1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Internet of Things: Fehler in…

Letzer Absatz: Das Teil soll offline betrieben werden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Tuxgamer12 27.03.17 - 17:15

    Lese ich das richtig???

    Das hier ist ein News-Artikel über eine Sicherheitslücke, in einem OFFLINE-Gerät (die deshalb wohl schlecht ausgenutzt werden kann :) ), mit der man die Konfiguration eines Gerätes abfragen kann (würde mal vermuten: Die ist bei jedem Gerät gleich).

    Ernsthaft?

    Kann Miele voll und ganz verstehen, auf so einen Blödsinn nicht einzugehen. Wenn offline, sind Sicherheitslücken voll und ganz egal. Du kannst auch heute noch problemlos XP betreiben - wenn offline.

    Und dass jemand auf die Idee kommt, einfach weil er irgendwo ein LAN-Kabel gefunden hat, das in den Router zu stöpsel - Sorry, das ist dann Dummheit des Nutzers. Also ich habe noch nicht all zu viele Router gesehen, die zufällig so platziert sind, dass man sinnvoll ein 5 Meter Kabel zum Geschirspüler legen kann! Und selbst schließe ich doch keine Geräte ans Internet, wenn ich nicht vorhabe, irgendetwas mit dieser Internetverbdingung zu machen.

    Gut - und wenn ein Unternehmen das zum Loggen etc. nutzen will (wofür die Ethernet-Schnittstelle auch gedacht ist), muss ich als Admin dafür sorgen, dass der Geschirspühler nicht mit der Außenwelt kommunizieren kann. Sonst hat der Admin Schrott gebaut.

    Hey, Golem. Einige eurer Artikel sind ja wirklich gut; aber manchmal denckt man sich auch bei euch seinen Teil. Es gibt doch soooo viele Sicherheitslücken, die tatsächlich auch ausgenutzt werden. Und die ein tatsächliches Problem darstellen. Könnt ihr nicht über so etwas berichtet anstatt über so etwas lächerliches?

  2. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: FraggDieb 28.03.17 - 08:35

    100% ACK!

    Es steht in der Anweisung, dass der Ethernetport nur durch einen Servicemitarbeiter zu verwenden ist. Wenn ich den zuhause mal an mein Laptop stöpsle und schaue was passiert .. gut so ... Ist ja Eigentum... Den dann aber ins Netz hängen und einen auf hier ist ein unsicheres Gerät machen, da kann ich nur den Kopf schütteln. Das ist nichtmal eine News wert und ich würd dem Typen maximal mit dem Zitat aus dem Manual anworten.

  3. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: fafi 28.03.17 - 08:56

    sehe ich anders:
    1. Der Name Miele steht für Qualität - in Punkto IT, halten sie diese nicht ein.
    2. Wenn Miele bei Ihren Waschmaschinen mit der IT-Sicherheit nachlässig ist wo noch alles?? Somit beschädigt Miele damit seinen guten Ruf
    3. Warum sagt Miele, dass nur der Servicetechniker die Maschine anschließen darf? Werden die Passwörter in den Maschinen ev. noch an anderer, sensibler Stelle benutzt & ist sich Miele dessen bewusst? Was kann dieser Rechner noch alles steuern?? ist ev. sowas wie ein stuxnet für MieleProdukte möglich? und zu einem Zeitpunkt X zerstören sich alle infizierten Mielemaschinen - dies könnte einen Betrieb große Verluste einfahren.
    4. ev. wird dies im Manual von der Mielemaschine so beschrieben...in der Produktbeschreibung steht aber:
    Kabelgestützte Kommunikation
    "Die Ethernet-Schnittstelle ist die universelle Lösung für den Datenaustausch. Gegenüber anderen Schnittstellen eröffnet sie dem Anwender ein besonders hohes Maß an Funktionalität. So lassen sich Geräte besonders einfach in bestehende Netzwerke am Standort einbinden, etwa an Dokumentationssysteme. Zudem werden Textprotokolle ausfallsicher gespeichert."
    Hört sich nicht so an als sollte die Maschine nur zu Wartungszwecken eingesteckt werden :p

  4. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Tuxgamer12 28.03.17 - 09:02

    Zu 1: wie bereits geschrieben; IT-Sicherheit ist EGAL, wenn das Produkt offline ist
    Zu 2: siehe 1
    Zu 3: Genauer gesagt ist das eine eine Wartungsschnittstelle - und Wartung macht entweder der Kundenservice oder du, wenn du weißt, was du tust. Siehe für "du" Punkt 4.
    Zu 4: wie bereits geschrieben, denn auch hier bin ich voll und ganz eingegangen.

