Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden

Onderzoekers van het DIVD hebben zes zerodaykwetsbaarheden in zonnepanelen van het Amerikaanse Enphase ontdekt. Ze waren hierdoor in staat om op afstand de zonnepaneelsystemen van klanten te beheren. Er worden momenteel patches uitgerold.

Uit het dossier van het Dutch Institute for Vulnerability Disclosure blijkt dat kwaadwillenden minstens drie kwetsbaarheden moesten combineren voordat ze op afstand commando’s op het Enphase IQ Gateway-systeem konden uitvoeren. De kwetsbaarheden zaten volgens de onderzoekers in versie 4.x.x tot en met 8.x.x van het Enphase IQ Gateway-platform. Via dit platform met bijbehorende app kunnen de verschillende micro-omvormers in de zonnepanelen worden aangestuurd. Onderzoeker Wietse Boonstra trof vlak voor deze ontdekking ook een kwetsbaarheid in het authenticatiesysteem van de Enphase-zonnepanelen aan. De man kon zichzelf naar verluidt beheerder maken van andere accounts zonder dat daarvoor toestemming was gegeven.

Alle kwetsbaarheden werden gemeld aan Enphase. De Amerikaanse fabrikant kwam al met een patch voor de kwetsbaarheid in het authenticatiesysteem en rolt momenteel een update uit voor de overige kwetsbaarheden. Het Nederlandse ethischhackerscollectief werkt naar eigen zeggen samen met Enphase om resterende blootgestelde zonnepaneelsystemen te identificeren en te helpen patchen. Volgens de fabrikant zijn er zo’n vier miljoen zonnepaneelsystemen geïnstalleerd, en dat in meer dan 150 landen.

De onderzoekers van het DIVD zeggen tegenover Follow The Money dat ze een algoritme hadden kunnen schrijven dat in staat zou zijn geweest om miljoenen Enphase-installaties over te nemen. Het Amerikaanse bedrijf betwist dat en zegt dat er controles en waarschuwingssystemen zijn ingebouwd om een massale aanval te voorkomen. Welke controles dat zijn, is echter niet duidelijk. De onderzoekers raden consumenten met een Enphase-zonnepaneelinstallatie aan om het apparaat niet bloot te stellen aan een niet-vertrouwd internetnetwerk, ook al is het apparaat al gepatcht.

Reacties (122)

SunnieNL

12 augustus 2024 13:43

De onderzoekers raden consumenten met een Enphase-zonnepaneelinstallatie aan om het apparaat niet bloot te stellen aan een niet-vertrouwd internetnetwerk, ook al is het apparaat al gepatcht.

Dat is sowieso een goed idee met elk IOT apparaat wat je gebruikt - of misschien wel voor alle apparaten

Gwaihir @SunnieNL • 12 augustus 2024 13:53

Wat is een goed idee (in de context van dergelijke apparaten)? Ik snap oprecht niet wat met het advies bedoeld wordt.

Het is nl. niet alsof ik m'n PV-panelen ooit meeneem naar de Starbucks om bij de koffie via hun open WiFi mijn telefoon op te laden (o.i.d.). Dergelijke spullen blijven gewoon thuis, aan mijn eigen netwerk. Omgekeerd kan een willekeurige buur of kwaadwillende een netwerk beginnen binnen WiFi bereik van mijn IoT spullen..

ThinkPad @Gwaihir • 12 augustus 2024 14:25

Veel routers hebben tegenwoordig een gastnetwerk. Dat is een prima netwerk om de omvormer aan te koppelen: hij heeft dan wel internettoegang, maar kan niet bij de rest van je apparatuur.

Als je wat meer profi router/firewall hebt staan dan kun je eigen VLAN maken en de boel strakker dichtzetten. Maar een gastnetwerk gebruiken scheelt ook al een hoop.

[Reactie gewijzigd door ThinkPad op 12 augustus 2024 14:30]

lenwar

Beveiliging en antivirus

@ThinkPad • 12 augustus 2024 15:49

Dat klinkt in de basis heel leuk natuurlijk, maar er spelen meer dingen mee.

Je kunt in principe ieder IoT apparaat in z'n eigen VLANnetje zetten. Waarom zou je tenslotte willen dat je Chromecast je hele LAN gaat sniffen voor Google? Waarom zou je printer vanaf het internet toegankelijk moeten zijn of überhaupt (altijd) met internet verbonden zijn? Enzovoorts.

Dat is echter een drama met beheer. Je wilt tenslotte zelf wel bij je printer, chromecast en omvormer kunnen. Je moet dan dus gaatjes gaan prikken. Verbindingen openen naar tussen de VLANs. Dat is te doen, maar vaak ingewikkeld. Zeker met zaken die 'automatisch' gaan. mDNS/Bonjour/enz zijn een draak, want je wilt het maar één kant op hebben, want je wilt niet dat die Chromecast/printer al het verkeer van de rest van je netwerk voorbij ziet komen. Je wilt dat die Chromecast/printer alleen maar naar je laptop/telefoons aan het schreeuwen is. en niet naar elkaar. (het gaat HP/Google niets aan dat je een Chromecast / printer hebt).

Almetal een hoop gedoe.

Zo'n gastnetwerk is natuurlijk een heel aardig concept. Voor gasten. De vriendjes van je kinderen die op je wifi willen enzovoorts. Als ze iets geprint willen hebben, dan mailen ze het maar je. Is vaak prima. Die omvormer echter wil je ook zelf bij kunnen. Dat is dan gedoe. (ik heb begrepen dat de Enphase omvormer echt alleen via internet te benaderen zijn, dus dat is dan weer anders, maar de mijne kan ik ook zelf bij).

Daarnaast is er ook nog een ander/groter probleem. Als die apparaten bereikbaar zijn vanaf het internet, dan zijn de apparaten zelf dus kwetsbaar. Een kwaadwillende kan ze op afstand uitzetten, herconfigureren, enzovoorts. Als een kwaadwillende iedere 10 minuten alle Enphase omvormers uit en aan zet, dan vindt het stroomnet dat niet tof op een zonnige dag. Ook kan die slecht-beveiligde omvormer deel uit gaan maken van een botnet. Ook niet een wenselijke situatie. Niet zozeer jouw probleem, maar wel voor het grote goed.

Je wilt dus eigenlijk helemaal niet dat die omvormer überhaupt het open internet op gaat. Daar is nou werkelijk geen een reden voor. Sommige bedrijven 'monitoren' je omvormers op afstand voor je. Ofwel. Als je omvormer niet eens in de zoveel tijd een berichtje stuurt is er wat stuk, enzovoorts. Dat klinkt natuurlijk heel geinig. Maar in de praktijk gebeurd er natuurlijk niets. Zet ze maar is uit. Weet je wie er belt? Helemaal niemand.

Ergo:
Alle IoT-apparaten die bedoeld zijn om in je huis te fungeren, zouden helemaal niet het internet op moeten gaan. (Uiteraard moet een Chromecast wel het internet op kunnen.)

Laat alle IoT-apparaten communiceren met een centrale hub (in de vorm van Homey/Home Assistant/Iets anders), die tot op de tand toe is beveiligd. En voor waar het nodig is, maak je die toegankelijk.

adebruin @lenwar • 12 augustus 2024 23:20

In Unifi is het niet veel werk om het netwerk te verdelen over verschillende vlans. Met een paar standaard firewall rules per vlan kom je heel ver. Bij ubiquiti producten kunnen alle vlans elkaar standaard zien. Vlan isolation instellen of wat standaard fw rules per vlan maken is zo gedaan.

Mijn omvormer heb ik overigens al jaren geleden in een aparte vlan gezet als mitigatie op precies dit risico.

lenwar

Beveiliging en antivirus

@adebruin • 13 augustus 2024 07:43

Klopt. Op papier.
Ik heb zelf ook alles van Unifi en in de basis heb je alles in een paar kliks.

Als je echter verkeer wilt whitelisten. Dus geen mdns/bonjour richting de Chromecast/printer maar wel andersom, alleen de poorten die die Chromecast gebruikt open vanaf je productie-netwerk.
Zelfde voor je Sonos, thermostaat, Dyson, babyfoon, enz, enz, enz. Uiteraard losse vlans want je wilt niet dat die apparaten onderling lullen. Vervolgens je domotica-hub die ook weer andere eisen heeft naar al die vlans. Dat is een hoop uitzoekwerk en gedoe in de praktijk.

