AEG slimme solar omvormers - geen beveiliging - Privacy en beveiliging

vrijdag 24 mei 2019 12:28

Acties:

+7 Henk 'm!

Ad-Blokker

Topicstarter

Mede-auteur:

MrYoranimo

VEROUDERD, verwacht binnenkort een update!

Beste mede tweakers,

Na maanden te hebben gewacht wil ik dit toch op een bepaalde manier publiceren.

Achtergrond verhaal:
Een tijdje geleden zijn bij ons zonnepanelen en een omvormer geplaatst van AEG. Deze omvormer heeft ook Wi-Fi en kan op het netwerk aangesloten worden. Ik als ICT'er vond het natuurlijk erg interessant om te kijken hoe dat dan beveiligd is.Nou blijkt het kort samengevat op geen enkel punt beveiligd te zijn. Hierdoor heb ik gekozen om alles eerst tot de bodem uit te zoeken voordat ik zoiets aan mijn thuisnetwerk hang.

Hoe verder ik me hierin verdiepte hoe erger het werd. Ik heb dit allemaal samengevoegd in een document en ik heb eerst de Solar afdeling van AEG zelf geconfronteerd met deze ernstige feiten. (https://www.aeg-industrialsolar.de) Mijn contactpersoon daar was eerst erg geschrokken en blijkbaar wist deze persoon heel goed dat het niet helemaal goed is wat ze nu hebben. Ze hadden me toegezegd om alles op te lossen en met te betrekken bij de voortgang. Nou je kan het al raden ik moet er steeds achteraan om de vragen wat de status is. We zijn nu een aantal maanden verder en ik heb nog geen enkele voortgang gezien. Tot nu toe lopen alle klanten met zo'n omvormer een hoog risico.

Hierna heb ik de installateur hiermee geconfronteerd. Deze waren erg geschrokken en wilde hier gelijk werk van maken. Deze hebben het bij AEG aangekaart vanuit hun positie. Meer kunnen ze ook niet doen.

Als laatste heb ik nog contact opgenomen met de Autoriteit Persoonsgegevens. Deze hebben mij zaak al een heel tijd in behandeling maar daar hoor je ook niks meer van.

Wat is er nou samengevat aan de hand?

AEG plakt zijn naam op omvormers van INVT Solar, een Chinese fabrikant van dit soort producten
De software is minimaal aangepast. Alle data die de omvormer verstuurd en jij via de portal ophaalt worden verzonden en opgeslagen op een server van INVT Solar waar AEG geen controle over heeft
De inlogpagina is niet met HTTPS/SSL beveiligd!
De gebruikers van AEG worden in dezelfde database opgeslagen als de gebruikers van INVT en anderen
De firewall staat wijd open en daardoor zijn de poorten van de ssh en mysql server te bereiken vanaf elke locatie en met wat bruteforce of rainbow table, etc kan je proberen in te loggen
De versies van mysql en ssh die gebruikt worden zijn zwaar verouderd
Om gebruikers aan te maken wordt geen bot protection toegepast. Hierdoor kan de database gevuld en ge-overflowed worden met nepaccounts
Er zijn bepaalde exploits voor deze mysql versie waardoor je de hele database kan laten crashen/corrupten
Beloftes worden niet nagekomen
Routering vanaf KPN naar de webportal loopt dood door een dubbele AS announcement fout. Dit zorgt ervoor dat klanten op het KPN netwerk de portal niet eens kunnen bereiken Inmiddels heeft KPN/Eurorings de routering aangepast waardoor hij wel doorloopt
En nog veel meer dingen, zie rapport

Het volledige document
Ben je nieuwsgierig geworden naar het volledige rapport en wil je dat lezen? Dat kan:
https://1drv.ms/b/s!AvV27RejhFMUh4sg4zQK2dccRRBX7g

Reacties en meepraten wordt erg op prijs gesteld. Ik ben erg benieuwd wat jullie hiervan vinden en wat ik mogelijk als vervolgstappen moet doen. Ik ga niet eindeloos blijven wachten op een oplossing.

Bedankt voor het lezen! $_/-\o_$

[ Voor 3% gewijzigd door Ad-Blokker op 07-11-2019 12:26 . Reden: zinsverloop eerste zin, link aeg solar correctie, extra toevoeging bij de routering KPN ]

vrijdag 24 mei 2019 12:44

Acties:

+1 Henk 'm!

Tamunave

Als iemand die ook professioneel met IT security bezig is en net gebouwd heeft zie ik dit ook bij andere merken en verschiet ik er niet van.

Veel van die dingen moeten opeens aan het netwerk hangen en/of via een app kunnen bestuurd worden.
Vaak wil de fabrikant (die totaal niks met IT hebben) niet de nodige partners of mensen aantrekken om dit te verzorgen. Want dit kost geld en er is geen return, je moet gewoon mee met de markt

M'n omvormer heb ik in een VLAN steken die niet aan het internet kan en aangezien ik via een XML alle gegevens kan uitlezen heb ik dit verkeer niet echt liggen sniffen, maar ik durf er geld op zetten dat ik in grote lijnen met hetzelfde resultaat kom

-> niet van AEG trouwens.

