Omvormers van zonnepanelen niet veilig

Ik zou zeggen alleen omvormers kopen die wel veilig zijn? Lijkt me dat je dit makkelijk van te voren kan uitzoeken.

Het liefst natuurlijk een omvormer die ook lokaal uit te lezen is en dus helemaal geen account op een chinese website nodig heeft om uitgelezen te kunnen worden.

[ Voor 10% gewijzigd door Dennism op 08-08-2019 12:29 ]

We accepteren het en gaan er mee door. En als je niet wil dat je moet inloggen op een chinese webportal moet je een omvormer kiezen waarbij dat niet hoeft.

Waar heb je de omvormer vandaan? Heb je die zelf besteld? Dan had je dit zelf namelijk ook kunnen verwachten. Als dit door de leverancier wordt geleverd als pakket zou ik dit niet accepteren en aankaarten.

Bij ons is zo'n omvormer geplaatst, vanuit een nieuwbouw project. Kan er voor kiezen om de wifi module eruit te trekken, en dan is het klaar. Of om deze niet te configureren. Of om verkeer in je router te blokkeren... noem maar op.

Kunh schreef op donderdag 8 augustus 2019 @ 12:24:
De samenleving is digitaal kwetsbaar en dagelijks lees je iets over de “nieuwe” veiligheid. Ik wil graag de rage van zonnepanelen toevoegen. Want veel omvormers komen uit China en om inzicht in je opgewekte energie te krijgen moet een account aanmaken. De omvormer gaat via WiFi naar mijn router en vervolgens kom je op een onbeveiligde Chinese site waar ik ook ineens de melding krijg “uw wachtwoord wordt niet versleuteld”! Hoe gaan we hier als samenleving mee om?

Welke risico's zie je hier in? Ja iemand zou misschien van buiten af je statistieken kunnen uitlezen (weinig risico). In het ergere geval zouden ze instellingen kunnen aanpassen waardoor je inverter niet meer correct functioneerd en je opbrengst hierdoor achteruit kan gaan (medium risico, en dan alleen maar omdat je minder opbrenst hebt, het veroorzaakt naar mijn idee geen onveiligheden). De veiligheids systemen blijven functioneren want deze zijn hardwarematig uitgevoerd (veiligheids maatregelen als overbelasting, oververhitting, kortsluiting, uitgaan wanneer er geen netstroom is, e.d.) dus daar zit weinig risico in.

Dus ik zie weinig problemen hierin, de enige die hier last van heeft is de eigenaar van de inverter, en die had zelf onderzoek kunnen doen of er bijvoorbeeld klachten zijn over slechte beveiliging, of door een account aan te maken voordat je het apparaat koopt wat meestal gewoon prima kan). Daarnaast kan je ook eventueel op je router / modem firewall regels instellen.

M.a.w. een bedrijf heeft de verantwoordelijkheid om alles zo goed mogelijk te regelen, maar als gebruiker ben je zelf ook verantwoordelijk om te begrijpen waar je mee bezig bent en de risico's in te schatten en onderzoek te doen.

Omnik is bijvoorbeeld een lachertje, er is altijd een hidden SSID beschikbaar waar het ESSID gebaseerd is op het BSSID, en de web interface laat daarna het password van jouw netwerk gewoon zien. En 'ie vergeet met regelmaat het admin password als je 't veranderd hebt...

Dit is waarom je thuis ook een apart SSID voor IoT wil, in een apart IP-subnet, met strikte firewall rules. Of de nieuwe, vooraangekondigde HomeKit-enabled routers van Linksys en Eero.

Goedemiddag @Kunh

Welkom op GoT!

Ik geef je topic even een schopje richting het forum Privacy & Beveiliging, waar deze naar mijn mening beter past.

Wel wil ik vragen wat je doel is met dit topic? Waar wil je over discussiëren? Wat is je eigen ervaring?

Denk er even over na, dan kan een Modje in Privacy & Beveiliging bepalen of het topic iets toe kan voegen aldaar.

ronaldmathies schreef op donderdag 8 augustus 2019 @ 12:32:
[...]