Als het puur gaat om wat https-diensten is het prima te doen natuurlijk, maar juist al die domotica/IoT-dingen waar je niks in kunt configureren en waar ze brak (of niet) documenteren is dat gewoon lastig.

Vervolgens zit je nog dat de standaard mdns-proxy van Unifi maximaal zoveel regels toelaat, waardoor je dus, of met niet-persistente regels moet werken of nog rotter het proberen met firewall-regels.

Het kan allemaal wel. Maar het is wel lastig.

Lord Anubis @lenwar • 12 augustus 2024 18:05

Top

Maar 1 vraag
Wat is Almetal?
Zwaarder dan heavy metal? 🎸🎶
😉

FooLsKi @Lord Anubis • 12 augustus 2024 19:28

AI-metal, metal gemaakt middels AI

OT: de oplossing van @lenwar is 'des Tweakers', echter voor 'Jan Boerenfluitje' niet te doen. Die wil gewoon dat die dingen het doen nadat ze geïnstalleerd zijn en er verder niet naar omkijken, hooguit hoeveel het oplevert (in het begin, als de nieuwigheid eraf is zal dat m.i. wel afnemen).

lenwar

Beveiliging en antivirus

@FooLsKi • 12 augustus 2024 19:46

Absoluut! En zelfs voor menig tweaker een uitdaging! Ik noem mezelf echt geen expert, maar het zo doen kost extreem veel tijd en energie. Eigenlijk is het bezopen dat het ‘nodig’ is.

Ik blijf erbij dat al die domotica gewoon met een hub van enige soort moet werken via een hub. Bij voorkeur zonder IP (direct op de wifi), dus met iets als Zigbee, zwave of thread. Waar mogelijk natuurlijk. Die protocollen zijn niet geschikt voor video-streaming en zo 😊

lenwar

Beveiliging en antivirus

@Lord Anubis • 12 augustus 2024 18:42

😂 al-met-al dan 😁

Mitchelllll @Lord Anubis • 12 augustus 2024 19:54

n4m3l355 @lenwar • 12 augustus 2024 18:18

Ik heb een wat ouder laptopje met een paar profielen, eentje voor het alternatieve VLAN waar de nodige "smart" rommel op zit zoals Dyson filters, een ander profiel specifiek voor bankieren en een laatste voor messengers ed. Het hoeft uiteindelijk niet zo moeilijk te zijn, maar ik ben het met je eens dat in de beginsel toch wel problemen geeft maar dit is juist het gevolg van de nodige smart spulletjes die we hebben die eigenlijk helemaal niet smart hoeven te zijn of waarvan de spulletjes zich veelste aggressief op het netwerk gedragen.

Ik zou dan ook eigenlijk liever zien dat smart hardware kleiner is, minder rare dingen doet. Waarom moet Dyson om de haverklap naar thuis bellen (snap het wel, ze vragen lokale environmental data op), waarom moet Apple TV om de haverklap naar thuis bellen en op dit moment de ergste mijn Sonos hardware dat van local naar cloud is gegaan.

Smart spullen zijn zelden met de gedachte dat het veilig moet zijn voor mijn gevoel. Ik ben geen specialist hierin maar als ik van tijd tot tijd kijk naar wat op m'n netwerk gaande is log ik snel maar weer uit omdat ik er nerveus van word.

Mitchelllll @lenwar • 12 augustus 2024 19:55

Hoe kan je als ‘eigen huis en tuin’ gebruiker je router of HA server tot de tandjes beveiligen?

lenwar

Beveiliging en antivirus

@Mitchelllll • 12 augustus 2024 20:07

Daar moet door de betreffende fabrikant gebeuren. Die moet hem (redelijkerwijs) waterdicht opleveren en beheren. Kijk naar een product als een Apple TV. Die kun je nu als Matter-hub gebruiken en spreekt ook Thread.
Nou is de automatisering van Apple natuurlijk heel summier, maar de beheer-functies zijn prima.

Dit zou Nabu Casa dus ook moeten gaan maken.
Athom met Homey doet het ook goed op dat vlak.

Het hoeft ook niet op militair niveau veilig te zijn hè? Het moeten gewoon niet de gaten van nu zijn.

SMGGM @ThinkPad • 12 augustus 2024 15:31

Dat is net het netwerk waar ik mijn gasten op zet zodat ze niet op mijn privé netwerk zitten.
Daarnaast kan mijn HA (die ook op mijn eigen netwerk zit) dan niet meer praten met enphase (want die praat lokaal met de omvormers). Mijn HA zet ik liefst op mijn privé netwerk anders kan die niet aan mijn IoT apparaten.

Misschien dat een VLAN beter geschikt is, maar daar ga ik mij niet meer mee amuseren.

kodak

Networking en security
Beveiliging en antivirus
Malware
Hackers

@ThinkPad • 12 augustus 2024 19:41

Een gastennetwerk is nu juist niet zomaar te vertrouwen. Zeker als je er gasten op toe laat waarvan je niet weet welk risico die vormen. De onderzoekers stellen niet zomaar om het niet te verbinden met untrusted networks (e.g. the internet or a visitor network).

Tusk @ThinkPad • 13 augustus 2024 10:22

Daarmee verplaats je het probleem alleen maar naar een ander VLAN. Zolang het device kan praten met internet is er een potentieel risico.

Ik blokkeer voor zoveel mogelijk IoT devices uitgaande verbinding met internet. Deze IoT devices spreek ik aan met Home Assistent over het lokale netwerk. Dan werken de apps van je fabrikant helaas niet meer. Maar aangezien ik de data in Home Assistant heb, vind ik dat niet erg.

Kijk eens naar wat voor een dns requests je Home Wizard P1 meter doet. Die boys krijgen geen data meer van mij!

Sorcerer8472 @Gwaihir • 12 augustus 2024 14:00

Bijvoorbeeld voor gemak geen wachtwoord thuis instellen, of als je zakelijk deze panelen hebt ze op het kantoornetwerk aansluiten, dat soort dingen.

skatebiker @Gwaihir • 12 augustus 2024 14:49

Dit soort apparaten niet met internet verbinden.
En als je er toch van buiten af bij wilt, zet je een VPN server op je router aan (moderne routers hebben een (Open)VPN server), dan kan alleen jij er bij.

visleeuw

@skatebiker • 12 augustus 2024 15:10

Goed idee, maarrr...
Ik heb bij Enphase geïnformeerd of dat kan. In de garantievoorwaarden staat dat verbinding met internet noodzakelijk is voor garantie. Anders kan Enphase niet monitoren. Daar ben ik niet blij mee, maar de garantie opgeven wil ik ook niet. Of dit juridisch klopt, weet ik niet, maar ik heb geen zin in gedoe.

JanFrituurpan @visleeuw • 12 augustus 2024 15:46

Nja en nee
https://enphase.com/nl-nl/warranty/netherlands

Afhankelijk van activatiedatum hangt er een andere garantie aan

DoMoFo @JanFrituurpan • 12 augustus 2024 17:45

Afhankelijk van activatiedatum hangt er een andere garantie aan

Inderdaad Jan, dat is een hele belangrijke.

Toen zo'n twee jaar geleden de totaal infantiele "oplossing" met Cloud Authenticatie voor de Envoy kwam hebben _sommige_ mensen eventuele firmware updates die lokale toegang zou verwijderen geweigerd (firmware > v5). In lijn met al het andere "Cyber" gewauwel van Enphase hebben ze razendsnel nieuwe voorwaarden gepubliceerd die specifiek de verplichting tot het updaten van de firmware beschrijft om aanspraak te maken op de 25 jaar garantie.