Maar in m'n zoektocht om data van m'n waterverzachter in InfluxDB te krijgen heb ik een nog iets groter horror verhaal...
De waterverzachter (Duits merk) stuurt in plain http data naar 1 duitse en 2 poolse servers. Met een simpel commando vraagt het portaal dan info van m'n toestel. Niet echt op liggen zoeken (wou data en niet poken) denk ik dat db overflow kinderspel is.
Nuja ik klaag even niet, want ik heb de data die ik wil (ik laat m'n firewall via DNS het verkeer naar er interne server routeren die dan de waardes in Influx pompt). Maar eigenlijk Anno 2019 is dit not done.

Nu weet ik dat een ander toestel dat bij me thuis staat (zeg bewust geen merk, want de fabrikant is op de hoogte van dit probleem) gewoon doodleuk een reverse tunnel maakt naar het portaal van de fabrikant. Want ja... debugging

Grote problematiek die niet alleen met omvormers van Chinese makelij is, want ja van die gozers verwacht je een beetje dat ze er geen ruk om geven

Of is dat iets te kort door de bocht?

vrijdag 24 mei 2019 12:52

Acties:

+2 Henk 'm!

Yucon

*broem*

Tamunave schreef op vrijdag 24 mei 2019 @ 12:44:
Vaak wil de fabrikant (die totaal niks met IT hebbent) niet de nodige partners of mensen aantrekken om dit te verzorgen. Want dit kost geld en er is geen return, je moet gewoon mee met de markt

Dit zit nog een laagje dieper. Men is als digibeet al snel in de veronderstelling het goed aangepakt hebben omdat men denkt een goede partij gevonden te hebben die het allemaal oplost. Helaas zijn de ppt's vaak fraaier door de werkelijkheid. Wat faalt is een inhoudelijke review op de oplossing.

vrijdag 24 mei 2019 12:56

Acties:

+2 Henk 'm!

Tamunave

Sorry als ik hier tegen een heilig huisje trap, maar daarom haat ik verkopers als techneut, die mannen lullen maar wat en weten vaak niet wat ze aan het verkondigen zijn. Maar Jan met de pet slikt dat als zoete koek

vrijdag 24 mei 2019 13:22

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Yucon schreef op vrijdag 24 mei 2019 @ 12:52:
[...]

Dit zit nog een laagje dieper. Men is als digibeet al snel in de veronderstelling het goed aangepakt hebben omdat men denkt een goede partij gevonden te hebben die het allemaal oplost. Helaas zijn de ppt's vaak fraaier door de werkelijkheid. Wat faalt is een inhoudelijke review op de oplossing.

Dit is precies wat ik ook aanstip in mijn document. Mensen zien AEG en denken oh AEG een kwalitatief hoogstaand duits merk dat moet wel goed zitten. En zo zijn een heleboel mensen in de foute onderstelling dat alles goed is. Maar kan je ze dit kwalijk nemen? Nee natuurlijk niet, niet iedereen heeft verstand van ICT security. Ik vind het heel kwalijk dat deze mensen nu enorm gevaar kunnen lopen door het toedoen van AEG.

Een mooi voorbeeld van zoiets is wat ik dan bijvoorbeeld op een website voor het vergelijken van zonnepanelen tegenkom:

Afbeeldingslocatie: https://i.imgur.com/vKXwHn0.png

sidenote: AEG Support Nederland verwijst voor mijn vragen alleen maar door naar AEG Solar Duitsland. Dus daar heb ik ook niks aan.
Ook heb ik veel informatie weggelaten in de forum post omdat het anders te lang zou worden. Alles staat in het document benoemd

vrijdag 24 mei 2019 13:32

Acties:

+1 Henk 'm!

NiGeLaToR

Interessant, goed ook dat je je bevindingen netjes met de leverancier en de AP hebt gedeeld alvorens het te publiceren. Ik zit vooral qua gewicht van je bevindingen te denken aan de impact van wijzigingen aan de inverter zelf, waarbij door de specificaties te wijzigen risico op niet goed functioneren c.q. kortsluiting/brand zou kunnen ontstaan. Het kunnen afluisteren van opwek informatie of uitlezen van een configuratie is net zo min goed, maar heeft in theorie een beperkte impact van een kwaadwillende. Maar als je iemand's zonnepanelen kunt gijzelen of zelfs succesvol een storing kan veroorzaken heb je een nieuwe manier om iemand te chanteren uitgevonden - 'cryptolocker' op je zonnepanelen zeg maar.

De lakse houding is een beetje universeel zo lijkt het, ik denk dat er nog iets meer boetes uitgedeeld moeten worden door toezichthouders voor dat dit verandert.

Edit: kun je wellicht een fix bedenken voor mensen met een AEG inverter die geen risico willen lopen? Wifi connectie stoppen, of outbound verkeer richting internet blokkeren? Werkt dan local monitoring wel, maar niet op internet bijv?

