image

KPN: domoticasoftware OpenHAB op grote schaal onveilig gebruikt

donderdag 11 augustus 2022, 07:21 door Redactie, 30 reacties

Domoticasoftware OpenHAB wordt op grote schaal onveilig gebruikt, wat een privacyrisico voor gebruikers vormt, zo stelt KPN op basis van eigen onderzoek. Onderzoekers van KPN Security wisten via OpenHB toegang te krijgen tot "slimme" apparaten bij mensen thuis en konden in één geval ook de locatie van de bewoners monitoren.

Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt. Gebruikers blijken het dashboard van OpenHAB, voor het beheren van hun apparaten, vaak niet te beveiligen, waardoor er vanaf het internet zonder gebruikersnaam en wachtwoord toegang kan worden verkregen. Via het dashboard is het bijvoorbeeld mogelijk de temperatuur binnen en de instellingen van de boiler aan te passen of lampen en de audio-installatie te bedienen.

In één geval was het zelfs mogelijk de locatie van de bewoners te volgen. "Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam. Zij ging even de hond uitlaten", zegt onderzoeker Siep van der Waal. ”OpenHAB is niet inherent onveilig. Het is aan de gebruiker om het platform op een veilige manier te gebruiken. Net als alle andere technologie die je in huis haalt.” De onderzoeker adviseert gebruikers dan ook om authenticatie voor OpenHAB in te stellen zodat er met gebruikersnaam en wachtwoord moet worden ingelogd.

Reacties (30)
11-08-2022, 07:38 door [Account Verwijderd] - Bijgewerkt: 11-08-2022, 07:40
"Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....
11-08-2022, 08:31 door Anoniem
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....

nieuwsbericht van niks . met elke software/hardware die je aansluit moet je weten wat te doen als je het op internet aansluit. net zoals mensen die een camera openzetten voor de hele wereld . want dan kunnen ze vanaf overal kijken op hun mobiel
11-08-2022, 08:46 door Anoniem
Ga naar shodan.io zoek op 'openhab', 3012 entries... success...
11-08-2022, 09:37 door Anoniem
Door Anoniem:
nieuwsbericht van niks . met elke software/hardware die je aansluit moet je weten wat te doen als je het op internet aansluit. net zoals mensen die een camera openzetten voor de hele wereld . want dan kunnen ze vanaf overal kijken op hun mobiel

Inderdaad; het persbericht had net zo goed als titel kunnen hebben "Domoticaoplossing op grote schaal onveilig gebruikt op het netwerk van KPN". Maar dat vond KPN zelf waarschijnlijk niet zo'n goed idee.
11-08-2022, 09:40 door Roger63
Door Quink: Maar ja je woont wél in een smart home....
Smart home, dumb people...

Door Anoniem: met elke software/hardware die je aansluit moet je weten wat te doen als je het op internet aansluit. net zoals mensen die een camera openzetten voor de hele wereld . want dan kunnen ze vanaf overal kijken op hun mobiel
Dat kan ook met een goede beveiliging. Makers van dit soort producten horen ze zo te maken dat je minimaal een goed wachtwoord moet instellen om het werkend te krijgen. Toestaan dat de gebruiker geen wachtwoord instelt valt bij mij in de categorie grove nalatigheid. Ook default admin passwords zijn uit den boze.
11-08-2022, 09:43 door Anoniem
Best opmerkelijk. OpenHAB is voor zover ik weet geen standaardproduct dat je in de winkel koopt. Het is toch meer een oplossing door en voor technisch onderlegde hobbyisten. Je zou verwachten dat mensen die op dit niveau met techniek knutselen, ook wel wat meer besef hebben van de beveiligingsrisico's.

Ik ben geen psycholoog, maar mogelijk speelt hier het effect dat mensen met (enige) kennis van zaken vaak een onterecht een gevoel hebben dat ze het geheel wel kunnen overzien waardoor ze het risico niet of minder lopen.
11-08-2022, 10:13 door Anoniem
Door Anoniem:
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....

nieuwsbericht van niks . met elke software/hardware die je aansluit moet je weten wat te doen als je het op internet aansluit. net zoals mensen die een camera openzetten voor de hele wereld . want dan kunnen ze vanaf overal kijken op hun mobiel

Juist dat mensen het niet goed doen geeft aan hoe belangrijk dit soort nieuwsberichten zijn!
11-08-2022, 11:06 door Anoniem
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....
Wat heeft een hobby oplossing te maken met een €350.000 huis dat zo lek is als een zeef?