Nog steeds vind ik de Enphase IQ Micro een prachtig stukje techniek, maar het volledige eco systeem er omheen (Envoy, Cloud) is van een dramatisch amateuristisch niveau. Een beetje te pas en te onpas "Cyber" roepen, totaal geen oren hebben naar klanten (lokale toegang), etc. Een van de populairste topics op het Enphase Forum was al tenenkrommend, in het licht van dit nieuws is het ronduit een klucht :

https://support.enphase.c...pi-connectivity-to-envoys

Voor diegene die nog een Envoy hebben met v5 firmware, zonder de Cloud Authenticatie, de veiligste manier om een Envoy in je netwerk te deployen:

- Envoy in eigen segment (VLAN)
- Restrictieve outbound Internet firewall:

home.enphaseenergy.com TCP/80+443
reports.enphaseenergy.com TCP/80+443
ping-udp.enphaseenergy.com UDP/80

Ga er _NIET_ vanuit dat raportages encrypted (HTTPS) worden verstuurd. Naast deze regels probeert de Envoy ook nog excessief Google te pingen (niet nodig), je DHCP server te DOSSEN, en je NTP server die netjes over DHCP wordt verzonden te negeren. Verder vooral _ALLES_ wat Enphase doet, vraagt of probeert te updaten: precies niet doen, dan ben je relatief veilig.

RobbieB @DoMoFo • 12 augustus 2024 20:40

Ok, en als gewone gebruiker zonder verstand van netwerken, firewalls, vpn's, etc. wat kan ik doen? Kan ik mijn leverancier/installateur vragen dit veilig te configureren? En wat vraag ik dan uberhaupt? En hoe weet ik of ze het goed hebben gedaan?

[Reactie gewijzigd door RobbieB op 12 augustus 2024 20:41]

DoMoFo @RobbieB • 12 augustus 2024 22:12

Ok, en als gewone gebruiker zonder verstand van netwerken, firewalls, vpn's, etc. wat kan ik doen?

Tja, dat antwoord is waarschijnlijk ietwat teleurstellend...

Kan ik mijn leverancier/installateur vragen dit veilig te configureren?

Vragen kan altijd, maar het belang van jouw installateur is minimaal 2 daken per dag "vol leggen", Appje connecten en met gierende banden naar de volgende. Gezien alle salderings ellende is de markt aan het veranderen, maar dit is het standaard scenario. Besef dat jouw zonnepanelen leverancier in veel gevallen geen IT expert is, ook hij/zij zou moeten kunnen vertrouwen dat leveranciers (zoals Enphase) hun "shit" op orde hebben.

En wat vraag ik dan uberhaupt? En hoe weet ik of ze het goed hebben gedaan?

Netwerk & Security configuratie: Netwerk Segmentatie, Firewall Rules, etc. Dit impliceert sowieso dat je thuis netwerk functionaliteit heeft die een standaard ISP modem + WiFi kit overstijgt. Waarschijnlijk dus een vraag voor je IT specialist, niet voor je zonnepanelen installateur (al zou die zich daar wel mee kunnen onderscheiden). Maar ja, wie laat zijn thuis netwerk door een derde (commerciele) partij ontwerpen en onderhouden ?!?!

Ergo, als leek ben je overgeleverd aan je omvormer fabrikant. Enphase had met firmware v5 een lokaal security issue (attack surface: lokaal netwerk, impact laag) en hebben dat "opgelost" door met firmware >v5 alles via het publieke Internet (aka Cloud) te laten lopen (attack surface: hele wereld, impact hoog).

TL;DR

Teleurstellend dus... (Sorry, leuker kan ik het niet maken). Mijn keuze voor een omvormer was tussen SMA (DE) & Enphase (US). Mijn enthousiasme voor de "Micro" omvormer technologie heeft bij mij destijds de doorslag gegeven, als ik opnieuw moest kiezen had ik toch een traditionele string omvormer van SMA gekozen.

[Reactie gewijzigd door DoMoFo op 12 augustus 2024 22:22]

Jim80 @visleeuw • 12 augustus 2024 15:32

De garantie valt dan terug naar het wettelijke minimum van 2 jaar. Dus juridisch kan het wel kloppen.

MrFax @Jim80 • 12 augustus 2024 19:42

Wettelijk minimum in Europa. Niet in Nederland. Gemiddelde levensduur van particuliere zonnepanelen is 25 jaar. Je hebt dus 25 jaar garantie, hoe dan ook.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Malware

@MrFax • 12 augustus 2024 21:37

Gemiddelde levensduur van particuliere zonnepanelen is 25 jaar. Je hebt dus 25 jaar garantie, hoe dan ook.

Is dat zo? Waarop baseer je dit? Ik ken geen enkel product waar garantie wordt verleend op basis van de gemiddelde levensduur. Ik zie graag een onderbouwing.

batjes

Networking en security

@Bor • 12 augustus 2024 22:10

De Nederlandse wetgeving.
https://www.rijksoverheid...ies-heb-ik-op-een-product

Wettelijke garantie: recht op goed product

De wettelijke garantie betekent dat u altijd recht heeft op een goed product. Als een product niet deugt, heeft u recht op gratis reparatie, een nieuw product of teruggave van uw geld. Er is geen wettelijke garantietermijn in Nederland. Dit is omdat het ene product langer mee gaat dan het andere.

Is het probleem met het product uw schuld? Dan heeft u geen recht op gratis reparatie, een nieuw product of teruggave van uw geld. Heeft u het product normaal gebruikt maar is het gewoon versleten? Ook dan heeft u geen recht op gratis reparatie.

In principe heb je oneindige garantie, alleen is de richtlijn de gemiddelde levensduur en op welk kwaliteitsniveau je het product gekocht hebt. Je mag van high-end dure goederen een langer garantie termijn verwachten dan van Action spul.

William_H @visleeuw • 12 augustus 2024 18:38

Dan is het vanaf nu simpel, geen Enphase rommel meer naar hier importeren.
Sowieso beter denk ik dat we veel van die Amerikaanse spullen boycotten.
"Koopt Europese waar!"

kdekker @William_H • 12 augustus 2024 20:04

Dat is wel een beetje lachwekkende reactie, als het merendeel PV-panelen en (string)omvormers uit China komen en maar een uiterst klein deel is Europees (engineered, vaak productie ook Chinees of elders lage lonen land).

Ik snap je punt wel en Enphase heeft huiswerk (en hopelijk doen ze dat goed), maar koop Europees is in ICT land nauwelijks realiseerbaar (denk aan het aandeel Microsoft).

Het staat mij ook tegen dat bij zo'n beetje ieder merk omvormer de productie data in de cloud staat. Maar dan liever Amerikaans dan Chinees.

[Reactie gewijzigd door kdekker op 12 augustus 2024 20:07]

Jim80 @skatebiker • 12 augustus 2024 15:17

In het geval van Enphase verlies je dan wel je 25 jaar garantie... Maar ik ben het wel volledig met je eens!

CaptainKansloos @skatebiker • 12 augustus 2024 15:46

De Gateway communiceert met de cloud services van Enphase zodat je de opbrengst van de systeem kunt volgen via een app op telefoon of tablet. Zonder internet geen data; de gateway (Envoy) is lokaal te benaderen (hence; een van de vulnerabilities), maar je wordt eerst geredirect naar een cloud service voor credentials. En lokaal is er niet zoveel in de webinterface te vinden.

Afschermen met een VLAN is dus de beste oplossing. Zodat niet iedereen op het aangesloten netwerk de interface kan benaderen (maar het systeem wel naar buiten kan).

[Reactie gewijzigd door CaptainKansloos op 12 augustus 2024 15:47]

zenlord @Gwaihir • 12 augustus 2024 14:19

Dat je, bijvoorbeeld, VLANs instelt op je netwerk en al je IoT spullen op een VLAN plaatst dat geen toegang heeft tot het internet.

TV_NERD @zenlord • 12 augustus 2024 14:26

Dan krijg je deze patch dus ook niet, en geen andere updates, dat lijkt me ook niet wenselijk.

Polderviking

@TV_NERD • 12 augustus 2024 15:09

Als je weet hoe vlans werken zal je er ook wel uit komen om apparaten in die vlans toegang te geven tot hun respectievelijke updateservers.
Maar je kan je ook wel afvragen of je echt zonodig moet updaten als het werkt en het in een (goed) geïsoleerd netwerk hangt.
Zal ook niet de eerste keer zijn dat je met updates reductie in functionaliteit meekrijgt omdat ze opeens bepalen dat het met een cloud moet praten of licenties op bepaalde modules verlopen.

Overigens is dat wel geavanceerd netwerken en ik denk niet dat onderzoekers hier op doelen met hun advies, want hier zullen veruit de meeste mensen niks mee kunnen.
Wat ze wel met hun advies bedoelen weet ik trouwens ook niet.

