Botnet Warning / Wechselrichter / Speicher / PV Anlage / Inverter / Battery / Generator

  • Hallo Zusammen,


    der Titel spricht ja für sich, seit ich einen BYD LV Speicher habe ist mir aufgefallen, dass das Gerät unentwegt nach Hause telefoniert:


    Und zwar hier her:

    1. 115.29.186.234 Port 10.000 (Whois Peking)
    2. 47.88.8.200 Port 10.000 (Whois Alibaba.com)
    3. 61.164.36.105 Port 123 (SHANGHAI-JIAOTONG-UNIVERSITY)


    Mir geht das echt auf den Hammer das ungefragt Daten aus getauscht werden. Und es kommt noch besser, nach dem ich 2. zugemacht habe in der Firewall kam direkt ein Anruf von 1. direkt auf die BYD Box LV.


    Die haben echt einen Knall!!! Im 3 Sekunden Takt hämmern jetzt die Anfragen im Netz auf meinen Server ein, werde mal die Fritzboxen neu konekten mal sehen ob die mich dann immer noch finden.


    Warum ich das Thema Botnet Warnung genannt habe später mehr!


    Bei 3. will er die Uhrzeit haben, hier setze ich in der Firewall ein Route ein und leite den Traffic an einen deutschen Server weiter, dann kann die BYD Box sich dort die Uhrzeit holen.

  • Elektron

    Hat das Thema freigeschaltet
  • was macht die batterie nur in einer inselumgebung ohne inet... wohl die uhrzeit über den sonnenstand errechnen... :-?

    Die Natur kommt eines Tages auch wieder zurück. Es wäre schön wenn wir Menschen dann noch dabei wären.

    RTFM Sonne Tag und Nacht leben Klimafakten Schuko Klimawandel Zahllast Klimaschutzpaket IBN

    Nicht das was du nicht weißt bringt dich in Schwierigkeiten sondern das was du sicher zu wissen glaubst obwohl es gar nicht wahr ist. Mark Twain

  • Die Systeme 1+2 sind halt die Server von BYD in der Cloud.

    Zugriff kannst Du ja auch abdrehen. System kann auch ohne Internetzugang betrieben werden...

    Deine Solaredge-Daten gehen doch auch außer Haus..


    Stefan

    Nicht das Thema klein reden


    (alles folgende in Bezug auf IT-Sicherheit)

    • Wir reden hier über die Menschen die naiv sich einen BYD Speicher in den Keller stellen,
    • über die Solarteure die einen BYD Speicher ohne Batterie Sicherung aufbauen
    • über die SelbstBastler

    (was wäre wenn)

    • jemand gerade eine Wartung macht und über Wlan irgend wie irgend jemand einen Einschalt Befehl sendet?
    • oder die Werte im Wechselrichter verändert

    (BYD)

    In der BDA und den Sicherheitshinweisen von BYD ist zu lesen, das die Kommunikation verschlüsselt statt findet, das ist galt gelogen oder von Menschen geschrieben die blind Aussagen anderer vertrauen !

    Selbst die Uhrzeit über einen externen Zeitserver einlesen birgt seit Jahren schon gravierende Sicherheitsprobleme.

    Mit EFT Deutschland habe ich noch keinen Kontakt aufgenommen, werde es aber die Tage tun. Wie auch eine Warnung an das BSI Abteilung Cyber-Sicherheit.

    ____________________________________________


    (SMA)

    • Sunny Island

    In einem Telefonat mit dem Sicherheitschef von SMA wurde mir erklärt das die Geräte von SMA nicht nach Hause telefonieren ohne das zu tun des Betreibers, das ist glatt gelogen oder naive und ohne Ahnung daher geredet!

    Wie auch das die Kommunikation verschlüsselt statt findet!

    • SMA Home Manager 2.0

    Der telefoniert im Sekundentakt nach Hause ohne mein zu tun, alsbald die obere Leuchte grün blinkt hat der HM die Verbindung zu Mami aufgebaut, unterbindet man diese blinkt die obere Diode ohne Unterbrechung nach Hause das lokale System funktioniert trotzdem reibungslos.


    Das Gerät baut unverschlüsselte Verbindungen nach draußen auf ohne eine Verschlüsselte Verbindung!

    ____________________________________________


    Warum habe ich SMA informiert? Weil ich wie bereits erwähnt massive Sicherheitslücken festgestellt habe in deren Frontend und wir reden hier von "Remote Execution Exploits" Ich habe SMA eine Frist von 4 Wochen gesetzt die Mängel zu beheben, wenn es kein Update gibt werde ich an exponiert(en)(r) Stelle(n) diese Lücken veröffentlichen (nicht hier!)

    Man möchte von mir alle Infos kostenlos haben, das mache ich definitiv nicht das ist unser tägliches Geschäft, bekomme ich etwas kostenlos von SMA?

