Sonoff Supla do otwierania domu - bezpieczne?

Awatar użytkownika
dawidd
Posty: 445
Rejestracja: wt gru 19, 2017 12:45 pm

pt gru 22, 2017 7:50 am

Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
Awatar użytkownika
fracz
Posty: 1832
Rejestracja: pt paź 28, 2016 10:56 pm
Lokalizacja: Rybna

pt gru 22, 2017 9:38 am

Dokładamy wszelkich starań by zminimalizować takie zagrożenia.
Sibikk
Posty: 308
Rejestracja: pn lis 07, 2016 12:42 pm
Lokalizacja: Katowice

pt gru 22, 2017 10:05 am

Jak to głosi klasyk :D

Kod: Zaznacz cały

" Najbardziej zawodne zabezpieczenie IT znajduje się między krzesłem a klawiaturą"  
Awatar użytkownika
maffiu
Posty: 500
Rejestracja: śr lis 30, 2016 9:30 pm
Lokalizacja: Kraków/Skawina

pt gru 22, 2017 10:15 am

Jeśli ktoś myśli ze zamki na klucz sa bezpieczne to powodzenia :)
Awatar użytkownika
fracz
Posty: 1832
Rejestracja: pt paź 28, 2016 10:56 pm
Lokalizacja: Rybna

pt gru 22, 2017 10:42 am

Też miałem podobną rozkminę jakiś czas temu. Potem głupi pilot do bramy mi się w kieszeni przez przypadek wcisnął i dobrze że popatrzyłem w lusterko jak odjeżdżałem. Supla nigdy mi takiego psikusa nie zrobiła, co więcej, dzięki niej się już nie wracałem tylko sobie już z drogi bramę zamknąłem :-D

Na radiu się nie znam, ale wyobrażam sobie że można sygnał z pilota nagrać i powtórzyć jak już się oddalisz od domu.

Protokół komunikacji smartfona z serwerem i potem dalej serwera z urządzeniami końcowymi jest szyfrowany TLSem (popraw mnie @pzygmunt jeśli się mylę) co uniemożliwia podobny atak w postaci powtarzania żądań i innych, podobnych ataków MitM polegających na "podsłuchaj i zrób coś podłego" albo "podszyj się pod serwer".

Obecnie największym zagrożeniem jest zagubienie smartfona lub podglądnięcie przez niepożądaną osobę haseł do identyfikatorów dostępu w Cloud. W ostatniej wersji jednak znacznie utrudniliśmy już rejestrację smartfonów bez zgody użytkownika (włączanie i wyłączanie rejestracji urządzeń) a docelowo mamy w planach wprowadzić całkowitą weryfikację rozkazów wysyłanych od smartfona do urządzenia tak, by nawet administrator obsługujący Clouda nie miał możliwości mieszania w stanie urządzeń - aktualnie jest to możliwe. Temat był poruszany a pomysł dokładnie opisywany na forum.

Pozostaje Cloud API, któe jest dołożone jako kolejna możliwość sterowania urządzeniami, ale tu też mamy oczywiście SSL i autentykację po dodatkowym koncie OAuth2. Hasła użytkowników są hashowane blowfishem (184bit), 10 iteracji. Gorzej jest z hasłami do API bo tu ze względów wydajnościowych są tylko 4 iteracje, ale już jest pomysł jak to usprawnić. Dodam tylko że do wersji v2.0.1 hasła były przez niedopatrzenie hashowane za pomocą algorytmu MD5, w którym niestety wygenerowanie kolizji zajmuje na przeciętnym sprzęcie kilka minut. Pisaliśmy o tym na forum. Do spraw bezpieczeństwa podchodzimy na prawdę poważnie.

