ich bin kürzlich auf Home Assistant und Zigbee gestoßen. Damit lässt sich anscheinend ziemlich viel ziemlich einfach Automatisieren und steuern.
Nun habe ich mir ein paar Teile bestellt um das ganze auszuprobieren.
Homeassistant läuft auf einem Raspi5, ein Sonoff ZB-Dongle-E, ein paar weitere Sonoff Sensoren und eine Ledvance Steckdose.
Als sich dann nach der Inbetriebnahme die Ledvance Steckdose mit einer neuen Software versorgt hat und die Sonoff Teile nicht, da kam mir plötzlich die Frage nach der Sicherheit…
Wie sieht es da mit Zigbee aus? Ist das grundsätzlich Sicher?
Muss man bei Chinesen wie Sonoff grundsätzlich mit Backdoors rechnen?
Und liefern die Sicherheitsupdates?
Was ist eure Meinung dazu?
Wie macht ihr das?
Sonoff ist ja weit billiger als andere Zigbee Anbieter.
Zigbee hat genau den Vorteil gegenüber Hardware mit WLAN Anbindung, dass es keine Backdoor geben kann, weil es über eine Funktechnologie direkt mit dem Coordinator kommuniziert und keinen Zugriff auf das Internet hat.
Kommt drauf an, ob du Z2M oder ZHA nutzt. Z2M siehe Link
Ich nutze ZHA und dabei wird für jede Installation ein eigener Key generiert und neue Devices kannst du nur über den Schalter neu Devices hinzufügen adden, es wird also nicht per default gesucht.
Ob ZHA oder Z2M ist ein bisschen eine Religion…
Ich habe viele Tasmota und Zigbee Devices, Zigbee ist eine kluger und sparsamer Standard,vor allem für Batterie Devices. Alle Tasmotas sind bei mir direkt am Netz.
Tasmota kann man auch selbst flashen, hab ich auch schon gemacht über ein FTL Stick, ist aber fummlig und wenn der Chip ein anderer ist funktioniert es nicht.
Ich steh auf zigbee, einfach pairen und benutzen.
Zigbee ist ein Netzwerk für ganz kleine Datenmengen, deswege dauern firmware updates auch so lange. Wenn dir darüber wirklich jemand Schadcode unterschieben will, dauert das ewig, daher in meinen Augen kein realistisches Szenario.
Außerdem siehst du den Internet Trafik auf deinem Host, bzw DNS.
Ja genau.
Standardmäßig ist dann das Hinzufügen deaktiviert.
Man kann es in der Z2M GUI manuell aktivieren und wird dann automatisch nach 5min wieder deaktiviert.
Ja mit folgender Config wird beim nächsten Start ein neuer zufälliger Schlüssel erzeugt, damit kein anderer in dein Zigbee Netz einbrechen kann.
advanced:
network_key: GENERATE
Zusatzinfo: Release 1.33.0 and later will generate a random encryption key on startup.
Wie finde ich das heraus?
Bei den Sensoren die ich nutze habe ich immer erste in HomeAssistant „Hinzufügen“ geklickt, dann hat es nach Sensoren gesucht und dann habe ich an dem Sensor den paring Key gedrückt und dann war der Sensor verbunden.
OH!
Ich dachte jetzt nach dem vorherigen Post, Zigbee und Internet sind getrennt und vom Internet kommt auf den Zigbee Sensor nur etwas wenn ich in HomeAssistant auf „Update“ klicke?
du siehts in den Einstellungen unter Geräte, da ist die Integration aufgelsitet unter der deine Geräte angebunden sind.
Das mit dem Internet zugriff meine ich anders. Zigbee und Internet ist getrennt.
Wenn also dein Zigbee Gerät Internet braucht, z.b. für ein Firmware Update, dann teilt das deine Integration dem Home Assistant Host mit, in deinem Falle dem Raspi, der läd dann die Firmware aus dem Netz.
Bei Firmware updates bin ich auch vorsichtig, da gibt es wohl auch immer wieder devices bricks.
Das jetzt jemand dein Zigbee Netzwerk angreift würde ich als unwahrscheinlich ansehen, erstmal was soll er dann damit machen? Könnte meine Heizung aus oder anschalten ok, nervig aber richtig schaden kann es nicht.
Greift er dein Wlan an, hat er evtl Zugangsdaten für die Bank …
Einfach eine Frage von Aufwand und Nutzen, da gibt es wohl einfachere und Lohnenswertere Ziele
ja, das sehe ich auch so, der Schaden, der durch ein kompromitiertes Zigbee Netzwertk entsteht ist vermutlich gering, es sei denn man würde so etwas wie die Haustüre oder den Zugang zu etwas damit steuern, das ginge ja theoretisch auch.
In meinem Fall ist es allerdings (bisher) ein reines Sensornetzwerk. Steuern tue ich (demnächst) nur die Weihnachtsbeleuchtung.
Mir war vor dem Thema nur nicht klar, ob man über das Zigbee Netzwerk nicht auch den Rest vom Netzwerk kompromittieren könnte.
