Hacking: "...som å ha en full mann med motorsag i huset"

[Moskus]

2 timer siden, Lazarus skrev:

Samme som med IOT enheter... ingen hull i brannmur...  kun kommunikasjon fra server. den kan ikke snakke ut til internett... eller inn på vanlig lan.

Godt.  

 

Men hvordan?  

 

2 timer siden, Lazarus skrev:

Kjører enda OpenHAB... så kan ta tid 

Kortere tid enn du aner...  

[Lazarus]

2 timer siden, Moskus skrev:

Godt.  

 

Men hvordan?  

Lager en ny bridge, setter opp brannmur til å prosessere alle regler fra bridge interface(ikke IP regel men interface regel) i egen chain.

Deretter lager du en adresseliste over IP-er som kan aksesseres og en adresseliste over IPer som kan aksessere de IPene.

 

Det er en av måtene du kan gjøre det. Jeg skriver om mye av mine egne regler i dag.. så har ikke en eksport å gi deg.

 

Lag ett wifi og ett VLAN og legg til som port i IOT bridge + legg inn vlan på bridge-local som vlan. da kan VM hosten din gi begge nettene til sever, dersom du vil ha server på IOT nett, eller du kan lage en regel for tilgang fra bridge-local til IOTnet. da gjerne med IP filter i tillegg.

 

Dette er muligens en ny sesjon med kjellerarbeid tror jeg. men dersom du vil så kan jeg nok lage en eksport med noe "vasking", når jeg har fått ryddet i reglene mine.

 

Kan være dette er guide materiale... ?

[ZoRaC]

51 minutter siden, Lazarus skrev:

Lager en ny bridge, setter opp brannmur til å prosessere alle regler fra bridge interface(ikke IP regel men interface regel) i egen chain.

Deretter lager du en adresseliste over IP-er som kan aksesseres og en adresseliste over IPer som kan aksessere de IPene.

 

Det er en av måtene du kan gjøre det. Jeg skriver om mye av mine egne regler i dag.. så har ikke en eksport å gi deg.

 

Lag ett wifi og ett VLAN og legg til som port i IOT bridge + legg inn vlan på bridge-local som vlan. da kan VM hosten din gi begge nettene til sever, dersom du vil ha server på IOT nett, eller du kan lage en regel for tilgang fra bridge-local til IOTnet. da gjerne med IP filter i tillegg.

 

Dette er muligens en ny sesjon med kjellerarbeid tror jeg. men dersom du vil så kan jeg nok lage en eksport med noe "vasking", når jeg har fått ryddet i reglene mine.

 

Kan være dette er guide materiale... 

 

Kjører du AP/router med RouterOS?

[Lazarus]

2 minutter siden, ZoRaC skrev:

 

Kjører du AP/router med RouterOS?

Indeed. ?

[ZoRaC]

9 minutter siden, Lazarus skrev:

Indeed. 

 

Vurderer å bytte til "hAp AC" selv. Har en Asus AC68U i dag, med DD-WRT, men er ikke helt fornøyd...

 

Kjører pfSense som router, så trenger bare AP.

 

Er det lett å kjøre flere SSID på hvert sitt VLAN? Tagge fysiske porter med VLAN? Trunk-port? Kan man også sette "isolation-mode" på en SSID, slik at enhetene på det ikke kan kommunisere med hverandre?

Tror det er de egenskapene/funksjonene jeg trenger.  

[Lazarus]

25 minutter siden, ZoRaC skrev:

 

Vurderer å bytte til "hAp AC" selv. Har en Asus AC68U i dag, med DD-WRT, men er ikke helt fornøyd...

Anbefales på det sterkeste. @Moskus kjøpte en av meg for noen måneder siden og jeg tror han er fornøyd enda.

25 minutter siden, ZoRaC skrev:

Er det lett å kjøre flere SSID på hvert sitt VLAN? Tagge fysiske porter med VLAN? Trunk-port? Kan man også sette "isolation-mode" på en SSID, slik at enhetene på det ikke kan kommunisere med hverandre?

Tror det er de egenskapene/funksjonene jeg trenger.  

Ja,Ja,Ja,Ja,Ja... ?

Det kan man.

 

Spørsmålet er vell heller hva den ikke kan...

 

[Moskus]

9 timer siden, ZoRaC skrev:

Vurderer å bytte til "hAp AC" selv. Har en Asus AC68U i dag, med DD-WRT, men er ikke helt fornøyd...

Jeg hadde en Asus AC66U ("Merlin-firmware"), og men ble stadig mindre og mindre fornøyd. Følte at nettverket ble treigere og treigere, også det som var kablet, og at rekkevidden på WLAN ikke var som den burde.

 

Med Mikrotik hAp AC er det en ny verden. Jeg har fjernet WLAN-extenderen for det er ikke bruk for den mer.  