Welke risico's zie je hier in? Ja iemand zou misschien van buiten af je statistieken kunnen uitlezen (weinig risico). In het ergere geval zouden ze instellingen kunnen aanpassen waardoor je inverter niet meer correct functioneerd en je opbrengst hierdoor achteruit kan gaan (medium risico, en dan alleen maar omdat je minder opbrenst hebt, het veroorzaakt naar mijn idee geen onveiligheden). De veiligheids systemen blijven functioneren want deze zijn hardwarematig uitgevoerd (veiligheids maatregelen als overbelasting, oververhitting, kortsluiting, uitgaan wanneer er geen netstroom is, e.d.) dus daar zit weinig risico in.

Dus ik zie weinig problemen hierin, de enige die hier last van heeft is de eigenaar van de inverter, en die had zelf onderzoek kunnen doen of er bijvoorbeeld klachten zijn over slechte beveiliging, of door een account aan te maken voordat je het apparaat koopt wat meestal gewoon prima kan). Daarnaast kan je ook eventueel op je router / modem firewall regels instellen.

Je gaat er vanuit dat die beveiligingen hardware zijn. Waarschijnlijk zitten er alleen maar varistoren en smeltzekeringen in. De rest kun je instellen, want diezelfde hardware is te krijgen overal op de wereld, en de software maakt het een model voor de NL markt, of juist voor DE met strengere normen.

Geen risico's? Wat dacht je van een soort DoS op het energienet?

Een scenario zou zijn dat iemand een heleboel omvormers tegelijk kan beïnvloeden, door deze bijvoorbeeld massaal tegelijk uit te zetten, of juist aan te zetten, of te laten pulseren, of door de overspanningsbeveiliging uit te zetten. Of foute PF aanleveren.
Er zijn genoeg vatbare punten, daarom is internet op je omvormer ook geen goed plan.

ronaldmathies schreef op donderdag 8 augustus 2019 @ 12:32:
[...]


Welke risico's zie je hier in? Ja iemand zou misschien van buiten af je statistieken kunnen uitlezen (weinig risico). In het ergere geval zouden ze instellingen kunnen aanpassen waardoor je inverter niet meer correct functioneerd en je opbrengst hierdoor achteruit kan gaan (medium risico, en dan alleen maar omdat je minder opbrenst hebt, het veroorzaakt naar mijn idee geen onveiligheden). De veiligheids systemen blijven functioneren want deze zijn hardwarematig uitgevoerd (veiligheids maatregelen als overbelasting, oververhitting, kortsluiting, uitgaan wanneer er geen netstroom is, e.d.) dus daar zit weinig risico in.

Dus ik zie weinig problemen hierin, de enige die hier last van heeft is de eigenaar van de inverter, en die had zelf onderzoek kunnen doen of er bijvoorbeeld klachten zijn over slechte beveiliging, of door een account aan te maken voordat je het apparaat koopt wat meestal gewoon prima kan). Daarnaast kan je ook eventueel op je router / modem firewall regels instellen.

M.a.w. een bedrijf heeft de verantwoordelijkheid om alles zo goed mogelijk te regelen, maar als gebruiker ben je zelf ook verantwoordelijk om te begrijpen waar je mee bezig bent en de risico's in te schatten en onderzoek te doen.

Een slimme hacker zou dus een botnet kunnen maken mocht dat ding aan het internet hangen.
Die dingen hebben ook gewoon een computer in zich.

Of bijvoorbeeld onderstaand, mja ik zou dan de stekker eruit trekken(communicatiekabel) maar nooit betalen.
https://www.rtlnieuws.nl/...-thermostaat-op-37-graden

Ik gebruik ook Chinese "Rommel", maar ik heb dat opgelost door de inzet van een afgeschermd netwerk met de nodige beperkingen : DNS, Firewall en pihole. Op die manier blijft het ver bij mijn prive netwerk vandaan. Ik doe dat overigens met alle partijen die ik weinig tot niet vertrouw en dat werkt goed tot nu toe.

Een niet goed beveiligd apparaat op je interne netwerk, kan geen kwaad, zoals boven genoemd.
Dit kan dus wel kwaad, want deze zit op je interne netwerk, komen er ook updates, zal zeker niet, dus zeer onveilig.