'Slimme thermostaten van Heatmiser zijn kwetsbaar voor aanvallen' - update

De 'slimme' thermostaten van de Britse firma Heatmiser zijn volgens een beveiligingsonderzoeker door een pover uitgevoerde beveiliging uiterst kwetsbaar. De apparaten kunnen op diverse manieren aangevallen worden.

De fabrikant geeft in de handleiding van zijn thermostaten, die via wifi is te benaderen, aan dat op een router de poorten 80 en 8068 opengezet moeten worden om het apparaat extern te kunnen benaderen. Port 8068 wordt vooral door Heatmiser-apparatuur gebruik, waardoor de thermostaten door middel van portscans makkelijk zijn te vinden, zo schrijft beveiligingsonderzoeker Cybergibbon op zijn blog.

Vervolgens zijn veel systemen met standaard gebruikersnamen en wachtwoorden, zoals 'admin/admin', eenvoudig binnen te komen omdat de fabrikant de gebruiker niet dwingt een eigen combinatie te kiezen. De apps van Heatmiser zijn ook te kraken: die zijn beveiligd met een pincode, die via een brute force-aanval kan worden achterhaald. De toegang wordt namelijk niet geblokkeerd na een bepaald aantal pogingen. Doordat de pincode maximaal vier tekens is, zijn er maximaal 10.000 pogingen nodig om hem te achterhalen, wat binnen anderhalf uur zou moeten lukken.

Verder worden wifi-wachtwoorden en inloggegevens onversleuteld via http verstuurd en is het authenticatiemechanisme op basis van javascript is op diverse niveaus onvoldoende beveiligd. Ook is de webinterface kwetsbaar voor cross site request forgery. Elke website die een gebruiker opent, kan daarbij commando's uitvoeren op de webinterface van de thermostaat.

Volgens Cybergibbon heeft Heatmiser tal van beginnersfouten gemaakt bij het ontwikkelen van zijn firmware. Bovendien is er geen directe mogelijkheid voor de eindgebruiker om de firmware eenvoudig te upgraden: de gebruiker kan na contact met de helpdesk tegen betaling van een borgsom een hardware programmer per post ontvangen, waarna vervolgens de thermostaat van de muur moet worden gehaald om deze van nieuwe firmware te voorzien. Een aantal gebruikers van de thermostaat meldt dat diverse fouten ook in nieuwere firmwareversies zijn terug te vinden.

Heatmiser heeft in een reactie laten weten dat het werkt aan nieuwe firmware om de genoemde problemen te verhelpen. De firmware zal aan getroffen klanten worden aangeboden. Het bedrijf stelt dat gebruikers webtoegang via poort 80 voorlopig beter kunnen blokkeren in afwachting van de nieuwe firmware.

Update 14:33: Reactie van Heatmiser toegevoegd en updateproces nader toegelicht.

IT-banen

Reacties (88)

addo2 22 september 2014 12:25

Dit is echt super link! Het risico zit niet in de losse gebruiker maar in de mogelijke grootte van een paralelle aanval. Wanneer je op één moment het voor elkaar krijgt om 100000 personen tegelijk een electrische verwarming en ventilatie maximaal aan te zetten kan dit dit per woning gaan over 2000+ W. Op dat moment is het effect dat er ineens 200MW worrdt ingeschakeld. Wanneer er hier op wordt gereageerd door extra vermogen(productie) bij te schakelen en er ineens al deze huishoudens ("onverwacht") ineens hun verwarming en ventilatie uitzetten zorcht dat voor 400MW overproductie. Dit kan voor serieuze problemen zorgen!

Ik er van overtuigt dat het niet wenselijk is dat sommige apparaten massaal aan het internet worden gekoppelt. Ik denk namelijk dat dit een perfect apparaat zijn voor potentiele digitale oorlogsvoering. En wanneer deze firma niet groot genoeg is gebruik je meer producenten van thermostaten...

Ik weet dat in nederland een groot deel van de CV's op gas werken en dat het zodoende een kleiner effect heeft dan hierboven staat voorgerekend. Ik heb op hun site echter nog niet veel kunnen vinden over een CV op gas aansturen. Gas leverde namelijk geen enkele hit op op hun site...

mae-t.net @addo2 • 22 september 2014 12:55

Ga er maar vanuit dat de thermostaten van heatmisser gewoon geschikt zijn voor gas, maar of dat nou goed nieuws is in de context die jij schetst, vraag ik me af.