[ Voor 11% gewijzigd door NiGeLaToR op 24-05-2019 13:36 ]

Listen & subscribe to my Life as a Journey Podcast

vrijdag 24 mei 2019 13:37

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

NiGeLaToR schreef op vrijdag 24 mei 2019 @ 13:32:
....
Ik zit vooral qua gewicht van je bevindingen te denken aan de impact van wijzigingen aan de inverter zelf, waarbij door de specificaties te wijzigen risico op niet goed functioneren c.q. kortsluiting/brand zou kunnen ontstaan. Het kunnen afluisteren van opwek informatie of uitlezen van een configuratie is net zo min goed, maar heeft in theorie een beperkte impact van een kwaadwillende. Maar als je iemand's zonnepanelen kunt gijzelen of zelfs succesvol een storing kan veroorzaken heb je een nieuwe manier om iemand te chanteren uitgevonden - 'cryptolocker' op je zonnepanelen zeg maar.

....

Dit is ook precies waar ik over aan het denken was. Je kan via de app allerlei gevaarlijke parameters aanpassen voor de omvormer. Dit kan inderdaad voor gevaarlijke situaties zorgen. Ook kan je de de omvormer (de externe wifi stick) een wachtwoord geven en zo de legitieme gebruiker buiten sluiten. Of dit via het internet kan weet ik niet. Dat heb ik nog niet getest.

Ik zit te twijfelen of ik dit moet toevoegen aan het document aangezien ik dit niet zelf nog uitgezocht heb maar de kans is vrij groot en aannemelijk dat dit mogelijk is.

[ Voor 10% gewijzigd door Ad-Blokker op 24-05-2019 13:41 . Reden: niet relevante tekst uit quote weggelaten ]

vrijdag 24 mei 2019 13:47

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

NiGeLaToR schreef op vrijdag 24 mei 2019 @ 13:32:

Edit: kun je wellicht een fix bedenken voor mensen met een AEG inverter die geen risico willen lopen? Wifi connectie stoppen, of outbound verkeer richting internet blokkeren? Werkt dan local monitoring wel, maar niet op internet bijv?

Jazeker! Ik heb de omvormer niet aangesloten op het Wi-Fi thuis netwerk. Hierdoor zend hij automatisch zelf een netwerk uit. Hiermee heb ik verbonden en heb het IP van de standaard gateway ingetypt. Hierdoor kwam ik op een Wi-Fi accesspoint portal van de omvormer waar ik het standaard wachtwoord heb aangepast.

Ik heb een oude tablet zonder connectie aan een zinnig google account en dergelijke verbonden met het netwerk dat de omvormer opzet. Hierdoor kan je gelukkig nog met de app local monitoring doen. (De machtigingen en de maker van de app zijn de reden voor dit losse oude device)

Dit is alleen niet ideaal aangezien je elke dag voordat de zon onder is de stand moet bekijken en dan noteer ik het in een eigen gemaakt excel document waarbij alles opgeteld enz enz wordt. Ook vergeet hij hierdoor soms de tijd omdat hij niet met een tijdserver kan praten en hierdoor verliest hij ook zijn standen van voorgaande dagen. Het werkt maar heel omslachtig.

Ik wil nog gaan proberen om de gegevens automatisch via een andere manier uit te lezen. Waarschijnlijk via een Raspberry Pi of iets dergelijks.

vrijdag 24 mei 2019 13:52

Acties:

0 Henk 'm!

Tamunave

Ad-Blokker schreef op vrijdag 24 mei 2019 @ 13:47:
[...]

Ik wil nog gaan proberen om de gegevens automatisch via een andere manier uit te lezen. Waarschijnlijk via een Raspberry Pi of iets dergelijks.

Bij mijn omvormer was dit een koud kunstje, lokaal op het toestel draait er een http server om de stats te bekijken. Even rechts klikken en de dev. tools van je favo browser openen en kijken welke request er op en neer gaat om de data te visualiseren.
In mijn geval is er gewoon een xml endpoint die je elke seconde kan pollen om zo de data te harvesten

vrijdag 24 mei 2019 14:36

Acties:

0 Henk 'm!

Yucon

*broem*

Ad-Blokker schreef op vrijdag 24 mei 2019 @ 13:22:
[...]
Dit is precies wat ik ook aanstip in mijn document. Mensen zien AEG en denken oh AEG een kwalitatief hoogstaand duits merk dat moet wel goed zitten.

Ik bedoelde eigenlijk dat ditzelfde AEG zelf overkomen lijkt te zijn. Dat er binnen AEG mensen zijn die hier verstand van hebben wil nog niet zeggen dat die er automatisch bij betrokken zijn door de project- of afdelingsleiding. Organisatorisch zit dat vaak nogal vreemd door een combinatie van verzuiling en matrixorganisaties.

[ Voor 3% gewijzigd door Yucon op 24-05-2019 14:37 ]

vrijdag 21 juni 2019 14:59

Acties:

+2 Henk 'm!

Ad-Blokker

Topicstarter

Binnenkort als AEG alles opgelost heeft komt het volledige rapport hier terecht, voor nu deze update:

https://tweakers.net/nieu...ligde-chinese-server.html

vrijdag 21 juni 2019 16:27

Acties:

0 Henk 'm!

lonkhuijzen

100% ADH

Als je al kijkt naar het contactadres vanuit de website van Solar Solutions GmbH Headquarters, die de eigenaar is van aeg solar

Schneckenhofstrasse 19
60596 Frankfurt am Main, Germany

Dan zie je dat dit al gewoon een soort brievenbusfirma is waarbij voor mij duidelijk is dat de panelen en inverters gewoon in China opgekocht worden en er een aeg label opgepakt krijgen.