    "Gut - und wenn ein Unternehmen das zum Loggen etc. nutzen will (wofür die Ethernet-Schnittstelle auch gedacht ist), muss ich als Admin dafür sorgen, dass der Geschirspühler nicht mit der Außenwelt kommunizieren kann. Sonst hat der Admin Schrott gebaut."

    Wenn du als Admin ohne jeglichen Grund einen Geschirspühler ans Internet anschließt, handelst du als Admin grob fahrlässig. Denn eine Sicherheitslücke kannst du nie ausschließen. Von daher liegt die Schuld sicherlich nicht bei Miele.

  5. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Hugo21 28.03.17 - 09:55

    fafi schrieb:
    --------------------------------------------------------------------------------
    > 3. Warum sagt Miele, dass nur der Servicetechniker die Maschine anschließen
    > darf?

    Das ist doch völlig irrelevant, es darf laut Hersteller nur der Servicetechniker damit ist das keine öffentliche Schnittstelle.

    > 4. ev. wird dies im Manual von der Mielemaschine so beschrieben...in der
    > Produktbeschreibung steht aber:
    > Kabelgestützte Kommunikation
    > "Die Ethernet-Schnittstelle ist die universelle Lösung für den Datenaustausch.

    Nur weil es eine Schnittstelle für den Datenaustausch gibt heißt das noch lange nicht, dass man das Teil in ein "öffentliches" Netz hängend darf. Protokollieren kann auch ein lokaler PC, der über eine zweite LAN Karte Point-to-Point mit der Maschine verbunden ist.

    Bei IoT gehört die Internetverbindung zum Use Case und muss entsrpechend gesichert sein, bei dieser Maschine nicht, da es nur eine Service Schnittstelle ist.

    Das Teil ist klein IoT Device.

  6. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Markus Bauer 28.03.17 - 10:07

    Bzgl. "kein IoT Device" gebe ich dir Recht, da die Schnittstelle ja nicht in ein "Internet" gehängt werden soll.

    Bezüglich Sicherheit hingegen ist es völlig egal ob die Schnittstelle jetzt dafür vorgesehen ist oder nicht. Ein Webserver ist auch nicht dafür "vorgesehen", Shadowpasswörter auszugeben und trotzdem macht er es hier.
    Sobald irgendeine physikalische oder digitale Schnittstelle von "außen" zugänglich ist, muss sie auch abgesichert werden. Und gerade in einer Großküche, wo eine Unmenge an Personal herumrennt und nach Feierabend Reinigungspersonal unkontrolliert sauber macht, muss es selbstverständlich sein dass der Hersteller auch dafür sorgt, dass sein Gerät nicht zum Hort von Malware oder illegalen Daten gemacht wird.

  7. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: My1 28.03.17 - 10:17

    Hugo21 schrieb:
    --------------------------------------------------------------------------------
    > Das ist doch völlig irrelevant, es darf laut Hersteller nur der
    > Servicetechniker damit ist das keine öffentliche Schnittstelle.

    wie wäre es wenn man sowas nicht nur in die anleitung schreibt sondern auch direkt an den port?

    > Nur weil es eine Schnittstelle für den Datenaustausch gibt heißt das noch
    > lange nicht, dass man das Teil in ein "öffentliches" Netz hängend darf.
    > Protokollieren kann auch ein lokaler PC, der über eine zweite LAN Karte
    > Point-to-Point mit der Maschine verbunden ist.

    ein paar klicks weiter auf der selben seite (konnektivität -> mehr über ethernet) steht:
    "Kabelgestützte Kommunikation
    Die Ethernet-Schnittstelle ist die universelle Lösung für den Datenaustausch. Gegenüber anderen Schnittstellen eröffnet sie dem Anwender ein besonders hohes Maß an Funktionalität. So lassen sich Geräte besonders einfach in bestehende Netzwerke am Standort einbinden, etwa an Dokumentationssysteme. Zudem werden Textprotokolle ausfallsicher gespeichert."

    man bedenke das wort ANWENDER. also das ist offensichtlich nicht als serviceport beworben worden

    und auch ohne öffentliches netz ist ein directory traversal bug der es erlaubt die SHADOWFILE (aka der server läuft als root) auszuwerfen sehr kritisch denn das erlaubt auch nicht autoriserten Leuten im intranet sachen auszulesen die diese nichts angehen, da ja wirklich dank root ALLE dateien offenstehen, man muss sie nur finden.