[Reactie gewijzigd door Polderviking op 12 augustus 2024 15:14]

OruBLMsFrl @Polderviking • 12 augustus 2024 16:35

Naast de complexere oplossing van met per apparaat of leverancier een VLAN, wat leidt tot veel VLAN's, heb je soms ook simpelweg de optie 'client isolation', dan kunnen je clients op zo een VLAN nooit onderling communiceren. Dat kan je veel schelen als je meerdere IOT gateways en connected devices hebt die wel naar internet update en management servers moeten kunnen, maar verder ook vooral niet elkaar moeten kunnen aansteken mocht er bij een van die een beveiligingsprobleem uitgebuit worden.

[Reactie gewijzigd door OruBLMsFrl op 12 augustus 2024 16:37]

R4gnax

Networking en security

@OruBLMsFrl • 12 augustus 2024 19:30

'client isolation' is alleen in veel consumenten-apparatuur totaal fout geimplementeerd en als je achter meerdere switches zit zal blijken dat er van isolatie geen sprake meer is. Zelf meegemaakt.

Enige opzet die redelijk goed werkt en ook voor leken nog enigzins te behappen is, is een edge router met trunkless, tagless VLANs - cq. fysieke subnets en dan met firewalls je 'hoofd'-net geen toegang geven tot je IoT net en vice-versa, alsmede je IoT net natuurlijk geen toegang geven tot de edge router.

Binnen je IoT net kan dan nog steeds alles alles zien, dat is een concessie. Dat gezegd hebbende: als je verschillende stukjes IoT apparatuur hebben die op het lokale net ook tegen elkaar moeten kunnen praten, is dat weer wel zo handig...

[Reactie gewijzigd door R4gnax op 12 augustus 2024 19:34]

OruBLMsFrl @R4gnax • 13 augustus 2024 12:10

Dat is dan wel ook een hele complexe setup al. Maar inderdaad zul je switch niveau client isolatie moeten hebben, of genoeg aan de max. 8 poorten op een router met zo een feature, en dan is 8 al veel. Tegelijk als je bijvoorbeeld enkel hue en tahoma van de rest wilt scheiden dan prima te doen op 4 poorten. Kun je de computer LAN op een switch erachter hangen wel die toch onderling met elkaar moeten praten allemaal.

TV_NERD @Polderviking • 12 augustus 2024 16:40

Vooral bij zaken als omvormers zou ik hier niet te kort door de bocht willen gaan. Het is goed mogelijk dat er fouten worden ontdekt die tot bijvoorbeeld brandgevaar zouden kunnen leiden, dan wil je ongezien en ook als je het nieuws niet meegekregen hebt direct updates ontvangen.

Als een beginner enkel de VLAN tip leest en zich daar succesvol doorheen worstelt en zijn apparaten isoleert, heeft deze waarschijnlijk niet met Wireshark o.i.d. de updatedomeinen van zijn spulletjes achterhaald om die wel bereikbaar te maken. Ik vind het daarom een gevaarlijke tip

zenlord @TV_NERD • 12 augustus 2024 17:48

Vooral bij zaken als omvormers zou ik hier niet te kort door de bocht willen gaan. Het is goed mogelijk dat er fouten worden ontdekt die tot bijvoorbeeld brandgevaar zouden kunnen leiden, dan wil je ongezien en ook als je het nieuws niet meegekregen hebt direct updates ontvangen.

Ik begrijp je punt, maar:
1. Producten mogen in onze Westerse wereld niet zomaar op de markt gebracht worden, en voor laag-voltage elektrisch materiaal bestaan er specifieke standaarden en eisen. Er moet dus heel wat afgevinkt worden vooraleer je een PV-omvormer als veilig mag bestempeld worden.
2. Als je met een update de brandveiligheid van een PV-omvormer kan beïnvloeden, dan zou ik zeker het toestel van het internet isoleren.

Daarnaast kan je met een apart VLAN voor je toestellen niet alleen doorlopend toegang bieden aan de update-servers, maar je kan ook de internet-toegang aan en terug afzetten als je daar zin in hebt (bvb om een hoogdringende update alsnog onmiddellijk of na een wachttermijn van enkele dagen of weken uit te voeren).

En we zitten hier toch op Tweakers? Waarom zou dit een gevaarlijke tip zijn? Geloof me vrij dat je er heel wat over moet inlezen vooraleer je gescheiden VLANs voor mekaar hebt. Ik zal met mijn advies geen enkele PV omvormer in brand hebben doen vliegen

TV_NERD @zenlord • 12 augustus 2024 20:00

Dus iemand die deze en deze guides kan volgen is volgens jou erg ingelezen op het gebied van netwerken en kan gelijk ook wiresharken, diepere routering instellen, etc?

Je zal met je advies misschien geen inverters in brand laten vliegen, maar met het weerhouden van updates ontneem je mensen ook de mogelijkheid tot efficiëntieverhogingen, beter management, en een all around betere ervaring die je met updates wel krijgt.

We zijn hier op Tweakers, maar als je de reacties regelmatig leest weet je dat hier genoeg mensen rondlopen die de klok wel horen maar niet weten wat een klepel is. Dus ja, simpelweg zeggen "gooi het op een VLAN" vind ik een slecht en wellicht financieel schadelijk advies, zeker als het rendementsverhogingen in de weg staat.

Geef dan een diepere uitleg, waarbij je naar meer verwijst. Te kort door de bocht. En die smiley is ook overbodig

[Reactie gewijzigd door TV_NERD op 12 augustus 2024 20:04]

zenlord @TV_NERD • 13 augustus 2024 19:01

Je zal met je advies misschien geen inverters in brand laten vliegen, maar met het weerhouden van updates ontneem je mensen ook de mogelijkheid tot efficiëntieverhogingen, beter management, en een all around betere ervaring die je met updates wel krijgt.

We zijn hier op Tweakers, maar als je de reacties regelmatig leest weet je dat hier genoeg mensen rondlopen die de klok wel horen maar niet weten wat een klepel is. Dus ja, simpelweg zeggen "gooi het op een VLAN" vind ik een slecht en wellicht financieel schadelijk advies, zeker als het rendementsverhogingen in de weg staat.

Geef dan een diepere uitleg, waarbij je naar meer verwijst. Te kort door de bocht. En die smiley is ook overbodig

Ik heb werkelijk geen idee waar je heen wilt en waarom je blijft aandringen op het laatste woord. Er werd een vraag gesteld en ik heb die vraag eenvoudig en correct beantwoord. In een vervolg comment trek je mijn antwoord in twijfel en geef ik je een duidelijk antwoord.
Het advies is correct, ik ontneem niemand iets met dat advies en, zoals je zelf al aangeeft, zal ik er wellicht geen omvormer mee in brand doen vliegen.
Wie ben jij om te eisen dat mijn antwoorden dieper uitgewerkt moeten zijn? Last van een God-complex of te weinig uitdaging in het dagelijkse leven dat je absoluut zinloze discussies moet aangaan?

TV_NERD @zenlord • 13 augustus 2024 19:12

Ach, je wilt zelf net zo goed het laatste woord hebben

IMHO is je advies te kort door de bocht, wellicht niet gevaarlijk maar zeker met de mogelijkheid tot inkomstenderving aangezien inverters via OTA updates vaak verbeteringen in efficiëntie krijgen. Vandaar dat ik er met onderbouwing op reageer om een 2e perspectief te geven. Een God-complex heb ik geloof ik niet, jij?

kodak

Networking en security
Beveiliging en antivirus
Malware
Hackers

@SunnieNL • 12 augustus 2024 13:58

De onderzoekers stellen ondertussen ook:

You cannot upgrade the firmware of the Envoy IQ Gateway yourself. This is managed by Enphase.

Zijn er wel omstandigheden om updates te krijgen bij hun advies om deze apparatuur niet aan het onbetrouwbare internet te verbinden?

Hendrik53 @kodak • 13 augustus 2024 00:06

Vorig jaar kon ik als installateur de upgrades uitvoeren. Dat deed ik ook bij de klanten. Sinds dit jaar kan dat niet niet meer.

