Tor-Erik

MKR 1010 bruker vel 3.3V på GPIO pinnene og PWM på Noctua vifta er vel egentlig et 5V signal. Hvor god styring får du over PWM? 

Ser på å styre et par vifter selv, men klarer ikke helt å finne ut om det er noe problem/begrensninger ved å bruke 3.3V vs 5V.

Helt enig i at dette ikke er spesielt vanskelig å sikre seg mot. Men jeg da først oppdaget dette brukte jeg en hel kveld på å søke etter informasjon, og jeg fant ingenting. Kan bare anta at jeg ikke brukte riktige søkeord, men jeg fant ikke noe på HS-forumet eller resten av nettet.

Når en stor andel av kundene dems ikke er spesielt datakyndige er det enda viktigere at de har klare råd om hvordan man sikrer en HS-server. Det er ekstremt usannsynlig at disse kundene også bruker Wi-Fi nett som potensielt kan hackes på kort tid.

Har de vist om dette i mange år er det rart at det ikke finnes en enkel checkbox som skrur av remote plugins.

Eller at remote plugins må whitelistes i HS før de fungerer. 

Spesielt når det allerede er innstillinger for å deaktivere ting som ASCII og JSON fjernstyring.

On 20/10/2018 at 15:13, ZoRaC said:

Og du har ikke installert noen av filene til plugin lokalt i tillegg?

 

Ville sendt en epost til support!

Det tok litt tid, men jeg fikk omsider sendt en e-post til support. Svaret jeg fikk var ikke helt det jeg hadde håpet:

Quote

You are correct, but if someone has access to your home network you have other issues!

This has been this way for the last 10 years and you are the first to voice a concern. I will make a note and see if anyone else notes this type of concern.

Note that other HA systems have the same issue, many allow for local connections without authorization.

-Rich

Så det virker som om dette ikke er et "problem", og noe vi må løse selv. ಠ_ಠ

Hadde vel håpet at de ville vise litt mer interesse for å gjøre noe med dette.... 

Heldigvis er dette foreløpig et ganske hypotetisk angrepsvinkel.

Selv ikke innstillingene for tilgang på devicene ser ut til å gjøre noe som helst. Virker på meg som om en Remote Plugin kan sidestilles med en bruker med Admin rettigheter.

13 hours ago, Actibus said:

Selv om man har aktivert login for enheter på samme nettverk? 

Det endrer ingenting, testet akkurat nå og den innstillingen gjelder bare for nettlesere og HSTouch. 

Det er heller ikke dokumentert noen måte for eksterne plugins autentisere seg (ref: https://homeseer.com/support/homeseer/HS3/SDK/default.htm?architecture.htm)

Det er litt merkelig at de ikke har tenkt på dette.

3 minutes ago, ZoRaC said:

 

Mener du at hvis man kjører en remote plugin på en PC med tilgang til homeseer (enten via LAN eller portforwared gjennom ruter), så vil den koble seg til og ha full tilgang til HS?  

Ja, det er det jeg tror.

Jeg har ikke testet veldig mye, og det kan være jeg tar helt feil. Plugin prosjektet er basert på https://github.com/sgieseking/HSPI_HikAlarmCheck og jeg kan ikke huske at jeg måte gjøre noe annet enn å sette "server = IpAddress" som kommandolinje argument (det er et par måneder siden jeg opprettet prosjektet).

Jeg har bare gjort noen enkle tester (listet ut alle devicer til en fil, og brukt CAPI til å aktivere en knapp), men det for meg ut som om det bare er fantasien som begrenser hva man kan finne på.

Så basert på det jeg har funnet vil jeg sterkt anbefale å blokkere port 10400 på serveren (eventuelt slippe gjennom spesifikke IPer dersom man benytter seg av remote plugin funksjonaliteten). Selv kjører jeg HS3 på Ubuntu og bruker UFW til å løse dette. 

Har noen gjort seg noen tanker rundt det å sikre Homeseer fra en "ondsinnet" remote-plugin?

Satte meg ned for å prøve meg på å lage min egen plugin og det slo meg plutselig at Homeseer ikke har noen form for autentisering av "remote-plugins". 

Så med mindre jeg tar veldig feil så er alt som trengs tilgang til lokalnettverket for å kunne kjøre en plugins som kan gjøre mye ugang.