Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

FBI hacker deg - Behind the scenes


Moskus

26 717 visninger

20170628_182306.jpg.eeb54a926dda5adfec0bf5a71e1c39b9.jpg

 

En hacker i sofaen er bedre enn 10 i en hvit van på utsiden av huset.

 

Forbrukerinspektørene var på besøk, og resultatet gikk på lufta onsdag 4. oktober kl. 19:45. Det var en veldig engasjert gjeng som var her, og det var bortimot umulig å ikke la seg rive med av iveren til programleder Stian Kallekleiv. :) 


Det som gikk på TV er imidlertid den "fjernsynsvennlige varianten" etter mitt syn, altså for folk flest. Det skjedde ikke nødvendigvis helt slik, selvfølgelig. Men det som egentlig skjedde var minst like interessant! ;) 

 

Det begynte med en telefonsamtale en onsdag i slutten av juni. Ikke helt ordrett, men omtrentlig slik:

    "Hei, det er Stian Kallekleiv fra Forbrukerinspektørene, og jeg vil gjerne komme på besøk".

    "Hei, det må du vel få lov til."

 

Det har jo vært et par journalister på besøk tidligere, så det hørtes jo ikke så skummelt ut. Det verste med det er at man må rydde huset så veldig…

    "Og jeg hadde tenkt å ta med meg en hacker".

    "Øh… jaha?"

    "Ja, for å se om du har noen dubbeditter som det er enkelt å få tilgang til".

 

Jeg måtte tenke på det.

 

Det er en ting å være klar over at selv om man har gjort en del med tanke på sikkerhet, så har det en kalkulert risiko å legge huset sitt på nettet. Men det er en annen ting å få noen til å gå løs på det for å publisere sine resultater på NRK!

 

Til slutt var det egentlig nysgjerrigheten som tok overhånd, samt at en tanke om at "det hadde jo faktisk vært kjekt å få systemet gjennomgått av eksperter". Chris Dale fra Netsecurity tok kontakt og forsikret meg både skriftlig og muntlig om at det han eventuelt fant ikke ble lagret noe sted, og alt han hadde fått da han kom på besøk ble slettet før han forlot byen. Han gav i det hele tatt et profesjonelt og kompetent inntrykk. :) 

 

 

Angrep via Internett

Mandagen begynte PRTG å melde om høy aktivitet på diverse tjenester, bl.a. om gjentatte innloggingsforsøk på PRTG selv. Vanligvis når dette skjer så er det å blokkere en IP eller en range som typisk er fra Russland, Kina eller USA. Denne var imidlertid fra Telenor.

 

    "Chris, er dette deg?"

    "Ja, det er meg."

    "OK, da blokkerer jeg ikke den."

 

Så jeg lot ham få holde på. Etter hvert dukket det opp et par suspekte eposter fra nevnte PRTG om "problem med den og den maskinen, click here to resolve". Imponerende godt forsøk, Chris, men jeg har dessverre lært på den harde måten tidligere å IKKE trykke på slike lenker med mindre jeg er bombesikker på at det ikke er problem med dem.

 

Så vidt jeg vet kom han ikke inn den veien. Jeg bruker nginx som front end til diverse tjenester med SSL og et 3 år sertifikat. Det gjør det i det minste noe vanskeligere…

 

 

Den store dagen

En kameramann, en regissør, en programleder og en hacker. Vi tok først en kjapp runde rundt i huset for å se hva det har å by på, og Chris hadde øynene med seg på det han så. Han prøvde seg med "Alexa, unlock the front door", men det har jeg bevisst utelatt.

 

Chris fant selvfølgelig nettverket og kunne helt sikkert hacket det, det er jo kun snakk om datakraft og tid. Men det hadde han ikke nok av med kun en dag til rådighet og en laptop. Istedenfor fikk han demonstrert noe kult. Og skummelt!

 

    "Magnus, sett denne USB-pinnen inn i en datamaskin."

    "Errr…. Ja… OK?"

 

Han HAR jo lovet at han ikke skal ødelegge noe eller lagre noe, og jeg må jo stole på han. Inn i Surfacen'n med den.

 

20170629_113034.jpg

 

WOSH!

 

…. en haug med kommando- og PowerShell-vinduer senere så var den ferdig. Det tok ca. 7-8 sekunder.

"Nå har jeg passordet til det trådløse nettverket ditt."

 

Plutselig har jeg forstått enkelte oljeselskapers paranoide holdning til å fjerne eller ødelegge USB-tilkoblinger på selskapets datamaskiner. Det er jo ikke paranoid i det hele tatt!

 

Chris satte seg i den hvite van'en (som selvfølgelig var godt synlig fra stuevinduet) og jobbet. Vi andre filmet. Etter en time kom Chris inn og satte seg i sofaen, han begynte å gå tom for strøm.

 

Vi spiste pizza til lunsj og Chris var underholdning med noen hacker-historier og tanker om generell datasikkerhet.

20170629_142020.jpg

 

Chris fant som sagt gressklipperen min. "Hmmm, det tøffer et WLAN rundt på plenen hans?" Den hadde jeg ikke gjort en god nok jobb med, jeg hadde fått det satt i dagen før de kom og enda ikke hatt tid til å sjekke det ordentlig. Grensesnittet var i utgangspunktet på tysk, og det var nok litt for åpent. Jeg hadde f.eks. ikke deaktivert gressklipperens eget nettverk. Men det har jeg nå. ;)

 

I tillegg plukket han fra hverandre telefonsentralen, og fant noen passord der. Det burde ikke være mulig å komme seg videre med de passordene, men jeg har nå for sikkerhets skyld byttet alt sammen.

 

Siden det var litt tidsnød denne dagen, så kom ikke Chris lenger, selv med passordet til det trådløse i nettverket: HomeSeer, Netcam Studio, etc er passordbeskyttet også fra innsiden. For å lage litt god TV, fikk Chris tilgang til HomeSeer og kameraene, og derfor hadde han jo full tilgang for å vise noe stilig til NRK. På HS-maskinen åpnet jeg brannmuren på port 80 og deaktiverte passord-beskyttelsen for lokal tilgang. Det er ikke mulig i NetCam Studio, så han måtte få brukernavn/passord. Så skrev jeg en påminnelse til meg selv i kalenderen om å bytte passord og aktivere brannmuren igjen den kvelden... ;) 

 

20170629_143740.jpg

 

Chris og crewet satte seg i bilen og filmet. Jeg ble sittende som en statist i sofaen. Etter det skjedde det ikke så mye for min del, utenom oppsummeringen.

 

Chris fant som sagt en detalj som vi tar med HomeSeer Tech. Regner med jeg kan publisere den om ikke så lenge. Gressklipperen var på tidspunktet dessverre ikke særlig beskyttet, og telefonien har blitt forbedret (og skal snart byttes ut med noe som gjør mer mtp. sikkerhet). Du kan lese Chris sin mer tekniske beskrivelse her(Saken har også blitt omtalt av Teknisk Ukeblad og DinSide, sistnevnte mener jeg er noe mer negativt fremstilt enn den burde ha vært.)

 

Det ble påpekt gang på gang viktigheten av å prøve å ha kontroll på alt dette utstyret som vi putter inn i våre hjem, og det gjelder jo absolutt ikke bare oss smarthusentusiaster!

Man kan ikke bare koble noe mot internett og håpe at det går bra. TA FORHÅNDSREGLER!

 

I ukene før besøket hadde jo bl.a. WannaCry herjet datamaskiner verden over, og for meg ble det en solid tankevekker å få beskjeder som "Bra, Magnus! Du har oppdatert Windows, ellers hadde jeg nå vært inne i maskinen". For helt ærlig: Hvem har vel ikke tenkt "Det passer jo ikke akkurat nå å kjøre Windows Update, jeg venter litt jeg..."

 

Så jeg oppsummerer som Chris gjorde:

  1. Ha lange, gode passord. Setninger er bra!
  2. Bytt standardpassord på nye dingser.
  3. Hold alle enhetene dine oppdatert!

 

 

Alt i var det en spennende opplevelse! Takk for besøket! :) 

 

20170629_160606.jpg

 

  • Like 12
  • Thanks 2
  • Haha 1

50 kommentarer


Anbefalte kommentarer



7 minutter siden, sirtommen skrev:

Men ett spørsmål, hvorfor har du PRTG tilgjenglig fra utsiden?

"Fordi jeg kan".

 

Nei, seriøst. Fordi det er hendig å sjekke når man er på farten.

Lenke til kommentar

Til det kjører jeg openVPN :) men nå har jo du fått sjekket din av en hacker, så du kan vel stole på den noen dager til ;)

 

 

  • Like 1
Lenke til kommentar
11 timer siden, maarstad skrev:

Det hadde vært interessant å lese mer om hvilke tiltak du har gjort for å sikre nettet ditt.

Ja, jeg må skrive om det. Det er ikke veldig vanskelig, men det var for meg litt knot å finne et oppsett som fungerer. Men den config-filen til nginx kan jeg nå dele uten problemer. :)

 

Dessuten sliter jeg alltid litt med sertifikater, for det er litt dill. Og det går lang tid mellom hver gang det må gjøres, så jeg får det aldri skikkelig inn i fingrene... ;) 

  • Like 1
Lenke til kommentar
1 time siden, Moskus skrev:

Dessuten sliter jeg alltid litt med sertifikater, for det er litt dill. Og det går lang tid mellom hver gang det må gjøres, så jeg får det aldri skikkelig inn i fingrene... ;) 

 

Jeg prøvde meg meg med letsencrypt, åpnet bare det som var nødvendig i firewall for at den skulle få bekreftet "eierskap" til domenet. 90 dager gikk og re-autentisering feilet, for da hadde jeg selvsagt "tuklet" med oppsettet i mellomtiden... :( Endte opp med å droppe det, da jeg uansett ikke ønsket å eksponere serveren direkte på WAN og trenger sånn sett ikke noe "public" sertifikat.

 

Nå kjører jeg sertifikater utstedt med pfSense. Har da lagt inn CA-sertifikatet fra den på de enhetene jeg bruker, slik at jeg slipper sånne "selfsigned"-advarsler hver gang (noe som også gjøre det vanskelig å "fange opp" et MiTM-angrep). Synes den løsningen fungerer veldig godt! :) 

Lenke til kommentar

Det jeg sitter igjen med her er mer eller mindre at "en profesjonell hacker klarte ikke å bryte seg inn". Det skumle med den konklusjonen er at jeg føler meg mer trygg nå enn tidligere, og det er det jo ingen grunn til. Jeg er ikke i nærheten av sikkerhetsnivået Magnus har. Så falsk trygghet med andre ord. Lurer på hvor mange andre som bevisst, eller ubevisst, gjør samme mentale kortslutning som jeg merker at jeg gjør... Så jeg merker jo at jeg sympatiserer litt med hvordan programmet var lagt opp. Det er faktisk helt OK at det ble gitt inntrykk av at "hvem som helst med en laptop kan parkere utenfor og begynne å styre lamellene". På grensen til løgn, ja, men på en måte greit "for the greater good" osv.

Lenke til kommentar
15 timer siden, psv021 skrev:

Det jeg sitter igjen med her er mer eller mindre at "en profesjonell hacker klarte ikke å bryte seg inn".

Det er riktig, men mangler en fortsettelse.

 

Hele setningen er nærmest:

Sitat

En profesjonell hacker klarte ikke bryte seg inn gitt den forholdsvis korte tidsfristen.

 

Jeg tror jo Chris på et eller annet tidspunkt ville klart å komme seg inn, men det spørs jo om målet er verdt innsatsen. Det er vel kanskje det viktigste: Gjøre det såpass vanskelig at det ikke er verdt det.

 

15 timer siden, psv021 skrev:

Så jeg merker jo at jeg sympatiserer litt med hvordan programmet var lagt opp. Det er faktisk helt OK at det ble gitt inntrykk av at "hvem som helst med en laptop kan parkere utenfor og begynne å styre lamellene". På grensen til løgn, ja, men på en måte greit "for the greater good" osv.

Det var vel egentlig poenget, ja.

 

Problemet er når folk ikke trekker den slutningen. Istedenfor å tenke "det er viktig å tenke på sikkerheten og beskytte seg tilstrekkelig" så tenker folk "oi, smarthus må man unngå for alt i verden!". Hadde det vært sex det var snakk om, så ville den første vurderingen vært det mest opplaget for folk flest. Men siden det er snakk om "farlig teknologi" så er det skummelt og noe man må holde seg borte fra.

 

Lenke til kommentar

Hva er lurt å tenke på egentlig?

 

Jeg kjører HS på en Win 7 virtuell maskin med automatiske oppdateringer, hosten kjører Windows 10 med oppdateringer, bruker kun Windows brannmur på den virtuelle maskinen, ingen egen antivirus (rett og slett fordi jeg aldri brukt den mot nettet som en browser).

Hosten kjører innebygget beskyttelse.

 

Passord på både PC og HS er bra (setninger)

Brannmur i sentralen fra Altibox også, ingen porter åpnet mot wan.

Deaktivert same network i HS (så man må logge inn uansett)

 

Andre ting som er lurt å gjøre?

 

Lenke til kommentar
6 minutter siden, Actibus skrev:

Andre ting som er lurt å gjøre?

 

Kryptere kommunikasjonen mot HS.

Brannmurene bør være restriktive på hvem de tillater RDP (og annen fjernadministrasjon) fra.

Lenke til kommentar
2 minutter siden, Actibus skrev:

SSL mot HS tenker du på? 

Og hvordan kan man begrense rdp, IP adresse?

 

Helst TLS, SSL er jo ikke så trygt lengre...

Ja, med IP-adresse i Windows Firewall. F.eks at bare din PC kan RDPe og logge på HS-webgrensesnittet f.eks. Hvis noen kommer seg inn på nettet ditt da, så kommer de likevel ikke videre, uten å vite at de faktisk må "overta" din IP for å få tilgang.

Lenke til kommentar

... og bruker man f.eks. IFTTT, LogMeIn, TeamViewer, etc, så skru på to-faktor autentisering. Gjør det samme for eposten din. NÅ i dag!

  • Like 1
Lenke til kommentar

Hmm, ser ikke noe valg for TSL i HS, kun SSL?

Har 2 faktor på de tjenestene som tilbyr det?

Endret av Actibus
Lenke til kommentar
17 minutter siden, Actibus skrev:

Hmm, ser ikke noe valg for TSL i HS, kun SSL?

Har 2 faktor på de tjenestene som tilbyr det1f44d.png

HomeSeer sin egen kryptering kan du heller ikke bruke, for den er ikke god.

Du bør heller sikte på å sette opp nginx som en frontend.

  • Like 1
Lenke til kommentar

Hvordan fungerer det? Ikke vært borti ngix før, tar den over som webserver for HS?

Har brukt litt Wamp (Apache) tidligere

Lenke til kommentar
46 minutter siden, Actibus skrev:

Hvordan fungerer det? Ikke vært borti ngix før, tar den over som webserver for HS?

 

Nginx blir stående foran som en proxy og videresender all trafikk til HS3 på localhost. :) 

Lenke til kommentar
8 hours ago, Moskus said:

HomeSeer sin egen kryptering kan du heller ikke bruke, for den er ikke god.

 

Var dette noe av det dere rapportere videre til HomeSeer folka? Fant han som var hos deg et reellt problem i HS3 som andre burde vite om?

Lenke til kommentar

Kan man i deaktivere HS sin webserver og kun basere seg på myHS? Vil det være tryggere enn å kjøre HS lokalt uten kryptering?

Virker som endel jobb å sette opp ngix

 

Lenke til kommentar
39 minutter siden, Actibus skrev:

Kan man i deaktivere HS sin webserver og kun basere seg på myHS? Vil det være tryggere enn å kjøre HS lokalt uten kryptering?

Virker som endel jobb å sette opp ngix

 

 

Både og. Blir HS hacket på noe vis, så er det jo fri adgang. Men, kryptert er det jo (uten at jeg vet hva slags). 

 

Nginx er ikke så komplisert som det høres ut som. :) 

Lenke til kommentar
På ‎12‎.‎10‎.‎2017 den 22.30, Gjelsvik skrev:

Var dette noe av det dere rapportere videre til HomeSeer folka? Fant han som var hos deg et reellt problem i HS3 som andre burde vite om?

Feilen som ble funnet er rapportert videre.

 

Den elendige SSL/TLS-støttten vet de om for lengst, men har til nå ikke vært noe de har prioritert siden "dere har jo myHS for kryptert tilgang". Men HomeSeer selger jo mye i USA på at de ikke er koblet til en sky, så jeg tror de har funnet ut at de må gjøre noe med det.

 

Problemet de har er at HS sin innebygde webserver ikke akkurat er nymoderne lenger. Personlig håper jeg de går over til .NET Core.

 

 

13 timer siden, Actibus skrev:

Kan man i deaktivere HS sin webserver og kun basere seg på myHS? Vil det være tryggere enn å kjøre HS lokalt uten kryptering?

Virker som endel jobb å sette opp ngix

Det er faktisk ganske enkelt. Jeg har tenkt å lage en kjapp guide for det.

  • Like 2
Lenke til kommentar
På 14.10.2017 den 8.55, Moskus skrev:

Det er faktisk ganske enkelt. Jeg har tenkt å lage en kjapp guide for det.

 

Hei,

 

Har du laget en guide for dette enda? Skal i gang med min første installasjon av HS, og tenker at det kan være greit å ha en sikker installasjon fra starten av :)

Lenke til kommentar

Gjest
Skriv en kommentar...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.