5,85kWp 15x Sunpower Max3 390Wp OZO | live PV output | LabelA@‘78

maandag 24 juni 2019 10:43

Acties:

0 Henk 'm!

tap123

Goed werk en mooi document. Ben benieuwd hoe snel dit opgelost wordt. Een degelijke oplossing gaat boven snelheid als je mij vraagt.

Ik heb nog meer problemen met deze omvormer en wifi stick:

Verbinding valt weg: om de dag valt de verbinding weg, een software reboot in de web interface helpt soms. Dit is een bekend probleem bij EAG en wordt aan gewerkt.
De grafiek klopt niet: indien de panelen meer vermogen leveren dan nominaal vermogen van de omvormer, dan keert de grafiek om en lever je volgens de grafiek veel minder vermogen. In de praktijk (volgens tabblad 'data' in de app en eigen berekening) wordt er wel daadwerkelijk meer dan nominaal geleverd. Omvormer kan dit ook leveren gezien maximaal vermogen.
De tijdszone werkt niet goed want DLS wordt niet meegenomen. Heb nu handmatig naar de volgende tijdszone gezet

Remote monitoring: volgens het nieuwsbericht hebben ze de server offline gehaald, Nu was er vrijdag en zaterdag geen verbinding, maar gisteren en vandaag wel weer. Hebben ze een work-around bedacht of zijn ze nu gewoon weer op de oude voet verder gegaan?

[ Voor 22% gewijzigd door tap123 op 24-06-2019 12:30 . Reden: Toevoeging huidige monitoring ]

dinsdag 25 juni 2019 07:35

Acties:

0 Henk 'm!

Itrme

Op zich verbaas ik me er niet zo over, dat de beveiliging niet op orde is. Al zou je zeggen dat het probleem dan eerder bij het lokale apparaat zou liggen dan de portal waar de gegevens naartoe moeten.

Bij mijn ouders hangt een Omnik omvormer, die ook het liefst aan het internet hangt om logjes te versturen. Die logjes die kan je dan met een portal account uitlezen.

Vanzelfsprekend heb ik hem dus wel aan de router hangen, maar de verbinding naar het internet geweigerd. Nu vraagt mijn Raspberry pi 3B+ regelmatig om data via een python script om deze op domoticz bij te houden.

Waar ik me in dit geval aan erger is dat je het wachtwoord van het wifinetwerk dat dat ding uitzend wel kan veranderen, maar het wachtwoord van het admin account niet. Zodra je hem dus aan je eigen wifinetwerk gekoppeld hebt, kan iedereen op het netwerk dat ding benaderen en inloggen met default login gegevens. Mocht de optie er wel zijn, heb ik hem in ieder geval nog niet gevonden.

dinsdag 25 juni 2019 12:20

Acties:

0 Henk 'm!

tap123

Itrme schreef op dinsdag 25 juni 2019 @ 07:35:

Waar ik me in dit geval aan erger is dat je het wachtwoord van het wifinetwerk dat dat ding uitzend wel kan veranderen, maar het wachtwoord van het admin account niet. Zodra je hem dus aan je eigen wifinetwerk gekoppeld hebt, kan iedereen op het netwerk dat ding benaderen en inloggen met default login gegevens. Mocht de optie er wel zijn, heb ik hem in ieder geval nog niet gevonden.

Gaat dit nog over de AEG Solar inverter?
Het wachtwoord van de wifi stick is zeker wel te wijzigen in de web interface. Je moet de gebruikersnaam niet wijzigen (toen liep hij bij mij vast), maar ww kan wel.

maandag 1 juli 2019 15:31

Acties:

0 Henk 'm!

tap123

Ad-Blokker schreef op vrijdag 24 mei 2019 @ 13:47:
[...]

Ik heb een oude tablet zonder connectie aan een zinnig google account en dergelijke verbonden met het netwerk dat de omvormer opzet. Hierdoor kan je gelukkig nog met de app local monitoring doen. (De machtigingen en de maker van de app zijn de reden voor dit losse oude device)

Dit is alleen niet ideaal aangezien je elke dag voordat de zon onder is de stand moet bekijken en dan noteer ik het in een eigen gemaakt excel document waarbij alles opgeteld enz enz wordt. Ook vergeet hij hierdoor soms de tijd omdat hij niet met een tijdserver kan praten en hierdoor verliest hij ook zijn standen van voorgaande dagen. Het werkt maar heel omslachtig.

Over het dagelijks opschrijven van de standen: via de app mis ik ook wel eens een dag (zie mijn reactie onderaan), maar ik vermoed dat de omvormer zelf wel alle historie opslaat. Als je in de app doorklikt:
Selecteer je plant --> More --> Device Info --> AEG --> "selecteer je inverter" en dan heb ik wel alle data. Ook op dagen dat de wifi-stick geen verbinding met de server heeft ontvangen.