Jeśli nastąpiłaby kradzież danych z clouda czego nie da się wykluczyć, to przy założeniu że jesteś rozsądnym człowiekem i oprócz nakładanego przez nas ograniczenia min. 8 znaków na hasło użyłeś ich 10 i pojawiła się tam duża, mała literka, cyfra i znak specjalny i nie jest to słowo ze słownika to złamanie Twojego hasła offline może zająć nawet 20 lat na jednym porządnym GPU. Oczywiście jak komuś zależy bardzo to może sobie wynająć na kilka dni jakiegoś potwora na amazonie za odpowiednią liczbę $$$ i to złamać w dużo krótszym czasie. Morał z tego taki że jak masz w domu obraz Leonarda da Vinci: Dama z Wielkim Cycem, to tak, masz rację, nie dawaj sonoffa do bramy wejściowej. Powyższe oszacowanie na podstawie tego kalkulatora.
Awatar użytkownika
shimano73
Posty: 1096
Rejestracja: ndz lut 28, 2016 12:27 pm
Lokalizacja: Orzesze

pt gru 22, 2017 11:38 am

Temat zabezpieczeń jest bardzo szeroki , są zamki i zamki . Jeden da się otworzyć wytrychem a inny laską dynamitu . Zapewne każdy da się otworzyć , historia głosi iż nowy typ zamka kupuje złodziej aby go rozpracować , ale na wszystko potrzeba czasu. Przekonałem się o tym na własnej skórze gdy nie dało się wejść do domu . Posiadam wkładki pewnej firmy , na tyle dobrej ze nie dało się jej rozwiercić. Zajmował się tym licencjonowany „włamywacz” i gdyby nie to iż wkładka wystawała 1cm i dało się ja złamać , to musielibyśmy wybić okno 3 szybowe. Dziś są takie których nie da się złamać .
Podobnie jest z zabezpieczeniami elektronicznymi inne są w domu inne w banku a inne w Pentagonie. Jedne są do obejścia a inne trudniej.
Najsłabszym ogniwem w zabezpieczeniach jest ... człowiek , bo to on nie włączył , nie zamknął , nie zabezpieczył .
W elektronice jak nie wiadomo o co chodzi to zwykle chodzi o zasilanie
Jak się dziś oddycha https://schimano73.aqi.eco/
https://github.com/shimano73
Awatar użytkownika
pzygmunt
Posty: 8463
Rejestracja: wt sty 19, 2016 9:26 am
Lokalizacja: Paczków
Kontaktowanie:

pt gru 22, 2017 11:45 am

dawidd pisze:
pt gru 22, 2017 7:50 am
Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
Tu masz opisane jak to docelowo będzie działać. Już jest bezpiecznie jak opisał @fracz, a będzie jeszcze bezpieczniej
viewtopic.php?p=11089#p11089
Awatar użytkownika
dawidd
Posty: 445
Rejestracja: wt gru 19, 2017 12:45 pm

pt gru 22, 2017 5:05 pm

Dzięki za odpowiedzi.
Pozdrawiam
0xFF
Posty: 308
Rejestracja: sob lut 20, 2016 8:54 pm

pt gru 22, 2017 5:54 pm

Złodziej nie będzie się zastanawiał czy używasz kluczy 1024 czy 2048 bitowych i ile czasu zajmie ich złamanie.
Wejdzie przez okno w piwnicy.

Jak nie da się złamać zabezpieczenia, to da się go ominąć.
Awatar użytkownika
maffiu
Posty: 500
Rejestracja: śr lis 30, 2016 9:30 pm
Lokalizacja: Kraków/Skawina

pt gru 22, 2017 9:55 pm

ale co tu drążyć jak w zabezpieczeniu drzwi supla najsłabszym punktem są same drzwi już widzę (a wyobraznie mam sporą) jak ktoś hackuje suple po to żeby drzwi się otwarły :lol: po prostu wejdzie z drzwiami lub użyje bumpkey albo innego wynalazku idąc tym tropem to to tak samo można śmignąć np grand cherokee lub inne za prawie pół banki sterowane z telefonu tylko po co się z tym tak pieścić :/
ODPOWIEDZ

Wróć do „Ogólna dyskusja”