen er niet alle twee tegelijk in zitten).

[Reactie gewijzigd door denkster op 23 juli 2024 12:20]

Dat ligt er ook weer aan. Veel bedrijven produceren goedkoop in China en doen eigenlijk gewoon een extensie versie van drop shipping (relabeling en misschien iets toevoegen) Daarna gaat het naar groothandel en dan tussenhandel.
Zie er dan nog maar eens achter te komen of iets uit China komt en welke onderdelen precies ;)
Bedrijven moeten er zeker van zijn dat de produkten die ze verkopen aan de wet voldoet, dus ook aan de GDPR eisen. Het minste wat er gedaan kan worden is de verkoop per direct stoppen, totdat bewezen is dat het weer aan de eisen voldoet.
Ik denkt niet dat ze wel zouden hebben meegewerkt als men eerst via het AP was gegaan. Dan krijg je alleen maar nieuwspoppen als "Nederlandse overheid hackt chinees bedrijf en perst ze af met boetes".

Bij het niet naleven van de privacyboetes kan een verkoopstop, eventueel in de hele EU, alsnog worden geregeld.

Dat al die bedrijven met die producten in hun maag zitten js vervelend, maar zou niet voor zijn gekomen als ze zich beter hadden ingelezen in hun producten. Ze leveren de hardware en zijn daarmee tegenover de klant aansprakelijk, de klant heeft niet gekozen om gegevens naar China te lekken. Als je IoT-troep installeert die mensen niet eigenhandig gekocht hebben, ben ne eat mij betreft mede aansprakelijk voor de gevolgen van privacyschending, of het bedrijf erachter nu kopje onder gaat en het product niet meer doet wat er geadverteerd is of dat je met hardware in je maag blijft zitten omdat het bedrijf erachter de lokale wet niet wil naleven.

Een supermarkt moet ook besmet eten weggooien als zich een bacterie in het productieproces nestelt, het is aan de supermarkt om de schade terug te krijgen. Kiest de supermarkt voor goedkope troep uit China dan is dat heel vervelend voor de supermarkt als ze geen cent terug krijgen, neem dat dan maae mee bij de volgende order,
en omdat hij niet eerst de toezichthouder inschakelde, maar meteen de publiciteit zocht en Solarman informeerde (die nu zaken kunnen gaan verbergen), is de ethische hacker mogelijk zelf ook medeplichtig....

Moraal van het verhaal: als je iets ontdekt, licht dan eerst de autoriteiten in. Voor je het weet ben je jezelf medeplichtig aan het maken....
Chinezen zijn niet echt goed in programmeren en veiligheid is daar al helemaal een ondergeschoven kindje. Hier kon iedereen de software gewoon op Github zien wat het wachtwoord was en welke gegevens werden doorgestuurd. Dit lijkt erop dat men vooral slordig is geweest en de software gewoon niet meer heeft aangepast zodra het voldoende goed deed wat het moest doen.

Of het nu om bewust of slordig is, maakt voor de AP natuurlijk niet uit. Er wordt data gedeeld die niet gedeeld mag worden.

Voor mensen die een dergelijk systeem hebben: Verander het wachtwoord en hang het systeem niet aan je netwerk.
Het wachtwoord kan niet goed aangepast worden want accepteert geen speciale tekens.
Voor een goed wachtwoord zijn speciale tekens ook niet echt noodzakelijk. Zolang je cijfers, letters en hoofdletters kunt gebruiken (nog altijd meer dan 60 unieke tekens), kan je best sterke wachtwoorden maken. Er zijn meer programma's en websites waar geen of maar een beperkt aantal speciale tekens kunnen worden gebruikt.
De verplichting om cijfers, hoofdletters en speciale tekens in een wachtwoord te gebruiken is eigenlijk een verplichting die de wachtwoorden juist zwakker maakt.
Alle data van alle Chinese omvormers gaat naar China.
Dat is gewoon bekend. Als dat van de AVG niet mag waarom wordt er dan niet inbegrepen.

Ik waarschuw klanten al jaren, dat als we ooit ruzie met China krijgen ze de WiFi stick eruit moeten trekken.
De AVG beschermt alleen persoonlijke informatie. Hoeveel kWh je huis heeft opgewekt is lastig terug te leiden tot een persoon. Sommige data kan daarom prima naar China zonder de wet te overtreden.

Dat zal in de meeste gevallen niet zo zijn, maar zie mensen maar eens te overtuigen om honderd(en) meer te betalen voor een Europees alternatief.

Als je kennis hebt van merken die vage dingen doen, zou ik vooral even het AP informeren. Ik denk niet dat ze de capaciteit hebben om hier direct op in te gaan, maar wie weet is het interessant genoeg om in de backlog te komen.
Er is voor zulke bedrijven maar één oplossing: toegang weigeren. Alle contracten verbreken en ze verbieden om nog zaken te doen in Nederland. Andere straffen werken niet.
Anoniem: 454358 @biteMark25 juli 2022 11:47
Die hebben dan binnen 3 seconden een andere naam, en gaan dan onder die naam exporteren.
Nee hoor, dat is gewoon gepland. ;)
Waarom zitten er echte gegevens in een testomgeving?
Vaak wordt het testsysteem (nieuw) gegenereerd door een (actuele) kopie van het productiesysteem te maken zodat het testsysteem ook in lijn blijft met het productiesysteem. Data wordt dan gewoon meegekopieerd.
Een beetje bedrijf draait gewoon een anonimisering proces over de database zodat persoonsgegevens niet in de OTA komen te staan.
Sterker nog , je mag bij mijn weten geen echte persoonsgegevens gebruiken in non-prod omgevingen.
Vaak wordt het testsysteem (nieuw) gegenereerd door een (actuele) kopie van het productiesysteem te maken zodat het testsysteem ook in lijn blijft met het productiesysteem. Data wordt dan gewoon meegekopieerd.
Alleen als je het systeem slecht ontwerpt en niet code weet te scheiden van data.
Of als je te maken hebt met een oud systeem of een systeem waarbij nogal wat koppelingen liggen met andere systemen. Been there, done that.

