News Alpha Innotec & Novelan: In Firmware hinterlegtes Passwort gefährdet Wärmepumpen

[coffee4free]

Wer eine Wärmepumpe des Herstellers Ait Deutschland sein Eigen nennt, sollte eine Aktualisierung der Controller-Firmware in Erwägung ziehen. Ein GitHub-Nutzer hat darin eine Schwachstelle entdeckt – das Root-Passwort bestimmter Steuerungssysteme wurde offenbar im Code hinterlegt. Angreifer können damit viel kaputt machen.

Zur News: Alpha Innotec & Novelan: In Firmware hinterlegtes Passwort gefährdet Wärmepumpen

 

[Weyoun]

Bei The Big Bang Theory haben die chinesischen Hacker Sheldon und Co. geärgert, indem sie ihnen das Licht ausgeschaltet haben. Künftig wird dann einfach die Heizung ausgeschaltet und wenn man es wieder warm haben will, darf man Bitcoins zahlen.

 

[Damien White]

Ja, das ist die Grundgefahr, wenn man sein Haus "smart" haben möchte.

Wenn alles im Internet hängt dann ist auch alles potentiell gefährdet. Und ja, man geht erstmal davon aus, dass das nicht passieren wird ... bis dann eben doch eine solche Lücke aufploppt und sich alles ändert.

Es gibt keine absolute Sicherheit, vor allem nicht in Industriebereichen, die bis vor wenigen Jahren mit dem Internet nichts zu tun hatten, keine Erfahrung besitzen und keine umfangreiche Entwicklungsabteilung für Cybersecurity etc.

 

[Brati23]

Naja 47 Heizungen mit ssh im Netz zugänglich. (Noch) Überschaubar.

 

[Reihensechser]

Bei The Big Bang Theory haben die chinesischen Hacker Sheldon und Co. geärgert, indem sie ihnen das Licht ausgeschaltet haben. Künftig wird dann einfach die Heizung ausgeschaltet und wenn man es wieder warm haben will, darf man Bitcoins zahlen.

haha... ich erinnere mich.
Trotzdem: Passwort in der Firmware. Geil.

 

[Kesandal]

Warum braucht eine Wärmepumpe dauerhaften Netzwerkzugang?
Ernst gemeinte Frage...

 

[Donnidonis]

Ja, das ist die Grundgefahr, wenn man sein Haus "smart" haben möchte.

Geht ja gar nicht mal so sehr ums smart haben wollen, manchmal geht es auch einfach nicht mehr anders. Neue Geräte sind manchmal einfach nicht mehr ohne smarte Funktion zu bekommen oder überhaupt bedienbar. Leider.

 

[SeppoE]

Wenn das Stromnetz überlastet ist, wird die Wärmepumpe durch den Netzbetreiber abgeschaltet,

Ist an und für sich ja kein Problem. Es dreht sich ja nur um Stunden. Dein Haus ist so träge, dass du da wahrscheinlich nichts von mitbekommst. Die Wärmepumpe läuft dann später einfach auf höherer Leistung und heizt nach. Brauchst also keine Speicherkästen um das zu überbrücken.

 

[Unnu]

Wie war das mit dem Internet of Shit?

Naja, die haben wohl solange gebraucht, bis sie jemanden gefunden hatten, der das denen programmieren konnte. Ist ja nicht so, als ob man dieses "Spezialisten-KnowHow" einfach so im Hause hätte.

Erst das Problem im Konglomerat bekannt machen, dann jemanden finden der sich zuständig fühlt, dann jemanden der das Problem als solches erkennt, dann einen der's fixen kann, dann einen Termin finden wann es gefixt werden kann, dann der Fix, dann die Kontrolle ob es auch wirklich nur das Problem behoben hat und weiterhin alles läuft, dann das ausrollen ...

Das dauert dann eben.
XD

 

[jube]

Aber wie ist das denn bei Nutzern ohne Wärmepumpe? Wenn man ein E-Auto hat, mit Durchlauferhitzer duscht und womöglich noch nebenbei die Waschmaschine und PC an ist? Da gibt es keine Überlastung?

 

[Weyoun]

Warum braucht eine Wärmepumpe dauerhaften Netzwerkzugang?
Ernst gemeinte Frage...

Da fällt mir ein Punkt ein: Bei dem vielen Strom, den eine Wärmepumpe verbraucht, könnte der Netzwerkzugang helfen, nur dann zu laufen, wenn der Strom gerade billig ist (in Verbindung mit einer Fußbodenheizung mit einer extrem langen "Sprungantwort" beim Ein- und Ausschalten kann die Wärmepumpe somit nach variablem Stromtarif arbeiten). Man kann so auch die Kommunikation mit der PV-Anlage realisieren (Zwischenspiel zwischen Akku-Speicher-Füllstand, aktueller Sonneneinstrahlung und Wärmepumpe).

 

[Haldi]

Warum braucht eine Wärmepumpe dauerhaften Netzwerkzugang?
Ernst gemeinte Frage...

