-
Innlegg
16 848 -
Ble med
-
Besøkte siden sist
-
Dager vunnet
799
Innholdstype
Profiler
Forum
Blogger
Nedlastninger
Artikler
Regler
Hendelser
Galleri
Store
Alt skrevet av Moskus
-
Oppfølging her:
-
Ja.
-
En hacker i sofaen er bedre enn 10 i en hvit van på utsiden av huset. Forbrukerinspektørene var på besøk, og resultatet gikk på lufta onsdag 4. oktober kl. 19:45. Det var en veldig engasjert gjeng som var her, og det var bortimot umulig å ikke la seg rive med av iveren til programleder Stian Kallekleiv. Det som gikk på TV er imidlertid den "fjernsynsvennlige varianten" etter mitt syn, altså for folk flest. Det skjedde ikke nødvendigvis helt slik, selvfølgelig. Men det som egentlig skjedde var minst like interessant! Det begynte med en telefonsamtale en onsdag i slutten av juni. Ikke helt ordrett, men omtrentlig slik: "Hei, det er Stian Kallekleiv fra Forbrukerinspektørene, og jeg vil gjerne komme på besøk". "Hei, det må du vel få lov til." Det har jo vært et par journalister på besøk tidligere, så det hørtes jo ikke så skummelt ut. Det verste med det er at man må rydde huset så veldig… "Og jeg hadde tenkt å ta med meg en hacker". "Øh… jaha?" "Ja, for å se om du har noen dubbeditter som det er enkelt å få tilgang til". Jeg måtte tenke på det. Det er en ting å være klar over at selv om man har gjort en del med tanke på sikkerhet, så har det en kalkulert risiko å legge huset sitt på nettet. Men det er en annen ting å få noen til å gå løs på det for å publisere sine resultater på NRK! Til slutt var det egentlig nysgjerrigheten som tok overhånd, samt at en tanke om at "det hadde jo faktisk vært kjekt å få systemet gjennomgått av eksperter". Chris Dale fra Netsecurity tok kontakt og forsikret meg både skriftlig og muntlig om at det han eventuelt fant ikke ble lagret noe sted, og alt han hadde fått da han kom på besøk ble slettet før han forlot byen. Han gav i det hele tatt et profesjonelt og kompetent inntrykk. Angrep via Internett Mandagen begynte PRTG å melde om høy aktivitet på diverse tjenester, bl.a. om gjentatte innloggingsforsøk på PRTG selv. Vanligvis når dette skjer så er det å blokkere en IP eller en range som typisk er fra Russland, Kina eller USA. Denne var imidlertid fra Telenor. "Chris, er dette deg?" "Ja, det er meg." "OK, da blokkerer jeg ikke den." Så jeg lot ham få holde på. Etter hvert dukket det opp et par suspekte eposter fra nevnte PRTG om "problem med den og den maskinen, click here to resolve". Imponerende godt forsøk, Chris, men jeg har dessverre lært på den harde måten tidligere å IKKE trykke på slike lenker med mindre jeg er bombesikker på at det ikke er problem med dem. Så vidt jeg vet kom han ikke inn den veien. Jeg bruker nginx som front end til diverse tjenester med SSL og et 3 år sertifikat. Det gjør det i det minste noe vanskeligere… Den store dagen En kameramann, en regissør, en programleder og en hacker. Vi tok først en kjapp runde rundt i huset for å se hva det har å by på, og Chris hadde øynene med seg på det han så. Han prøvde seg med "Alexa, unlock the front door", men det har jeg bevisst utelatt. Chris fant selvfølgelig nettverket og kunne helt sikkert hacket det, det er jo kun snakk om datakraft og tid. Men det hadde han ikke nok av med kun en dag til rådighet og en laptop. Istedenfor fikk han demonstrert noe kult. Og skummelt! "Magnus, sett denne USB-pinnen inn i en datamaskin." "Errr…. Ja… OK?" Han HAR jo lovet at han ikke skal ødelegge noe eller lagre noe, og jeg må jo stole på han. Inn i Surfacen'n med den. WOSH! …. en haug med kommando- og PowerShell-vinduer senere så var den ferdig. Det tok ca. 7-8 sekunder. "Nå har jeg passordet til det trådløse nettverket ditt." Plutselig har jeg forstått enkelte oljeselskapers paranoide holdning til å fjerne eller ødelegge USB-tilkoblinger på selskapets datamaskiner. Det er jo ikke paranoid i det hele tatt! Chris satte seg i den hvite van'en (som selvfølgelig var godt synlig fra stuevinduet) og jobbet. Vi andre filmet. Etter en time kom Chris inn og satte seg i sofaen, han begynte å gå tom for strøm. Vi spiste pizza til lunsj og Chris var underholdning med noen hacker-historier og tanker om generell datasikkerhet. Chris fant som sagt gressklipperen min. "Hmmm, det tøffer et WLAN rundt på plenen hans?" Den hadde jeg ikke gjort en god nok jobb med, jeg hadde fått det satt i dagen før de kom og enda ikke hatt tid til å sjekke det ordentlig. Grensesnittet var i utgangspunktet på tysk, og det var nok litt for åpent. Jeg hadde f.eks. ikke deaktivert gressklipperens eget nettverk. Men det har jeg nå. I tillegg plukket han fra hverandre telefonsentralen, og fant noen passord der. Det burde ikke være mulig å komme seg videre med de passordene, men jeg har nå for sikkerhets skyld byttet alt sammen. Siden det var litt tidsnød denne dagen, så kom ikke Chris lenger, selv med passordet til det trådløse i nettverket: HomeSeer, Netcam Studio, etc er passordbeskyttet også fra innsiden. For å lage litt god TV, fikk Chris tilgang til HomeSeer og kameraene, og derfor hadde han jo full tilgang for å vise noe stilig til NRK. På HS-maskinen åpnet jeg brannmuren på port 80 og deaktiverte passord-beskyttelsen for lokal tilgang. Det er ikke mulig i NetCam Studio, så han måtte få brukernavn/passord. Så skrev jeg en påminnelse til meg selv i kalenderen om å bytte passord og aktivere brannmuren igjen den kvelden... Chris og crewet satte seg i bilen og filmet. Jeg ble sittende som en statist i sofaen. Etter det skjedde det ikke så mye for min del, utenom oppsummeringen. Chris fant som sagt en detalj som vi tar med HomeSeer Tech. Regner med jeg kan publisere den om ikke så lenge. Gressklipperen var på tidspunktet dessverre ikke særlig beskyttet, og telefonien har blitt forbedret (og skal snart byttes ut med noe som gjør mer mtp. sikkerhet). Du kan lese Chris sin mer tekniske beskrivelse her. (Saken har også blitt omtalt av Teknisk Ukeblad og DinSide, sistnevnte mener jeg er noe mer negativt fremstilt enn den burde ha vært.) Det ble påpekt gang på gang viktigheten av å prøve å ha kontroll på alt dette utstyret som vi putter inn i våre hjem, og det gjelder jo absolutt ikke bare oss smarthusentusiaster! Man kan ikke bare koble noe mot internett og håpe at det går bra. TA FORHÅNDSREGLER! I ukene før besøket hadde jo bl.a. WannaCry herjet datamaskiner verden over, og for meg ble det en solid tankevekker å få beskjeder som "Bra, Magnus! Du har oppdatert Windows, ellers hadde jeg nå vært inne i maskinen". For helt ærlig: Hvem har vel ikke tenkt "Det passer jo ikke akkurat nå å kjøre Windows Update, jeg venter litt jeg..." Så jeg oppsummerer som Chris gjorde: Ha lange, gode passord. Setninger er bra! Bytt standardpassord på nye dingser. Hold alle enhetene dine oppdatert! Alt i var det en spennende opplevelse! Takk for besøket!
- 50 kommentarer
-
- 15
-
- netsecurity
- chris dale
-
(og 2 andre)
Merket med:
-
Det kan være han har brukt RFXmngr som til å lese data. Det er et gratis program til Windows som fungerer sammen med RFXtrx433E. Ellers er det vel en tråd her om gode sensorer:
- 19 svar
-
- rfxcom
- temperatursensor
-
(og 1 andre)
Merket med:
-
Fra Chris som hacker sitt utgangspunkt så var dette nok det viktigste: "Hold enhetene dine oppdatert!"
-
Jo, men det blir litt kunstig, og du må huske at "SET HEATING 28" egentlig er "prosjektor på". Jeg vet ikke hvordan støtten er i Vera, men Global Caché sin iTach-serie er glimrende til å styre diverse IR-utstyr med å lære opp kodene som trengs. Denne kan altså også erstatte ZXT-120.
-
Oppdater også Jon00 sin pakke...
- 11 svar
-
- 1
-
Ganske godt, påstås det: https://homeseer.com/google-home-integration/
-
Har vi ikke det her da?
-
https://homeseer.com/google-home-integration/
-
Jeg kjører nginx som en "SSL frontend" til HS sin webserver også internt i huset. Jeg åpnet port 80 i brannmuren og deaktiverte passord for lokalt nettverk. For Netcam Studio fikk han et brukernavn og et passord. Haha, skjedde her også! Var redd HomeSeer ville brygge kaffe.
-
Det må du gjøre på hver device, du får en oversikt på Plugins -> Z-wave -> Node Information Men med kun 8 faste noder burde ikke pollingen være et problem, med mindre det er dårlig kommunikasjon et sted.
-
Nei. Skal jeg tippe, så hadde jeg tippet motsatt. Hos meg er det snakk om millisekunder fra bevegelse til lys, det er ikke merkbart. Det skal litt til. HomeSeer kjører fint på en Raspberry Pi, så med mindre denne PCen jobber overtid med noe annet, så er ikke det heller et problem sannsynligvis. Men du sier ingenting om hvordan du har satt det opp. Er det et Event som trigger bevegelse? Har du mange eller få noder i nettverket? Har du optimalisert noen av dem?
-
Jeg har vesentlig mindre problemer med .368 enn .357, men helt 100% er det ikke. BLLED kræsjer fortere nå enn før...
-
Det kommer vel an på. For nesten et helt smarthus, så er det jo ikke i nærheten av å være dyrt, det er vel heller direkte billig. Sammenlignet med en liter melk er det dyrt.
-
Vi skulle jo lage TV også. Jeg åpnet opp.
-
Noen PoE-switcher kan skru av og på strømmen på sine utganger, så det burde være en mulighet.
-
Aha, ja det gir mening.
-
Ja, det gir litt mer mening. En del rapporterer jo flere ting. F.eks. Multisensorene rapporterer jo bevegelse, temperatur, luftfuktighet, etc, og dimmere rapporterer jo instantant og samlet strømforbruk. Men en del moduler er det nok!
-
Wow, ikke verst! Hvis det faktisk er 185 fysiske noder det er snakk om, så vil f.eks. den billigste Zee2 ikke være i nærheten av å takle det. Det er vel også muligens problemet du har med Vera. Da er det f.eks. SEL. Men da kan du også vurdere å kjøpe en liten datamaskin og installere HomeSeer på selv. Det er litt avhengig hva du er mest interessert i. Det er et godt spørsmål... det er ikke uten videre enkelt, og vil nok uansett kreve en del oppsett på nytt. Det er mulig Intin selv har noen gode forslag. Jeg ville faktisk vurdert å sette det opp på nytt, selv om 185 noder er kjedelig og en del arbeid. Alternativt skal det være mulig å overføre "master controller" fra et nettverk til et annet, HomeSeer kan både sende og ta i mot slikt, men jeg er ikke sikker på om Vera kan det...
-
Her datt jeg av. Hvordan styrer Hue lamper via Z-wave?
-
Jeg har fått lest ut noe data, som f.eks. gjeldende og fremtidig strømpriser. Jeg har ikke ny måler selv så jeg får ikke testet dette særlig vitenskapelig. Skal få Tibber-folkene til å slenge opp noen eksempler på det jeg er ute etter (dokumentasjonen har foreløpig visse mangler), så får vi se. Foreløpig ser det ikke ut til å være avskrekkende.
-
Nei, da må du sannsynligvis til med VPN.
-
SÅ ille var det jo ikke. Jeg var mer bekymret for om han hadde tatt nok i...