    > Bei IoT gehört die Internetverbindung zum Use Case und muss entsrpechend
    > gesichert sein, bei dieser Maschine nicht, da es nur eine Service
    > Schnittstelle ist.
    > Das Teil ist klein IoT Device.

    man könnte es auch mit USB, seriell oder so gestalten dann kann keiner so schnell das ding an ein netzwerk stecken.
    mMn gilt immer die erste Regel: gehe nicht davon aus dass der User die anleitung auch liest.

    Das gilt insbesondere bei Unternehmen da da der einzige der wenn überhaupt die anleitung liest, der ist der die technik macht und alle anderen bekommen vlt ne grundlegende einweisung wenn überhaupt (eigentlich ist die normale bedienung ja im normalfall weitestgehend selbsterklärend)

    vlt etwas schlechter vergleich aber meine erste Videokamera die ich iirc mit 7 oder 8 bekommen habe (war so ne alte mit kassetten und ohne aufklappdisplay oder sonstigen komfort) und ich hatte anfangs keine anleitung, und kam trotzdem super klar, so funktioniert gerätedesign.

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 28.03.17 10:22 durch My1.

  8. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: My1 28.03.17 - 10:20

    der directory traversal bug ist zwar nicht schön aber dass die shadow ausgegeben wird geht gar nicht. normalerweise hat so n server als serviceuser zu laufen der spezifisch für eben diesen service/dämon ist. es würde mich bei einem solchen bug nicht wundern wenn der server auf ein HTTP PUT reagieren würde, das das dann das endgültige chaos ist dürfte klar sein.

    Asperger inside(tm)

  9. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Tuxgamer12 28.03.17 - 10:48

    My1 schrieb:
    > man bedenke das wort ANWENDER. also das ist offensichtlich nicht als
    > serviceport beworben worden

    Das ist KEIN Endnutzergerät! Und das ist KEINE Endnutzerfunktion!

    Wir reden hier vom professionellen Einsatz in Großküchen - nicht das IOT-Gerät, das du als Endnutzer mit deiner Smartphone-App vernsteuern kannst. Hier geht es um professionelle Datenanalyse!

    Und ich habe es schon mehrfach geschrieben.

    Wer so etwas einrichtet hat gefälligst zu schauen, dass der Geschierspüler vom Rest des Netzwerkes und definitiv vom Rest der Welt isoliert ist! Und dabei ist übrigens völlig irrelevant, was in der Anleitung steht.

  10. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: My1 28.03.17 - 11:20

    Tuxgamer12 schrieb:
    --------------------------------------------------------------------------------
    > My1 schrieb:
    > > man bedenke das wort ANWENDER. also das ist offensichtlich nicht als
    > > serviceport beworben worden
    >
    > Das ist KEIN Endnutzergerät! Und das ist KEINE Endnutzerfunktion!
    >
    > Wir reden hier vom professionellen Einsatz in Großküchen - nicht das
    > IOT-Gerät, das du als Endnutzer mit deiner Smartphone-App vernsteuern
    > kannst. Hier geht es um professionelle Datenanalyse!
    >
    > Und ich habe es schon mehrfach geschrieben.
    >
    > Wer so etwas einrichtet hat gefälligst zu schauen, dass der Geschierspüler
    > vom Rest des Netzwerkes und definitiv vom Rest der Welt isoliert ist! Und
    > dabei ist übrigens völlig irrelevant, was in der Anleitung steht.

    wenn es da nen admin gibt der das macht geht das, klar aber ich erwarte jetzt nicht dass der Profikoch aus der großküche oder der arzt im Krankenhaus sich damit befassen.

    insbesondere wenn die administration über nen sehr teuren externen läuft könnte man denken "das schaffen wir auch so, da kann man das geld sparen"

    Asperger inside(tm)

  11. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Tuxgamer12 28.03.17 - 11:38

    Kannst du auch machen, kein Problem. Nur halte ich es für sehr unwahrscheinlich, dass der Arzt oder Profikoch auf die Idee kommt mit dem Gerät mehr zu machen als Teller zu waschen. Dann wird das LAN Kabel wohl oder übel im Gerät auf dem Kundenservice warten.

  12. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Hugo21 28.03.17 - 14:36

    My1 schrieb:
    >
    > ein paar klicks weiter auf der selben seite (konnektivität -> mehr über
    > ethernet) steht:

    Und in der Bedienungsanleitung unter Prozessdokumenttation steht unter Netzwerkanbindung:

    "Das Kabel darf nur durch den Miele Kundendienst an eine andere Schnittstelle angeschlossen werden."