Eenzelfde verbruikspiek van gas levert ongetwijfeld ook logistieke problemen op. Als de gasdruk een dip vertoont kunnen CV'ketels afslaan en mogelijk zijn er voor industriële installaties nog zwaardere gevolgen. Een dip gevolgd door een spike (omdat verbruikers afslaan) kan mogelijk in extreme gevallen zelfs zwakke plekken in een leiding aan het licht brengen, met lekkage tot gevolg.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 02:56]

Orion84 Admin General Chat / Wonen & Mobiliteit 22 september 2014 10:46

Misschien wordt het eens tijd de veiligheids- en conformiteitseisen uit de Europese handelsverdragen een beetje op te frissen, er wat zinvolle punten over digitale beveiliging in te zetten en daar eens op te gaan handhaven.

Dat alles te hacken is, daar zullen we vrees ik mee moeten leren leven (net zoals een degelijk slot op je deur geen 100% veiligheid biedt), maar deze waslijst aan kansloze beginnersfouten zou gewoon een forse boete en handelsverbod mogen opleveren wat mij betreft

[Reactie gewijzigd door Orion84 op 23 juli 2024 02:56]

Pendaco @Orion84 • 22 september 2014 11:00

Inderdaad, keurmerken en onafhankelijk controles, en daarnaast gewoon boetes uitdelen voor dit soort wangedrag.

segil @Orion84 • 22 september 2014 11:09

Interessant... net zoals er controle is op voedselveiligheid en gezondheid, zou je dit soort goederen ook moeten kunnen onderwerpen aan controles en vergunningen. Klinkt als een goed idee. De vraag is alleen: wat te doen met reeds verkochte goederen, als blijkt dat een product niet (meer) voldoet aan de kwaliteitseisen? Voedsel e.d. wordt dan uit de handel gehaald en andere spullen kan je terug brengen naar de winkel in geval gevaar voor de gezondheid.

Aardwolf

@segil • 22 september 2014 12:30

Daarop zou er een norm kunnen zijn dat een product minimaal 5 jaar aan de veiligheidseisen dient te voldoen, zij het doormiddel van security/feature patches. Anders weet je wel wat er gebeurt, de fabrikant stoot het product af... zet het EOL en brengt ook niets meer er voor uit. Dat vind ik altijd erg slecht. Uiteindelijk lijkt het erop dat fabrikanten bij een gammele productlijn liever iets nieuws op de markt zetten, dan vooraf beter te hebben nagedacht over het product in de gebruikersperiode. En waarom ook niet, niemand zegt (vanaf de overheid) hoe ze het anders moeten doen.

Stel dat hier een norm op komt, dan kan het de fabrikant een hoop geld gaan kosten als ze weinig hebben stilgestaan bij het product na de verkoop. Zeker als de norm een regel bevat die stelt dat de fabrikant binnen xx dagen de patch moet hebben uitgebracht en dat daarna elke dag ... euro boete is. Moet je voorstellen, ik denk echt dat er dan wel wat beter wordt nagedacht of in elk geval dat bestaande producten ook veiliger blijven. Alleen het actief controleren hierop zal dan misschien moeilijk zijn.

MadEgg 22 september 2014 10:44

Daarom moet je dit soort apparaten waarover je zelf weinig controle hebt eigenlijk nooit port-forwarden. Je kunt beter een veilige VPN-server opzetten waar je zelf eerst verbinding mee moet maken alvorens je toegang zoekt tot dit soort apparatuur. Een extra laag van beveiliging en bovendien ben is het ook middels een portscan niet duidelijk dat je een Heatmiser apparaat hebt wat kwetsbaar is voor jouw aanval.

Bovendien is software voor VPN-servers over het algemeen heel wat beter beveiligd dan dit soort domotica-oplossingen. Moet je natuurlijk weer niet de ingebouwde VPN-server in je router gebruiken aangezien je die weer niet zelf kunt patchen (al helpt dat natuurlijk ook al wat tov port forwarding).

Kalief 22 september 2014 10:40

Welk voordeel kan een hacker hier behalen, is er misbruik mogelijk?
Het enige dat ik kan verzinnen is een energieleverancier die de kachel harder laat branden.

Orion84 Admin General Chat / Wonen & Mobiliteit @Kalief • 22 september 2014 10:59

Behalve de informatie / beïnvloeding van de thermostaat zelf, kan zo'n apparaat mogelijk ook als springplank worden gebruikt om andere apparaten op het netwerk aan te vallen. Als het zo makkelijk is om binnen te komen op zo'n apparaat, dan is het een kwestie van tijd tot iemand een mogelijkheid vind om kwaadaardige code uit te voeren op dat apparaat en PC's en andere apparaten op het 'vertrouwde' privé netwerk te besmetten etc.

joppybt @Kalief • 22 september 2014 10:43

Een hacker kan bijvoorbeeld alle huizen achterhalen waar al twee dagen de kachel op een laag pitje staat. Die mensen zijn blijkbaar op vakantie wat voor een inbreker weer interessant is.

