Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!

Med smarthuset vidåpent på nett


Anbefalte innlegg

Hei har ikke satt meg selv veldig inn i smarthus/hjemmeautomasjon men jeg har en ganske stor interesse av nettsikkerhet

jeg bruker shodan.io som man kan søke etter ting som ligger åpent på nettet

og etter jeg leste en artikkel på DIGI.no https://www.digi.no/artikler/med-smarthuset-vidapent-pa-nett/458739?key=OR4qL656
 

så har jeg funnet ganske mange steder med Openhab hvor jeg har fulle rettigheter til å styre Lys., vifter, kamera garasje porter osv.

se når bevegelsesensorer sist ble utløst med mer

 

 

jeg går ut i fra at dette er feil at "alle" i verden kan styre huset?
noen av stedene jeg har funnet er Sola, hvittingfoss, haugesund med mer
er veldig lett å finne ut hvor en del av disse er når det er lagt inn kart og adresse

shodan.jpg

et hus.PNG

  • Sad 1
Lenke til kommentar
Del på andre sider

5 timer siden, Vedfinn skrev:

så har jeg funnet ganske mange steder med Openhab hvor jeg har fulle rettigheter til å styre Lys., vifter, kamera garasje porter osv.

Jepp. Du finner også Home Assistant, Domoticz og HomeSeer-installasjoner som er åpne.

 

5 timer siden, Vedfinn skrev:

jeg går ut i fra at dette er feil at "alle" i verden kan styre huset?

At de er synlige i Shodan og er åpne er to forskjellige ting. Heldigvis.

Men mange er ikke passordbeskyttet, slik de BURDE være.

 

Den største trusselen mot smarthus er ikke dårlige passord eller smutthull i programvaren. Det er den i enkelte tilfeller totale mangelen på beskyttelse. :( 

  • Like 2
Lenke til kommentar
Del på andre sider

Dette var interessant.

Jeg regner med at de som har åpne installasjoner ikke engang er klar over det, og enda mindre vet hvordan de kan sikre seg.

Er det mulig å lage en slags prinsippskisse som forklarer hva som *må* være åpent og hva som kun bør være tilgjengelig fra LAN?

Eksempelvis om Home Assistant ligger på en boks bak brannmur med ingen åpne porter fra internett... ?

Hvordan kan man sikre Home Assistant appen tilgang fra Internett nett uten å kompromittere sikkerheten?



Sent from my iPhone using Tapatalk

Lenke til kommentar
Del på andre sider

9 timer siden, Vedfinn skrev:

jeg går ut i fra at dette er feil at "alle" i verden kan styre huset?

 

Ja, de har ikke lest manualen:

Sitat

Security Warning: It is vitally important that you MUST NOT directly expose your openHAB instance to the Internet (e.g. by opening a port in your firewall)!

 

23 minutter siden, Kråkerøymannen skrev:

Er det mulig å lage en slags prinsippskisse som forklarer hva som *må* være åpent og hva som kun bør være tilgjengelig fra LAN?

Eksempelvis om Home Assistant ligger på en boks bak brannmur med ingen åpne porter fra internett... ?

Hvordan kan man sikre Home Assistant appen tilgang fra Internett nett uten å kompromittere sikkerheten?

 

INGENTING, vil jeg si er svaret. Du skal ikke eksponere smarthuset for tilgang fra Internett. Og om du likevel velger å gjøre det så må du sikre det med TLS (HTTPS) og gode passord, samt brannmurregler som bare gir tilgang fra f.eks norske IP-adresser. Det beste er å sette opp en VPN-løsning (sertifikatbasert), f.eks OpenVPN, som man må koble seg til før man kan aksessere smarthuset. 

Lenke til kommentar
Del på andre sider

6 timer siden, Moskus skrev:

At de er synlige i Shodan og er åpne er to forskjellige ting. Heldigvis.

Men mange er ikke passordbeskyttet, slik de BURDE 

Uheldigvis så var var alt for mange av de jeg så uten sikring

Lenke til kommentar
Del på andre sider

En ting er jo hva glade amatører holder på med.

 

Mer skremmende er det at store firmaer ikke beskytter dataene sine bedre. 