    Unter Serielle Schnittstelle (hat das Teil auch) steht das eben nicht, d.h. Seriell darf der Kunde selber, LAN nur der Service Techniker.

    Die Schnittstelle ist defacto nicht für das Internet/Intranet bestimmt und stellt damit bei bestimmungsgemäßem Gebrauch auch kein Sicherheitsrisiko dar.

    Das Teil ist so weit weg von "IoT" weiter geht schon gar nicht mehr.

  13. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: My1 28.03.17 - 14:39

    ich habe nicht gesagt dass es iot ist, aber eine sache die ich trotzdem nicht besonders sinnvoll finde ist why gerade LAN, die schnittszelle mit der DAUs eher umgehen konnte als support only deklariert wurde während seriell, dank den konfigs die man da noch machen mus und was weiß ich noch alles, normal für den user offensteht.

    Asperger inside(tm)

  14. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Hugo21 28.03.17 - 14:46

    Markus Bauer schrieb:
    --------------------------------------------------------------------------------
    > Sobald irgendeine physikalische oder digitale Schnittstelle von "außen"
    > zugänglich ist, muss sie auch abgesichert werden.

    Nein, aber da werden wir uns wohl nicht mehr einig.

    In Industrieanlagen, und wir reden hier von Equipment für Großküchen und Krankenhäuser), gibt es unmengen von physischen Schnittstellen (ungesichert) mit denen man noch viel größeren Schaden anrichten kann, wenn man diese nicht bestimmungsgemäß nutzt.

    In der Bedienungsanleitung zu dem Teil steht bei Prozessdokumentation und Netzwerk:

    "Das Kabel darf nur durch den Miele Kundendienst an eine andere Schnittstelle angeschlossen werden."

    Bei bestimmungsgemäßem gebrauch besteht also gar kein Risiko, weil da nichts angeschlossen ist und wenn doch wurde dies vom Service Techniker gemacht und der wird dann wissen was er tun muss.

    Da steht weiterhin auch:

    "Für die Verbindung des Reinigungs- und Desinfektionsautomaten mit geeigneten
    Netzwerkkomponenten (z. B. Hub, Switch) wird ein 5 m langes Schnittstellenkabel mitgeliefert."

    Der Service Techniker wird dann die geeigneten Komponenten schon wissen, das könnte auch zwingend ein Router+FW+VPN sein.

    Beispiel kenne ich aus der Praxis von einem Hersteller, der für Fernwartung von seinem Techniker ein VPN Router inkl. VPN einrichtet, was anderes darf an das LAN nicht angeschlossen werden!

    Das Teil ist soweit weg von "IoT" weiter weg geht schon gar nicht mehr.

    Als Hersteller würde auf so einen Artikel auch nicht antworten! Offensichtlich hat der Author noch nicht mal die öffentlich zugängliche Bedienungsanleitung gelesen und den Sinn und Zweck der LAN Schnittstelle rechcheriert.

  15. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Truster 28.03.17 - 14:47

    My1 schrieb:
    --------------------------------------------------------------------------------
    > wie wäre es wenn man sowas nicht nur in die anleitung schreibt sondern auch
    > direkt an den port?
    Wir verwenden durchsichtige Plastikkappen, welches ein rotes Stopschild trägt. Diese Kappe kommt bei unseren Geräten auf das Service Port. So in der Richtung sollte man das auch hier machen

    > ein paar klicks weiter auf der selben seite (konnektivität -> mehr über
    > ethernet) steht:
    > "Kabelgestützte Kommunikation
    > Die Ethernet-Schnittstelle ist die universelle Lösung für den
    > Datenaustausch. Gegenüber anderen Schnittstellen eröffnet sie dem Anwender
    > ein besonders hohes Maß an Funktionalität. So lassen sich Geräte besonders
    > einfach in bestehende Netzwerke am Standort einbinden, etwa an
    > Dokumentationssysteme. Zudem werden Textprotokolle ausfallsicher
    > gespeichert."

    Hier wird nur der generelle Einsatzzweck der RJ45 Schnitstelle beschrieben. Daraus abzuleiten, dass du deine Schnitstelle, welcher für Servicezwecke gedacht ist, einfach so ans Netz stöpseln darfst, ist blauäugig.