 

 

9 timer siden, Lazarus skrev:

Anbefales på det sterkeste. @Moskus kjøpte en av meg for noen måneder siden og jeg tror han er fornøyd enda.

Absolutt!

 

For de av oss som ikke er så nettverksnerd, så var overgangen fra Asus (som jo holder deg i hånda men begrenser deg) til routerOS en merkbar og tildels litt tung overgang. Og det er mye jeg ikke forstår! Men pokker den er bra.  

[xibriz]

Mine forhåndsregler er som følger:

 

- Oppdaterer software/firmware gjevnlig

- Forskjellig passord på alt

- Bruker ikke skytjenester

- Slipper bare det mest nødvendige inn gjennom brannmuren, og da alltid med SSL/TLS

- Hvis det er utstyr jeg er skeptisk til (IP Kamera etc.) lager jeg en regel i brannmuren slik at de ikke slipper trafikk ut

 

[ZoRaC]

Den 11.1.2017 klokken 8.38, Moskus skrev:

Jeg hadde en Asus AC66U ("Merlin-firmware"), og men ble stadig mindre og mindre fornøyd. Følte at nettverket ble treigere og treigere, også det som var kablet, og at rekkevidden på WLAN ikke var som den burde.

 

Med Mikrotik hAp AC er det en ny verden. Jeg har fjernet WLAN-extenderen for det er ikke bruk for den mer.  

 

 

Absolutt!

 

For de av oss som ikke er så nettverksnerd, så var overgangen fra Asus (som jo holder deg i hånda men begrenser deg) til routerOS en merkbar og tildels litt tung overgang. Og det er mye jeg ikke forstår! Men pokker den er bra.  

 

Da har jeg bestilt en jeg også!

https://www.proshop.no/Router/MikroTik-RB962UiGS-5HacT2HnT-hAP-ac-Router-Uten-traadloest-nettverk/2569165

(Proshop har skrevet at den er uten wifi, men de bekreftet pr telefon at det er feil)

[Alpøy]

Må si meg veldig fornøyd med AC66U og "Merlin firmware", har vært rock solid og leverer de tjenester jeg trenger (NAT,VPN og AP). Hatt det i over et halvt år kanskje.

Endret 12. januar 2017 av Alpøy

[Moskus]

20 minutter siden, Alpøy skrev:

Må si meg veldig fornøyd med AC66U og "Merlin firmware", har vært rock solid og leverer de tjenester jeg trenger (NAT,VPN og AP). Hatt det i over et halvt år kanskje.

Jeg har hatt min siden juli 2013. Men kunne ikke levere alt jeg krevde av den til slutt.

[Lazarus]

1 time siden, ZoRaC skrev:

 

Da har jeg bestilt en jeg også!

https://www.proshop.no/Router/MikroTik-RB962UiGS-5HacT2HnT-hAP-ac-Router-Uten-traadloest-nettverk/2569165

(Proshop har skrevet at den er uten wifi, men de bekreftet pr telefon at det er feil)

Har de begynt å selge mikrotik på Proshop?! og billigere enn de jeg klarer skaffe fra importør!?

 

Jaja.. sånn kan det gå... ?

[ZoRaC]

1 minutt siden, Lazarus skrev:

Har de begynt å selge mikrotik på Proshop?! og billigere enn de jeg klarer skaffe fra importør!?

 

Jaja.. sånn kan det gå... 

 

Jepp.

Jeg tenkte bestille direkte fra distributør (Avantis), men de skulle ha flere hundre mer enn Proshop...  

[Lazarus]

Et øyeblikk siden, ZoRaC skrev:

 

Jepp.

Jeg tenkte bestille direkte fra distributør (Avantis), men de skulle ha flere hundre mer enn Proshop...  

ja.. og dårlige på support er dem også...

[Moskus]

3 minutter siden, Lazarus skrev:

og billigere enn de jeg klarer skaffe fra importør!?

Jævla...  

[ZoRaC]

23 minutter siden, Lazarus skrev:

Har de begynt å selge mikrotik på Proshop?! og billigere enn de jeg klarer skaffe fra importør!?

 

Kanskje de skrur opp prisen, nå som de har innsett at den har flere funksjoner enn de trodde (wifi ) og dermed en større kundegruppe enn en "ren router"...  

[ZoRaC]

Jeg tenker at det er viktig å holde ting oppdatert, men har slitt med å finne en god måte å "følge med" på ny releaser på.

Løste det slik:

 

[Moskus]

IoT-sikkerhet er en ting, og der er det nok en del produsenter som har noen svin på skogen. Og for all del er det viktig å beskytte sitt eget nett og utstyr, om ikke annet er det plagsomt og ubehagelig hvis utenforstående skulle få tilgang til automasjon og kameraer.

 

Men det begynner å bli skikkelig alvorlig når store aktører (som selvfølgelig er mer sannsynlige mål enn en enkeltpeson) roter med sikkerheten, som når Æ's kundedata var tilgjengelige på nett.