  • Keine Ahnung, vielleicht verhält sich Dein LV-Speicher etwas anders als mein HV-Speicher.

    Ich habe jetzt mal ca. 15 Minuten mitgesniffert und konnte die Verbindungen nicht nachvollziehen...

    Bei mir sind es "nur" ausgehende Verbindungen zu der IP 202.103.149.213 / bboxhserver.byd.com.cn (auch ein System in China) auf Port 1021. Diese Verbindung wird jedoch vom Server dort abgelehnt mit einem RST-Paket....


    Insofern kann ich weder bestätigen noch verneinen, bzgl. verschlüsselter Verbindung.

    Auch NTP kann ich keine Verbindungen sehen.


    Stefan

  • Ich habe vor mein PV-System in eigenes Subnetz hinter einen Ubiquiti EdgeRouter X (mit integrierter frei konfigurierbarer Firewall) zu setzen um genau so etwas unterbinden zu können. Wäre das deiner Ansicht nach ein gangbarer Weg, oder welche technische Lösung würdest du empfehlen?

    Seit 24.10.2019:
    6,93 kWp, 21 x Winaico WSP-330PMX, DN 35°, Süd (-15°)

    Kostal Plenticore+ 5.5 mit BYD Battery-Box 6.4H

  • Und zum Thema SHM und unverschlüsselte Verbindung:

    Es geht zwar als HTTP-Verbindung raus, sind aber verschlüsselte und signierte Daten....


    Stefan

    Falsch wie du oben lesen kannst auf Port 443 und der ist SSL Verschlüsselt, umso schlimmer, das heißt im Umkehrschluss das der SHM nicht valide Verbindungen aufbauen kann quasi -k und das geht garnicht!


    Für mich sind da bastel Kikis am Werk, Empfehlungen für SMA werde ich hier nicht posten, nur was garnicht geht.

    Weil mir das alles so suspekt ist werde ich bis zur Vollständigen Behebung aller Lücken auch niemanden raten die Online Platform zu nutzen. Punkt.


    Wenn SMA möchte können diese gerne einen allumfassenden Bericht über alle Schwächen haben aber nicht für umsonst, das ist halt mein täglich Brot. Wie du evtl. Autos reparierst und Geld dafür nehmen musst um dein Brot zu kaufen.


    Angeboten habe ich SMA ja schon aber die möchten kein Geld dafür ausgeben und wollen den Bericht kostenlos haben.

    Gerne kann ich per PM die Mail von SMA senden, klar Name des Verantwortlichen geschwärzt!!!

  • Ich habe vor mein PV-System in eigenes Subnetz hinter einen Ubiquiti EdgeRouter X (mit integrierter frei konfigurierbarer Firewall) zu setzen um genau so etwas unterbinden zu können. Wäre das deiner Ansicht nach ein gangbarer Weg, oder welche technische Lösung würdest du empfehlen?

    Denke mal nach:

    So sieht deine Verbindung aus:


    Mein Gerät -> Firewall -> Firewall -> VPN -> Firewall -> Internet -> Ziel

    Damit eine Verbindung stattfinden kann wird immer auch ein Rückweg vorhanden sein, dein Gerät sendet ja nicht nur, was

    wünschenswert wäre wenn du das nicht explizit wünschst.


    Also ist es egal ob du 1 Firewall oder 1000 hast. Man müsste schon ein System haben was bei Ankunft der Daten diese Prüfen kann um dann an dein Gerät zu geben.


    Genau so ein System / Mechanismus habe vor 4 Jahren schon entwickelt in C für Bitcoin Maschinen da geht es zwar nicht um: "Mein Haus brennt ab und mein Hund ist jetzt tot" aber um sehr viel Geld was gestohlen werden kann. Und ja, das gibt es auch nicht kostenlos!

  • Genau das war bei Antbleed passiert, hier wurde ein noch inaktiver Server angesprochen, der wenn er wollte ausführen konnte was er will, der Hersteller Bitmain(cn) reagierte mit dem Diebstahl meiner Software unter Missachtung der Lizenz, bis heute selbst mein Copyright haben die Jungs anfangs rausgelöscht (erledigt).


    Alle CN Produkte haben meiner Ansicht nach eine Backdoor und das auf Anordnung von ganz oben, anders kann ich mir nicht erklären, warum fast alle Geräte über die ein und selbe Schwäche verfügen.


    Ich stelle mir hier immer und immer wieder vor wenn jemand tatsächlich einen CN Speicher mit Internetzugang und einer ohne Batteriesicherung betriebenen Anlage wartet oder montiert und das Gerät plötzlich von selbst sich einschaltet.


    Hier hat SMA schon recht, BatFuse muss sein!!!