Gå til innhold

NRKs hackerekspert måtte «jukse litt» for å trenge seg inn i «Norges smarteste hjem»


Anbefalte innlegg

Videoannonse
Annonse

 

 

 

Uenig, man kan ikke basere sikkerhet på at angriper ikke er på samme nett. Ikke fysisk tilgang, greit nok, men dette var såvidt jeg forsto ikke avhengig av det.

Om 0-day kun kan utyttes fra LAN og ikke WAN så mener jeg den ikke utgjør stor risko, kan den dog utnyttes fra WAN utgjør den en stor risko.

 

Fint med sikkerhet på LAN og men har man først klart å hacke seg inn på LAN ved å knekke WPA2 så har man allerde gjort en så stor invistering i å komme seg inn i systemet at man høyst sansynlig vil klare å komme seg videre, 0-day eller ikke. Om man har klart å komme seg inn på LAN via fysisk tilgang så ligger nok ikke problemet da med at man har LAN tilgang men heller at man har fysisk tilgang. Dette gjelder dog i private nett. I bedrifts nett stiller det seg helt anderledes så klart.

 

 

Ok, jeg er som sagt ikke enig, jeg mener man ikke bør basere på at ikke er på samme nett som deg. Systemet bør tåle å være på samme nett, om det så er internett, som angriper. (sier ikke at det er meningsløst å holde angriper unna samme nett altså)

AtW

Lenke til kommentar

Det er helt riktig, men har noen fysisk tilgang slik at de kan sette inn en USB dings i maskinen din, så spiller det liten rolle om du har trådløst passord eller ikke, da er du generelt sett pwned uansett.

Jepp som jeg også skrev :)

 

Om man har klart å komme seg inn på LAN via fysisk tilgang så ligger nok ikke problemet da med at man har LAN tilgang men heller at man har fysisk tilgang.

Lenke til kommentar

Ok, jeg er som sagt ikke enig, jeg mener man ikke bør basere på at ikke er på samme nett som deg. Systemet bør tåle å være på samme nett, om det så er internett, som angriper. (sier ikke at det er meningsløst å holde angriper unna samme nett altså)

AtW

Er ikke uenig med deg, er helt klart en fordel at systeme er sikre :) Men poenget mitt er mer at har man tilgang til et privat LAN så er det 3 alternativer

 

1) enten har en ikke noe sikerhet på WIFI eller dårlig sikkert type wep

2) fysisk tilgang

3) noen som har gjort en stor insats for å knekke WPA2 passordet ditt

 

I tilfelle 1 så har man ikke nok kunnskap til at man en gang har endrer standard passord på noen systemer slik at disse vil være utsatt uansett

 

I tilfelle 2 så kan du sikkre systemet så mye du vil men har man fysisk tilgang så er man egentlig pwned uansett for å sitere "adeneo" ;)

 

I tilfelle 3 så har angriperen tilgang til mye datakraft og tid og går aktivt inn for å komme seg inn. Noen han da høyst sannsynligvis vil klare uansett system til slutt

 

der av min mening :)

Lenke til kommentar

 

 

Hei,

Fått noen forespørsler om å kommentere. Jeg har i stedet skrevet en mer teknisk fremgangsmåte på hvordan jeg gikk frem i hackingen av huset. Da forklares også hvilket passord som ble gitt, og hva det kunne brukes til. Håper folk tar tiden å lese, men også samtidig prøve å reflektere på hvordan denne teknologien kommer til å påvirke våre barn, venner og familie... Jeg og Magnus har selvfølgelig en avtale om at all data og proprietær informasjon fra oppdraget skal slettes og ikke deles. Jeg kan derfor ikke kommentere på styrke på trådløst passord osv.. 

 

Kan leses her: https://www.securesolutions.no/case-study-breaking-into-the-smartest-smart-houses/

 

 

 

Veldig interessant blogginnlegg!

 

En av mine største pet peeves når det gjelder IT-sikkerhet, er at man ofte prater i absolutter. Som om noe enten er sikkert eller ikke sikkert. Man konstruerer seg en angriper med ubegrensede ressurser, og søker å forsvare seg mot denne. Dette gir ingen mening. Med rett utstyr kan jeg lese av skjermbildet ditt gjennom veggen mens jeg sitter i en bil på gata, og det eneste du kan gjøre for å sikre deg mot dette er å kle veggene dine med bly. Betyr det at dette er en angrepsvektor folk flest trenger å tenke på?

 

Er det realistisk at innbruddstyver kommer til å bruke en hel dag på å hacke et smarthus? Eller kjører de videre til naboen 3 hus lenger ned som ikke har smarthus og kanskje ikke alarm en gang? Hint: det å bare ha et alarm-klistremerke på døra gir omtrent den samme sikkerheten som å faktisk ha alarm, da innbruddstyver heller prioriterer hus de er rimelig sikre på at ikke har alarm. Likeledes er det ikke urimelig å anta at de vil prioritere hus de kun trenger kubein eller drill for å bryte seg inn i over hus de trenger avansert datautstyr til.

 

Det sagt er jeg ikke uenig i at bransjen bør legge seg på andre default-innstillinger enn "alt pip åpent". Og fra et rent geek-ståsted så synes jeg pen-testing er dritkult. Og i denne øvelsen var jo målet en helt eksepsjonelt avansert bruker, noe man ikke nødvendigvis kan ekstrapolere den typiske brukeren ut i fra. Smarthus er foreløpig en nisje for spesielt interesserte, som allerede har et høyt teknisk kompetansenivå. En øvelse hvor en "dum" bruker bare setter ting opp rett ut av boksen, og så denne riggen blir angrepet hadde også vært interessant. Men kanskje ikke så god TV. :)

Forøvrig har jeg hørt at den mest populære innbruddformen ihvertfall i England om dagen er å "bryte seg inn" mens folk er hjemme og ofte ikke en gang har låst ytterdøra. Også er det bare å gå så vidt innenfor ytterdøra og ta bilnøklene som for de aller fleste henger der uten at de som sitter i stua og ser på TV legger merke til det. Og vips så har man stjålet bilen som er den dyreste eiendelen man kan få med seg fra et bolighus. MYE mer lukrativt enn å ta en flatskjerm eller en laptop.

Lenke til kommentar

 

Ok, jeg er som sagt ikke enig, jeg mener man ikke bør basere på at ikke er på samme nett som deg. Systemet bør tåle å være på samme nett, om det så er internett, som angriper. (sier ikke at det er meningsløst å holde angriper unna samme nett altså)

AtW

Er ikke uenig med deg, er helt klart en fordel at systeme er sikre :) Men poenget mitt er mer at har man tilgang til et privat LAN så er det 3 alternativer

 

1) enten har en ikke noe sikerhet på WIFI eller dårlig sikkert type wep

2) fysisk tilgang

3) noen som har gjort en stor insats for å knekke WPA2 passordet ditt

 

I tilfelle 1 så har man ikke nok kunnskap til at man en gang har endrer standard passord på noen systemer slik at disse vil være utsatt uansett

 

I tilfelle 2 så kan du sikkre systemet så mye du vil men har man fysisk tilgang så er man egentlig pwned uansett for å sitere "adeneo" ;)

 

I tilfelle 3 så har angriperen tilgang til mye datakraft og tid og går aktivt inn for å komme seg inn. Noen han da høyst sannsynligvis vil klare uansett system til slutt

 

der av min mening :)

 

 

Ja, eller man har bare noe som er tilgjengelig fra internett, dette er ikke en så utrolig situasjon.

 

AtW

Lenke til kommentar

Skal en ha sikkerhet i SmartHus må en basere seg på et økosystem der sikkerhet er på plass fra starten av, f.eks. Apple Homekit, Nest, Threadgroup, SmartThings etc.

 

Høres ut som en dårlig ide, hvorfor velge innelukkede ting med liten fleksibilitet, når det finnes mange standarder som er mye mer fleksible? Og det som bestemmer sikkerheten er i stor grad softwaren du bruker til kontroll, den er i utgangspunktet ikke avhengig av hvordan utstyret kommuniserer.

 

AtW

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Og det som bestemmer sikkerheten er i stor grad softwaren du bruker til kontroll, den er i utgangspunktet ikke avhengig av hvordan utstyret kommuniserer.

Det hadde vært interessant å visst hvor sårbar zwave er i seg selv. Altså om det er mulig å simulere kontrolleren (istedenfor å overta kontorllen over den), slik at en kan åpne ytterdører etc.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Gjest Slettet-Pqy3rC
Hmm, ja. Markedsføringspreik;

 

On November 17, 2016, the Z-Wave Alliance announced stronger security standards for devices receiving Z-Wave Certification as of April 2, 2017. Known as Security 2 (or S2),

...

According to the Z-Wave Alliance, the new security standard is the most advanced security available on the market for smart home devices and controllers, gateways and hubs.

...må vel nesten titte på selv før jeg blir sikker.
Lenke til kommentar

Nei !

Sikker på det?

 

Nå vet jeg ikke noe om spesielle måter å gjøre det på, men om de bruker en 'tastatur simulasjon' så ville det jo være lett å legge inn 2 sekunders forsinkelse før andre forsøk, 4 sekunders før tredje forsøk, 8 sekunder før fjerde osv. Det burde sette en effektiv stopper for automatiske systemer, men ville så å si ikke være noe problem for de som tipper passordet feil en eller to ganger.

Endret av trikola
Lenke til kommentar

 

Nei !

 

Sikker på det?

 

Nå vet jeg ikke noe om spesielle måter å gjøre det på, men om de bruker en 'tastatur simulasjon' så ville det jo være lett å legge inn 2 sekunders forsinkelse før andre forsøk, 4 sekunders før tredje forsøk...

 

Det er ikke noe teknisk problem, man kan bare begrense det til et visst antall innloggingsforsøk, eventuelt et visst antall innen en angitt tid osv. Det er også mye annet man kan gjøre for å til dels sikre seg mot brute-force angrep på innloggingen.

 

Svaret er dog uansett det samme, "nei", de fleste systemer har ikke slikt. De aller fleste servere har faktisk ikke begrensninger på antall forsøk. IIS lar deg som "default" prøve så mange ganger du vil uten at du blir utestengt, og Wordpress, som er den meste brukte publiseringsløsningen på nett, gjør det samme.

 

For trådløse nettverk, så kaster man altså brukeren av nettverket, og når vedkommende logger på igjen så snapper man opp en "kryptert" versjon av passordet, som man så i ro og mak kan knekke på egen maskin med så mange forsøk man bare ønsker.

 

Det betyr jo ikke at et godt passord lar seg knekke, da er vi inne på entropi og teoretiske muligheter, hvor for eksempel en tilfeldig valgt setning kan ta hundrevis av år å finne, noe som i praksis ikke lar seg gjøre, men det finnes faktisk ikke mekanismer som hindrer brute-force i de fleste systemer, selv om det finnes i mange systemer og er teknisk mulig i så å si alle systemer.

Endret av adeneo
Lenke til kommentar

Ok, det finnes altså muligheter likevel, men ikke i 'de fleste systemer'. 

 

Og hjelper det dersom du fisker passordet i kryptert form? Med mindre du kan være helt sikker på at du har dekryptert det riktig så må du til serveren uansett for å teste resultatet og kommer da i samme kø.

Lenke til kommentar

Ok, det finnes altså muligheter likevel, men ikke i 'de fleste systemer'. 

 

Og hjelper det dersom du fisker passordet i kryptert form? Med mindre du kan være helt sikker på at du har dekryptert det riktig så må du til serveren uansett for å teste resultatet og kommer da i samme kø.

 

 

Passord er aldri krypterte (hvis de som har laget passordlagringsmekanismen vet hva de driver med), men hashet (og aller helst saltet og hashet, for de veldig teknisk anlagte). Og på grunn av måten hashing fungerer på, er det aldri tvil om man har klart å knekke hashen; man har enten klart det eller ikke klart det.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...