Gå til innhold
  • Bli medlem

Smånytt

  • blogginnlegg
    14
  • kommentarer
    172
  • visninger
    4 367

FBI hacker deg - Behind the scenes

Moskus

visninger

20170628_182306.jpg.eeb54a926dda5adfec0bf5a71e1c39b9.jpg

 

En hacker i sofaen er bedre enn 10 i en hvit van på utsiden av huset.

 

Forbrukerinspektørene var på besøk, og resultatet gikk på lufta onsdag 4. oktober kl. 19:45. Det var en veldig engasjert gjeng som var her, og det var bortimot umulig å ikke la seg rive med av iveren til programleder Stian Kallekleiv. :) 


Det som gikk på TV er imidlertid den "fjernsynsvennlige varianten" etter mitt syn, altså for folk flest. Det skjedde ikke nødvendigvis helt slik, selvfølgelig. Men det som egentlig skjedde var minst like interessant! ;) 

 

Det begynte med en telefonsamtale en onsdag i slutten av juni. Ikke helt ordrett, men omtrentlig slik:

    "Hei, det er Stian Kallekleiv fra Forbrukerinspektørene, og jeg vil gjerne komme på besøk".

    "Hei, det må du vel få lov til."

 

Det har jo vært et par journalister på besøk tidligere, så det hørtes jo ikke så skummelt ut. Det verste med det er at man må rydde huset så veldig…

    "Og jeg hadde tenkt å ta med meg en hacker".

    "Øh… jaha?"

    "Ja, for å se om du har noen dubbeditter som det er enkelt å få tilgang til".

 

Jeg måtte tenke på det.

 

Det er en ting å være klar over at selv om man har gjort en del med tanke på sikkerhet, så har det en kalkulert risiko å legge huset sitt på nettet. Men det er en annen ting å få noen til å gå løs på det for å publisere sine resultater på NRK!

 

Til slutt var det egentlig nysgjerrigheten som tok overhånd, samt at en tanke om at "det hadde jo faktisk vært kjekt å få systemet gjennomgått av eksperter". Chris Dale fra Netsecurity tok kontakt og forsikret meg både skriftlig og muntlig om at det han eventuelt fant ikke ble lagret noe sted, og alt han hadde fått da han kom på besøk ble slettet før han forlot byen. Han gav i det hele tatt et profesjonelt og kompetent inntrykk. :) 

 

 

Angrep via Internett

Mandagen begynte PRTG å melde om høy aktivitet på diverse tjenester, bl.a. om gjentatte innloggingsforsøk på PRTG selv. Vanligvis når dette skjer så er det å blokkere en IP eller en range som typisk er fra Russland, Kina eller USA. Denne var imidlertid fra Telenor.

 

    "Chris, er dette deg?"

    "Ja, det er meg."

    "OK, da blokkerer jeg ikke den."

 

Så jeg lot ham få holde på. Etter hvert dukket det opp et par suspekte eposter fra nevnte PRTG om "problem med den og den maskinen, click here to resolve". Imponerende godt forsøk, Chris, men jeg har dessverre lært på den harde måten tidligere å IKKE trykke på slike lenker med mindre jeg er bombesikker på at det ikke er problem med dem.

 

Så vidt jeg vet kom han ikke inn den veien. Jeg bruker nginx som front end til diverse tjenester med SSL og et 3 år sertifikat. Det gjør det i det minste noe vanskeligere…

 

 

Den store dagen

En kameramann, en regissør, en programleder og en hacker. Vi tok først en kjapp runde rundt i huset for å se hva det har å by på, og Chris hadde øynene med seg på det han så. Han prøvde seg med "Alexa, unlock the front door", men det har jeg bevisst utelatt.

 

Chris fant selvfølgelig nettverket og kunne helt sikkert hacket det, det er jo kun snakk om datakraft og tid. Men det hadde han ikke nok av med kun en dag til rådighet og en laptop. Istedenfor fikk han demonstrert noe kult. Og skummelt!

 

    "Magnus, sett denne USB-pinnen inn i en datamaskin."

    "Errr…. Ja… OK?"

 

Han HAR jo lovet at han ikke skal ødelegge noe eller lagre noe, og jeg må jo stole på han. Inn i Surfacen'n med den.

 

20170629_113034.jpg

 

WOSH!

 

…. en haug med kommando- og PowerShell-vinduer senere så var den ferdig. Det tok ca. 7-8 sekunder.

"Nå har jeg passordet til det trådløse nettverket ditt."

