OpenWB Cyber Sicherheit - openWB Cloud Backdoor?!?

[remo]

Ich analysiere zur Zeit die Sicherheit der OpenWB Dabei ist mir aufgefallen, dass es bei einer aktiven Cloud Registration von Seiten der Betreiber möglich ist jederzeit einen SSH Tunnel zu initiieren, ohne dass dazu der Benutzer seine Einwilligung geben muss. Ich für meinen Teil nutze die OpenWb Cloud nicht, da ich sie als wesentlich unsicherer als einen VPN Tunnel auf das Heimnetzwerk erachte. Aber ich möchte trotzdem alle anderen darauf hinweisen dass derzeit eine Backdoor über die OpenWB Cloud existiert. Aus selbigem Grund hat das schliessen dieser Lücke für mich persönlich eine tiefe Priorität.

Es wäre schön ein Statement zu bekommen, warum es überhaupt eine Backdoor gibt. Remote support und updates sollte nach meiner Meinung ausschliesslich vom Benutzer initiiert werden können aber nicht vom Hersteller.

Details:
Die could Registration öffnet einen bidirektionalen MQTT Tunnel auf welchem der Cloud Server jederzeit das Topic "openWB/set/system/GetRemoteSupport" an die OpenWB senden kann. Dieses Command öffnet eine SSH Verbindung auf "remotesupport.openwb.de" öffnet einen reverse Tunnel von Port 2223 auf den lokalen Port 22. Über diesen Tunnel ist es möglich von "remotesupport.openwb.de" aus eine SSH session auf eine OpenWb zu starten. Auf ähnlicher Weise kann man von der Cloud aus die OpenWB ohne Einwilligung des Benutzers auf einen beliebige Version updaten.

Ich rate daher jedem sich vor der Cloud Nutzung gut zu überlegen ob ihr dem Hersteller der OpenWB genügend traut keinen Missbrauch damit zu betreiben jederzeit Zugriff auf einen Computer mit Root Rechten in euerem Netzwerk zu haben und vor allem auch, dass sie die notwendigen Fähigkeiten haben die Cloud Server genügend sicher zu betreiben, so dass sich kein Angreifer darüber in euer Netzwerk hackt.

Ich finde es selber bedenklich, dass für den Cloud Zugriff mehr Topics freigegeben werden als für deren Betrieb notwendig ist. Ist hierzu eine Änderung vorgesehen?

Zudem möchte ich darauf hinweisen, dass es abgesehen von der Cloud immer noch die eine oder andere weitere Lücke gibt mit welcher man Zugriff auf die OpenWb bekommen kann. Ich bin derzeit daran Patches zur Verfügung zu stellen und hoffe, dass diese zeitnah von Seite OpenWb akzeptiert werden und ein neuer Release damit erstellt wird. Genaue Details möchte ich hierzu noch nicht veröffentlichen, damit diese Lücken nicht so leicht ausgenutzt werden können.

[openWB]

Ich analysiere zur Zeit die Sicherheit der OpenWB Dabei ist mir aufgefallen, dass es bei einer aktiven Cloud Registration von Seiten der Betreiber möglich ist jederzeit einen SSH Tunnel zu initiieren, ohne dass dazu der Benutzer seine Einwilligung geben muss. Ich für meinen Teil nutze die OpenWb Cloud nicht, da ich sie als wesentlich unsicherer als einen VPN Tunnel auf das Heimnetzwerk erachte. Aber ich möchte trotzdem alle anderen darauf hinweisen dass derzeit eine Backdoor über die OpenWB Cloud existiert. Aus selbigem Grund hat das schliessen dieser Lücke für mich persönlich eine tiefe Priorität.