Dit wordt door doe-het-zelf IT-ers gebruikt om hun eigen huis te automatiseren. En dat is niet iets wat je meeverkoopt als je je huis verkoopt.

Dus gewoon een kwestie van: ik ben leuk aan het hobby-en, maar heb geen aandacht voor beveiliging (want het is alleen voor mezelf, ik heb niets in de cloud).

En een artikel als dit laat zien dat je altijd je zaken veilig moet inrichten, zelfs met hobby trajecten
11-08-2022, 11:09 door Anoniem
toch wel een nalatigheid van openhab.
Zelf gebruik ik Home Assistant en daarbij moet je bij de eerste keer opstarten eerst een gebruiker en wachtwoord aanmaken anders kom je gewoon niet verder. zo'n grote moeite moet dat toch niet zijn om dat standaard in te bouwen.
11-08-2022, 11:43 door [Account Verwijderd]
Door Anoniem:
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....
Wat heeft een hobby oplossing te maken met een €350.000 huis dat zo lek is als een zeef? ..(knip)..

Niks, tenzij je gevoel heb voor zwarte humor. :-)
11-08-2022, 11:43 door Anoniem
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....

Wat een gelul van jou zeg .

Aangezien dit een Open source project is kun je heel erg zeker zijn dat het door de bewoners zelf gekozen en geinstalleerd is.
Het heeft dus niks te maken met hoe duur hun huis was, dat het "van de aannemer" erbij zat of "door de huisbaas gekozen" .

Wie weet woont ze met huursubsidie in een flatje van 450 p/m ?

Maar inderdaad "wel smart" - en voor al die nerds hier "cloud not required" . Zouden het mensen zijn die ook een cloud hater in de omgeving hebben en speciaal op diens advies hiervoor gekozen hebben ? Want "geen cloud dus veilig en privacy en open" ?

En natuurlijk - als een Microsoft "default open" levert gaan we die met z'n alleen lekker kruisigen hier, maar als open source "default open" installeeert zijn we ontzettend begripvol en ligt het alleen maar aan de mensen die het ingericht hebben .
11-08-2022, 12:25 door [Account Verwijderd]
Door Anoniem:
Door Quink: "Open Home Automation Bus (OpenHAB) is een open source domatica-oplossing die apparaten en diensten van verschillende leveranciers in een smart home met elkaar verbindt".

Wat een nachtmerrie. En dat met die huizenprijzen van tegenwoordig. € 350.000,00 voor een huis dat zo 'lek is al een zeef'.
Maar ja je woont wél in een smart home....

Wat een gelul van jou zeg ...(knip)....

Nog zo een. :-)
(Zie mijn reactie: https://www.security.nl/posting/764324#posting764361)
11-08-2022, 12:33 door Anoniem
Een huis is nooit lek, behalve wanneer er regenwater naar binnen komt.
11-08-2022, 12:41 door Anoniem
Eerst gepromoot in het kader van het 'slimme huis'. Chriet Titulaer, weet u nog? Morgen beleeft u de ellende! Veel les over gehad bij de IT opleidingen in het kader van de gevaren van IOT.

Maar ja van afstand bedienbaar en handig ook voor de cybercrimineel. Gaat 1 lampje aan het plafond, gaat met een beetje geluk het hele smart home circus compromitted. Hoort achter een beveiligde home gateway, maar wat doet de gemiddelde dumbed downie? Brengt geld op dus gaat men er mee door. Hopeldozenwerk.
11-08-2022, 12:53 door [Account Verwijderd]
Aan anoniem van 11:06 uur en 11:43 uur:

Probeer eens wat gevoel voor sarcasme te ontwikkelen. Geen idee of dat kan, ik ben geen psycholoog. Maar de wereld blijkt minder rechtlijnig als je vaker over de rand van je beeldscherm blikt, in de verte staart en je gedachten juist laat afdwalen van het onderwerp waar je een mening over vormt/hebt.
11-08-2022, 12:58 door [Account Verwijderd]
Door Anoniem: Eerst gepromoot in het kader van het 'slimme huis'. Chriet Titulaer, weet u nog? Morgen beleeft u de ellende! Veel les over gehad bij de IT opleidingen in het kader van de gevaren van IOT.

Maar ja van afstand bedienbaar en handig ook voor de cybercrimineel. Gaat 1 lampje aan het plafond, gaat met een beetje geluk het hele smart home circus compromitted. Hoort achter een beveiligde home gateway, maar wat doet de gemiddelde dumbed downie? Brengt geld op dus gaat men er mee door. Hopeldozenwerk.

Leuk samengevat, met een serieuze boodschap. :-)
11-08-2022, 13:44 door Anoniem
Door Quink: Aan anoniem van 11:06 uur en 11:43 uur:

Probeer eens wat gevoel voor sarcasme te ontwikkelen. Geen idee of dat kan, ik ben geen psycholoog. Maar de wereld blijkt minder rechtlijnig als je vaker over de rand van je beeldscherm blikt, in de verte staart en je gedachten juist laat afdwalen van het onderwerp waar je een mening over vormt/hebt.

Je geneuzel over de huizenprijs heeft niks met sarcasme of humor te maken ; "lek als een zeef maar wel smart" kun je ietwat in die richting zien . Het houdt nog steeds niet over .

Achteraf gaan reclameren "maar ik was echt wel grappig en jullie zien dat niet " - och got och got .
11-08-2022, 14:37 door Anoniem
Security.nl doet te veel van dit soort onzin berichten.

Zo kun je ook melden dat voordeursloten onveilig zijn als je de voordeur open laat staan. of dat windows onveilig is als je welkom als wachtwoord gebruikt.

Misschien leuk voor sensatiepers, maar als je een serieus platform wil zijn meldt je dit niet.
11-08-2022, 15:24 door Anoniem
In één geval was het zelfs mogelijk de locatie van de bewoners te volgen. "Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam. Zij ging even de hond uitlaten", zegt onderzoeker Siep van der Waal.
Jeemig wat een ramp zeg! Nou weten we dat ze een hond heeft, en straks weet de gemeente dat ook. Ontoelaatbaar!
Die foto van Siep ziet er precies zo uit als je zou verwachten na het lezen van bovenstaande.
Zelf durft ie niet naar buiten denk ik, veel te bang dat de buurvrouw hem ziet lopen.
11-08-2022, 16:14 door Briolet
Door Anoniem:
In één geval was het zelfs mogelijk de locatie van de bewoners te volgen. "Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam.
Jeemig wat een ramp zeg! Nou weten we dat ze een hond heeft, en straks weet de gemeente dat ook. Ontoelaatbaar!

Je bent ten onrechte cynisch, want dit is wel degelijk een gevaar. Een inbreken weet dan precies hoe laat ze lang moeten gaan en hoeveel tijd ze hebben. En dat binnen een paar minuten en niet door dagenlang voor zo'n huis te posten.
11-08-2022, 17:52 door Anoniem
Door Briolet:
Door Anoniem:
In één geval was het zelfs mogelijk de locatie van de bewoners te volgen. "Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam.
Jeemig wat een ramp zeg! Nou weten we dat ze een hond heeft, en straks weet de gemeente dat ook. Ontoelaatbaar!

Je bent ten onrechte cynisch, want dit is wel degelijk een gevaar. Een inbreken weet dan precies hoe laat ze lang moeten gaan en hoeveel tijd ze hebben. En dat binnen een paar minuten en niet door dagenlang voor zo'n huis te posten.

Dit leuterverhaaltje lees je steeds maar weer. De WERKELIJKHEID is dat een inbreker zich niet bezig houdt net
dat soort hightech research. Vaak maakt het hem zelfs niets uit of de bewoner thuis is, daar heeft ie gewoon een mes
of blaffer voor bij zich.
11-08-2022, 18:39 door Sysosmaster
OK, ten eerste, OpenHAB = Opensource software. (dus niet een product dat je gewoon koopt)

ten tweede, de stnadaard setup gebruikt predefined public username & passwords (das best ernstig, maar normaal is de UI alleen vanuit lokaal netwerk te bereiken... dus nog beperkt risico.)

ten derede, op hun documentatie site staat hoe je de software via een reverse proxy aan het interneet kan hangen. er word vanuit gegaan dat je zogenaamde .htpass users maakt. maar dit word niet afgedwongen....

en dat is waar het dus mis gaat, mensen instaleren deze software dus en volgen handleidingen zonder te snappen dat ze gewoon alles openzetten.

het artikelheeft een hoog "so what" gehaalte met een kleine kern van waarheid.
in mijn optiek zou het beter zijn als OpenHAB een adnere installlatie philosophy zou aanhangen welke standaard veiliger zou zijn, met random wachtwoorden bijvoorbeeld.
11-08-2022, 19:53 door Anoniem
Door Anoniem: De WERKELIJKHEID is dat een inbreker zich niet bezig houdt net
dat soort hightech research. Vaak maakt het hem zelfs niets uit of de bewoner thuis is, daar heeft ie gewoon een mes
of blaffer voor bij zich.
Het is jou blijkbaar ontgaan, dat gedurende de lockdowns en thuiswerkmaatregelen (ivm een virus) het aantal inbraken gigantisch daalde.
Of wou je dat gegeven verklaren met het feit dat de inbrekers zich ook moesten houden aan de avondklok (of aan thuiswerk, dus overstapten op online inbreken)?
11-08-2022, 21:56 door [Account Verwijderd]
Door Anoniem: Security.nl doet te veel van dit soort onzin berichten.

Zo kun je ook melden dat voordeursloten onveilig zijn als je de voordeur open laat staan. of dat windows onveilig is als je welkom als wachtwoord gebruikt.

Misschien leuk voor sensatiepers, maar als je een serieus platform wil zijn meldt je dit niet.

Wat een zinloze kritiek.
Ter overdenking: Bij de maandelijkse begrotingsevaluatie bij een van de betrekkingen die ik ooit vervulde was negatieve kritiek leveren zonder voorstellen om de door je geconstateerde matige evaluatiepunt(en) positief te kunnen beïnvloeden, een zonde.

Indachtig dat positivistisch management mijn vraag: Doe dus eens enkele voorstellen welk nieuws format dan wel aan de (jouw) verwachtingen voldoet.

Dank.
12-08-2022, 07:45 door Anoniem
Door Quink: Wat een zinloze kritiek.
Ter overdenking: Bij de maandelijkse begrotingsevaluatie bij een van de betrekkingen die ik ooit vervulde was negatieve kritiek leveren zonder voorstellen om de door je geconstateerde matige evaluatiepunt(en) positief te kunnen beïnvloeden, een zonde.

Ik krijg altijd jeuk van mensen die zeggen dat je geen kritiek mag leveren als je er ook niet direct een oplossing bij geeft. Deze manier van kritiek neerslaan levert uiteindelijk alleen maar op dat mensen helemaal niks meer zeggen.
12-08-2022, 09:50 door Anoniem
Door Quink:
Door Anoniem: Security.nl doet te veel van dit soort onzin berichten.

Zo kun je ook melden dat voordeursloten onveilig zijn als je de voordeur open laat staan. of dat windows onveilig is als je welkom als wachtwoord gebruikt.

Misschien leuk voor sensatiepers, maar als je een serieus platform wil zijn meldt je dit niet.

Wat een zinloze kritiek.
Ter overdenking: Bij de maandelijkse begrotingsevaluatie bij een van de betrekkingen die ik ooit vervulde was negatieve kritiek leveren zonder voorstellen om de door je geconstateerde matige evaluatiepunt(en) positief te kunnen beïnvloeden, een zonde.

Dat is appels met peren vergelijken. Bij een begroting is het altijd heel gemakkelijk om te komen met "we moeten veel meer geld uitgeven aan X" opmerkingen, waarbij er dan even voorbij gegaan wordt aan het praktische probleempje waar dat geld dan vandaan moet komen. Dan kan ik me best voorstellen dat de voorzitter dat een beetje zat wordt.
Kijk maar eens naar de begrotingsvergadering van je gemeente (is meestal wel ergens online te volgen), daar heb je ook altijd de strijd tussen de mensen die overal meer voor willen uitgeven en het college wat daar "dekking" tegenover wil zien, die er dan natuurlijk niet is. Daarom is vaak de regel ook dat voorstellen zonder dekking niet gedaan mogen worden.
12-08-2022, 14:45 door Anoniem
..."Ik zag op een plattegrond hoe de vrouw elke avond rond dezelfde tijd naar buiten ging, en na tien minuten weer terugkwam. Zij ging even de hond uitlaten", zegt onderzoeker Siep van der Waal....

Hmmm klinkt niet helemaal zuiver op de graat dit. Siep is naast de rol van onderzoeker dus ook een ethisch hacker aangezien hij een fout heeft ontdekt en daarmee onderzoekt of er nog andere mogelijke kwetsbaarheden aanwezig zijn. Normaliter hoort een ethisch hacker te stoppen op het moment dat hij 1 casus heeft aangetoond. In dit geval heeft Siep dus meerdere avonden naar de plattegrond gekeken terwijl hij na 1 avond (rondkijken/meekijken?) al wist dat het niet goed zat.
12-08-2022, 14:51 door Anoniem
En wie gaat er nu actie ondernemen om de gebruikers van de slecht geconfigureerde OpenHAB installaties in te lichten en vertellen wat ze beter moeten doen? Een posting op security.nl en op de zakelijke blog van KPN wordt *echt* niet gelezen door deze gebruikers.

Of boeit dat de gemiddelde bezoeker hier niet?

Laten we de security wereld beter maken in plaats van elkaar met cynische/ sarcastische en andere niet van toepassing zijnde opmerkingen te bestoken!
12-08-2022, 14:53 door [Account Verwijderd]
Door Anoniem:
Door Quink: Wat een zinloze kritiek.
Ter overdenking: Bij de maandelijkse begrotingsevaluatie bij een van de betrekkingen die ik ooit vervulde was negatieve kritiek leveren zonder voorstellen om de door je geconstateerde matige evaluatiepunt(en) positief te kunnen beïnvloeden, een zonde.

Ik krijg altijd jeuk van mensen die zeggen dat je geen kritiek mag leveren als je er ook niet direct een oplossing bij geeft. Deze manier van kritiek neerslaan levert uiteindelijk alleen maar op dat mensen helemaal niks meer zeggen.

De jeuk ontstond omdat er regelmatig bepaalde collega's waren die al in de moppermodus verkerend naar deze vergaderingen moesten om hun bijdrage te leveren en bijgevolg niet verder kwamen dan negatieve kritiek mopperen. Schijnbaar ken je die ervaring niet, anders schreef je niet zo lichtzinnig ¨Ik krijg altijd jeuk"
Misschien is de vorm van vergaderen er tegenwoordig een van kritiek als doelstelling i.p.v. gereedschap tot... etc. Dan ben ik blij gepensioneerd te zijn en aan die manier van vergaderen niet deelachtig te hoeven zijn.
12-08-2022, 21:25 door Anoniem
Door Quink:
Door Anoniem: Security.nl doet te veel van dit soort onzin berichten.

Zo kun je ook melden dat voordeursloten onveilig zijn als je de voordeur open laat staan. of dat windows onveilig is als je welkom als wachtwoord gebruikt.

Misschien leuk voor sensatiepers, maar als je een serieus platform wil zijn meldt je dit niet.

Wat een zinloze kritiek.
Ter overdenking: Bij de maandelijkse begrotingsevaluatie bij een van de betrekkingen die ik ooit vervulde was negatieve kritiek leveren zonder voorstellen om de door je geconstateerde matige evaluatiepunt(en) positief te kunnen beïnvloeden, een zonde.

Indachtig dat positivistisch management mijn vraag: Doe dus eens enkele voorstellen welk nieuws format dan wel aan de (jouw) verwachtingen voldoet.

Dank.
[Andere Anoniem] Het door jou aangehaalde concept van "constructieve (opbouwende) kritiek" ontbeert een belangrijke component, namelijk het zelf toepassen ervan.
Je zet @Anoniem wel weg met de zin: "wat een zinloze kritiek", maar je beargumenteert dat niet.
Je past het concept wat je voorstaat niet inhoudelijk toe, maar je verwijst er alleen naar. Dat is formalistisch.
Je komt op deze manier net zo ver als de op deze site veel gehanteerde formele argumenten: "het is een trol" of "het is een wappie", als reden om er verder niet inhoudelijk op in te hoeven gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.