Gå til innhold
  • Bli medlem
Støtt hjemmeautomasjon.no!
  • 0

Mye usikret/feilkonfigurert MQTT

ZoRaC

Spurt av ZoRaC,

 Del

Spørsmål

13 svar til spørsmålet

Anbefalte innlegg

  • 0
Moskus Automatiker

Moskus

Skrevet
Skrevet

Som med alt annet: Ikke la noe være usikret åpent på Internett.

 

Det er som om noen fremdeles tror at du ikke kan finne en tjeneste hvis du ikke aktivt legger den inn i Google...

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet
44 minutter siden, Moskus skrev:

Som med alt annet: Ikke la noe være usikret åpent på et nettverk.

 

Var vel det du egentlig mente?

  • 0
Moskus Automatiker

Moskus

Skrevet
Skrevet
40 minutter siden, ZoRaC skrev:

Var vel det du egentlig mente?

Ikke egentlig, nei. Jeg vil si at det er stor forskjell på mitt intranett og Internett. ;) 

Det er riktignok en god idé, men å ha et kamera åpent på sitt eget nettverk (ikke at jeg har det) er ikke det samme som å ha det åpent mot internett...

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet
9 minutter siden, Moskus skrev:

Ikke egentlig, nei. Jeg vil si at det er stor forskjell på mitt intranett og Internett. ;) 

Det er riktignok en god idé, men å ha et kamera åpent på sitt eget nettverk (ikke at jeg har det) er ikke det samme som å ha det åpent mot internett...

 

Det er en forskjell - men med engang du har EN enhet på nettverket ditt, som får kommunisere med internett, som har en sårbarhet, så er plutselig hele ditt intranett like tilgjengelig som internett. En angriper kan bruke f.eks kaffemaskinen din (hvis den har en sårbarhet) til å aksessere hva som helst på intranettet ditt. Da er det vel en fordel at det meste er sikret, også internt?

 

Jeg droppet Arduino-plugin av den grunn - den har ingen sikkerhet i form av autentisering eller kryptering... :( 

  • 0
Moskus Automatiker

Moskus

Skrevet
Skrevet
3 minutter siden, ZoRaC skrev:

men med engang du har EN enhet på nettverket ditt, som får kommunisere med internett, som har en sårbarhet, så er plutselig hele ditt intranett like tilgjengelig som internett

Det er en teoretisk mulighet for det, ja. Og det er jo alltid smartere å ha passord enn å ikke ha det. Tross alt, vi er i en verden hvor Pentagon og nettbanker hackes.

 

Men om det er en stor sjanse for det og at "plutselig er hele intranett like tilgjengelig som internett" er vel muligens å strekke det litt langt. Ikke umulig, men mer usannsynlig. Kan du ikke bare hindre kommunikasjonen for de enhetene som ikke behøver å snakke direkte mot internett?

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet
1 minutt siden, Moskus skrev:

Men om det er en stor sjanse for det og at "plutselig er hele intranett like tilgjengelig som internett" er vel muligens å strekke det litt langt. Ikke umulig, men mer usannsynlig.

 

Tja, alle som hadde usikrede Mirai-enheter kunne vel potsensielt ha opplevd dette. I stedet nøyde hackerne seg med å lage tidenes botnett...

Er klar over at i akkurat det tilfellet så hadde de eksponert enhetene mot internett, så det økte selvsagt risikoen betraktelig. :) 

 

2 minutter siden, Moskus skrev:

Kan du ikke bare hindre kommunikasjonen for de enhetene som ikke behøver å snakke direkte mot internett?

 

Problemet er at "alt" snakker med skyen i dag. Jeg kan ikke blokker internett for Canal Digital PVR-dekoderen, Fitbit-vekten, Netatmo værstasjonen, Harmony-hub'en, osv. Alt det må rett og slett snakke med noe på internett for å fungere... Jeg kunne selvsagt åpnet for bare spesifikke IPer for hver enhet, men de snakker gjerne med flere IPer og plutselig endrer leverandøren IP i sin ende - det ville vært et mareritt å administrere.

  • 0
Moskus Automatiker

Moskus

Skrevet
Skrevet
15 minutter siden, ZoRaC skrev:

Tja, alle som hadde usikrede Mirai-enheter kunne vel potsensielt ha opplevd dette. I stedet nøyde hackerne seg med å lage tidenes botnett...

Er klar over at i akkurat det tilfellet så hadde de eksponert enhetene mot internett, så det økte selvsagt risikoen betraktelig. :) 

... akkurat ja. ;) 

 

Alt i alt er det snakk om kalkulert risiko, og å gjøre det vanskeligst mulig å angripe men likevel mulig å bruke i praksis. Skal man være helt sikker, så er man ikke på Internett i det hele tatt.

 

Det er sikrere å ikke ha nettbank enn å ha det, men for alt vi vet kan du få en murstein i hoved i det du går ut fra banken.

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet (endret)
28 minutter siden, Archos skrev:

Hva med å ha IOT ting på eget VLAN med begrenset båndbredde?

 

Har det på eget VLAN, men har faktisk ikke tenkt på å begrense båndbredden... uansett usikker på hvor mye det har å si, men kan jo kjapt gjøre det likevel. :) 

 

28 minutter siden, Moskus skrev:

...akkurat ja. ;) 

 

Men hva med en feil på OpenSSL, OpenVPN, nginx eller RouterOS? Det er jo noe du har eksponert mot Internett og ved kompromittering vil jo det kunne gi tilgang til det meste av det interne nettet. 

 

28 minutter siden, Moskus skrev:

Alt i alt er det snakk om kalkulert risiko, og å gjøre det vanskeligst mulig å angripe men likevel mulig å bruke i praksis. Skal man være helt sikker, så er man ikke på Internett i det hele tatt.

 

Jepp, og for meg er ikke det å kunne slå

av og på noen lys verdt risikoen for at uvedkommende "tar over" huset mitt. ;) Da bruker jeg heller et pr timer ekstra for å sikre utstyret med kryptering og passord. :) 

Endret av ZoRaC
  • 0
Moskus Automatiker

Moskus

Skrevet
Skrevet
11 timer siden, ZoRaC skrev:

Men hva med en feil på OpenSSL, OpenVPN, nginx eller RouterOS? Det er jo noe du har eksponert mot Internett og ved kompromittering vil jo det kunne gi tilgang til det meste av det interne nettet. 

Ja. For å være helt sikker er det best å klippe internettkabelen.

 

Men igjen har det med kalkulert risiko å gjøre. Jeg blir og mer og mer opptatt av det, men tenker også at det er alltid noen som er mer paranoid enn meg.

Som forsåvidt minner meg om en Garbare-sang: "Just because you're paranoid, don't mean they're not after you". :P 

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet
1 time siden, Moskus skrev:

Ja. For å være helt sikker er det best å klippe internettkabelen.

 

Jeg nøyer meg med patching, autentisering og kryptering. :) Bare den siste mnd er det jo oppdaget sikkerhetsproblemer med både HS3 og RouterOS. Bare flaks at HS bare var rammet "direkte" og ikke via MyHS...

 

Det ble jo også oppdaget flere hull i ESXi, som gjorde at man fikk tilgang til en annen VM fra en VM. Da er det nok at 1 VM er eksponert mot nett, så er alle "i fare"...

  • 0
ZoRaC Blåtannlege

ZoRaC

Skrevet
  • Forfatter
Skrevet
22 minutter siden, Moskus skrev:

De største farene er jo å være idiot uten å vite det. #NullCTRL var (og er) interessant lesing.

 

Hehe. Ja, tror nok den serien har mye av skyld for at jeg er så para...sikkerhetsbevisst ;) 

  • Like 1

Bli med i samtalen

Du kan publisere innhold nå og registrere deg senere. Hvis du har en konto, logg inn nå for å poste med kontoen din.

Gjest
Svar på spørsmålet...

×   Du har limt inn tekst med formatering.   Lim inn uten formatering i stedet

  Du kan kun bruke opp til 75 smilefjes.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere tekst har blitt gjenopprettet.   Tøm tekstverktøy

×   Du kan ikke lime inn bilder direkte. Last opp eller legg inn bilder fra URL.

×
 Del
Gå til spørsmålsliste
×
×
  • Opprett ny...

Viktig informasjon

Vi har plassert informasjonskapsler/cookies på din enhet for å gjøre denne siden bedre. Du kan justere dine innstillinger for informasjonskapsler, ellers vil vi anta at dette er ok for deg.