Verwijderd @joppybt • 22 september 2014 11:46

Weet jij dan aan de hand van het IP adress exact welk huis het is?

mae-t.net @Verwijderd • 22 september 2014 12:48

Als je langsrijdt en de wifi gebruikt, zal dat wel lukken. Anders kost het iets meer moeite.

kwikstaart @Kalief • 22 september 2014 10:44

Uitlezen data, zodat je weet wanneer iemand thuis is. Of kunt voorspellen wanneer iemand niet thuis is! Hint: kraak zetten!

Verwijderd @kwikstaart • 22 september 2014 11:04

Inbrekers hacken geen systemen, die kraken deuren, graaien en hollen weg.

En als je iets gebruiken is het facebook waarop de hele familie selfies plaatst vanaf een Turk strand.

Verwijderd @Verwijderd • 22 september 2014 11:20

Zet een aantal dagen op rij de themostaat op hoog in een school en als je geluk hebt gaat het alarm af door opwapperende blaadjes op een prikbord boven een radiator.
De eerste paar keer is politie/waakdienst/beheerder snel ter plaatst. Na 10x komen ze echt niet zomaar meer... heb je lekker ruim de tijd om het ICT lokaal te ontdoen van alle meuk.

Verwijderd @Verwijderd • 22 september 2014 11:11

De inbraak neemt af in de cijfers, maar wordt wel steeds professioneler. De oude kraak en graai-acties lijken daarmee langzaamaan naar de achtergrond te verdwijnen, maar de schade per inbraak zal toenemen omdat men beter zijn huiswerk heeft gedaan.

Boy @Kalief • 22 september 2014 10:43

dat vind ik al erg zat....als is het iemand die het leuk vindt om te klooien hiermee..ben je wel aardig wat stookkosten kwijt als je met vakantie bent...

vooral het onversleuteld wachtwoorden versturen! Mensen gebruiken echt wel vaak hetzelfde wachtwoord voor ALLES..dus ook GMail..en als je GMail (of wat voor e-mail ook) hebt..kunnen alle wachtwoorden resetten voor alle diensten van die persoon...

ultimasnake @Kalief • 22 september 2014 10:48

Ik vroeg me dit dus ook af, ik ken het product 'heatmiser' niet en de afgebeelde kast zegt me ook niet direct iets. Maar ik denk eerder aan monitoren van verbruik/instellingen om er achter te komen om iemand thuis is? De kachel oncomfortabel opschroeven zal snel genoeg gemerkt worden door de eindgebruiker en na een telefoontje mogelijk dus het u/p aanpassen.

Verwijderd @Kalief • 22 september 2014 10:48

Of milieu-fanaten die juist het tegenovergestelde doen, om ons bewust te maken van onze energie 'verspilling' / gebruik.

Ook is het voor sommigen leuk om de buren te pesten. En kun je als je een tussen- of flat- woning hebt je huis laten verwarmen door de buren

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:56]

himlims_ 22 september 2014 10:38

hahah is dat niet met alles wat aan het internet hangt? ....

google nest-dingen zijn ook al open gehacked, zie laatste black-hat. Die interactieve meter van de essent ook. ALLES wat online gaat, is en zal uiteindelijk gehacked worden, en dus kwetsbaar voor aanvallen of misbruik.
Met name data als; aan- en uitschakelen, ofwel wel- en niet thuis is erg interresant voor bepaalde mensen

[Reactie gewijzigd door himlims_ op 23 juli 2024 02:56]

418O2 @himlims_ • 22 september 2014 10:42

Alles is hackbaar. Maar dit is hackbaar door elke willekeurige scriptkiddy. Onversleutelde data en geen brute-force afscherming is wel erg amateuristisch. Je moet niet de illusie hebben dat je iets écht onhackbaar kan maken, maar als je op dit nivo alles al open zet.

Vergelijk het met een huis; als je de deuren op slot doet met goede sloten en je ramen met goede meuk beveilig kom je ook lastiger binnen als dief. Als je de deur op een kier zet, is het wel heel makkelijk.

Verwijderd @418O2 • 22 september 2014 11:00

Alles is hackbaar. Maar dit is hackbaar door elke willekeurige scriptkiddy. Onversleutelde data en geen brute-force afscherming is wel erg amateuristisch. Je moet niet de illusie hebben dat je iets écht onhackbaar kan maken, maar als je op dit nivo alles al open zet.

Vergelijk het met een huis; als je de deuren op slot doet met goede sloten en je ramen met goede meuk beveilig kom je ook lastiger binnen als dief. Als je de deur op een kier zet, is het wel heel makkelijk.

Daar geeft je het aan zoals @himlims_ ook al aangaf. Alles is te hacken. Met een goede beveiliging is het net als ene goed beveiligd huis moeilijker om binnen te komen.