Heb je dat al geprobeerd?

dinsdag 2 juli 2019 14:57

Acties:

0 Henk 'm!

Anoniem: 1224076

Deze topic is al eerder voor bij gekomen op het forum. De zonnepanelen en inverters zijn niet van AEG zelf. Dit is heel verwarrend maar ook een vorm van misleiding. Wanneer je AEG in Nederland ( grote consumenten merk) opbelt geven ze ook zelf aan dat zij geen garantie geven op de zonnepanelen en inverters.
Er wordt een fee betaald om een merknaam te mogen voeren. Kijk maar naar de algemene voorwaarde , daar staat geen AEG maar een ander merk. Het is dus niet zo dat AEG een paneel in China laat maken
en er een AEG sticker op plakt. Dan zou het nog van AEG zijn. Maar het is een ander bedrijf dat de merknaam voert. Zij betalen dus om de merknaam AEG te mogen voeren.Alles wordt gewoon in China gemaakt Je bent dus afhankelijk van het bestaansrecht van de licentie houder voor je garanties en support.

In dit geval is het bedrijf : Solar Solutions GMBH
Dit is het adres van "Solar Solutions GmbH - Headquarters" , de partij die AEG in de markt zet. Dit adres staat Wanneer je dit in google invult een soort brievenbusfirma! Wekt weinig vertrouwen!!

Het bedrijf

lonkhuijzen schreef op vrijdag 21 juni 2019 @ 16:27:
Als je al kijkt naar het contactadres vanuit de website van Solar Solutions GmbH Headquarters, die de eigenaar is van aeg solar

Schneckenhofstrasse 19
60596 Frankfurt am Main, Germany

Dan zie je dat dit al gewoon een soort brievenbusfirma is waarbij voor mij duidelijk is dat de panelen en inverters gewoon in China opgekocht worden en er een aeg label opgepakt krijgen.

vrijdag 25 oktober 2019 23:24

Acties:

0 Henk 'm!

tap123

Vandaag heb ik de nieuwe AEG Wi-Fi stick binnengekregen, ben benieuwd hoe en of deze werkt.

Kreeg vorige week een Duitse meneer van AEG de telefoon die langs wou komen voor de installatie, maar kon ook het pakket opsturen. Ga dit weekend hem installeren en houd jullie op de hoogte.

zaterdag 26 oktober 2019 13:50

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 99% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:53 ]

zaterdag 26 oktober 2019 18:54

Acties:

0 Henk 'm!

tap123

Anoniem: 1268588 schreef op zaterdag 26 oktober 2019 @ 13:50:
Ik heb gisteren ook de stick gekregen. Gekoppeld met mijn eigen netwerk. Ik zie deze tussen de ip adressen staan in mijn netwerk. Kan deze via pingen bereiken. Als ik naar monitor.invertercontrol.com ga gebeurd er niets. Lekker duidelijk allemaal. Wie heeft er tips?

Ik heb het nog niet geprobeerd, maar de website van monitor.invertercontrol.com geeft als response alleen maar 'done'. Het lijkt er nog niet op dat die live is. Ik zal maandag eens bellen met het +49 nummer voor advies.

zaterdag 26 oktober 2019 20:58

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 98% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:53 ]

maandag 28 oktober 2019 14:39

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Remote monitoring: volgens het nieuwsbericht hebben ze de server offline gehaald, Nu was er vrijdag en zaterdag geen verbinding, maar gisteren en vandaag wel weer. Hebben ze een work-around bedacht of zijn ze nu gewoon weer op de oude voet verder gegaan?

Ze zeiden dat ze het offline hadden gehaald maar ze hebben alleen SSL op de portal en wat andere niets zeggende dingen toegevoegd. In het volledige rapport staat dit allemaal uitgewerkt maar dit lek is nog steeds actief dus ik kan dit bijna een jaar later nog steeds niet publiceren.

maandag 28 oktober 2019 14:40

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Anoniem: 1224076 schreef op dinsdag 2 juli 2019 @ 14:57:
Deze topic is al eerder voor bij gekomen op het forum. De zonnepanelen en inverters zijn niet van AEG zelf. Dit is heel verwarrend maar ook een vorm van misleiding. Wanneer je AEG in Nederland ( grote consumenten merk) opbelt geven ze ook zelf aan dat zij geen garantie geven op de zonnepanelen en inverters.
Er wordt een fee betaald om een merknaam te mogen voeren. Kijk maar naar de algemene voorwaarde , daar staat geen AEG maar een ander merk. Het is dus niet zo dat AEG een paneel in China laat maken
en er een AEG sticker op plakt. Dan zou het nog van AEG zijn. Maar het is een ander bedrijf dat de merknaam voert. Zij betalen dus om de merknaam AEG te mogen voeren.Alles wordt gewoon in China gemaakt Je bent dus afhankelijk van het bestaansrecht van de licentie houder voor je garanties en support.

In dit geval is het bedrijf : Solar Solutions GMBH
Dit is het adres van "Solar Solutions GmbH - Headquarters" , de partij die AEG in de markt zet. Dit adres staat Wanneer je dit in google invult een soort brievenbusfirma! Wekt weinig vertrouwen!!

Het bedrijf
[...]