Garantievoorwaarden van 25 jaar gelden op de omvormers mits conform de installatie instructies uitgevoerd. IQ7 omvormers werken ook zonder gateway en Q-relais, maar dan heb je geen garantie. Die voorwaarden kunnen niet tussentijds worden gewijzigd. Alleen voor nieuwe installaties gelden die dan.

En er zijn heel veel zaken in de software nog niet in orde, ondanks meldingen. Zo blijft men een punt hanteren in getallen ipv de komma zoals in EU gebruikelijk. Sommige rapporten worden wel aangeboden, maar werken helemaal niet. Bovendien in Enphase dus niet SG-ready. Je hebt een router+ systeem nodig omdat men de eigen Metered Gateway dat niet blijkt te kunnen gebruiken voor energiemanagement. Je hebt zelfs een extra energiemeter nodig.

Skit3000

@SunnieNL • 12 augustus 2024 14:51

Ik denk dat de tip eerder moet zijn "stel je IOT-apparaten niet bloot aan een vertrouwd intern netwerk", om in ieder geval verdere escalatie te voorkomen.

GoGoHaRrY @SunnieNL • 12 augustus 2024 13:57

Veel mensen zijn hier helaas niet actief mee bezig en wint het gemak. Bij inverters het gemak van het overal kunen inzien van de productiviteit.

jmvdkolk @SunnieNL • 12 augustus 2024 14:25

Is het niet juist andersom, dat je ze niet aan een vertrouwd netwerk moet bloot stellen? Mijn interne netwerk is vertrouwd, daar wil ik hem niet aan. Maar blijkbaar vindt de schrijver van dit artikel dat mijn interne netwerk juist niet-vertrouwd is? Ik snap dit niet.

Mijn Enphase hangt overigens aan een IOT VLAN (gelukkig).

kodak

Networking en security
Beveiliging en antivirus
Malware
Hackers

@jmvdkolk • 12 augustus 2024 16:49

Als je het met het onbetrouwbare internet verbinding laat maken dan loopt je zonnepaneelsysteem juist nog steeds risico.

Het is uiteraard een prima aanvulling het ook niet toestaan met je eigen vertrouwde netwerk verbinding te laten maken, bijvoorbeeld omdat je te weinig vertrouwen in het zonnepaneelsysteem hebt.

jmvdkolk @kodak • 12 augustus 2024 19:33

Op die manier. Dus niet verbinden met "een" niet vertrouwd internet, maar niet verbinden met "het" internet dat niet vertrouwd kan worden. Ik vind het een beetje krom taalgebruik.

Je Enphase niet laten verbinden met het internet is nogal wat. Daarmee beperk je de functionaliteit. Als je dit doortrekt, dan mag je geen enkel IoT apparaat gebruiken die afhankelijk is van een verbinding met het internet. Dan gaan we nogal wat jaren terug in de tijd qua gebruiksgemak en gaan we een eind terug in de tijd richting de tijd van Chriet Titulaer, waarin een smart home slechts weggelegd was voor zeer weinigen. Dat is wishful thinking qua oplossing.

[Reactie gewijzigd door jmvdkolk op 12 augustus 2024 19:34]

kodak

Networking en security
Beveiliging en antivirus
Malware
Hackers

@jmvdkolk • 12 augustus 2024 19:43

Toen ik het artikel las moest ik ook even kijken wat het werkelijke advies was. De onderzoekers noemen het gewoon untrusted networks (e.g. the internet or a visitor network).

jmvdkolk @kodak • 13 augustus 2024 08:38

Dank je wel. Dat vind ik persoonlijk duidelijker :-). Helaas heeft Tweakers dat niet overgenomen.

[Reactie gewijzigd door jmvdkolk op 13 augustus 2024 08:38]

Raymond Deen @SunnieNL • 12 augustus 2024 16:16

Wat een gek artikel.

Ik kan me haast niet voorstellen dat er geen polling door de client, maar UPNP wordt gebruikt voor directe toegang door Enphase, want dat zouden ze sowieso "af" zijn.

Als er polling wordt toegepast dan betekent dit verhaal dat ze server-side het niet op orde hebben en dan hebben we nogmaals over weer iets heel anders.

LeoGraper 12 augustus 2024 14:29

Nog niet zo lang geleden een product specialist aan de lijn gehad, omdat ik onverklaarbare zaken op mijn Gateway had, heeft er weken uit gelegen.
Toen had ik het met hem over het feit dat de Gateway ongevraagd in de AP modus gaat, en dat meerdere keren per dag.
Kreeg toen als antwoord dat dit service naar de klant is, tja, als een 'specialist' dit al zegt dan is het wachten op problemen, heb sowieso (na een eerder belletje naar support) geen hoge pet op van support in Nederland.

Jerie

@LeoGraper • 12 augustus 2024 14:57

Omdat ze dat uitbesteden aan India. Bij mij was het apparaatje stuk gegaan tijdens de hete zomer van ik dacht 2021. Heb vervolgens twee maanden mogen wachten op vervanging. Helpdesk zat in India. Ook zijn de standaard wachtwoorden te achterhalen op basis van unieke identifier (ik dacht MAC address).

cyclone @LeoGraper • 12 augustus 2024 15:04

Kan als Enphase installateur en eindgebruiker heb ik dit nooit eerder gezien / meegemaakt.

Wel zo nu en dan om onverklaarbare reden meldingen over de signaal sterkte van de powerline communicatie die geheel zou wegvallen, maar ik gewoon alle inverters netjes kan uitlezen ook met HomeAssistant terwijl de Enphase omgeving de inverters als offline rapporteert.

yevgeny 12 augustus 2024 15:53

Is dit een probleem als de enphase gateway achter de ISP router zit ?

swhnld

@yevgeny • 12 augustus 2024 16:15

Nee, geen probleem, deze heeft alleen uitgaande internet nodig en dat kan prima via het modem van je internetprovider.

Het risico besproken in dit artikel is een crimineel die toegang krijgt tot jou netwerk en daarvandaan vervolgens bij de apparatuur kan komen.

[Yellow] @yevgeny • 12 augustus 2024 16:30

In principe is dat voldoende.

Je volgt daarmee het advies van de onderzoekers op:

De onderzoekers raden consumenten met een Enphase-zonnepaneelinstallatie aan om het apparaat niet bloot te stellen aan een niet-vertrouwd internetnetwerk

[Reactie gewijzigd door [Yellow] op 12 augustus 2024 16:33]

lenwar

Beveiliging en antivirus

12 augustus 2024 13:50

Ik word een beetje verdrietig van die omvormer-makers.

Ik heb zelf panelen met een Solarman/Deye microomvormers. Daar zijn ook al de nodige patches voor geweest. De apparaten hebben een access point met het mooie wachtwoord 12345678. De webinterface is 'http' (zonder S), enzovoorts. Er was een update nodig om de gebruikersnaam/wachtwoord te kunnen veranderen.
Er staat nu al een beveiligingsupdate sinds februari te wachten.
https://www.deyeinverter....deye-micro-inverters.html

In het verleden bleek een ethische hacker te kunnen inloggen op de 'achterkant' van de interface, waardoor hij/zij de panelen simpelweg uit kan zetten. (wat nogal impact heeft als ie dat gescript doet met heel veel panelen, door ze achter elkaar uit en aan te zetten)

Enzovoorts. Die Solarman/Deye microomvormers zijn helaas niet de enige die het slecht op orde hebben. Die van mij zijn dan van een Chinees, maar ook de Amerikaanse omvormermakers hebben het ook niet geheel jofel op orde. Het is gewoon schofterig dat dit soort spullen op deze manier op de markt (mogen) komen. Het heeft zo gigantisch veel impact als er (massaal) misbruik van gemaakt wordt....

[Reactie gewijzigd door lenwar op 12 augustus 2024 13:51]

Septillion Moderator Duurzame Energie & Domotica @lenwar • 12 augustus 2024 13:59

Niet dat er geen issues zijn, maar http binnen je eigen netwerk blijft nog steeds wel logisch gezien je geen geldig SSL certificaat kan maken .

Boeshnl @Septillion • 12 augustus 2024 14:11

Tuurlijk kan je intern een geldig certificaat aanmaken. Zo heb ik op mijn werk meerdere devices waarbij ik een geldig cert heb.