Daarom worden zaken die mij geld kunnen kosten niet direct met het internet verbonden.
Thermostaat op 30 °C als ik weg ben, zeker op vakantie in de winter, zal me veel geld kosten.

Azerion @Verwijderd • 22 september 2014 11:10

Waarom zou een beroeps crimineel/hacker jou thermostaat op 30 graden gaan zetten? Hij heeft er immers geen voordeel aan.

Waarom zou een script kiddie jou thermostaat op 30 graden zetten? dat vind hij nou eenmaal leuk, dit is hetzelfde als dat je vroeger met een universele afstandbediening de wijk doorging om TV's van zenders te wisselen of aan te zetten, simpelweg kwajongens streken.

Verwijderd @Azerion • 22 september 2014 11:16

Waarom zou een beroeps crimineel/hacker jou thermostaat op 30 graden gaan zetten? Hij heeft er immers geen voordeel aan.

Klopt.

Waarom zou een script kiddie jou thermostaat op 30 graden zetten? dat vind hij nou eenmaal leuk, dit is hetzelfde als dat je vroeger met een universele afstandbediening de wijk doorging om TV's van zenders te wisselen of aan te zetten, simpelweg kwajongens streken.

Precies om die reden.

Het nadeel van dit soort zaken is ook dat de support termijn ook nog een (te) kort is.
Na 2 a 4 jaar zullen er geen bugs meer gefixed worden waardoor je device door script kiddies hackbaar blijft.

Enai @Verwijderd • 22 september 2014 12:25

Hoelang werkt een conventionele thermostaat? 20 jaar?

20 jaar geleden bestond Windows 95 nog niet.

Dat kan wel eens een probleem worden met al die domotica.

Verwijderd @Enai • 22 september 2014 12:58

Volgens mij leven we allang niet meer in een maatschappij die elektronica gebruikt zo lang als het 'werkt'. Ik kan me nauwelijks herinneren welk apparaat ik voor het laatst echt 'opgebruikt' heb. Ja soms gaat er iets onverwachts kapot waardoor ik het nieuw moet kopen, maar meestal vervang ik het al voordat er wezenlijk iets mis mee is maar het vooral achterhaald is in vergelijking met nieuwe producten.

Hedendaagse elektronica is eigenlijk niet eens gebouwd om 20 jaar mee te gaan.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:56]

Azerion @Verwijderd • 22 september 2014 11:22

En precies om die reden dient een fabrikant het zo ver mogelijk dicht te timmeren, volledig is niet mogelijk, maar het dusdanig dicht zetten dat er daad werkelijk moeite moet worden gedaan is al voldoende om 99% van de script kiddies buiten te houden.

akooijman @Verwijderd • 22 september 2014 12:30

Twee tot vier jaar? Dat zou je wel willen, er worden helemaal geen bugs gefixed:
"Bovendien is er geen mogelijkheid voor de eindgebruiker om de firmware zelfstandig te upgraden; dit moet tegen betaling door een medewerker van het bedrijf uitgevoerd worden."

xleeuwx @Azerion • 22 september 2014 11:14

Je kan het ver zoeken maar aandelen nemen in bijv. Essent, alle bakjes op 30 graden zetten en de winst bij Essent gaat omhoog, als je dit goed aanpakt. Als de hack ontdekt word gaat de winst weer omlaag.

Maar goed dat terzijde. Het kan aantrekkelijk wezen voor een hacker of voor een bedrijf als Essent of welk ander willekeurig bedrijf met een Slimme meter.

M.l. @xleeuwx • 22 september 2014 11:27

Ook voor de concurrenten van dit bedrijf (of aandeelhouders hiervan) kan het gunstig zijn als deze apparatuur misbruikt kan worden. Als dit lek actief misbruikt word in malware worden mensen bang, ook de mensen die zorgvuldig omgaan met computers en er geen last van zullen hebben.

Even in 'conspiracy mode': De beveiligingsonderzoeker zou misschien al beurshandelaars hebben benaderd en tegen betaling informatie hebben verkocht. Misschien is dit wel het perfecte moment voor dit nieuws zodat het de grootste impact heeft op de aandelenmarkt.

xleeuwx @M.l. • 22 september 2014 11:29

Inderdaad er kunnen dus zeker voordelen zijn om dit te hacken in tegenstelling dat het alleen interessant / leuk is voor scriptkiddy's

M.l. @xleeuwx • 22 september 2014 11:35

Ja, precies. Alleen het bekend maken al kan al veel effect hebben. Niet dat ik deze beveiligingsonderzoeker verdenk, maar dit soort berichten komen vaker in het nieuws en dit soort dingen kunnen dus best vaak voorkomen.