„Das macht ZigBee nicht unsicherer als andere funkbasierte Systeme. Regelmäßige Updates und Upgrades helfen, das System auf dem höchstmöglichen Sicherheitsniveau zu halten und Sicherheitslücken auszubessern.
Dazu verschafft es eine höhere Sicherheit, wenn du die IoT-Geräte in dein eigenes, vom Heimnetzwerk getrenntes Netzwerk integrierest.“
Das suggeriert mir als Laiin, das es wohl doch eine Möglichkeit gibt das Zigbee Gateway zu übernehmen um dann ins Netzwerk einzudringen.
Oder ist das eher so zu verstehen, dass „falls es eine Lücke geben sollte, was wir uns nicht vorstellen können, dann wäre das eine weitere Absicherung“
Jetzt habe ich nochmal über die Sache geschlafen und folgende Frage:
Nun taucht eine Sicherheitslücke in dem Sonoff Sensor vor der Türe auf.
Der Angreifer steht vor der Tür und kann die Sensoren im Haus sehen und auch Verbindung zu ihnen aufnehmen. Ist es dann möglich, dass er über den kompromittierten Bewegungssensor, der eigentlich nur das Licht steuert, die Türe zu öffnen?
so wie ich die Sache sehe, müsstest du dich trotzdem im HA einloggen, da Nachrichten im Zigbee Netzwerk über den Coordinator gesendet werden und du nur durch HA direkten Zugriff darauf erhältst
ob man direkt nachrichten an ein Device senden kann, müsste man im Standard nachlesen, dass weiß ich nicht genau
Das heißt im Normalfall läuft jeder Befehl über das Gateway (in dem Fall Home Assistant)?
Das würde bedeuten, dass der Angreifer über den kompromittierten Sensor vor der Türe nur Bewegungsmeldungen an HA faken könnte oder diese Auslesen könnte?
und ob es jetzt nicht doch möglich ist, dass Geräte direkt kommunizieren, müsste ich im Zigbee Standard nachlesen, den ich vermutlich irgendwo hier finde: https://csa-iot.org/
Das ist eine Anspielung auf die alternative und freie Firmware Tasmota, die auf Geräte mit ESP8266-Chip geflasht werden kann. Sie war wohl zuerst für Sonoff-Geräte verfügbar, ist aber jetzt auch für eine grosse Anzahl anderer Geräte verfügbar.
Es gibt auch Händler, die bereits modifizierte Geräte anbieten bzw. das Flashen übernehmen, daher die Andeutung.
Nachtrag: Dazu gibt es einen Haufen Anleitungen im Netz.
WOW! Das ist ja optimal, dann hat man günstige Hardware + sichere Software…
oder gibt es da noch einen Nachteil (abgesehen davon, dass man die Firmware nachträglich aufspielen muss) ?
Von Tasmota werden ja unglaublich viele Geräte unterstützt. https://templates.blakadder.com/eu.html
Die Aktuellen Zigbee Thermo-Hygrometer sind allerdings nicht dabei, oder gbit es da noch weitere Listen?
Ich habe die Folien mal überflogen und kann sagen: Zigbee ist durchaus angreifbar.
Aber ebenso ist WPA2 angreifbar und mit WPA3 gibt es einen Nachfolger. Trotzdem können viele (die meisten?) WiFI-Steckdosen nur WPA2. Machst du dir darüber Sorgen? (Und wenn ich mir das WLAN-Netz in meiner Umgebung ansehe, haben die wenigsten WPA3 im Router aktiviert. Falls das bei Leihroutern überhaupt möglich ist und es irgend jemanden interessiert.)
Du musst dich doch auch fragen, was das Angriffsszenario ist.
Ich behaupte mal: Die Wahrscheinlichkeit, dass jemand mit einem 433 MHz-Sender aus dem Baumarkt durch die Gegend läuft und irgendwas zu schalten versucht, ist höher als ein Angriffsversuch über Zigbee.
Mach deine Geräte so sicher wie dir möglich ist und lass dich nicht verrückt machen.
Dazu fällt mir i.M. nur ein, dass eventuell die Unterstützung von Geräten bei einem Nachkauf nicht mehr gegeben ist, wie man bei manchen Geräten auf der Tasmotaseite sieht. Ich weiss auch von mindestens einer OBI-Steckdose, dass bei einer neuen Serie ein anderer Chip eingesetzt wird und Tasmota nicht mehr einsetzbar ist.
Dazu müsstest du genauer sagen, welches Hygrometer du meinst.
Eine Suche im Netz nach Zigbee Hygrometer listet mir z.B. das SONOFF SNZB-02D und eine Suche nach SNZB-02D Hack gibt verschiedene Seiten zu alternativer Firmware und Homeassistant aus.
Aber es gibt auch andere Hersteller. Musst einfach mal suchen.
Nicht alle Varianten. WPA2-PSK (AES) gilt beispielsweise noch als sicher. Viele Consumer-Geräte, die WPA2 ohne weitere Details anzeigen, verwenden diese Variante.
WOW! Das ist ja optimal, dann hat man günstige Hardware + sichere Software…