Hier was ik zelf ook inmiddels al verder op ingegaan in mijn vernieuwde rapport. Dit rapport wat hier nu staat is inmiddels al enorm verouderd en veel staat er niet in. Maar doordat het lek nog niet dicht is kan ik het nog niet publiceren.

maandag 28 oktober 2019 14:44

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

@acolle & @tap123 Ik zie dat jullie al nieuwe sticks hebben gekregen. Het leuke is dat mij beloofd was om als eerste te kunnen gaan testen. Daar is blijkbaar nog niks van gekomen want ik heb nog niks gehoord of ontvangen. Ik zal ook nog eens er achteraan bellen

-edit Net gebeld met onze installateur. Over 2 weken mogen we hem in de post verwachten. Ik ben benieuwd

[ Voor 16% gewijzigd door Ad-Blokker op 28-10-2019 14:50 . Reden: meer info ]

maandag 28 oktober 2019 17:50

Acties:

+1 Henk 'm!

Anoniem: 1268588

[ Voor 101% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:54 ]

dinsdag 29 oktober 2019 13:00

Acties:

0 Henk 'm!

tap123

Anoniem: 1268588 schreef op maandag 28 oktober 2019 @ 17:50:
REACTIE VAN AEG VANDAAG

bedankt voor uw bericht. Je hebt onlangs een nieuwe wifi-stick van de nieuwste generatie ontvangen. Mogelijk hebt u dit al geïnstalleerd en worden er gegevens naar onze server verzonden.

Helaas hebben we nog een paar dagen nodig om de portal volledig te voltooien, omdat we nog steeds enkele fouten corrigeren. Het spijt ons zeer en we vragen u om geduldig te zijn. Alle gegevens die worden verzonden na de succesvolle installatie van de Wifi-stick zijn dan al beschikbaar op de server, zelfs als de portal slechts enkele dagen later online gaat.

We sturen u binnenkort nog een bericht met de huidige status.

Nogmaals bedankt voor uw begrip.

Dat dacht ik al. Ik wacht met installeren totdat het portal live is. Nu dan ik nog even deze maand de data halen uit het oude portal.

Ik ben heel benieuwd of ze de data hebben overgezet van het oude portal naar het nieuwe.

dinsdag 29 oktober 2019 18:36

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

tap123 schreef op dinsdag 29 oktober 2019 @ 13:00:
[...]

Dat dacht ik al. Ik wacht met installeren totdat het portal live is. Nu dan ik nog even deze maand de data halen uit het oude portal.

Ik ben heel benieuwd of ze de data hebben overgezet van het oude portal naar het nieuwe.

Ik ben vooral benieuwd of de data uit de oude database verwijderd wordt en of de nieuwe portal wel veilig is. Ik heb al een beetje zitten prikken in de nieuwe portal en ik zie wat interessante poorten open staan naar het internet.

woensdag 30 oktober 2019 13:53

Acties:

+1 Henk 'm!

TijsZonderH

Nieuwscoördinator

@Ad-Blokker Ik zat hier toevallig van de week nog eens aan te denken, lijkt me tijd voor een followup om te kijken hoe het zit met die portal-data

woensdag 30 oktober 2019 16:50

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

@TijsZonderH Dat lijkt mij ook een goed idee. Ik sta altijd open voor weer een gesprek samen.

P.s. Toevallig ben ik vandaag trouwens weer bij jullie HQ voor het Stack, Rack en Ribs evenement!

donderdag 31 oktober 2019 20:32

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 96% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:52 ]

vrijdag 1 november 2019 13:21

Acties:

0 Henk 'm!

tap123

Ik zie het inderdaad, het is allemaal nog lang niet af dus. Zal dit weekend maar de stick gaan overzetten. Gelukkig heb ik nog een kWh-meter op de groep geïnstalleerd, kan daar tenminste altijd aflezen wat de productie is.

Update: ik heb de wifi-stick geinstalleerd en aangemeld voor de dagelijke mailing. Nu afwachten

[ Voor 18% gewijzigd door tap123 op 04-11-2019 12:33 . Reden: Update ]

woensdag 6 november 2019 21:28

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 100% gewijzigd door Anoniem: 1268588 op 09-11-2019 17:57 ]

donderdag 7 november 2019 12:21

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Even een update, ik heb de site van de nieuwe portal nauwlettend al in de gaten gehouden. Ik kan er nog niet veel over kwijt maar wat ik erover kwijt wil is in ieder geval dat ik niet van plan ben om deze te gebruiken door dingen die al aan het licht gekomen zijn.

Korte opsomming bevindingen nieuwe portal:
- De server heeft enorm veel poorten open staan. (Dit betrof alleen de informatie pagina niet de nieuwe portal, deze was niet online nog)
- Het registratie formulier om je aan te melden was tot op een paar dagen geleden niet beveiligd met SSL.
- Blijkbaar worden je gegevens via een send mail script verstuurd naar AEG om verwerkt te worden.

En nog veel meer. Verwacht binnenkort meer info in een ander bericht van mij hier!

[ Voor 14% gewijzigd door Ad-Blokker op 03-02-2020 13:35 . Reden: corrections ]

donderdag 7 november 2019 22:34

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 95% gewijzigd door Anoniem: 1268588 op 09-11-2019 17:57 ]

vrijdag 8 november 2019 14:19

Acties:

0 Henk 'm!

tap123

Nee ik ook niet niet terwijl mijn stick zeker internettoegang heeft.

vrijdag 8 november 2019 14:20

Acties:

0 Henk 'm!

tap123

Ad-Blokker schreef op donderdag 7 november 2019 @ 12:21:
Even een update, ik heb de site van de nieuwe portal nauwlettend al in de gaten gehouden. Ik kan er nog niet veel over kwijt maar wat ik erover kwijt wil is in ieder geval dat ik niet van plan ben om deze te gebruiken door dingen die al aan het licht gekomen zijn.