Grrrrrene

@xleeuwx • 22 september 2014 12:20

Maar denk je niet dat het consumenten gaat opvallen als hun thermostaat iedere dag op 30°C gezet wordt? Jouw idee werkt alleen als je consumenten hebt die nooit thuis zijn. Als een hacker alle slimme thermostaten van Essent dagelijks op 30°C gaat zetten, is dat een dag of 2 later op het nieuws en een week later door Essent opgelost (lek gedicht) en de klanten worden gecompenseerd.

xleeuwx @Grrrrrene • 22 september 2014 12:42

30°C is een voorbeeld je zou tussen 2 en 5 uur in de nacht de thermostaat op 25°C kunnen zetten, en dit valt dan natuurlijk veel minder op.

Verwijderd @Azerion • 22 september 2014 11:16

Termostaat op 30 zetten bij een bejaarde. Vervolgens aanbellen dat er storing is en je bent met 2 "monteurs" zo binnen...

Zo zijn er tal van zaken te bedenken waar bepaalde groepen mensen echt problemen mee kunnen krijgen.

R4gnax @Verwijderd • 22 september 2014 13:18

Termostaat op 30 zetten bij een bejaarde. Vervolgens aanbellen dat er storing is en je bent met 2 "monteurs" zo binnen...

Zo zijn er tal van zaken te bedenken waar bepaalde groepen mensen echt problemen mee kunnen krijgen.

Dit dus, inderdaad. Criminelen zullen dit soort lekken dankbaar uit kunnen buiten om hun babbeltruc wat extra overtuigingskracht bij te doen zetten.

B64

@Azerion • 22 september 2014 11:29

Och er zijn meerdere scenario's te bedenken hoor...

Stel jij krijgt ruzie met je buurman over iets onbenulligs, en die denkt jou even te kunnen pakken door jou thermostaat vanaf z'n eigen luie stoel even op 5 graden te zetten, keer op keer op keer. Is niet alleen erg oncomfortabel, maar ga maar eens onderzoeken hoe dat komt of wie dat steeds doet...

Of een potentiële inbreker die niet zozeer de instellingen wil veranderen, maar gewoon even wil weten wat de beste tijd is om een kraak te plegen.

Maar afgezien daarvan, het gaat er niet om of een hacker er wel of niet wat aan heeft, maar simpelweg dat de fabrikant voor voldoende beveiliging moet zorgen.

PPie @Azerion • 22 september 2014 12:10

Waarom zou een beroeps crimineel/hacker jou thermostaat op 30 graden gaan zetten? Hij heeft er immers geen voordeel aan.

De thermostaat 1 graad warmer zetten kost 7% meer energie.
Dat is dus 7% meer winst inkomsten bij de energieleverancier...

Edit: Zoals Miks schreef, inkomsten != winst.

[Reactie gewijzigd door PPie op 23 juli 2024 02:56]

Miks @PPie • 22 september 2014 12:54

Correctie: 7% meer inkomsten. Als je dat al kan zeggen in verband met de verschillende manier van energiekosten berekenen.

Meer inkomsten != meer winst.

Armin

Netwerk en systeembeheer

@Azerion • 22 september 2014 17:55

Waarom zou een script kiddie jou thermostaat op 30 graden zetten?

Of juist op 0 zetten. Leuk in de winter als mijn 3 maanden oude dochter in haar wiegje ligt ...

Of een crimineel die even wil port-scannen welke adressen op vakantie zijn.

Of vanaf daar verder hacken. Immers je zit dan opeens *in* het netwerk en kunt dan intern netwerkverkeer sniffen. Denk aan via UPnP meer poorten open zetten. Etc.

Of 'gewoon' bitcoin minen $_/-\o_$

tennec @Verwijderd • 22 september 2014 13:45

Temp op 30 in de zomer kost evengoed veel, zeker als de hacker, na een paar dagen 27 graden buitentemperatuur, kan zien dat hij niet wordt teruggezet . De conclusie dat iemand dan niet thuis is, is niet moeilijk te trekken.
Ben ook benieuwd hoe je diefstelverzekering hiermee omgaat.

[Reactie gewijzigd door tennec op 23 juli 2024 02:56]

arjankoole @tennec • 22 september 2014 14:11

Ben ook benieuwd hoe je diefstelverzekering hiermee omgaat.

die gaan nog altijd af op braaksporen. Zijn die er? Dan is er ingebroken, en krijg je een vergoeding. Toen er bij mij een schade expert werd langsgestuurd, verhoogde die zelfs het bedrag nog. (een oude laptop die niets meer waard was had ik niet geclaimed bij de verzekering, de dame in kwestie vond dat ik dat wel moest doen).

418O2 @Verwijderd • 22 september 2014 11:16

Ja, maar dat alles hackbaar is, is geen nieuws. Het nieuws is dat het zo onwijs makkelijk is.

SunnieNL

@Verwijderd • 22 september 2014 12:50

Geloof me, die hacker vind het veel fijner te weten wanneer je thermostaat in vakantie-stand staat. Dan weet die dat je niet thuis bent en haalt die de grote flatscreen wel op (kost je meer geld dan de thermostaat op 30 in de winter)

gitaarwerk @himlims_ • 22 september 2014 11:01

Ik snap uberhaupt niet waarom niemand alles sowieso in een afgesloten netwerk propt en gewoon via vpn benaderbaar laat. Evt een proxy voor wat toegankelijke data.

IoTis leuk, maar privacy is wel echt een ding

Azerion @gitaarwerk • 22 september 2014 11:12

Omdat de reguliere gebruiker zich niet bewust is van het gevaar, ze zien het niet, dus het zal wel goed zijn.

EDIT: ben het er inderdaad mee eens dat een bedrijf de beveiliging van hun producten op orde dient te hebben, het probleem zit hem er in dat de eindgebruiker niet snapt hoe belangrijk de beveiliging is, dus waarom zouden ze er in investeren? (Veel mensen zien deze thermostaten niet als een computer)

[Reactie gewijzigd door Azerion op 23 juli 2024 02:56]

xleeuwx @Azerion • 22 september 2014 11:30

Daarom zou het bedrijf dat ook moeten doen, ik verwacht niet dat de 65+ snappen wat VPN is en dus zou dit standaard al beveiligd moeten worden.

SunnieNL

@Azerion • 22 september 2014 12:51

Daarom staat Eneco's Toon ook direct verbinding toe. Toon verbind via VPN naar het servicecenter van Eneco. De eneco app/webinterface connect ook naar dat servicecenter en daar wordt de boel aan elkaar gelinkt. Net even wat veiliger

PuzzleSolver @gitaarwerk • 22 september 2014 12:25

Als je steeds meer apparatuur in een VPN hangt dan loop je ook steeds meer risico dat er kwaadwillenden op je VPN komen en vanuit daar de boel verder hacken. Er hoeft maar 1 onbeveiligd OS tussen te zitten waar een reverse tunnel mee op is te zetten en ze kunnen bij al je hardware in dat VPN.

Het is gewoon belangrijk dat fabrikanten die apparatuur aan internet hangen er bewust van zijn dat dit veel gevaren met zich mee brengt en daarom er dus ook zorg voor dragen dat alles veilig verloopt.

Voorbeeld:
Zorg ervoor dat zo'n kastje een connectie maakt met een server van de fabrikant i.p.v. dat deze zelf een web-interface heeft. Zorg ervoor dat dit gebeurt via een secure connectie die met een certificaat beveiligd is. Zorg ervoor dat het kastje op geen enkele poort luistert en dat de IP-Stack en SSL protocollen geen buffer overflows bevatten.

Op die manier zet je al een heleboel hackers buiten spel, wat Heatmiser hier gedaan heeft is gewoon de deur wagenwijd openzetten voor hackers. Misschien kunnen ze vanuit de thermostaat zelfs connecties opzetten met andere apparaten in je thuisnetwerk of VPN.

drogeworst 22 september 2014 10:42

Je kan je in beginsel al afvragen waarom een thermostaat aangesloten moet zijn op het internet. Betere offline code zou veel handiger zijn en simpelweg niet privacy gevoelig.

Er is geen enkele reden om meer data te willen delen dan hoogst noodzakelijk. Zie hier één van de belangrijkste redenen

edit: @tweakers - het zou een leuke toevoeging zijn om inzichtelijk te maken wat een product voor impact heeft op je privacy vs nut/noodzaak. Hoe lastig ook te bepalen (is subjectief, dat realiseer ik mij), dit soort vergelijkingen worden in de toekomst erg belangrijk. Voorbeeld: een "slimme koelkast" is kwa nut/noodzaak minimaal (cijfer 3 ) [invloed levenssfeer minimaal] maar heeft een potentieel privacy impact (cijfer 8 ) [verlies persoonlijke data aanzienlijk]

[Reactie gewijzigd door drogeworst op 23 juli 2024 02:56]

84hannes @drogeworst • 22 september 2014 10:50

quote]Er is geen enkele reden om meer data te willen delen dan hoogst noodzakelijk.[/quote]
Er zijn duizenden redenen om dat te doen. Wat jij zegt is dat het niet verstandig is, maar dat is je ogen sluiten voor mogelijkheden. Er moet altijd een afweging gemaakt worden, en er zijn hele leuke toepassingen mogelijk, maar die wegen totaal niet op tegen de risico's die er op dit moment aan verbonden zijn. Denk aan:

Je hebt 20 minuten door de koude regen gefietst, je thermostaat weet dit en zet de verwarming alvast aan zodat je thuis komt in een lekke rwarm huis.
Je hebt 's avonds een biertje meer gedronken dat gepland, blijft bij een vriend slapen en hebt dus 's ochtends geen vloerverwarming nodig

@MadEgg
Precies mijn punt, maar je bent een slechte uitvinder als je zegt "er is geen enkele reden om..."