Septillion Moderator Duurzame Energie & Domotica @Boeshnl • 12 augustus 2024 14:17

Het kan wel, maar niet op een standaard huis-, tuin- en keuken-netwerk.

En met geldig bedoel ik ook dat deze door de browser validatie komt natuurlijk. Dus geen self signed.

skatebiker @Septillion • 12 augustus 2024 14:52

Dat laatste is een probleem van de browsers, dat die zeuren dat je "geen geldig certificaat" hebt voor een intern (niet van buitenaf toegankelijk) IP adres. Want een self-signed certificate is wel degelijk veilig. Alleen voor site met internet verbonden is een certificaat nodig.

Septillion Moderator Duurzame Energie & Domotica @skatebiker • 12 augustus 2024 18:00

Dat noem ik niet veilig. De doorsnee gebruiker is niet in staat in te schatten of een certificaat dan echt veilig is of random man in the middel is. Dan leer je een doorsnee gebruiker om gewoon altijd op de "ga door" te klikken. Dus schiet je er maar een heeeeeeeeel klein beetje veiligheid mee op. Trust validation is naar mijn idee een onmisbaar onderdeel van een beveiligde verbinding.

lenwar

Beveiliging en antivirus

@Septillion • 12 augustus 2024 14:53

Ik heb het zelf ingeregeld. Het enige dat je dat nodig hebt is een DNS-server in je eigen netwerk die specifieke fqdn's in je LAN serveert.

Dat is niet voor iedereen weggelegd natuurlijk, maar je hebt er niet heel bijzondere spullen voor nodig. Veel huis-tuin-en-keuken-routers hebben wel de optie om iets van een statisch adres te definiëren. (nogmaals niet voor iedereen

)

Septillion Moderator Duurzame Energie & Domotica @lenwar • 12 augustus 2024 18:02

Je hebt inderdaad vaak geen bijzondere spullen nodig (ook al kan echt niet elke random ISP doos het) maar vooral wel echt bijzondere kennis. Dus voor een doorsnee gebruiker geen optie. Daarnaast dus geen optie om als fabrikant het al standaard te verschepen.

Dus dat het allemaal wel kan en niet zo ingewikkeld is om op te zetten maakt het dus nog niet dat het voor een fabrikant makkelijk is dit standaard en veilig op te zetten.

lenwar

Beveiliging en antivirus

@Septillion • 12 augustus 2024 18:37

Zoals ik al schreef inderdaad niet voor iedereen weggelegd, maar de fabrikanten kunnen het wel een stuk beter dan dat ze het nu doen. Gewoon überhaupt een self-signed certificaat is al beter dan niks.

dstyle_nl @Septillion • 12 augustus 2024 15:03

Maar ok, wat is de meerwaarde dat je het verkeer naar de website van je omvormer encrypt? Het grootste risico is dat iemand op jouw pc het netwerk verkeer snoopt en dan het wachtwoord van je omvormer kan zien. Daarvoor is iemand al in jouw netwerk (trojan), en dan zou ik me om heel andere dingen zorgen gaan maken.

SunnieNL

@dstyle_nl • 12 augustus 2024 16:19

Dan nog wil je niet dat wachtwoorden zomaar plaintext over je netwerk gaan, of er nou wel of niet mensen binnen zijn die er niet horen te zijn. Als die al binnen zijn, dan wil je dat ze zo min mogelijk andere zaken kunnen bereiken.

lenwar

Beveiliging en antivirus

@dstyle_nl • 12 augustus 2024 17:14

Het gevaar is groter dan dat.
In iedere http-verbinding kun je kinderlijk simpel data/scripts injecteren. Het is niet ‘slechts’ een wachtwoord, of dat iemand anders ziet dat je 1274W aan het opwekken bent.

Het is een eerste stap die het veel makkelijker maakt om het apparaat over te nemen, met allerlei andere gevaren tot gevolg.

Iedere verbinding zou standaard eind-tot-eind versleuteld moeten zijn, zoals bijvoorbeeld een willekeurige https-site (waar de verbinding tussen de browser en de webserver is versleuteld. Niet ‘slechts’ tussen de computers onderling).

En dit bedoel ik in de breedste zin. Ook in je eigen netwerk en dus ook alles DoH (of een andere DNS-versleutelingsmethode).

Je hoeft niet per se meer ondertekende certificaten te werken, al heeft dat wel de voorkeur natuurlijk. Gewoon alles versleuteld. Dat scheelt al en het stuk.

Septillion Moderator Duurzame Energie & Domotica @lenwar • 12 augustus 2024 18:05

Dat het goed zou zijn dat data dan ook versleutelt zou zijn ben ik met je eens. Maar zonder browser validation kan je ook gewoon man in the middel een eigen certificaat er tussen drukken. Want ja, de gemiddelde gebruiker is nu al geleerd dat hij die enge melding maar gewoon moet negeren. En dan ben je dus geen moer opgeschoten

lenwar

Beveiliging en antivirus

@Septillion • 12 augustus 2024 18:41

Dan ben je wel een moer opgeschoten. Die certicaat-injectie is een compleet andere tak van sport dan http-verkeer vervuilen.

Je bent uiteraard nog steeds niet klaar met alleen https, maar het is een hele simpele grote stap.

Septillion Moderator Duurzame Energie & Domotica @lenwar • 12 augustus 2024 19:31

Daar heb je wel een punt

Maar het hele gedrag aanleren om dan op doorgaan te moeten klikken is naar mijn idee erger dan de kwaal.

lenwar

Beveiliging en antivirus

@Septillion • 12 augustus 2024 14:51

Je kunt prima TLS-certificaten binnen je eigen netwerk gebruiken. Ik heb DNS-namen binnen m'n eigen LAN, die niet op internet bestaan, maar gewoon een geldig Lets Encrypt certificaat hebben.

Ik geef direct toe dat dat niet voor iedereen is weggelegd hoor en dat hoeft ook niet. Ook met self-signed certificates ben je al beter af. Het verkeer wordt dan in ek geval versleuteld. En versleuteling is per definitie een goed idee.

BushWhacker @lenwar • 12 augustus 2024 19:06

Hoe heb je dat gedaan?
Een domeinnaam die geregistreerd is en dan een wildcard certificaat gebruiken?

lenwar

Beveiliging en antivirus

@BushWhacker • 12 augustus 2024 19:38

Wikipedia: Split-horizon DNS

Het concept het Split Horizon DNS.

Je hebt publiek.domein.org
En je hebt prive.domein.org

De publiek.domeim.org laat je serveren bij een dns-server op het internet. De andere serveer je zelf op je eigen dns-server.

LetsEncrypt ondersteund DNS-validatie. Daarmee maak je tijdens het aanmaken van het certificaat een TXT-record aan als bewijs dat je domein kan beheersen. (Geautomatiseerd)

Vervolgens wordt het certificaat verwerkt.

BushWhacker @lenwar • 12 augustus 2024 19:57

Thnx.
Is idd wat ik dacht.

N8w8 @lenwar • 12 augustus 2024 20:19

Zelf heb ik t met n interne server voor mekaar gekregen, door er n externe server van te maken (gewoon met port forward en publiek subdomeintje dat naar extern IP wijst).
Vervolgens die server dichtzetten voor internet, op de server zelf.
Interne clients gaan dan via de router naar de server.
Wel moet je router daarvoor "hairpin/loopback routing" supporten, maar bij de afgelopen 2 Ziggo routers was dat in orde.
Voordeel is dat je minder "exotische" dingen nodig hebt, bijv geen aparte interne DNS of geavanceerdere router.
Nadeel is natuurlijk dat het veel opener staat naar internet, en alles via de router gaat.
Maar voor deze specifieke server was dat acceptabel (chromecast vereiste dat muziekserver n geldig cert had).

kiang

@lenwar • 12 augustus 2024 14:14

Waar ik een probleem mee heb: ik kan de productie van mijn Enphase installatie niet lokaal uitlezen: dat kan enkel via het internet, en dat is met tot wel een kwartier vertraging. Dat lijkt misschien niet heel erg, (en is het ook niet, tbh), maar als gevolg verneukt dat de data die ik verzamel om inzicht te krijgen in mijn verbruik: mijn slimme meter kan ik elke seconde uitlezen, maar dat is het totale netto verbruik. Om te weten wat ik echt verbruik moet ik er de productie van mijn panelen uit halen, maar die data heb ik slechts 1x per kwartier.