 

Plutselig har jeg forstått enkelte oljeselskapers paranoide holdning til å fjerne eller ødelegge USB-tilkoblinger på selskapets datamaskiner. Det er jo ikke paranoid i det hele tatt!

 

Chris satte seg i den hvite van'en (som selvfølgelig var godt synlig fra stuevinduet) og jobbet. Vi andre filmet. Etter en time kom Chris inn og satte seg i sofaen, han begynte å gå tom for strøm.

 

Vi spiste pizza til lunsj og Chris var underholdning med noen hacker-historier og tanker om generell datasikkerhet.

20170629_142020.jpg

 

Chris fant som sagt gressklipperen min. "Hmmm, det tøffer et WLAN rundt på plenen hans?" Den hadde jeg ikke gjort en god nok jobb med, jeg hadde fått det satt i dagen før de kom og enda ikke hatt tid til å sjekke det ordentlig. Grensesnittet var i utgangspunktet på tysk, og det var nok litt for åpent. Jeg hadde f.eks. ikke deaktivert gressklipperens eget nettverk. Men det har jeg nå. ;)

 

I tillegg plukket han fra hverandre telefonsentralen, og fant noen passord der. Det burde ikke være mulig å komme seg videre med de passordene, men jeg har nå for sikkerhets skyld byttet alt sammen.

 

Siden det var litt tidsnød denne dagen, så kom ikke Chris lenger, selv med passordet til det trådløse i nettverket: HomeSeer, Netcam Studio, etc er passordbeskyttet også fra innsiden. For å lage litt god TV, fikk Chris tilgang til HomeSeer og kameraene, og derfor hadde han jo full tilgang for å vise noe stilig til NRK. På HS-maskinen åpnet jeg brannmuren på port 80 og deaktiverte passord-beskyttelsen for lokal tilgang. Det er ikke mulig i NetCam Studio, så han måtte få brukernavn/passord. Så skrev jeg en påminnelse til meg selv i kalenderen om å bytte passord og aktivere brannmuren igjen den kvelden... ;) 

 

20170629_143740.jpg

 

Chris og crewet satte seg i bilen og filmet. Jeg ble sittende som en statist i sofaen. Etter det skjedde det ikke så mye for min del, utenom oppsummeringen.

 

Chris fant som sagt en detalj som vi tar med HomeSeer Tech. Regner med jeg kan publisere den om ikke så lenge. Gressklipperen var på tidspunktet dessverre ikke særlig beskyttet, og telefonien har blitt forbedret (og skal snart byttes ut med noe som gjør mer mtp. sikkerhet). Du kan lese Chris sin mer tekniske beskrivelse her(Saken har også blitt omtalt av Teknisk Ukeblad og DinSide, sistnevnte mener jeg er noe mer negativt fremstilt enn den burde ha vært.)

 

Det ble påpekt gang på gang viktigheten av å prøve å ha kontroll på alt dette utstyret som vi putter inn i våre hjem, og det gjelder jo absolutt ikke bare oss smarthusentusiaster!

Man kan ikke bare koble noe mot internett og håpe at det går bra. TA FORHÅNDSREGLER!

 

I ukene før besøket hadde jo bl.a. WannaCry herjet datamaskiner verden over, og for meg ble det en solid tankevekker å få beskjeder som "Bra, Magnus! Du har oppdatert Windows, ellers hadde jeg nå vært inne i maskinen". For helt ærlig: Hvem har vel ikke tenkt "Det passer jo ikke akkurat nå å kjøre Windows Update, jeg venter litt jeg..."

 

Så jeg oppsummerer som Chris gjorde:

  1. Ha lange, gode passord. Setninger er bra!
  2. Bytt standardpassord på nye dingser.
  3. Hold alle enhetene dine oppdatert!

 

 

Alt i var det en spennende opplevelse! Takk for besøket! :) 

 

20170629_160606.jpg

 



45 kommentarer


Anbefalte kommentarer



1 minutt siden, Doccy skrev:

Har du laget en guide for dette enda? Skal i gang med min første installasjon av HS, og tenker at det kan være greit å ha en sikker installasjon fra starten av :)

 

@Moskus er så opptatt med å lage plugins at det blir ikke så mange guider... ;):P 

 

Jeg har skrevet en guide på det, riktignok for Linux:

 

Ellers ser det ut til at TLS skal være støttet i en av de siste Beta-versjonene til HS, men vet ikke om noen her har testet det. 