[Reactie gewijzigd door 84hannes op 23 juli 2024 02:56]

MadEgg @84hannes • 22 september 2014 10:54

Als je uit de koude regen thuiskomt voelt een huis van 15 graden ook al lekker warm aan, en tegen de tijd dat je meer wilt heeft je verwarming de temperatuur ook al opgehoogd. Het zijn zeer marginale use-cases. Leuk dat het kan, maar als het dergelijke risico's met zich meebrengt moet je je wel eens flink achter de oren krabben of het dat wel waard is.

Azerion @MadEgg • 22 september 2014 11:17

Mijn broer maakt gebruik van de thermostaat welke essent levert, doordat hij bijna elke dag weer op andere tijden werkt kan hij zijn thermostaat niet vast instellen, oplossing: slimme thermostaat waarop hij kan aangeven wanneer hij richting huis gaat, zodat het huis tegen de tijd dat hij thuis is op temperatuur is en wanneer hij niet thuis is de temperatuur automatisch terug zakt naar een basis temperatuur, voor hem levert dit een flinke besparing op.

skatebiker @Azerion • 22 september 2014 12:12

Allemaal leuk maar met de hand de thermostaat aan en uit zetten is wel het simpelste en veiligste.
Ben ik ook niet afhankelijk van dit soort 'handige' tools.
En als je het perse aan internet wil hangen, gebruik dan idd een vpn zodat je er alleen via die vpn in kunt.

Aardwolf

@Azerion • 22 september 2014 12:19

In zekere zin is dat zo, maar als je broer de CV wat hoger zet pas zodra hij thuis is... zal hij gewoonlijk nog meer besparen. Ja het is even iets meer werk, hetzelfde als de CV op tijd uitzetten en de warmte langzaam laten wegebben. Maar uiteindelijk is het allemaal bewustwording en er moeite voor willen doen vs gemak.

Daarbij snap ik nooit zo goed wat mensen er erg aan vinden als het huis nog niet op temp is zodra men thuis komt. Met een half uurtje is het vaak al gepiept... elke dag een half uur later stoken, bespaart nog veel meer en hinder heb je er amper van. Hooguit een regelmaat dat er in moet slijten dat je de CV aanzet zodra je thuis bent en een 1 uur voordat je weggaat weer uit/lager.

Enai @84hannes • 22 september 2014 12:32

De vraag is of dit opweegt tegen de nadelen. Niet alleen beveiliging maar vooral veroudering en het risico dat je je duur speeltje na enkele jaren opnieuw moet slopen omdat er iets niet compatibel is met de nieuwe standaarden.

Pim_t @drogeworst • 22 september 2014 10:51

Ik denk dat de voornaamste reden zou zijn dat je de verwarming alvast kan aanzetten voordat je thuis komt zodat je huis niet koud is. Maar dat is dan meer voor mensen die wat onregelmatigere tijden maken, of na terugkomst van een wintervakantie denk ik.

Verwijderd @Pim_t • 22 september 2014 11:06

Technisch gezien zou je als je een telefoon centrale thuis hebt ook een SMSje kunnen sturen met de gewenste temperatuur zodat je de thermostaat op die manier zou kunnen bedienen.
Die techniek is er al redelijk lang maar ik denk niet dat er veel gebruik van wordt gemaakt.

kwikstaart @drogeworst • 22 september 2014 10:47

Waarom? Omdat mensen het willen, omdat het handig is. Je wilt apparaten verbinden, zonder draden te hoeven trekken. En waarom zou je het wiel uitvinden als er wifi is. Goed beveiligen is 100x simpeler dan zelf iets verzinnen. Maar niet beveiligen is natuurlijk nog makkelijker.

Pendaco @kwikstaart • 22 september 2014 10:56

Ach hou toch op, al die onzin met 'slimme' thermostaten, koelkasten, magnetrons etc. die allemaal aan het internet moeten hangen.

Het irritante is dat je over een aantal jaar helemaal geen normaal 'niet slim' product meer kan krijgen, waardoor je dus vastzit aan deze onzin. En dat moet je dan ook maar net weten, ow een nieuwe wc-pot, eerst maar even een nieuwe user/wachtwoord combinatie instellen. Voor je 't weet zit zo'n scriptkiddie de hele dag door je plee door te spoelen...

drogeworst @Pendaco • 22 september 2014 10:59

Precies.

Wees kritisch. Vraag je af wat het echt voor jezelf betekent.

kwikstaart @Pendaco • 22 september 2014 11:32

Begrijp me niet verkeerd - ik vind het ook onzin, wil het niet, hou zolang mogelijk vast aan de oude meterkast. Ik schreef alleen op hoe het is, niet hoe ik het zou willen.

Enai @Pendaco • 22 september 2014 12:29

En dat alles onder het mom van meerwaarde. Het aanpassen van de temperatuur of het openen van je garagepoort via een app heeft bitter weinig meerwaarde, vooral indien je binnen 2 jaar een Windows Phone oid hebt waar geen app voor is, en over 5 jaar wordt 3G niet langer gebruikt en kun je dus geen verbinding meer maken. Boel maar weer uitbreken dan.

Ik kan me zo inbeelden dat men een connected wc-pot verkoopt met als killertoepassing: als je telefoon in het toilet valt dan weet-'ie het via NFC en dan laat-'ie het water er via een filter uit lopen en blokkeert de spoelbak.

Miks @Pendaco • 22 september 2014 13:03

Is best fijn als jouw koelkast een lijstje producten bijhoudt die op zijn. Eventueel zelf bestellen, maar misschien nog beter dat je dan direct vanuit je werk naar de supermarkt kan rijden omdat je een slim boodschappenlijstje hebt waardoor je precies weet wat op is en dus bijgekocht moet worden.

glennscholten 22 september 2014 10:40

Wow, dat zijn wel serieuze beveiligingslekken.
Ik vraag me af hoe ze dit gaan rechtzetten.

flippy @glennscholten • 22 september 2014 10:59

Niet.

Of je kan straks -tegen betaling- nieuwe firmware krijgen.

Verwijderd 22 september 2014 10:45

Ik wacht nog wel even met 'thi internet of things'. Het voegt m.i. allemaal minder toe dan de ellende die je erbij krijgt. Bloody edge technology, met de nadruk op bloody.

Chrotenise @Verwijderd • 22 september 2014 10:50

bleeding*

Verwijderd @Chrotenise • 22 september 2014 17:16

zullen we een co mpromis sluiten op "Bloody bleedin' edge?"

Nyarlathotep 22 september 2014 11:00

Stel nou dat je zo'n apparaat in huis hebt... Firmware upgrades die vrij zijn van deze issues zijn er (nog) niet. En áls die zou komen zou je tegen betaling een upgrade moeten laten uitvoeren door een monteur. Het zou toch belachelijk zijn als je moet gaan betalen voor hun fouten?

Kun je in dit geval niet gewoon je geld terug vragen?

Ik zie een flink aantal rechtzaken komen...

Orion84 Admin General Chat / Wonen & Mobiliteit @Nyarlathotep • 22 september 2014 11:03

Daar valt zeker een zaak van te maken ja. Als consument mag je toch echt wat wat degelijker beveiliging verwachten dan dit, waarmee het gewoon een product is dat niet aan de overeenkomst voldoet, wat kosteloos hersteld moet worden door de verkoper.

En als herstellen niet mogelijk is binnen redelijke termijn, dan zit er weinig anders op dan ontbinden. Al zal dat wellicht wat tricky zijn als je zo'n ding 'cadeau' kreeg van je energieleverancier.

[Reactie gewijzigd door Orion84 op 23 juli 2024 02:56]

bigbadbull 22 september 2014 11:31

zijn er geen dergelijke termostaten die niet via wifi werken maar via een kabel ?

2 grote voordelen hiervan ,
+ je zou via poi kunnen werken en dus geen batterijen meer nodig hebben.
+ je kan dan alles via je eigen router laten lopen en zo gebruik maken van je eigen beveiliging.
- je moet dan wel een netwerk draad daar naartoe brengen

ben net net een verbouwing aan het plannen, dus het zou interessant zijn om te weten of ik daarvoor netwerk draden moet voorzien of niet.
Dergelijke termostaten interesseren mij wel

Orion84 Admin General Chat / Wonen & Mobiliteit @bigbadbull • 22 september 2014 11:38

Als het via wifi gaat, dan koppel je die thermostaat ook gewoon aan je eigen wifi netwerk, dus (mits je dat fatsoenlijk beveiligd hebt) is dat niet heel veel anders dan via een draadje.

Het grootste probleem hier is dat een van de grote features van dit soort apparatuur is, dat je het ook buitenshuis kan bedienen. Maar daarvoor moet dus wel een poort worden opengezet en ben je dus volledig afhankelijk van de kwaliteit van de beveiliging van dat apparaat, die in dit geval nogal ernstig te wensen over laat.

Op dit item kan niet meer gereageerd worden.

'Slimme thermostaten van Heatmiser zijn kwetsbaar voor aanvallen' - update

Lees meer

Slimmer omgaan met energie

IT-banen

Reacties (88)

Sorteer op:

Weergave: