Sonoff Supla do otwierania domu - bezpieczne?

User avatar
dawidd
Posts: 432
Joined: Tue Dec 19, 2017 12:45 pm

Fri Dec 22, 2017 7:50 am

Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
User avatar
fracz
Posts: 1570
Joined: Fri Oct 28, 2016 10:56 pm
Location: Rybna

Fri Dec 22, 2017 9:38 am

Dokładamy wszelkich starań by zminimalizować takie zagrożenia.
Sibikk
Posts: 298
Joined: Mon Nov 07, 2016 12:42 pm
Location: Katowice

Fri Dec 22, 2017 10:05 am

Jak to głosi klasyk :D

Code: Select all

" Najbardziej zawodne zabezpieczenie IT znajduje się między krzesłem a klawiaturą"  
User avatar
maffiu
Posts: 485
Joined: Wed Nov 30, 2016 9:30 pm
Location: Kraków/Skawina

Fri Dec 22, 2017 10:15 am

Jeśli ktoś myśli ze zamki na klucz sa bezpieczne to powodzenia :)
User avatar
fracz
Posts: 1570
Joined: Fri Oct 28, 2016 10:56 pm
Location: Rybna

Fri Dec 22, 2017 10:42 am

Też miałem podobną rozkminę jakiś czas temu. Potem głupi pilot do bramy mi się w kieszeni przez przypadek wcisnął i dobrze że popatrzyłem w lusterko jak odjeżdżałem. Supla nigdy mi takiego psikusa nie zrobiła, co więcej, dzięki niej się już nie wracałem tylko sobie już z drogi bramę zamknąłem :-D

Na radiu się nie znam, ale wyobrażam sobie że można sygnał z pilota nagrać i powtórzyć jak już się oddalisz od domu.

Protokół komunikacji smartfona z serwerem i potem dalej serwera z urządzeniami końcowymi jest szyfrowany TLSem (popraw mnie @pzygmunt jeśli się mylę) co uniemożliwia podobny atak w postaci powtarzania żądań i innych, podobnych ataków MitM polegających na "podsłuchaj i zrób coś podłego" albo "podszyj się pod serwer".

Obecnie największym zagrożeniem jest zagubienie smartfona lub podglądnięcie przez niepożądaną osobę haseł do identyfikatorów dostępu w Cloud. W ostatniej wersji jednak znacznie utrudniliśmy już rejestrację smartfonów bez zgody użytkownika (włączanie i wyłączanie rejestracji urządzeń) a docelowo mamy w planach wprowadzić całkowitą weryfikację rozkazów wysyłanych od smartfona do urządzenia tak, by nawet administrator obsługujący Clouda nie miał możliwości mieszania w stanie urządzeń - aktualnie jest to możliwe. Temat był poruszany a pomysł dokładnie opisywany na forum.

Pozostaje Cloud API, któe jest dołożone jako kolejna możliwość sterowania urządzeniami, ale tu też mamy oczywiście SSL i autentykację po dodatkowym koncie OAuth2. Hasła użytkowników są hashowane blowfishem (184bit), 10 iteracji. Gorzej jest z hasłami do API bo tu ze względów wydajnościowych są tylko 4 iteracje, ale już jest pomysł jak to usprawnić. Dodam tylko że do wersji v2.0.1 hasła były przez niedopatrzenie hashowane za pomocą algorytmu MD5, w którym niestety wygenerowanie kolizji zajmuje na przeciętnym sprzęcie kilka minut. Pisaliśmy o tym na forum. Do spraw bezpieczeństwa podchodzimy na prawdę poważnie.

Jeśli nastąpiłaby kradzież danych z clouda czego nie da się wykluczyć, to przy założeniu że jesteś rozsądnym człowiekem i oprócz nakładanego przez nas ograniczenia min. 8 znaków na hasło użyłeś ich 10 i pojawiła się tam duża, mała literka, cyfra i znak specjalny i nie jest to słowo ze słownika to złamanie Twojego hasła offline może zająć nawet 20 lat na jednym porządnym GPU. Oczywiście jak komuś zależy bardzo to może sobie wynająć na kilka dni jakiegoś potwora na amazonie za odpowiednią liczbę $$$ i to złamać w dużo krótszym czasie. Morał z tego taki że jak masz w domu obraz Leonarda da Vinci: Dama z Wielkim Cycem, to tak, masz rację, nie dawaj sonoffa do bramy wejściowej. Powyższe oszacowanie na podstawie tego kalkulatora.
User avatar
shimano73
Posts: 890
Joined: Sun Feb 28, 2016 12:27 pm
Location: Orzesze

Fri Dec 22, 2017 11:38 am

Temat zabezpieczeń jest bardzo szeroki , są zamki i zamki . Jeden da się otworzyć wytrychem a inny laską dynamitu . Zapewne każdy da się otworzyć , historia głosi iż nowy typ zamka kupuje złodziej aby go rozpracować , ale na wszystko potrzeba czasu. Przekonałem się o tym na własnej skórze gdy nie dało się wejść do domu . Posiadam wkładki pewnej firmy , na tyle dobrej ze nie dało się jej rozwiercić. Zajmował się tym licencjonowany „włamywacz” i gdyby nie to iż wkładka wystawała 1cm i dało się ja złamać , to musielibyśmy wybić okno 3 szybowe. Dziś są takie których nie da się złamać .
Podobnie jest z zabezpieczeniami elektronicznymi inne są w domu inne w banku a inne w Pentagonie. Jedne są do obejścia a inne trudniej.
Najsłabszym ogniwem w zabezpieczeniach jest ... człowiek , bo to on nie włączył , nie zamknął , nie zabezpieczył .
W elektronice jak nie wiadomo o co chodzi to zwykle chodzi o zasilanie
User avatar
pzygmunt
Posts: 6690
Joined: Tue Jan 19, 2016 9:26 am
Location: Paczków
Contact:

Fri Dec 22, 2017 11:45 am

dawidd wrote:
Fri Dec 22, 2017 7:50 am
Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
Tu masz opisane jak to docelowo będzie działać. Już jest bezpiecznie jak opisał @fracz, a będzie jeszcze bezpieczniej
viewtopic.php?p=11089#p11089
User avatar
dawidd
Posts: 432
Joined: Tue Dec 19, 2017 12:45 pm

Fri Dec 22, 2017 5:05 pm

Dzięki za odpowiedzi.
Pozdrawiam
0xFF
Posts: 308
Joined: Sat Feb 20, 2016 8:54 pm

Fri Dec 22, 2017 5:54 pm

Złodziej nie będzie się zastanawiał czy używasz kluczy 1024 czy 2048 bitowych i ile czasu zajmie ich złamanie.
Wejdzie przez okno w piwnicy.

Jak nie da się złamać zabezpieczenia, to da się go ominąć.
User avatar
maffiu
Posts: 485
Joined: Wed Nov 30, 2016 9:30 pm
Location: Kraków/Skawina

Fri Dec 22, 2017 9:55 pm

ale co tu drążyć jak w zabezpieczeniu drzwi supla najsłabszym punktem są same drzwi już widzę (a wyobraznie mam sporą) jak ktoś hackuje suple po to żeby drzwi się otwarły :lol: po prostu wejdzie z drzwiami lub użyje bumpkey albo innego wynalazku idąc tym tropem to to tak samo można śmignąć np grand cherokee lub inne za prawie pół banki sterowane z telefonu tylko po co się z tym tak pieścić :/
Post Reply