Snubla over en MQTT-strøm som inneholdt informasjon om ChaDeMo lader:

 

can/dev/CCU/DC_output_voltage(cV)
can/dev/CCU/Chademo_output_voltage(cV)
can/dev/CCU/Vehicle kwh
can/dev/CCU/charge time
can/dev/CCU/charger state
can/dev/CCU/fpflags
can/dev/CCU/soc
can/dev/CCU/charger error

Og lurer på hva dette er:

can/dev/FrontPanel/ANTI_IDIOT_KEY
Lenke til kommentar
Del på andre sider

11 timer siden, Vedfinn skrev:

Uheldigvis så var var alt for mange av de jeg så uten sikring

Ja, OpenHAB er merkelig nok ikke utstyrt engang med basic authentication. Det er snodig!

 

Alle OpenHAB-brukere bør lese denne:

 

  • Like 1
Lenke til kommentar
Del på andre sider

Var en periode også en del Home Assistant brukere også som kjørte rett ut på nett med åpent passord. Så Home Assistant endret så alle må kjøre med brukernavn/passord og med overlegg sette opp config til å kjøre uten hvis man ønsker det.

Var også flere som hadde porten til Samba share åpnet på router og uten passord. Når de så ble "hacket" klagde de på forumene der. Var de selv som verken hadde lest det som står eller egentlig hadde peiling på hva de gjorde. 

Så openhab burde gjøre det samme, siden mange brukere må bli tvunget til å bruke passord siden de ikke tenker selv virker det som ?

Lenke til kommentar
Del på andre sider

Dette er eit viktig og interessant tema. Sjølv tenker eg frå eit sikkerhetsperspektiv at ingenting bør vera tilgjengelig utanfor heimen. Men for bekvemmeligheten sin del er det veldig greit å ha det tilgjengelig. Som eit minimum må det vera passordbeskytta. 

 

Eg har ikkje bestemt meg for kor eg skal legge lista for min egen del. Eg vurderer å sette opp VPN på ruteren og koble telefonen mot den, slik at telefonen alltid er på innsida. 

  • Like 1
Lenke til kommentar
Del på andre sider

Å ikke å mulighet til å nå systemet utenfra virker veldig begrenset.  Men man må ha kontroll på hva man gjør og er ikke noe problem å sikre det godt nok, selv uten bruk av VPN. Men man må hvite hvilke porter man åpner, at det er sikret og bruke https. Også lurt å bruke 2 faktor autentisering på Home Assistant. 

 

På siste versjon 0.90 har man også mulighet til å skru på Remote Control hvis man abonnerer på skytjenesten/Nabu Casa. Enkleste måte for trygg remote tilgang utenfra for de som ikke er så dreven på oppsett av sertifikat/https, åpne porter osv. 

Endret av Dennis87
Lenke til kommentar
Del på andre sider

Når det gjelder samba sharet til Home-Assistant mener jeg å huske at en del mener å ha satt passord, men fått configen nullstilt og dermed blitt utvitende utsatt.

 

Sikkerhet er viktig, og jeg tar mine forhåndsregler, men det gjelder å finne en mellomting mellom brukervennlighet og sikkerhet.

Stort sett er det lite reel skade HA-systemet mitt kan gjøre, det værste ville vel vært å sprenge høyttalerne på stereoanlegget i stua.

 

Men det kan jo være et steg inn på LAN-et..

Endret av Evelen
Lenke til kommentar
Del på andre sider

Når det gjelder samba sharet til Home-Assistant mener jeg å huske at en del mener å ha satt passord, men fått configen nullstilt og dermed blitt utvitende utsatt.
 
Sikkerhet er viktig, og jeg tar mine forhåndsregler, men det gjelder å finne en mellomting mellom brukervennlighet og sikkerhet.
Stort sett er det lite reel skade HA-systemet mitt kan gjøre, det værste ville vel vært å sprenge høyttalerne på stereoanlegget i stua.
 
Men det kan jo være et steg inn på LAN-et..
Det var vel også snakk om at sambasharet lå åpent mot internet pga Upnp? Høres utrolig ut, men...

Slår dere av Upnp i ruteren? Upnp må jo være verdens "farligste" tjeneste, men tror man er avhengig av å ha den påslått for å få fullt utbytte av Chromecast...

Sent fra min BLA-L29 via Tapatalk

Lenke til kommentar
Del på andre sider

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Skriv svar til emnet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.