Nun.... bei der Wärmepumpe meiner Eltern ist der Kältesensor ausgestiegen. Hat immer 12°C angezeigt und sie ist vereist.
Blöderweise waren diese in dem moment gerade in den Ferien.
Aufgefallen ist es erst dann als die Haus Temperatur von den geplanten 16°C auf 12°C gefallen ist!
Also kurz vorbei gefahren, Fehlerangeguckt, Techniker vorbeikommen lassen, sensor getauscht, enteist. Läuft wieder.
Könnte die Wärmepumpe die Fehlermeldungen nicht nur anzeigen sondern direkt ans Home Automation System weiterleiten wäre das schneller gegangen.

Trotzdem sollten IMHO sämtliche IoT Geräte in einem separaten VLAN 7 DMZ laufen und nur Lokal ohne Internet zugrif.

 

[Weyoun]

Warum so weit denken? Wenn das Stromnetz überlastet ist, wird die Wärmepumpe durch den Netzbetreiber abgeschaltet, solltest du nicht genug Strom in deinen Stromspeicherkästen in deinem Haus haben.

Also quasi das Pendant zu PV-Anlagen, wo der Netzbetreiber die eingespeiste Stromleistung drosseln kann, wenn es zu sonnig wird und gleichzeitig zu wenig Leistung aus dem Netz entnommen wird.
Der Hacker könnte den Spieß aber auch umdrehen: Mit Absicht alle Wärmepumpen zur gleichen Zeit einschalten und damit sämtliche Trafohäuschen auf einmal überlasten und eine ganze Stadt lahmlegen.

 

[Weyoun]

Ist an und für sich ja kein Problem. Es dreht sich ja nur um Stunden. Dein Haus ist so träge, dass du da wahrscheinlich nichts von mitbekommst.

Vorausgesetzt, du hast Fußbodenheizung! Wer seine alte Heizung mit Flächenheizkörpern nur auf Wärmepumpe umrüstet, aber die Heizkörper behält, könnte es nach wenigen Stunden schon recht kühl im Haus haben.

 

[Rainbowprincess]

Warum braucht eine Wärmepumpe dauerhaften Netzwerkzugang?
Ernst gemeinte Frage...

https://www.bosch-homecomfort.com/de/de/wohngebaeude/wissen/heizungsratgeber/waermepumpe/evu-sperre/
Willkommen in der neuen Welt.
edit ah das funktioniert noch nicht mit einer inetverbindung tatsächlich und wird noch durch impulssteuerung gehandhabt. My bad.

 

[Lora]

Warum ist so etwas am Internet angeschlossen? Richtig Smart mit dem Root Passwort

Die News fand ich Heute erstaunlich, ein Botnetz aus Smart Zahnbürsten

Putz-Putsch: 3 Millionen Zahnbürsten für Botnet rekrutiert (07.02.24)


Etwa drei Millionen Smart-Zahnbürsten sind von Hackern infiziert und zu einem Teil eines Botnetzes gemacht worden, das erhebliche wirtschaftliche Schäden in der Schweiz verursacht hat.
Ein kürzlich veröffentlichter Bericht der Aargauer Zeitung zeigt: Nicht mal im eigenen Badezimmer ist man vor Hackern sicher. 3 Millionen smarte Zahnbürsten sollen mit Schadsoftware infiziert worden sein. Die Daten stammen vom Cybersecurity-Unternehmen Fortinet.

Quelle: https://www.it-daily.net/it-sicherh...millionen-zahnbuersten-fuer-botnet-rekrutiert

Die News hab ich hier auf CB vermisst.

 

[Stanzlinger]

Warum der Fix solange dauerte? Einfach ein anderes Kennwort zu nehmen, wäre doch sinnfrei, wenn es in 5 Sekunden geknackt wäre. Daher ist bestimmt mehr geändert, oder man kann es individuell vergeben

 

[M@tze]

Root Passwort "eschi". Jetzt dürfen wir Tipps abgeben ob der Nachname des verantwortlichen Entwicklers nun "Eschenbacher" ist oder er aus aus Eschweiler kommt oder ... 😉

 

[Weyoun]

Die News fand ich Heute erstaunlich, ein Botnetz aus Smart Zahnbürsten

Eine Zahnbürste mit Zugriff auf das Internet? Ich habe zwar auch eine Oral B, aber am Internet hängt die zum Glück nicht (ich könnte maximal mein Smartphone via Bluetooth koppeln). Wenn der Hacker schlechte Laune hat, tritt die Zahnbürste in den Putzstreik, krass!

 

[SeppoE]

@Weyoun
Klar, gibts immer wieder konstruierte Fälle. In meinem Gartenhaus bau ich auch keine wärmepumpe ein. Aber auch Öl und Gas werden in dem tollen denkmalgeschützten Haus nicht umsonst sein. Energieerhaltung gilt da auch.
Deine -20Grad in Chemnitz sind keine Tagesmitteltemperatur. Und egal ob Fußbodenheizung oder Radiatoren, das Haus hat die meiste thermische Masse nicht im Heizsystem.