Backdoor ist hier wohl der falsche Begriff. ( siehe https://de.wikipedia.org/wiki/Backdoor )

Auszug aus den Datenschutzbestimmungen im openWB Interface:

Remote Support, Wartung, Diagnose und Updates - Zugriff auf openWB Produkte im Netzwerk des Kunden durch uns
openWB behält sich im Einzelfall für Supportleistungen im Auftrag und auf Anforderung des Kunden vor, auf openWB Produkte im Netzwerk des Kunden remote per Fernwartung zuzugreifen.
Als Teil der vorliegenden Bedingungen aktzeptieren Sie, dass openWB System-, Netzwerkdiagnose- und Wartungstools verwendet, um die Durchführung von Remote-Support- und Wartung für unsere Produkte zu erleichtern.
Darüber hinaus erlauben Sie openWB, Support-Tools und Remote-Support nach eigenem Ermessen für die Remote-Installation von Software und Konfigurationspatches, Updates und Upgrades für Ihr Produkt zu verwenden. openWB kann auch die Support-Tools und den Remote-Support verwenden, um Informationen über die Leistung Ihres Produkts an openWB zu übermitteln.

Es wäre schön ein Statement zu bekommen, warum es überhaupt eine Backdoor gibt.

In meinen Augen ist das keine Backdoor. Stimmt ein Nutzer den Datenschutzbestimmungen nicht zu wird daraus folgend die Cloud Anbindung gelöscht. Ein Zugriff ist somit unmöglich (Remote Support auch).

Remote support und updates sollte nach meiner Meinung ausschliesslich vom Benutzer initiiert werden können aber nicht vom Hersteller.

Das war Eingangs tatsächlich mal so. Hat sich aber nicht als praktikabel erwiesen. Schlussfolgerung war das Solateure zum Kunden gefahren sind um ein Token für den Remote Support einzugeben. Das ist weder für den Kunden, noch für den Solateur und auch nicht für uns zufriedenstellend.

Die could Registration öffnet einen bidirektionalen MQTT Tunnel auf welchem der Cloud Server jederzeit das Topic "openWB/set/system/GetRemoteSupport" an die OpenWB senden kann. Dieses Command öffnet eine SSH Verbindung auf "remotesupport.openwb.de" öffnet einen reverse Tunnel von Port 2223 auf den lokalen Port 22. Über diesen Tunnel ist es möglich von "remotesupport.openwb.de" aus eine SSH session auf eine OpenWb zu starten. Auf ähnlicher Weise kann man von der Cloud aus die OpenWB ohne Einwilligung des Benutzers auf einen beliebige Version updaten.

Das geht nur wenn der Nutzer die Datenschutzbestimmungen (Auszug s.o.) akzeptiert hat. Hat er hier nein gewählt wird die Cloud gelöscht und ein Zugriff ist nicht möglich. Eine Backdoor wäre es nur wenn wir dann immer noch zugreifen können. Das geht dann aber schlicht nicht mehr.

Ich rate daher jedem sich vor der Cloud Nutzung gut zu überlegen ob ihr dem Hersteller der OpenWB genügend traut keinen Missbrauch damit zu betreiben jederzeit Zugriff auf einen Computer mit Root Rechten in euerem Netzwerk zu haben und vor allem auch, dass sie die notwendigen Fähigkeiten haben die Cloud Server genügend sicher zu betreiben, so dass sich kein Angreifer darüber in euer Netzwerk hackt.

Das steht jedem Nutzer natürlich frei. Wir informieren darüber. Produkte von der Konkurrenz lassen sich ohne abgenickte Datenschutzbestimmung garnicht betreiben. Über echte Backdoors reden wir da mal lieber nicht.

Die openWB kann immer komplett autark betrieben werden. Die Cloud ist ein optionales Features.

Ich finde es selber bedenklich, dass für den Cloud Zugriff mehr Topics freigegeben werden als für deren Betrieb notwendig ist. Ist hierzu eine Änderung vorgesehen?

Von welchen Topics ist hier die Rede?