Theorie en praktijk lopen nogal eens uit elkaar.
Het één sluit het ander niet uit. Kan nog steeds een slecht ontwerp zijn.
Gebeurt wel vaker bij actieve systemen. Maar net die omgevingen zijn doorgaans niet zomaar toegankelijk van buiten.
Alleen toegang tot de testomgeving, en toch is het mogelijk de firmware van de omvormers aan te passen. Solarman vertelt even publiekelijk dat hun testomgeving is gekoppeld aan hun live systemen. Wat een onkunde.
testomgeving was gewoon een leugentje om ... van het gezeik af te zijn, ja nee testomgeving maak je niet druk.
Dan is het extra dom dat te zeggen, nu verklapt Solarman gelijk dat TST en PRD niet geisoleerd zijn.

[Reactie gewijzigd door Henk1827 op 23 juli 2024 12:20]

Dan ga je er al weer vanuit dat dát weer waar is. Ze kunnen best een of ander onzinverhaal ophangen in een poging tot damage control. Dat verhaal kan dan wel weer best onzin zijn.
Idd, wat @i-chat zegt, wss probeerden ze het te down playen door te zeggen dat het maar een testomgeving is. Het geeft denk ik het kennisniveau aan van Solarman aan. Als ze deze uitspraak door iemand met verstand van security hadden laten checken, waren ze niet zo slecht voor de dag gekomen.
Iedereen heeft een testomgeving. Sommige mensen hebben het geluk om een volledig aparte productie omgeving te hebben :+
Kuch test is gelijk productie… bij sommige bedrijven :+
De befaamde productietest.

En natuurlijk het liefst starten op een vrijdag om 16:55.
Zeer vervelend dat die backdoors er zijn. Zie je ook veel op oude SCADA systemen. Duidelijk verschil tussen installateur en de software-kant boer. Toen ik ze hier kreeg waren er de jongens die ze kwamen aansluiten en ook een jongen die de software ging regelen. Die kon me ook over de API zaken uitleggen. Nu is het zo dat lang niet elke zonnepaneelboer zo in elkaar steekt of weet dat dit gebeurd. Zelfde lees ik ook wel over airco’s op wifi, warmtepompen die bij het nieuwe huis komen en meer smart apparaten die toch echt wel belangrijk zijn om dicht te timmeren.

Nu kan je tegen een backdoor weinig doen. Bij iedereen een vlan in te stellen en firewall rules gaat ook weer zover. Dit moet geregeld worden via de importeur en de maker van het product.
Als je het thuis netwerk met meer dan alleen 1 vast netwerk en 1 wifi netwerk hebt, met bijvoorbeeld een dmz voor je webserver een een gast-wifi, dan zou ik ook een afgesloten IoT netwerk opzetten en daar alle smart-home zaken aan koppelen. Die hoeven zelf alleen maar af en toe naar buiten voor een software/firmeware update en verder niet.
Zijn de softwareupdates ook nodig als er geen beveiligingsupdates nodig zijn*?
*alleen wanneer het product goed werkt bij aankoop, zoals een oven, droger, lampen, wasmachine, omvormer en slimme schakelaars
Ach, er was ergens afgelopen voorjaar een nieuwsbericht over een magnetron die opeens dacht dat die een stoomoven was: nieuws: AEG-combimagnetron denkt stoomoven te zijn en werkt niet meer na fout...
Een afgesloten netwerk voor IoT heeft niet zoveel zin als je het apparaat alleen kan bedienen via de servers van de fabrikant. En dat is helaas voor veel dingen het geval.
Dergelijke systemen zou ik elk een eigen pad geven en niet de rest van mijn thuis netwerk op laten gaan. Dan kan de fabrikant bij de apparatuur die hij geleverd heeft en niet verder.
Technisch gezien: Geef ze een eigen compartiment of een eigen dmz of hoe je dat ook wilt noemen.

[Reactie gewijzigd door beerse op 23 juli 2024 12:20]

Nu is het zo dat lang niet elke zonnepaneelboer zo in elkaar steekt of weet dat dit gebeurd.
Ik kan me ook herinneren dat een installateur zonnepanelen op mijn vorige huurhuis kwam leggen, en me uitlegde dat ik even op dat ding moest inloggen om hem in mijn eigen wifi-netwerk te hangen. Dat inloggen kon gewoon via een ander wifi-netwerk dat de omvormer zelf aanmaakt. Ik vroeg wat het wachtwoord van dat wifi-netwerk was, maar die was er niet, dat netwerk stond gewoon open. Of een wachtwoord niet nodig was? Hoezo dan, je kan toch niks spannends doen via dat netwerk? Wat die veldjes in de web-interface zijn om de spanningsregeling aan te passen? Neuh, niet interessant. Of je via dat andere wifi-netwerk dan niet op mijn persoonlijke netwerk kon komen? Wat een moeilijke vragen, het werkt toch.

[Reactie gewijzigd door bwerg op 23 juli 2024 12:20]

Op dit item kan niet meer gereageerd worden.