Del denne kommentaren


Lenke til kommentar

Har noen gjort seg noen tanker rundt det å sikre Homeseer fra en "ondsinnet" remote-plugin?

 

Satte meg ned for å prøve meg på å lage min egen plugin og det slo meg plutselig at Homeseer ikke har noen form for autentisering av "remote-plugins". 

Så med mindre jeg tar veldig feil så er alt som trengs tilgang til lokalnettverket for å kunne kjøre en plugins som kan gjøre mye ugang.

Del denne kommentaren


Lenke til kommentar
1 time siden, Tor-Erik skrev:

Satte meg ned for å prøve meg på å lage min egen plugin og det slo meg plutselig at Homeseer ikke har noen form for autentisering av "remote-plugins". 

Så med mindre jeg tar veldig feil så er alt som trengs tilgang til lokalnettverket for å kunne kjøre en plugins som kan gjøre mye ugang.

 

Mener du at hvis man kjører en remote plugin på en PC med tilgang til homeseer (enten via LAN eller portforwared gjennom ruter), så vil den koble seg til og ha full tilgang til HS? :o 

Del denne kommentaren


Lenke til kommentar
3 minutes ago, ZoRaC said:

 

Mener du at hvis man kjører en remote plugin på en PC med tilgang til homeseer (enten via LAN eller portforwared gjennom ruter), så vil den koble seg til og ha full tilgang til HS? :o 

 

Ja, det er det jeg tror.

 

Jeg har ikke testet veldig mye, og det kan være jeg tar helt feil. Plugin prosjektet er basert på https://github.com/sgieseking/HSPI_HikAlarmCheck og jeg kan ikke huske at jeg måte gjøre noe annet enn å sette "server = IpAddress" som kommandolinje argument (det er et par måneder siden jeg opprettet prosjektet).

 

Jeg har bare gjort noen enkle tester (listet ut alle devicer til en fil, og brukt CAPI til å aktivere en knapp), men det for meg ut som om det bare er fantasien som begrenser hva man kan finne på.

 

Så basert på det jeg har funnet vil jeg sterkt anbefale å blokkere port 10400 på serveren (eventuelt slippe gjennom spesifikke IPer dersom man benytter seg av remote plugin funksjonaliteten). Selv kjører jeg HS3 på Ubuntu og bruker UFW til å løse dette. 

Del denne kommentaren


Lenke til kommentar
13 hours ago, Actibus said:

Selv om man har aktivert login for enheter på samme nettverk? 

 

Det endrer ingenting, testet akkurat nå og den innstillingen gjelder bare for nettlesere og HSTouch. 

 

Det er heller ikke dokumentert noen måte for eksterne plugins autentisere seg (ref: https://homeseer.com/support/homeseer/HS3/SDK/default.htm?architecture.htm)

Det er litt merkelig at de ikke har tenkt på dette.

Del denne kommentaren


Lenke til kommentar

Selv ikke innstillingene for tilgang på devicene ser ut til å gjøre noe som helst. Virker på meg som om en Remote Plugin kan sidestilles med en bruker med Admin rettigheter.

Del denne kommentaren


Lenke til kommentar

Og du har ikke installert noen av filene til plugin lokalt i tillegg?

 

Ville sendt en epost til support!

Del denne kommentaren


Lenke til kommentar
On 20/10/2018 at 15:13, ZoRaC said:

Og du har ikke installert noen av filene til plugin lokalt i tillegg?

 

Ville sendt en epost til support!

 

Det tok litt tid, men jeg fikk omsider sendt en e-post til support. Svaret jeg fikk var ikke helt det jeg hadde håpet:

 

Quote

You are correct, but if someone has access to your home network you have other issues!

This has been this way for the last 10 years and you are the first to voice a concern. I will make a note and see if anyone else notes this type of concern.

Note that other HA systems have the same issue, many allow for local connections without authorization.

-Rich

 

Så det virker som om dette ikke er et "problem", og noe vi må løse selv. ಠ_ಠ

 

Hadde vel håpet at de ville vise litt mer interesse for å gjøre noe med dette.... 

Heldigvis er dette foreløpig et ganske hypotetisk angrepsvinkel.

Del denne kommentaren


Lenke til kommentar

Dette er jo bare tull, det har vært diskutert på HS-forumet også. Men HS har i utgangspunktet den holdningen at HomeSeer skal være tilgjengelig internt på nettverket, for det senker brukerterskelen. Og jeg ser poenget. Husk at den absolutt store majoriteten av brukere er amerikanere som IKKE er datafolk. HomeSeer sin største konkurrent er ikke at folk bruker Home Assistant istedenfor, det er at de ikke bruker noe i det hele tatt...

 

Hvis du vil være 100% sikker må du gjøre det selv, ja. Men det er bare å sperre porter på HS-maskinen (dvs kun åpne de du MÅ åpne).

Del denne kommentaren


Lenke til kommentar

Helt enig i at dette ikke er spesielt vanskelig å sikre seg mot. Men jeg da først oppdaget dette brukte jeg en hel kveld på å søke etter informasjon, og jeg fant ingenting. Kan bare anta at jeg ikke brukte riktige søkeord, men jeg fant ikke noe på HS-forumet eller resten av nettet.

 

Når en stor andel av kundene dems ikke er spesielt datakyndige er det enda viktigere at de har klare råd om hvordan man sikrer en HS-server. Det er ekstremt usannsynlig at disse kundene også bruker Wi-Fi nett som potensielt kan hackes på kort tid.

 

Har de vist om dette i mange år er det rart at det ikke finnes en enkel checkbox som skrur av remote plugins.

Eller at remote plugins må whitelistes i HS før de fungerer. 

Spesielt når det allerede er innstillinger for å deaktivere ting som ASCII og JSON fjernstyring.

Del denne kommentaren


Lenke til kommentar
På 15.11.2018 den 23.14, Tor-Erik skrev:

Når en stor andel av kundene dems ikke er spesielt datakyndige er det enda viktigere at de har klare råd om hvordan man sikrer en HS-server.

Det har dem: "Bruk MyHS".

 

På 15.11.2018 den 23.14, Tor-Erik skrev:

Det er ekstremt usannsynlig at disse kundene også bruker Wi-Fi nett som potensielt kan hackes på kort tid.

De har også vinduer som kan knuses...

Del denne kommentaren


Lenke til kommentar
2 minutter siden, Moskus skrev:

Det har dem: "Bruk MyHS".

 

De har også vinduer som kan knuses...

Nei nei. Den tilnærmingen til IT sikkerhet er feil.

"Hvorfor skal noen gidde hacke meg?"

Del denne kommentaren


Lenke til kommentar
37 minutter siden, sirtommen skrev:

Nei nei. Den tilnærmingen til IT sikkerhet er feil.

"Hvorfor skal noen gidde hacke meg?"

Ikke uenig i det. Men man nå tenkte på den praktiske verden også: Hva er mest sannsynlig? At noen bryter seg inn via et vindu eller at noen hacker det trådløse nettverket ditt, finner HS3 og åpner ytterdøra den veien?

Del denne kommentaren


Lenke til kommentar
8 minutter siden, Moskus skrev:

Ikke uenig i det. Men man nå tenkte på den praktiske verden også: Hva er mest sannsynlig? At noen bryter seg inn via et vindu eller at noen hacker det trådløse nettverket ditt, finner HS3 og åpner ytterdøra den veien?

Hvis det kun er innbrudd man er redd for så hjelper det jo tyven å kunne deaktivere alarmen og evt slå av opptak av kamera.

Men for de som kjører alarm på 433 og 868mhz så trenger man vel strengt tatt ikke noe mer enn en jammer for å komme seg inn uten en lyd :)

 

Men som med det meste. Man legger så mye tid og penger i det som man ønsker. Man kan ikke beskytte seg mot alt, det gjelder bare å beskytte seg mot det som er en reel trussel.

Så bare det å ha passord på det trådløse nettverket vil nok ta bort de aller fleste som prøver :)

Endret av sirtommen

Del denne kommentaren


Lenke til kommentar
17 timer siden, sirtommen skrev:

Så bare det å ha passord på det trådløse nettverket vil nok ta bort de aller fleste som prøver :)

Akkurat. :)

 

Tankegangen: "Det er greit å åpne en port i brannmuren uten passord for det er bare jeg som vet IPen min" holder heller ikke. ;)

Del denne kommentaren


Lenke til kommentar
29 minutter siden, Moskus skrev:

Akkurat. :)

 

Tankegangen: "Det er greit å åpne en port i brannmuren uten passord for det er bare jeg som vet IPen min" holder heller ikke. ;)

Det er noen år siden brannmuren min var portbasert :D

 

Brukernavn og passord hjelper ikke så mye hvis det er sikkerhetshull i softwaren en kjører på innsiden. Bytte port til noe annet enn 80/443 er heller ikke noe poeng i..

Det å slippe noe ut på nett er en stor risiko

Del denne kommentaren


Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×