[remo]

Es handelt sich um eine Backdoor, nicht auf die OpenWb, aber auf des Lokale Netzwerk. Und dem sollten sich alle klar sein. Zugriff auf die OpenWb ist fü viele sicher kein Problem. Aber ob sie das beim Zugriff auf das lokale Netzwerk auch so sehen???

Die Datenschutzrichtlinien weisen nirgends darauf hin, dass ihr mit dem Remotezugriff auch technisch in der Lage seid aus sämtliche anderen Dinge wie Computer, NAS, IoT devices, etc. die sich im Kundennetzwerk befinden zuzugreifen, sollten diese nicht genügend abgesichert sein. Meiner Erfahrung nach haben etliche IoT Devices Lücken.

Ausserdem gibt es verschiedene Bedürfnisse. Die meisten wollen die OpenWB Cloud sicher schlicht nur um Remote auf ihre OpenWB zuzugreifen. Aber auf keinen Fall dadurch den Zugriff auf ihr Lokales Netzwerk aufzumachen. Euch zu vertrauen ist das eine, dass ihr aber nicht selber gehackt werdet und damit der Zugriff auf andere auf das Netzwerke offen steht ist nochmals eine ganz andere Sache. Oder kommt ihr für den Schaden auf sollte ein Angreifer auf diesem Wege in ein Netzwerk gelangen?

Dass es auch anders geht zeigen andere Remote Access Tools. Wenn ein Token einzugeben zu kompliziert macht es einfach anders. z.B. Remote Access ist standardmassig ausgeschaltet und es gibt ein Setting um es ein und auszuschalten. Remote Zugriff ohne explizite Zustimmung zu jeder Zeit ist einfach nur bedenklich.

Aber wie gesagt mir ist es egal. Lasst es einfach so wie es ist und bleibt ein eher schlecht geschütztes IoT Device mit vielen Lücken. Ich brauche die Cloud nicht und habe daher keine Probleme damit. Zudem läuft sie in einem dedizierten Subnet ohne Zugriff auf andere Geräte und sehr beschränkten Outbound Filtern. Ich möchte nur, dass allen klar ist auf was sie sich hier einlassen. Und das ist nicht schlicht nur Remote Zugriff auf die OpenWB. Das ist wesentlich mehr was damit gemacht werden kann.

[derNeueDet]

Ich sehe das Risiko nicht explizit größer als bei jeder anderen Wallbox, WR, WP oder selbst Smartmeter, die über eine Cloud oder App ansprechbar sind.
Bei openWB kann ich das abschalten, da die Funktion nicht von der openWB Cloud abhängt.
Bei anderen Cloud basierten Geräten habe ich gar keine Wahl, etwas abzuschalten. Im Grunde genommen bleibt mir nich viel anderes übrig, als diese Geräte alle in ein eigenes Subnetz zu packen und nur die Kommunikation unter genau diesen Geräten zuzulassen, wenn ich hier mein Hausnetz von den Geräten abschirmen will. Da beginnt dann aber auch das, was sich auch nicht mehr jeder zutraut und auch zusätzliche Investitionen in entsprechende Netzwerkkomponenten bedarf.
Keine Frage, Sicherheit darf man nicht vernachlässigen, von daher einfach die Cloud Config abschalten, die openWB wird weiter funktionieren.

VG
Det

[mrinas]

Danke für den Hinweis, erhöhte Sicherheit ist immer gut, bin mir sicher dass entsprechende PRs gerne angenommen werden - genau darum ist das ja ein öffentlichen Repo.

Für mich ist diese Verhalten hinsichtlich des RemoteSupport vollkommen okay so. Insbesondere da ich openWB cloud ja manuell aktivieren und den Bestimmungen explizit zustimmen muss. Für mich ist das keine Backdoor sondern eine optionale Funktion welche ich separat aktivieren kann.

Eigentlich wollte ich hier jetzt noch etwas zum Thema Netzwerksicherheit, Perimeterschutz (und Alternativen hierzu) schreiben, aber das hat hier nichts verloren da es nichts mehr mit der openWB zu tun hat.