Omdat Enphase dus alles via hun idiote brakke platform wil laten lopen, kan ik onmogelijk inzicht krijgen in mijn eigen huishouden.Geef me gewoon een fucking lokale endpoint die de huidige productie doorgeeft ffs.

ThinkPad @kiang • 12 augustus 2024 14:29

Ik heb daarom al jaren een losse kWh-meter tussen de omvormer en de groep in de meterkast zitten. Die geeft mij Watt en kWh, alles wat ik nodig heb. Overige data is wel af te lezen op het display van de omvormer zelf. De wifi-dongle van de omvormer ligt nog nieuw in plastic in de doos.

De kWh-meter zelf lees ik weer uit met een Youless LS120 in Home Assistant. Tegenwoordig heb je ook wifi kWh-meters zoals die van HomeWizard. Hebben gewoon een lokale API

kiang

@ThinkPad • 13 augustus 2024 05:08

Bedankt, dat ga ik zeker bekijken!

mekkieboek

@kiang • 12 augustus 2024 15:08

Die is er toch? Zie https://developer.enphase.com/
Dit werkt bij mij: wget --quiet -O - http://<ip address>/api/v1/production
{
"wattHoursToday": 4378,
"wattHoursSevenDays": 38312,
"wattHoursLifetime": 7713303,
"wattsNow": 731
}

Met ipaddr in local network
Al geeft ie een aggregate elke 15 min, voor mij goed genoeg.

Remc0_ @kiang • 12 augustus 2024 14:17

Amen, maar dat heb ik wel met meer IoT providers, die opzich nette spullen lijken te maken maar dan alles via hun brakke cloud endpoints willen laten lopen.

Kenhas @kiang • 12 augustus 2024 14:35

Heb twee omvormers en ik heb voor allebei internet toegang geblokkeerd. Ik maak voor de metingen gebruik van (in dit geval) twee Home Wizard kWh meters. Vroeger was er een Shelly EM maar de Home Wizards passen mooi in een meterkast

Ik ga er van uit dat Home Wizard meer werk steekt in het beveiligen van hun toestelletjes ipv omvormer fabrikanten

lenwar

Beveiliging en antivirus

@kiang • 12 augustus 2024 14:56

Dat is weer een ander verhaal natuurlijk.

Ik heb zelf dus die Deye/Solarman dingen. En die kan ik wel lokaal uitlezen in m'n home-assistant. Maar ook dan zit er een vertraging in, omdat die apparaten 'slechts' iedere 40-45 seconden een update klaar hebben staan. (beter dan 10 minuten natuurlijk). Ik heb dan ook een 'slimme lezer' op m'n stroommeter die iedere seconde wordt uitgelezen voor het huidige verbruik, en m'n zonnepanelen lees ik puur uit voor wat grafiekjes.

En met die combinatie kan ik dus 'achteraf' zien hoeveel ik van m'n eigen opgewekte stroom verbruik.

fredg2 @kiang • 12 augustus 2024 15:06

Ik kan gewoon lokaal op mijn Envoy (modem) inloggen en alles uitlezen(en installeren).
Domoticz kan het ook en die gebruik ik al jaren voor het uitlezen samen met mijn slimme meter.
(helaas zijn de gegevens ook per kwartier, dat punt blijft)

Samen met Node-red gebruik ik deze combinatie voor het aansturen van mijn zelfbouw Thuisaccu.
Ik zet alle gegevens in MariaDB en zie deze in mijn eigen Grafana overzicht.

HA moet het ook kunnen, deze gebruik ik niet meer.

cyclone @kiang • 12 augustus 2024 15:10

Check de HomeAssistant intergratie eens, ik lees gewoon netjes lokaal real time mijn Envoy gateway uit.
Veel beter idd dan de standaard Enphase app / website.

Ah @Kenhas was me voor.
@Kenhas houdt je wel in de gaten dat als je je garantie zou willen / moeten claimen Enphase dicteert dat je Gateway (dus omvormers) Internet toegang moet hebben.
Check paragraaf 5 even van dit Enphase document.

[Reactie gewijzigd door cyclone op 12 augustus 2024 15:14]

CaptainKansloos @kiang • 12 augustus 2024 15:55

Omdat Enphase dus alles via hun idiote brakke platform wil laten lopen, kan ik onmogelijk inzicht krijgen in mijn eigen huishouden.Geef me gewoon een fucking lokale endpoint die de huidige productie doorgeeft

Het forum topic van je mede-Tweakers al gelezen?: https://gathering.tweakers.net/forum/list_messages/2075922

Je hebt alleen nog steeds een cloud gebaseerd access token nodig, maar dat kan wss wel vanaf een andere client gerealiseerd worden.

[Reactie gewijzigd door CaptainKansloos op 12 augustus 2024 16:00]

Koen Hendriks @kiang • 12 augustus 2024 16:34

Dit klopt niet, ik heb juist alles in lokaal beheer van Enphase.

Ook de Home Assistant integratie wordt geclassificeerd als Local Polling

Septillion Moderator Duurzame Energie & Domotica 12 augustus 2024 14:00

Wel weer typisch hoe zon bedrijf dan weer hakken in het zand gaat zo van, neeeee, het kon niet misbruikt worden hoor...

Kenhas @Septillion • 12 augustus 2024 14:44

Dat hebben ze toch nergens gezegd? Ze hebben samengewerkt met de onderzoekers om het proberen op te lossen. Enkel de uitspraak van de onderzoekers "we hadden een algoritme kunnen schrijven" gaat enphase niet akkoord. Daar is toch niets mis mee?

Septillion Moderator Duurzame Energie & Domotica @Kenhas • 12 augustus 2024 18:07

Dat vind ik dus de klassieke hakken in het zand. Want ze kunnen de onderzoekers niet eens overtuigen dat het niet misbruikt had kunnen worden. Dan geloof ik er echt geen snars van.

cyclone 12 augustus 2024 14:58

Er worden momenteel patches uitgerold.

Volgens mijn Enphase (installateurs) omgeving is dat afgelopen nacht al gebeurd (zondag op maandag) aldus de meldingen zou er dan groot onderhoud op de gehele enphase omgeving plaats vinden.

swhnld

@cyclone • 12 augustus 2024 16:09

Kun je als eindgebruiker controleren of je apparatuur geüpdatet is?

cyclone @swhnld • 12 augustus 2024 20:59

Geloof het niet (of iig niet even snel) maar als ik nu even snel naar mijn eigen systeem (via de installers portal) kijk is deze ook al sinds juni niet meer geupdate.
Ik vermoed dat Enphase dus alleen de backoffice (hun eigen servers) geupdate hebben (vooralsnog).

Kan hier geen screenshot bij plakken helaas maar de SW versie van mijn gateway is :
SW VERSION D8.2.4225.240606 (5eea92) PCS VERSION 01.03.00 (28e65fbde6)

[Reactie gewijzigd door cyclone op 12 augustus 2024 21:00]

captain007 @swhnld • 13 augustus 2024 13:09

Alleen als je weet welk versienummer gepatched is. Ik kan via de app wel zien welke firmware versie er is geinstalleerd op mijn envoy (via Systeem -> Apparaten -> Gateway), maar weet niet wat de versie is met patch. Aangezien mijn installatie door een derde partij is geinstalleerd kan ik ook zelf niet de firmware updaten (geen idee of dat sowieso tegenwoordig nog kan).

Ben sowieso niet heel tevreden met hoe het envoy geval werkt. Vorig jaar hebben ze ook in een update lokale verbruiksapi's gesloopt als je geen CT spoelen hebt. Daarvoor zag ik mooi nog in HomeAssistant de opwek, maar nu niet meer omdat alle counters op 0 blijven staan. En het komt qua software ook erg amateuristisch over. De omvormers zelf werken dan weer wel top, maar het staat en valt wel met het totale pakket.

FerronN 12 augustus 2024 13:58

Ik heb de gateway en micro omvormers van Enphase. Ik vond het al irritant dat je ze met het internet moet laten communiceren, maar anders verloopt je garantie....