Korte opsomming bevindingen nieuwe portal:
- De server heeft enorm veel poorten open staan.
- Het registratie formulier om je aan te melden was tot op een paar dagen geleden niet beveiligd met SSL.
- Blijkbaar worden je gegevens via een send mail script verstuurd naar AEG om verwerkt te worden. Niet een goede oplossing van het verwerken van gebruikers.
- Totaal geen inzicht in hoe de gegevens worden opgeslagen.

En nog veel meer. Verwacht binnenkort meer info in een ander bericht van mij hier!

Goed werk. Ben benieuwd!

vrijdag 8 november 2019 17:01

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 99% gewijzigd door Anoniem: 1268588 op 09-11-2019 17:56 ]

vrijdag 8 november 2019 19:08

Acties:

0 Henk 'm!

tap123

Anoniem: 1268588 schreef op vrijdag 8 november 2019 @ 17:01:
DIT IS DE LAATSTE STAND VAN ZAKEN. AFWACHTEN MAAR WEER VANAVOND.

Donderdag 07.11.2019 Aan degenen die gisteravond geen e-mail hebben ontvangen: het spijt ons zeer! Hoewel de meesten van jullie een e-mail hebben ontvangen met de statusupdate, hebben sommige klanten dat niet gedaan. De reden daarvoor is dat sommige sticks gegevens hebben verzonden waarbij kleine onderdelen niet correct zijn ontvangen, wat leidde tot beschadigde gegevens; dit zorgde ervoor dat onze applicatie onverwacht crashte.
Vandaag staan we op het punt dit op te lossen en filters te implementeren zodat iedereen de e-mail met de statusupdate en de stroomproductie rond 21:00 vanavond zou moeten ontvangen. Sommigen zullen het morgenochtend ontvangen.
Als je tot morgenmiddag niets hebt ontvangen, neem dan contact op met ons serviceteam omdat je wifi-stick waarschijnlijk nog niet is geïnstalleerd en correct is ingesteld.

Dat is het bericht van gisteren en nog niets gehad. Het schiet niet op zo dus. Het is toch behoorlijk onprofessioneel zo.

vrijdag 8 november 2019 19:29

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 108% gewijzigd door Anoniem: 1268588 op 09-11-2019 17:56 ]

vrijdag 8 november 2019 22:20

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 156% gewijzigd door Anoniem: 1268588 op 09-11-2019 10:12 ]

zaterdag 9 november 2019 09:49

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 172% gewijzigd door Anoniem: 1268588 op 09-11-2019 17:55 ]

zaterdag 9 november 2019 09:50

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 96% gewijzigd door Anoniem: 1268588 op 09-11-2019 10:09 ]

zaterdag 9 november 2019 16:24

Acties:

+1 Henk 'm!

Ad-Blokker

Topicstarter

@acolle en @tap123 We zitten wel in het security forum, ik denk niet dat het de bedoeling is om hierover te praten. Ik dacht misschien is het handig om een nieuw topic te openen om bij te houden wie wel of niet rapporten krijgt in het nieuwe systeem.
Ik heb dit al op me genomen en hierbij vraag ik iedereen vriendelijk om de algemene ervaringen met de nieuwe portal (bijvoorbeeld het wel of niet ontvangen van de rapporten) hier te bespreken, Ik ben erg benieuwd maar ik wil dit topic on topic houden wat betreft security!

Link naar het ervaringen topic:
"nieuwe" portal ervaringen van AEG slimme solar omvormers

donderdag 14 november 2019 11:07

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Nieuwe wifi stick (Wifi300) update bericht:

Na wat beperkte testen is te zien dat het verkeer vanaf de omvormer via een onbeveiligde verbinding naar de webserver gaat. Hier worden de standen opgeslagen. Hierdoor is het volledige verkeer uit te lezen.

Er word gebruik gemaakt van het MQTT protocol. Dit is ook te zien in het verkeer wat je kan onderscheppen met Wireshark. Omdat het onbeveiligd is kan ik de gebruikersnaam en wachtwoord inzien die voor de MQTT broker gebruikt worden.

Met Telnet kan je ook verbinden met de wifi stick. Hier kan je van alles instellen en inzien. Hier is ook te zien dat de tijdzone verkeerd staat en ook niet aanpasbaar is. Dus iedereen zijn wifi stick denkt dat hij op de tijdzone in China zit. Hopelijk maakt dit voor de rapportages niet uit en zijn ze iets slimmer geweest op dat front en hebben ze de server tijd gebruikt voor de rapportages.

Meer info volgt binnenkort!

donderdag 14 november 2019 21:36

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 100% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:52 ]

donderdag 14 november 2019 23:37

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

Anoniem: 1268588 schreef op donderdag 14 november 2019 @ 21:36:
Kun je mij uitleggen hoe ik via telnet kan verbinden met de WiFi stick?