[xibriz]

Ikke for å være negativ, men akkurat dette er årsaken til at jeg bruker minst mulig apper.

[psv021]

Rema håndterte den episoden ganske elendig. En privatperson oppdager et kjempehull i Æ, og velger å varsle om dette. Rema går ut og benekter at dette er et problem, og fokuserer på at varsleren har brutt loven. Håper de lærte noe av den episoden. Det var rett og slett smålig oppførsel. Sikkerhetsbruddet skadet merkevaren, men oppførselen til Rema i etterkant skadet etter min mening merkevaren akkurat like mye.

 

Det de burde gjort:

1) Umiddelbart stenge sikkerhetshullet

2) Informere om at det var et sikkerhetshull, gjerne forsikre om at det ikke var noe problem, men også informere om at hullet nå er stengt.

3) Berømme og belønne varsleren!

 

Det virker jo nesten som om Rema syntes det var negativt at varsleren fant sikkerhetshullet!

[xibriz]

Veldig enig.  Jeg kan ikke huske å ha lest om en White Hat som blir beskyldt for å gjøre noe ulovlig før. 

 

Det resulterer bare i at han kanskje neste gang lar være å varsle, og da blir resultatet kanskje mye værre.

Endret 5. februar 2017 av xibriz
Leif

[Tore Andre Rosander]

3 hours ago, xibriz said:

Veldig enig.  Jeg kan ikke huske å ha lest om en White Hat som blir beskyldt for å gjøre noe ulovlig før. 

 

Det resulterer bare i at han kanskje neste gang lar være å varsle, og da blir resultatet kanskje mye værre.

 

Nja, det er ikke helt whitehat å snoke rundt på andres systemer uten deres godkjenning og du opererer i en gråsone når du i tillegg laster ned data som tilhører og identifiser en uvitende tredjepart. I denne saken blir det det ett spørsmål om formuleringer, han hadde ikke tillatelse til å laste ned data fra andre kunder og lagre dette men samtidig så var systemene relativt åpne, men om inngangsdøra di ikke er låst betyr det at alle fritt har lov å gå inn i huset ditt og bruke det som de vil?
I følge rema har det blitt hentet ut informasjon om 3400 kunder, og det er langt over grensen av hva som er nødvendig for å påvise bristen i sikkerheten.

I bestefall er det snakk om grayhat.

Sett fra en annen side er det også litt sløvt av Rema og andre å kalle dette ett sikkerhetshull, det er ikke ett hull men ett totalt fravær av sikkerhet.
 

[xibriz]

Og snoke rundt er jo en av hovedoppgavene til en hacker. Og når man velger og si ifra om sine funn gjennom de riktige kanalene kan man ta på seg den hvite hatten. 

 

Og ta vare på noen prosent data (mindre en 1% her) som bevis av omfanget ser jeg heller ikke noe problem med. 

 

Hvis inngangsdøren min et åpen har jeg satt pris på å få beskjeden først, kontra at noen delte det på Reddit eller andre kanaler. 

[Tore Andre Rosander]

2 minutes ago, xibriz said:

Og snoke rundt er jo en av hovedoppgavene til en hacker. Og når man velger og si ifra om sine funn gjennom de riktige kanalene kan man ta på seg den hvite hatten. 

 

Og ta vare på noen prosent data (mindre en 1% her) som bevis av omfanget ser jeg heller ikke noe problem med. 

 

Hvis inngangsdøren min et åpen har jeg satt pris på å få beskjeden først, kontra at noen delte det på Reddit eller andre kanaler. 

 

Du går kun under whitehat om du har tillatelse til å snoke rundt på systemet. Organisasjoner som facebook og google gir tillatelse til dette, men har du ikke tillatelsen er det ikke white. 

Og jeg tenker at dersom noen oppdager at inngangsdøra di er åpen og går inn i huset ditt og bruker apparatene dine og tar bilder av deler av huset så ville du ikke uten videre bare takket for beskjeden om at døren var åpen.

Og hvor mange prosent av innholdet han lagret spiller ingen rolle, tallet på 3400 er altfor høyt som ett proof of concept.

" The white hat breaks into systems and networks at the request of their employer or with explicit permission for the purpose of determining how secure it is against hackers, whereas the black hat will break into any system or network in order to uncover sensitive information and for personal gain. The grey hat generally has the skills and intent of the white hat but will break into any system or network without permission. "
 

https://en.wikipedia.org/wiki/Grey_hat

[Moskus]

7 timer siden, Tore Andre Rosander skrev:

Og jeg tenker at dersom noen oppdager at inngangsdøra di er åpen og går inn i huset ditt og bruker apparatene dine og tar bilder av deler av huset så ville du ikke uten videre bare takket for beskjeden om at døren var åpen.

Poenget her er vel at de store aktørene ikke på noen måte vil innrømme at døren var vid åpen hvis man ikke har beviser for det...