Gelukkig zit het in mijn aparte IOT vlan waar alles geïsoleerd is.

keranoz

@FerronN • 12 augustus 2024 14:01

Inderdaad, ik snap ook niet dat het per sé via internet moet, ik had liever een lokale API ernaast gezien ook.

FerronN @keranoz • 12 augustus 2024 14:03

Ja en echte real time data ipv elke 15 minuten

McOrmick @FerronN • 12 augustus 2024 14:19

Is deze ook 15 mins vertraagd? https://envoyip/ivp/livedata/status

edit:
en https://envoyip/ivp/livedata/meters

[Reactie gewijzigd door McOrmick op 12 augustus 2024 14:21]

cyclone @keranoz • 12 augustus 2024 15:08

@keranoz @FerronN

Je kunt je Gateway lokaal uit laten lezen met b.v. HomeAssistant dan heb je (in tegenstelling tot de Enphase omgeving) realtime data tot je beschikking.
Standard polling time staat op 60 seconden (kun je dus nog lager zetten mocht je willen)

Maar krom is de verplichte Internet toegang wel om je garantie te behouden (zoals @FerronN al opmerkte).

keranoz

@cyclone • 13 augustus 2024 08:43

Dat klopt, en dat doe ik ook. Maar je hebt helaas internet nodig niet alleen om je garantie te behouden maar ook om om de zoveel een tijd een nieuw access token op te halen die je nodig hebt om de info uit te lezen. Gelukkig zijn er automatiseringen om dit voor je te doen, maar helaas.

Zelf gebruik ik deze integratie met een installer account, dan kan je meer, zoals de panelen uitzetten bij negatieve energieprijs.

JanFrituurpan @FerronN • 12 augustus 2024 14:13

En daar zit weer een maar aan..

Continue verbinding: De Gedekte Producten dienen gedurende de toepasselijke Garantieperiode
voortdurend met het internet verbonden te zijn, behalve wanneer deze verbinding wordt onderbroken
door oorzaken waarover de Gedekte Eigenaar redelijkerwijs geen controle heeft. Met deze bepaling
wordt zeker gesteld dat mogelijke defecten in het Gedekte Product op afstand kunnen worden
gediagnosticeerd en dat het Gedekte Product ‘over-the-air firmware-updates’ kan ontvangen.

Bron:
https://enphase.com/nl-nl/warranty/netherlands

Ik heb de verbinding met internet juist verbroken en de boel lokaal gekoppeld met Home Assistant

Edit: Garantie is afhankelijk van activeringsdatum blijkbaar

[Reactie gewijzigd door JanFrituurpan op 12 augustus 2024 14:18]

SunnieNL

@JanFrituurpan • 12 augustus 2024 16:23

En hoe gaan Enphase dan beoordelen dat de oorzaak van het niet hebben van de verbinding door de Gedekte Eigenaar zelf kwam of door een oorzaak waar hij geen controle over heeft?

Stuurt Enphase dan ook berichten dat ze de omvormer niet kunnen bereiken om de firmwareupdate er op te zetten zodat je aktie kan ondernemen? Hoe moet je anders weten dat het ding geen verbinding heeft (even er vanuitgaande dat er daadwerkelijk iets zou kunnen zijn waardoor die het internet niet op kan en jij dat niet in de gaten hebt).

JanFrituurpan @SunnieNL • 12 augustus 2024 16:47

Ja uhhh niet. Ik heb van mijn tussenpartij nooit bericht gekregen dat de gateway niet bereikbaar is.

Overigens geldt voor mijn systeem die tussen 20 april 2020 - 23 februari 2023 geactiveerd is het volgende:

indien het Gedekte Product niet binnen 45 aaneengesloten dagen na de Aanvangsdatum
van de Garantie bij Enphase is geregistreerd of (indien het Gedekte Product een Micro-
omvormer betreft) niet via een Envoy met het internet is verbonden (zoals wordt
beschreven in de handleiding voor installatie en gebruik die beschikbaar is via
www.enphase.com)

Eerste eis, check
Tweede eis, nope. Maar op het moment dat ik garantie willen claimen kan ik de boel openzetten zodat ik weer aan de voorwaarde voldoe

E-PaiN 12 augustus 2024 14:00

Mijn SMA omvormer heeft een statische netwerk configuratie zonder gateway, dus enkel IP en subnet, deze lees ik lokaal uit met SBFspot en het resultaat (.CSV bestanden) parse ik m.b.v. JSunnyReports
Niet ideaal, maar in ieder geval wel offline.

R4gnax

Networking en security

@E-PaiN • 12 augustus 2024 19:46

Echter heeft ook SMA dezelfde bedingen in haar huidige garantievoorwaarden staan dat de omvormer continu via internet bereikbaar moet zijn.

Mijn ouders hebben een SMA omvormer laten hangen en hadden de eerste weken last van een UTP voetje wat niet goed gesocket was in de poort, waardoor het netwerk verkeer binnen hun IoT netwerk af en toe droptte. En elke keer hebben ze daarvan mail gekregen dat er gespot was dat de verbinding verloren was.

Ze monitoren dus echt.

[Reactie gewijzigd door R4gnax op 12 augustus 2024 19:46]

Jerie

12 augustus 2024 14:13

Dit is waarom ik dit spul in een apart VLAN had en heb draaien. Helaas had ik het nog beter kunnen doen door de boel te onderzoeken.

keroner 12 augustus 2024 16:16

Misschien off topic, maar wat zou er kunnen gebeuren als hier misbruik van gemaakt wordt?
Kan mij voorstellen dat uitschakelen tot daar aan toe is, maar alles tegelijk weer inschakelen op 13:00 op een stralend zonnige dag.....
Ik zie dan een scenario waarbij de transformatorhuisjes ontploffen...... 😋

Zonder gekheid, denk dat er dan wel heel wat plat gaat.

Even nagedacht, de omvormers slaan weer uit bij 253v. Klinkt spannender dan dat het is denk ik....

[Reactie gewijzigd door keroner op 12 augustus 2024 16:21]

Martijn.C.V

@keroner • 12 augustus 2024 16:38

Mijn zwager is ook security onderzoeker en vond (nu al wat jaar terug) bij een ander groot bedrijf een nog veel laagdrempeliger probleem. Realistisch scenario:

Vanuit *ergens in de wereld* doe je een IP scan (lekker in een proxy/VPM/Tor iets). De schatting van m'n zwager was dat bijv. 70% van dit soort omvormers bereikbaar was in Duitsland (merk is hier veel aanwezig)
Stuur het commando "Omvormer uitschakelen" naar al deze omvormers tegelijk.
Stroomnet krijgt een opdonder, superveel schakelt bij om de spontane behoefte weer te vullen
Zet na gepaste tijd omvormers weer aan
...
Profit.

Als je dit met diverse merken omvormers tegelijk kan doen, en mogelijk i.c.m. juist verbruikende apparaten waar je iets mee kunt tegelijk aanzetten en je kunt een energiegrid om zeep helpen.

Het zal wel ietsje genuanceerder zijn in praktijk, maar dat is slecht een concept. En misschien dat de omvormers zichzelf weer uit zetten, maar wat nou als je het inschakel commando blijft sturen? Of op onvoorspelbaar ritme de omvormers uit blijft zetten? Je kunt het niet echt tegengaan. Het is een soort DDOS waar je zeer weinig aan kan doen.

[Reactie gewijzigd door Martijn.C.V op 12 augustus 2024 16:41]

keroner @Martijn.C.V • 12 augustus 2024 16:48

Dat zegt mijn gevoel ook wel ja. In een cyberwar zal dit toch wel in de top 3 staan denk ik. Reden genoeg om dit wel te reguleren op een hoger niveau.

Ps. Underpants noons 🤣

m_snel @Martijn.C.V • 12 augustus 2024 22:44

Het concept is natuurlijk niet fout maar het gemak waarmee deze apparatuur te misbruiken is.
In veel landen gebruiken ze elektriciteitsmeters die je gewoon op afstand via de ether kan uitschakelen.
Alsmje daar een slechte beveiliging op zet , dan schakel je dus complete steden af.

Op dit item kan niet meer gereageerd worden.

Onderzoekers konden beheer Enphase-zonnepanelen overnemen via zes kwetsbaarheden

Lees meer

Reacties (122)

Sorteer op:

Weergave: