News Ubiquiti: Nutzer hatten Zugriff auf fremde Router und Kameras

[Hammelkopp]

Nutze für meine Kameras (Ubiquiti und Reolink) Frigate unter Homeassistant. Gibt aber noch nen Haufen andere NVR Lösungen. Sehr viele Kameras unterstützen rtsp/rtmp/whatever was man abgreifen kann. Als Benachrichtigung nutze ich Telegram. Läuft ziemlich gut. Ich könnte auch die Benachrichtigung über Homeassistant nutzen. Gibt also diverse andere Möglichkeiten informiert zu werden bei einer Bewegung o.ä.

 

[1Up]

Und für wieviele User außerhalb dieses Forums ist das eine Lösung ? Sich einen zb. Wireguard auf dem Router einzurichten und entsprechende Gegenkonfiguration auf dem Smartphone ?
Schau dich doch in der Nachbarschaft um - wieviele haben da Provider Router auf denen sie noch nicht ein einziges mal eingeloggt waren.

Bei der Verwendung dieser Marke gehe ich davon aus, dass der User Ahnung hat - mehr als einer, der AVM Produkte nutzt.
Und das schreibe ich, weil diese eher Out-Of-The-Box funktionieren.

 

[-THOR-]

@1Up :
Möchtest du also sagen:
Wenn es hier jetzt AVM/Telekom Smarthome oder ähnlichen Anbieter getroffen hätte, wäre der Hersteller schuld?
Weil der weniger versierte Kunden als Zielgruppe hat ?

Bei Ubiquiti sind aber die User schuld weil sie zu dem Kreis der „Prosumer“ zählen?

Ernsthaft … ist es so schwer mal den Fehler nicht bei seinen Mitmenschen zu suchen, sondern bei Herstellern mit unzureichenden Sicherheitskonzepten ?

 

[Gaspedal]

Alle Kameras die über Cloud bzw. Server Dienste über Internet laufen können leicht gehackt werden. Wer sowas ins Haus stellt und meint, nur er hat zugriff, dann täuscht er sich gewaltig.
Em besten eigenen Server erstellen und über diesen laufen lassen.

 

[winni71]

• Die smarte Kamera auf einen Brand hinweist während meiner Abwesenheit
• oder der Hund daheim nervös wird, während man eine Straße weiter bei Freunden ist.

Da möchte ich dann auch eher weniger auf einen Mail Delay warten.

Zur Brandüberwachung eignen sich (wegen mir auch smarte) Rauchmelder besser. Brandüberwachung per Kamera ... das sind dann die, die ständig aufs Handy starren, weil es ja brennen könnte? Sorry das ist doch Nonsens.
Tja und wenn der Hund nervös wird ... mal ehrlich, dann den Hund mitnehmen oder keinen Hund zulegen und gut. Genau so strange wie Eltern, die das Kind dann den ganzen Tag neben dem Babyphone parken.

 

[1Up]

@1Up :
Möchtest du also sagen:
Wenn es hier jetzt AVM/Telekom Smarthome oder ähnlichen Anbieter getroffen hätte, wäre der Hersteller schuld?
Weil der weniger versierte Kunden als Zielgruppe hat ?

Bei Ubiquiti sind aber die User schuld weil sie zu dem Kreis der „Prosumer“ zählen?

Nein, dass das passiert ist, ist Müll und nicht zu entschuldigen. Mir ging es nur um deine Aussage, bezogen auf VPN und die Unterschiede in den Expertisen der verschiedenen Nutzergruppen.

 

[AlphaKaninchen]

Hatte mal Unifi, habe es aber wieder rausgeschmissen, für meine Verwendung und Sicherheitskonzept waren die Produkte ehr hinderlich... da es mich dann auch noch zu doppel NAT gezwungen hat weil DS-Lite nicht unterstützt wird, da sind mir OpenWRT und Opnsense bzw Open Source Allgemeinen deutlich lieber.

Ergänzung (15. Dezember 2023)

Und wie das dann mit Überwachungskameras lösen ?

Gerade eine Benachrichtigung zu bekommen WENN etwas passiert in der Abwesenheit ist doch mehr als sinnvoll.
Selbst hosten ?!!

Frigate z.B. kann das, lässt sich in Home Assistant intigrieren welches dann auch den Zugriff von außen handelt...

Ergänzung (15. Dezember 2023)

Jede IT-Lösung (egal ob eigen oder auch von einem Hersteller) hat potentiell Sicherheitslücken.

Richtig aber mein selbst gehostetes Hockt hinter der Firewall des Routers, der Cloud Service ist von überall erreichbar... Denn bei meinem selbst gehosteten sitzen Server und Client hinter der gleichen Firewall, es braucht also nichts offenes nach außen. Sicher man könnte auf die Idee kommen Ports zu öffnen und sich die gleichen Probleme einhandeln, Aber Dinge wie Home Assistant oder HomeKit gibt es inklusive gewartetem Remote Zugriff wie von dir gewünscht... (Und das ist auch definitiv die bessere Option als offene Ports)

Für Laien lieber eine supportete Drittanbieter-Lösung, wo sich jemand bei Fehlern drum kümmert als was noch unsichereres selbst gebasteltes.

 

[[n]ARC]

Ich habe ein ganzes Ubiquiti Stack an Netzwerk, nur keine Kameras... den remote Zugriff kann man einfach abschalten. Wer aber natürlich eine Piepshoow in die Cloud streamen möchte, dem ist anders nicht zu helfen. Bei aller Liebe zu Clouds, früher oder später, passiert exakt das... egal wie groß oder klein das Unternehmen ist, siehe Apple, Netatmo und noch viele andere. Ansonsten einfach ein VPN mit z.B. WireGuard implementieren, wenn man unbedingt auf seine Cams unterwegs gucken möchte.

Eigentlich sollten Leute, die diese Hardware im Einsatz haben, sich mit den Netzwerk/Cloud Themen etwas beschäftigen und entsprechend konfigurieren... aus dem Grund hat man sich das ja angeschafft und nutzt den AVM (oder X-Beliebiger B2C-Hersteller) Kram nimmer.

 

[AlphaKaninchen]

aus dem Grund hat man sich das ja angeschafft und nutzt den AVM (oder X-Beliebiger B2C-Hersteler) Kram nimmer.

Mit den Dream Maschines zielt UniFi aber schon sehr Stark auf AVM und Co, nur das intrigierte Modem fehlt noch.

Ergänzung (15. Dezember 2023)

Was ich bei solchen Sachen immer so bedenklich finde warum läuft das nicht wie bei SSH mit der Authentifizierung, also jeder User Account hat einen Privat Key der mit desen Passwort verschlüsselt ist, und seine Geräte bekommen den dazugehörigen Public Key, wenn man Local Verbunden ist, und danach ist dann eine Remote Verbindung möglich, dann wäre diese Art von Problem ausgeschlossen.

 

[[n]ARC]

Mit den Dream Maschines zielt UniFi aber schon sehr Stark auf AVM und Co, nur das intrigierte Modem fehlt noch.

Ja, Du hast Recht... natürlich möchte ein Unternehmen mehr Umsatz generieren und gestaltet die Produkte entsprechend in die Richtung. Es bietet eben aber auch Optionen an, wie man sich komplett abschotten könnte und happy ist. Nur weil default Einstellungen sofort funktionieren, heißt es ja nicht, dass es SOFORT sicher ist... man müsste sich halt etwas beschäftigen. ABER man hat die Möglichkeiten, im Gegensatz zu anderen Produkten anderer Hersteller. Einfach nur viel Geld zahlen und hoffen, das passt schon, ist halt auch nicht so der ganz richtige Ansatz

 

[tabaz]

Gottvertrauen in die Cloud. Das Problem ist das nicht Sensibilisieren der Laien, also der Masse. Schwierig das zu ändern. Die Hersteller verkaufen Features und Dinge die everage Joe sieht - Sicherheit und Langfristigkeit sind Fachthemen. Das Debattieren über Umsetzungen von Bastlern geht doch in die falsche Richtung. Vielleicht kommt irgendwann der Aufschrei auf genug breiter Fläche und "local only" wird ein populäres Feature. Was passiert eigentlich, wenn die Server der Hersteller weg sind? Viel Elektroschrott.

 

[MaverickM]

Smarthome schön und gut, aber wenn dann lokal gehostet und ohne Internetzugriff

Das ist bei Ubiquiti doch soweit ich weiß jederzeit möglich und einer der Hauptgründe für den Kram. Die Cloud-Alternative vom Hersteller ist da nur optional.

Trotzdem hätte das natürlich nicht passieren dürfen. Zumindest "beruhigend", dass es "nur" durch einen menschlichen Fehler passiert ist, und kein strukturelles Problem war.

 

[Termy]

Sicherheit und Langfristigkeit sind Fachthemen.

Findest du? Warum? Beim Auto fragt der Average Joe doch auch, wie sicher es ist. Oder wie lange seine Waschmaschine hält.
Das Problem ist einfach das fehlende Problembewusstsein der Laien/Massen. Die müssen auch nicht im Detail wissen, was schief gehen kann, sondern nur, dass Cloud zwangsweise ein potentielles Sicherheitsrisiko bedeutet.

 

[AlphaKaninchen]

@

sondern nur, dass Cloud zwangsweise ein potentielles Sicherheitsrisiko bedeutet.

Das hat jede andere Option aber auch, das sicherste für Sachen die man nur im Netzwerk braucht ist definiv diese zusammen mit den Clients hinter der Firewall zu haben (ohne offene Ports versteht sich), am besten dann auch Clients und Server von einander trennen.

Aber für Sachen die man nach außen öffnen möchte wird es schon schwieriger zu sagen was Sicherer ist, meine Tendenz wäre Wireguard VPN (welches dann auch nur oben auf den Server kann, also ein weiteres Seperates Netzsekment ist) wenn man sich auskennt und Cloud für Laien.

Ich persönlich habe nichts nach außen offen, und Suche wenn ich etwas unterwegs brauche lieber nach wegen dies ohne direkte Verbindung zu realisieren z.B. mein Laptop legt die Daten verschlüsselt in einen Objekt Speicher und der Server holt sie sich dort ab... Oder eben umgedreht wenn man z.B. das Video einer Kamera unterwegs sehen möchte. Bzw zwecks Datenrate wäre es sinnvoller nur die Frigate Events hochzuladen und dann einen AWS Serverless Service zu beauftragen dem Handy denn Push zu Senden

 

[Bale]

Als ob man mehr Gründe bräuchte, diese dauerschwafelnden ewig Vorgestrigen auf die Blockierliste zu setzen.

Das ist ja süß. Nicht, dass es auf X schon affig wäre dass sich jeder dort seine eigene bubble zusammenblockiert, man macht es jetzt auch noch in Techforen. Erstmal ist man nicht mehr dazu in der Lage, Dinge einfach zu überlesen. Man muss anhalten und blockieren. Aber natürlich nicht wortlos 😂

Und er mag es vielleicht verallgemeinert haben, behält aber allgemein auch recht. Nicht nur lesen wir nicht delten von solchen Problemen (die eigentlich immense Strafzahlungen nach sich ziehen sollten, aber von den Firmen immer wie kleine „upsies“ behandelt werden. Es zeigt sich wie einfach intern Zugriff erteilt werden kann. Ist ja nicht so, dass man als Betreiber zumindest gewollt sich selbst aussperren kann (ala Ende zu Ende verschlüsselt bei Messengern). Nein nein, da reicht ein einfacher Konfigurationsfehler um meine Geräte für dritte freizugeben. Welchen Zweck erfüllt die aus versehen getätigte Konfigurationsmöglichkeit denn sonst so? Denn die, deren Geräte einsehbar waren haben ja offenbar überhaupt nichts davon mitbekommen. Und das will ich doch immer: einfacher, nicht nachvollziehbarer Zugriff auf meine Geräte 😂

Also stell die Kritiker, die hier sehr viel Fakten auf ihrer Seite haben, nicht als ewig gestrige hin. Bleib beim blockieren und forme deine Welt in der dir keiner durch böse abweichende Meinungen wehtut, vielleicht demnächst ohne Kommentar.

 

[Chris3511]

Wie gut ist Ubiquiti eigentlich in dem Punkt Support und Updates? Kann man da langfristig mit Updates rechnen? Oder werden die Geräte nach ein paar Jahren wenn Nachfolgeprodukte kommen wieder fallen gelassen?

 

[washieiko]

Puhhh, kenne öffentliche Freibäder in denen die Cams eingesetzt werden für Eingänge und Spinte. Will garnicht drüber nachdenken wie problematisch das vermutlich von Rechtswegen her ist….

 

[Silencium]

Also es gibt ja die Möglichkeit alles lokal laufen zu lassen. Inkl. lokaler User, Gruppen etc.
Wer natürlich Cloud-Anbindung möchte muss davon ausgehen, dass die Daten potentiell weg sind. Gleiches Spiel wie bei Bankschließfächern. Natürlich habe ich zu Hause vermutlich kein so sicheres System wie die Bank, doch bin ich in der Regel zuhause mit meinen Besitztümern auch deutlich uninteressanter.
Ich würde Ubiquity Produkte empfehlen, genauso wie AVM und pfSense etc. solange sie richtig konfiguriert werden!
Leider werde ich ja nur allzuoft als paranoid und mit den Worte „Du machst Dir das Leben auch extra schwer.“ belächelt oder gar ausgelacht.
Ich denke ein Zentralschlüssel ist schön einfach in der Nutzung, aber wenn der einmal wegkommt - bitte nicht weinen kommen!

 

[AlphaKaninchen]

Wie gut ist Ubiquiti eigentlich in dem Punkt Support und Updates?

Meiner Erfahrung nach gut

Ergänzung (16. Dezember 2023)

Kann man da langfristig mit Updates rechnen?

Ja

Ergänzung (16. Dezember 2023)

Oder werden die Geräte nach ein paar Jahren wenn Nachfolgeprodukte kommen wieder fallen gelassen?

Die werden meist sogar noch verkauft wenn es die Nachfolger schon gibt.

 

[Whitehorse1979]

Solche Fehler können sich überall in Clouddiensten einschleichen. Daher lebe ich gänzlich ohne Clouddienste. Es können zudem noch deutlich üblere Sachen passieren als das fälschlicherweise Verbinden von Konten.