Ik heb dit eerst gemeld aan AEG, want het is natuurlijk niet de bedoeling dat iedereen zijn of haar Wi-Fi sticks gaat slopen en/of the MQTT broker die zij draaien gaan slopen. Ik wacht op hun antwoord en daarna zal ik weer een rapport maken. Als ik iedereen precies zou vertellen hoe het moet dan kan ik ook net zo goed het rapport van de vorige portal online zetten. Maar dat heb ik ook nog niet gedaan omdat dat lek na een jaar nog steeds niet gedicht is.

Tevens, dankzij de onbeveiligde verbinding en het wachtwoord voor de MQTT broker kan ik zien welke data elke omvormer verstuurd. Dit allemaal door 2 uurtjes spelen met het systeem. Het is misschien iets minder lek dan het vorige systeem maar nog steeds lek. Het lijkt me niet heel moeilijk om de omvormer data om te zetten naar iets leesbaars. Maar dat iets voor een ander vrij moment. Beetje jammer na al die beloftes en mooie praatjes.

Korte side-note. MQTT is bidirectional. Dus mogelijk kan er ook naar willekeurige omvormers opdrachten worden verstuurd via ditzelfde protocol. Maar ook dat is iets voor een andere keer.

woensdag 20 november 2019 22:22

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 100% gewijzigd door Anoniem: 1268588 op 30-11-2019 07:43 ]

dinsdag 10 december 2019 19:48

Acties:

0 Henk 'm!

Anoniem: 1268588

[ Voor 97% gewijzigd door Anoniem: 1268588 op 18-12-2019 20:51 ]

donderdag 12 december 2019 10:38

Acties:

0 Henk 'm!

bliksemsss

Ad-Blokker schreef op donderdag 14 november 2019 @ 23:37:
[...]

Ik heb dit eerst gemeld aan AEG, want het is natuurlijk niet de bedoeling dat iedereen zijn of haar Wi-Fi sticks gaat slopen en/of the MQTT broker die zij draaien gaan slopen. Ik wacht op hun antwoord en daarna zal ik weer een rapport maken. Als ik iedereen precies zou vertellen hoe het moet dan kan ik ook net zo goed het rapport van de vorige portal online zetten. Maar dat heb ik ook nog niet gedaan omdat dat lek na een jaar nog steeds niet gedicht is.

Tevens, dankzij de onbeveiligde verbinding en het wachtwoord voor de MQTT broker kan ik zien welke data elke omvormer verstuurd. Dit allemaal door 2 uurtjes spelen met het systeem. Het is misschien iets minder lek dan het vorige systeem maar nog steeds lek. Het lijkt me niet heel moeilijk om de omvormer data om te zetten naar iets leesbaars. Maar dat iets voor een ander vrij moment. Beetje jammer na al die beloftes en mooie praatjes.

Korte side-note. MQTT is bidirectional. Dus mogelijk kan er ook naar willekeurige omvormers opdrachten worden verstuurd via ditzelfde protocol. Maar ook dat is iets voor een andere keer.

Misschien hebben ze dit inmiddels aangepast? Ik zie verkeer over poort 8883 gaan, lijkt er op dat het nu over TLS gaat, ook als ik de Wireshark packets bekijk. Zie in de configuratie in telnet alleen nergens welk certificaat gebruikt wordt, anders zou je de MQTT server naar een andere MQTT server kunnen veranderen...

donderdag 12 december 2019 14:01

Acties:

0 Henk 'm!

Ad-Blokker

Topicstarter

bliksemsss schreef op donderdag 12 december 2019 @ 10:38:
[...]

Misschien hebben ze dit inmiddels aangepast? Ik zie verkeer over poort 8883 gaan, lijkt er op dat het nu over TLS gaat, ook als ik de Wireshark packets bekijk. Zie in de configuratie in telnet alleen nergens welk certificaat gebruikt wordt, anders zou je de MQTT server naar een andere MQTT server kunnen veranderen...

Net nogmaals gekeken. Zelfs het hele spul gereset. Het is nog niet aangepast. Wireshark denkt dat het TLS is door de omvormer data en bepaalde tekens in de packets. Maar het is alsnog in plain text. En je kan natuurlijk zelf een MQTT server opzetten en dit in de config van de wifi stick aanpassen en dan krijg je alle data waarschijnlijk binnen op je eigen MQTT server. Alleen moet je dan nog een vertaalslag hebben van de RAW omvormer data naar iets wat je kan lezen.

donderdag 7 mei 2020 18:53

Acties:

0 Henk 'm!

Inverter

Ad-Blokker schreef op donderdag 12 december 2019 @ 14:01:
[...]

Net nogmaals gekeken. Zelfs het hele spul gereset. Het is nog niet aangepast. Wireshark denkt dat het TLS is door de omvormer data en bepaalde tekens in de packets. Maar het is alsnog in plain text. En je kan natuurlijk zelf een MQTT server opzetten en dit in de config van de wifi stick aanpassen en dan krijg je alle data waarschijnlijk binnen op je eigen MQTT server. Alleen moet je dan nog een vertaalslag hebben van de RAW omvormer data naar iets wat je kan lezen.

Hoe kan ik dit doen? Hoe kom ik in de config van de stick?

Pagina: 1

Reageer