Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
Sonoff Supla do otwierania domu - bezpieczne?
Jak to głosi klasyk
Kod: Zaznacz cały
" Najbardziej zawodne zabezpieczenie IT znajduje się między krzesłem a klawiaturą"
Też miałem podobną rozkminę jakiś czas temu. Potem głupi pilot do bramy mi się w kieszeni przez przypadek wcisnął i dobrze że popatrzyłem w lusterko jak odjeżdżałem. Supla nigdy mi takiego psikusa nie zrobiła, co więcej, dzięki niej się już nie wracałem tylko sobie już z drogi bramę zamknąłem
Na radiu się nie znam, ale wyobrażam sobie że można sygnał z pilota nagrać i powtórzyć jak już się oddalisz od domu.
Protokół komunikacji smartfona z serwerem i potem dalej serwera z urządzeniami końcowymi jest szyfrowany TLSem (popraw mnie @pzygmunt jeśli się mylę) co uniemożliwia podobny atak w postaci powtarzania żądań i innych, podobnych ataków MitM polegających na "podsłuchaj i zrób coś podłego" albo "podszyj się pod serwer".
Obecnie największym zagrożeniem jest zagubienie smartfona lub podglądnięcie przez niepożądaną osobę haseł do identyfikatorów dostępu w Cloud. W ostatniej wersji jednak znacznie utrudniliśmy już rejestrację smartfonów bez zgody użytkownika (włączanie i wyłączanie rejestracji urządzeń) a docelowo mamy w planach wprowadzić całkowitą weryfikację rozkazów wysyłanych od smartfona do urządzenia tak, by nawet administrator obsługujący Clouda nie miał możliwości mieszania w stanie urządzeń - aktualnie jest to możliwe. Temat był poruszany a pomysł dokładnie opisywany na forum.
Pozostaje Cloud API, któe jest dołożone jako kolejna możliwość sterowania urządzeniami, ale tu też mamy oczywiście SSL i autentykację po dodatkowym koncie OAuth2. Hasła użytkowników są hashowane blowfishem (184bit), 10 iteracji. Gorzej jest z hasłami do API bo tu ze względów wydajnościowych są tylko 4 iteracje, ale już jest pomysł jak to usprawnić. Dodam tylko że do wersji v2.0.1 hasła były przez niedopatrzenie hashowane za pomocą algorytmu MD5, w którym niestety wygenerowanie kolizji zajmuje na przeciętnym sprzęcie kilka minut. Pisaliśmy o tym na forum. Do spraw bezpieczeństwa podchodzimy na prawdę poważnie.
Jeśli nastąpiłaby kradzież danych z clouda czego nie da się wykluczyć, to przy założeniu że jesteś rozsądnym człowiekem i oprócz nakładanego przez nas ograniczenia min. 8 znaków na hasło użyłeś ich 10 i pojawiła się tam duża, mała literka, cyfra i znak specjalny i nie jest to słowo ze słownika to złamanie Twojego hasła offline może zająć nawet 20 lat na jednym porządnym GPU. Oczywiście jak komuś zależy bardzo to może sobie wynająć na kilka dni jakiegoś potwora na amazonie za odpowiednią liczbę $$$ i to złamać w dużo krótszym czasie. Morał z tego taki że jak masz w domu obraz Leonarda da Vinci: Dama z Wielkim Cycem, to tak, masz rację, nie dawaj sonoffa do bramy wejściowej. Powyższe oszacowanie na podstawie tego kalkulatora.
Na radiu się nie znam, ale wyobrażam sobie że można sygnał z pilota nagrać i powtórzyć jak już się oddalisz od domu.
Protokół komunikacji smartfona z serwerem i potem dalej serwera z urządzeniami końcowymi jest szyfrowany TLSem (popraw mnie @pzygmunt jeśli się mylę) co uniemożliwia podobny atak w postaci powtarzania żądań i innych, podobnych ataków MitM polegających na "podsłuchaj i zrób coś podłego" albo "podszyj się pod serwer".
Obecnie największym zagrożeniem jest zagubienie smartfona lub podglądnięcie przez niepożądaną osobę haseł do identyfikatorów dostępu w Cloud. W ostatniej wersji jednak znacznie utrudniliśmy już rejestrację smartfonów bez zgody użytkownika (włączanie i wyłączanie rejestracji urządzeń) a docelowo mamy w planach wprowadzić całkowitą weryfikację rozkazów wysyłanych od smartfona do urządzenia tak, by nawet administrator obsługujący Clouda nie miał możliwości mieszania w stanie urządzeń - aktualnie jest to możliwe. Temat był poruszany a pomysł dokładnie opisywany na forum.
Pozostaje Cloud API, któe jest dołożone jako kolejna możliwość sterowania urządzeniami, ale tu też mamy oczywiście SSL i autentykację po dodatkowym koncie OAuth2. Hasła użytkowników są hashowane blowfishem (184bit), 10 iteracji. Gorzej jest z hasłami do API bo tu ze względów wydajnościowych są tylko 4 iteracje, ale już jest pomysł jak to usprawnić. Dodam tylko że do wersji v2.0.1 hasła były przez niedopatrzenie hashowane za pomocą algorytmu MD5, w którym niestety wygenerowanie kolizji zajmuje na przeciętnym sprzęcie kilka minut. Pisaliśmy o tym na forum. Do spraw bezpieczeństwa podchodzimy na prawdę poważnie.
Jeśli nastąpiłaby kradzież danych z clouda czego nie da się wykluczyć, to przy założeniu że jesteś rozsądnym człowiekem i oprócz nakładanego przez nas ograniczenia min. 8 znaków na hasło użyłeś ich 10 i pojawiła się tam duża, mała literka, cyfra i znak specjalny i nie jest to słowo ze słownika to złamanie Twojego hasła offline może zająć nawet 20 lat na jednym porządnym GPU. Oczywiście jak komuś zależy bardzo to może sobie wynająć na kilka dni jakiegoś potwora na amazonie za odpowiednią liczbę $$$ i to złamać w dużo krótszym czasie. Morał z tego taki że jak masz w domu obraz Leonarda da Vinci: Dama z Wielkim Cycem, to tak, masz rację, nie dawaj sonoffa do bramy wejściowej. Powyższe oszacowanie na podstawie tego kalkulatora.
Temat zabezpieczeń jest bardzo szeroki , są zamki i zamki . Jeden da się otworzyć wytrychem a inny laską dynamitu . Zapewne każdy da się otworzyć , historia głosi iż nowy typ zamka kupuje złodziej aby go rozpracować , ale na wszystko potrzeba czasu. Przekonałem się o tym na własnej skórze gdy nie dało się wejść do domu . Posiadam wkładki pewnej firmy , na tyle dobrej ze nie dało się jej rozwiercić. Zajmował się tym licencjonowany „włamywacz” i gdyby nie to iż wkładka wystawała 1cm i dało się ja złamać , to musielibyśmy wybić okno 3 szybowe. Dziś są takie których nie da się złamać .
Podobnie jest z zabezpieczeniami elektronicznymi inne są w domu inne w banku a inne w Pentagonie. Jedne są do obejścia a inne trudniej.
Najsłabszym ogniwem w zabezpieczeniach jest ... człowiek , bo to on nie włączył , nie zamknął , nie zabezpieczył .
Podobnie jest z zabezpieczeniami elektronicznymi inne są w domu inne w banku a inne w Pentagonie. Jedne są do obejścia a inne trudniej.
Najsłabszym ogniwem w zabezpieczeniach jest ... człowiek , bo to on nie włączył , nie zamknął , nie zabezpieczył .
W elektronice jak nie wiadomo o co chodzi to zwykle chodzi o zasilanie
Wezmę udział w Supla Offline Party 2024
Wezmę udział w Supla Offline Party 2024
Tu masz opisane jak to docelowo będzie działać. Już jest bezpiecznie jak opisał @fracz, a będzie jeszcze bezpieczniejdawidd pisze: ↑pt gru 22, 2017 7:50 am Witam
Mam pytanie związane z bezpieczeństwem używania supli i sonoffa. Na ta chwile używam supli do otwierania bramy wjazdowej, ale gdybym chciał rozbudować system o otwieranie drzwi do domu czy było by to bezpieczne? Czy byle "gimnazjalista" albo inny amator cudzej własności biegły w programowaniu będzie w stanie włamać się do systemu i otworzyć drzwi?
viewtopic.php?p=11089#p11089
ale co tu drążyć jak w zabezpieczeniu drzwi supla najsłabszym punktem są same drzwi już widzę (a wyobraznie mam sporą) jak ktoś hackuje suple po to żeby drzwi się otwarły po prostu wejdzie z drzwiami lub użyje bumpkey albo innego wynalazku idąc tym tropem to to tak samo można śmignąć np grand cherokee lub inne za prawie pół banki sterowane z telefonu tylko po co się z tym tak pieścić :/