    > man bedenke das wort ANWENDER. also das ist offensichtlich nicht als
    > serviceport beworben worden

    s.o.
    >
    > und auch ohne öffentliches netz ist ein directory traversal bug der es
    > erlaubt die SHADOWFILE (aka der server läuft als root) auszuwerfen sehr
    > kritisch denn das erlaubt auch nicht autoriserten Leuten im intranet sachen
    > auszulesen die diese nichts angehen, da ja wirklich dank root ALLE dateien
    > offenstehen, man muss sie nur finden.
    Das Geräte sollte auch im eigenen Intranet nicht unbedingt erreichbar sein.
    >
    > man könnte es auch mit USB, seriell oder so gestalten dann kann keiner so
    > schnell das ding an ein netzwerk stecken.
    > mMn gilt immer die erste Regel: gehe nicht davon aus dass der User die
    > anleitung auch liest.
    könnte man mit der Schutzkappe wieder in Griff bekommen

    :-)

  16. Re: Letzer Absatz: Das Teil soll offline betrieben werden?

    Autor: Hugo21 28.03.17 - 14:48

    My1 schrieb:
    --------------------------------------------------------------------------------
    > nicht besonders sinnvoll finde ist why gerade LAN

    LAN ist sinnvoll, da flexibel und kostengünstig und jeder Laptop hat heute LAN, aber nicht Seriel eher selten. USB ist im Profibereich eher kein Thema.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Ulm
  2. ING-DiBa AG, Nürnberg
  3. dSPACE GmbH, Paderborn
  4. GEWOBAG Wohnungsbau-Aktiengesellschaft Berlin, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 555,55€ (zzgl. Versandkosten)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Apex Pro im Test: Tastatur für glückliche Gamer und Vielschreiber
Apex Pro im Test
Tastatur für glückliche Gamer und Vielschreiber

Steelseries bietet seine mechanische Tastatur Apex 7 auch als Pro-Modell mit besonderen Switches an: Zum Einsatz kommen sogenannte Hall-Effekt-Schalter, die ohne mechanische Kontakte auskommen. Besonders praktisch ist der einstellbare Auslösepunkt.
Ein Test von Tobias Költzsch

  1. Bluetooth und Ergonomic Keyboard Microsoft-Tastaturen kommen nach Deutschland
  2. Peripheriegeräte Microsofts neue Tastaturen haben Office- und Emoji-Tasten
  3. G Pro X Gaming Keyboard Logitech lässt E-Sportler auf austauschbare Tasten tippen

Staupilot: Der Zulassungsstau löst sich langsam auf
Staupilot
Der Zulassungsstau löst sich langsam auf

Nach jahrelangen Verhandlungen soll es demnächst internationale Zulassungskriterien für hochautomatisierte Autos geben. Bei höheren Automatisierungsgraden strebt die Bundesregierung aber einen nationalen Alleingang an.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ermittler geben Testfahrerin Hauptschuld an Uber-Unfall
  2. Ermittlungsberichte Wie die Uber-Software den tödlichen Unfall begünstigte
  3. Firmentochter gegründet VW will in fünf Jahren autonom fahren

  1. Sandmarc: Anamorphe Linsen, Tele und Weitwinkel für das iPhone 11
    Sandmarc
    Anamorphe Linsen, Tele und Weitwinkel für das iPhone 11

    Der Zubehörhersteller Sandmarc hat mehrere Objektive für das iPhone 11 und das iPhone 11 Pro vorgestellt, welche die fotografischen Möglichkeiten verbessern sollen. Dazu gehören eine anamorphe Linse, ein Tele und ein Weitwinkel.

  2. Elektroauto: Gratis-Internet in Teslas läuft aus
    Elektroauto
    Gratis-Internet in Teslas läuft aus

    Tesla will künftig Geld für Konnektivitätsdienste verlangen, die in den Elektroautos seit dem Verkaufsdatum 1. Juli 2018 angeboten werden. Offenbar sind dem Hersteller die Mobilfunkgebühren zu hoch.

  3. Pentium G3420: Intel verkauft 22-nm-Prozessor von 2013 wieder
    Pentium G3420
    Intel verkauft 22-nm-Prozessor von 2013 wieder

    Die 14-nm-Knappheit bei Intel wird obskur: Der Hersteller hat den Pentium G3420 von 2013 erneut ins Angebot aufgenommen. Der 22-nm-Haswell-Chip ist eigentlich längst ausgelaufen, wird aber reanimiert.


  1. 07:38

  2. 07:20

  3. 17:32

  4. 15:17

  5. 14:06

  6. 13:33

  7. 12:13

  8. 17:28