It-säkerhet i smarta hem
Det smarta hemmet är positivt på väldigt många sätt, men det finns också baksidor. Den största av dessa är idag säkerheten.
Du kan läsa artikeln här: It-säkerhet i smarta hem
Du kan läsa artikeln här: It-säkerhet i smarta hem
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 714 inlägg
Dock är ju sådana här "problem" lätta att lösa genom att sätta en ordentlig brandvägg framför. En ordentlig brandvägg kan man bygga själv, men finns även färdiga att köpa.
Det är då bättre att bara behöva koncentrera på säkerheten i en enda "huvudenhet" och sedan kan man skita i säkerheten när det gäller övervakningskameror, värmepumpar, maskiner och smarta lås och sådant, för du har ju brandväggen som skyddar.
Sedan gäller det sedan att konfigurera brandväggen rätt så att dina appar kan komma åt men stänger ute obehöriga. Till exempel med hjälp av en VPN-tunnel mellan din mobil och ditt hem.
Inställningar som man kan behöva göra i brandväggen är t.ex. att ställa in vilka portar som ska vara öppna utifrån, vilka enheter som ska vara åtkomliga utifrån, och det finns också möjlighet att använda något som kallas för "Reverse Proxy authentication", vilket innebär att brandväggen kan slänga upp en inloggningsruta för att t.ex. komma åt en kamera som har säkerhetshål, på insidan. Utan rätt lösenord så kommer man inte åt kameran över huvud taget och då gör det inget om kameran har 100000000 säkerhetshål.
Använder du t.ex. OPN-Sense så kan du även konfigurera TOTP-autensitering så att man måste ha ett engångslösenord, vilket skyddar mot bruteforce-hackning.
Det är då bättre att bara behöva koncentrera på säkerheten i en enda "huvudenhet" och sedan kan man skita i säkerheten när det gäller övervakningskameror, värmepumpar, maskiner och smarta lås och sådant, för du har ju brandväggen som skyddar.
Sedan gäller det sedan att konfigurera brandväggen rätt så att dina appar kan komma åt men stänger ute obehöriga. Till exempel med hjälp av en VPN-tunnel mellan din mobil och ditt hem.
Inställningar som man kan behöva göra i brandväggen är t.ex. att ställa in vilka portar som ska vara öppna utifrån, vilka enheter som ska vara åtkomliga utifrån, och det finns också möjlighet att använda något som kallas för "Reverse Proxy authentication", vilket innebär att brandväggen kan slänga upp en inloggningsruta för att t.ex. komma åt en kamera som har säkerhetshål, på insidan. Utan rätt lösenord så kommer man inte åt kameran över huvud taget och då gör det inget om kameran har 100000000 säkerhetshål.
Använder du t.ex. OPN-Sense så kan du även konfigurera TOTP-autensitering så att man måste ha ett engångslösenord, vilket skyddar mot bruteforce-hackning.
De flesta idag har redan en tillräckligt bra brandvägg i och med att man har någon form av router så att man dels får trådlöst nät och dels kan koppla in flera prylar samtidigt. Dock krävs det ju lite av användaren för att inte konfigurera sönder den till en Schweizerost...
Ett stort problem är annars, som artikeln nämner, att de flesta prylar idag kopplar upp sig mot nån webbtjänst och blir åtkomliga därifrån. Enkelt för användaren eftersom man slipper mecka med brandvägg, dynamisk dns, etc, men man lämnar ut all information och ansvaret till en tredje part.
Ett stort problem är annars, som artikeln nämner, att de flesta prylar idag kopplar upp sig mot nån webbtjänst och blir åtkomliga därifrån. Enkelt för användaren eftersom man slipper mecka med brandvägg, dynamisk dns, etc, men man lämnar ut all information och ansvaret till en tredje part.
Det du skriver sebastiannielsen är något som jag verkligen skulle vilja kunna bemästra...men jag har inte lyckats lära mig det, trots ett antal tafatta försök historiskt (t ex att öppna portar i routern för en Raspberry som övervakar min BVP). Och då är jag ändå inte någon datateknisk analfabet...
Tänk då på alla som är helt "clueless". Det är helt enkelt för komplicerat att göra rätt när det gäller IT-säkerhet.
Tänk då på alla som är helt "clueless". Det är helt enkelt för komplicerat att göra rätt när det gäller IT-säkerhet.
Medlem
· Västerbotten
· 892 inlägg
All denna säkerhet inom IT-världen gör att man ibland vill åka tidsmaskin tillbaka till stenåldern och slippa allt. Dels ska man skydda sig mot enklare automatiserade intrång och dels skydda sig mot intrång som görs av folk med kunskap. Det blir lite som att vaccinera sig mot mässling men även mot sjukdomar som inte är upptäckta än.
Testa att aktivera lösenordsautentisering på SSH och öppna port 22 så får ni se hur många intrångsförsök som kommer göras. Jag gjorde det i testsyfte och vill minnas att det var runt 7-10 försök per sekund dygnet runt. Nästan alla försök var från Kina också.
Gemene man ska ju visa något intresse också för att det ska funka. Jag tror inte att Sven Svensson engagerar sig särskilt mycket när ett program frågar om åtkomst till Windows brandväggen, utan trycker bara tanklöst på "jajemen, öppna upp allt så slipper jag dessa frågor i framtiden!"
Nu vet jag att Windows egna brandvägg inte direkt kan klassas som säkerhet på riktigt, utan det är snarare poängen i att folk inte bryr sig. Det ska bara funka. Alla intrång som inte syns är inte intressanta ungefär.
Frågan är om säkerheten skulle vara bättre på smarta produkter om systemen var standardiserade och öppna? Fler ögon som ser problemen och företagen kan inte gömma bort felen i hopp om att ingen märker något innan produktens förväntade livstid slut.
Testa att aktivera lösenordsautentisering på SSH och öppna port 22 så får ni se hur många intrångsförsök som kommer göras. Jag gjorde det i testsyfte och vill minnas att det var runt 7-10 försök per sekund dygnet runt. Nästan alla försök var från Kina också.
Gemene man ska ju visa något intresse också för att det ska funka. Jag tror inte att Sven Svensson engagerar sig särskilt mycket när ett program frågar om åtkomst till Windows brandväggen, utan trycker bara tanklöst på "jajemen, öppna upp allt så slipper jag dessa frågor i framtiden!"
Nu vet jag att Windows egna brandvägg inte direkt kan klassas som säkerhet på riktigt, utan det är snarare poängen i att folk inte bryr sig. Det ska bara funka. Alla intrång som inte syns är inte intressanta ungefär.
Frågan är om säkerheten skulle vara bättre på smarta produkter om systemen var standardiserade och öppna? Fler ögon som ser problemen och företagen kan inte gömma bort felen i hopp om att ingen märker något innan produktens förväntade livstid slut.
Tänk på att en öppnad port i brandväggen, t ex port 80 mot kameran, i princip kan innebära samma sak som att inte längre ha någon brandvägg.P Paxman skrev:Det du skriver sebastiannielsen är något som jag verkligen skulle vilja kunna bemästra...men jag har inte lyckats lära mig det, trots ett antal tafatta försök historiskt (t ex att öppna portar i routern för en Raspberry som övervakar min BVP). Och då är jag ändå inte någon datateknisk analfabet...
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 714 inlägg
useless: Håller med om det där med webbtjänsten. När det dock gäller webbkameror brukar de vara hybrider, dvs både ha en extern webbtjänst (cloud) OCH ha en intern webbtjänst (lokal uppkoppling).
Undantaget är vissa kameror där man vill ta betalt per månad, t.ex. Arlo m.m. De saknar lokal webbtjänst just för att man vill att folk ska betala för deras cloudtjänst.
Men är det en hybridkamera då kan man antingen stänga av cloudtjänsten i webinterfacet alternativt spärra cloudtjänsten utgående i brandväggen.
Och ja, det gäller att inte konfigurera sönder den.
En annan sak att tänka på är också att routern inte får vara för dålig säkerhetmässigt, finns routrar som lyssnar på portar på WAN för att ISPn ska kunna gå in och administrera, och så kan dessa portar ha hål.
Men köper man en egen privat router är det för det mesta fint.
Viktigt att stänga av skit såsom UPnP (nyckel-i-dörrlåset-säkerhet) och liknande också.
Paxman: Det är inte så komplicerat. Om raspberryn ligger på samma nät behöver du inte peta i brandväggen alls. Om raspberryn ligger på annat nät kan du lägga in raspberryn's IP-nummer som tillåten på NAT-regeln och då kommer ingen annan än raspberryn åt din BVP. Brandväggen kastar helt enkelt alla paket utifrån till BVP-porten om de inte kommer från rätt IP.
Ja en öppnad port mot kameran kan vara samma sak som att inte ha någon brandvägg alls. Därför att det kan vara bra att antingen låsa porten mot ett käll-IP, t.ex. vill man komma åt sin kamera från jobbet så kan man lägga in jobbets publika IP i brandväggen.
Alternativt öppna enbart VPN-porten och sedan använda ett VPN för att komma åt kameran. Då kan man skydda det rätt bra också, och VPN-portar blir sällan attackerade eftersom den vinst man skulle göra på att hacka ett VPN med en bot är mycket liten, eftersom man riskerar att antingen bara komma åt internet, eller ett slutet nät med utrustning som boten kanske inte har exploits till.
Ett annat alternativ är som jag sade, använda en brandvägg som stödjer reverse Proxy, då kan du autensitera användaren i brandväggen innan paketen vidarebefodras till kameran, och då spelar det ingen roll om kameran råkar t.ex. ha en auth-bypass-exploit eftersom du måste autensitera dig mot brandväggen först innan du ens får åtkomst till kamerans inloggning.
Squall Leonhart: Självklart, att öppna port 22 är som att be om bruteforceattacker. Behöver man komma åt SSH så är enklaste att lägga porten bakom en VPN-server (många routrar har stöd för VPN)
När det gäller windows-brandväggen, är den inte så vettig eftersom den är tjatig och pratig. Har man istället en "tyst" brandvägg, dvs som routern som manuellt måste öppnas mot portar istället för program så blir det mkt säkrare.
Undantaget är vissa kameror där man vill ta betalt per månad, t.ex. Arlo m.m. De saknar lokal webbtjänst just för att man vill att folk ska betala för deras cloudtjänst.
Men är det en hybridkamera då kan man antingen stänga av cloudtjänsten i webinterfacet alternativt spärra cloudtjänsten utgående i brandväggen.
Och ja, det gäller att inte konfigurera sönder den.
En annan sak att tänka på är också att routern inte får vara för dålig säkerhetmässigt, finns routrar som lyssnar på portar på WAN för att ISPn ska kunna gå in och administrera, och så kan dessa portar ha hål.
Men köper man en egen privat router är det för det mesta fint.
Viktigt att stänga av skit såsom UPnP (nyckel-i-dörrlåset-säkerhet) och liknande också.
Paxman: Det är inte så komplicerat. Om raspberryn ligger på samma nät behöver du inte peta i brandväggen alls. Om raspberryn ligger på annat nät kan du lägga in raspberryn's IP-nummer som tillåten på NAT-regeln och då kommer ingen annan än raspberryn åt din BVP. Brandväggen kastar helt enkelt alla paket utifrån till BVP-porten om de inte kommer från rätt IP.
Ja en öppnad port mot kameran kan vara samma sak som att inte ha någon brandvägg alls. Därför att det kan vara bra att antingen låsa porten mot ett käll-IP, t.ex. vill man komma åt sin kamera från jobbet så kan man lägga in jobbets publika IP i brandväggen.
Alternativt öppna enbart VPN-porten och sedan använda ett VPN för att komma åt kameran. Då kan man skydda det rätt bra också, och VPN-portar blir sällan attackerade eftersom den vinst man skulle göra på att hacka ett VPN med en bot är mycket liten, eftersom man riskerar att antingen bara komma åt internet, eller ett slutet nät med utrustning som boten kanske inte har exploits till.
Ett annat alternativ är som jag sade, använda en brandvägg som stödjer reverse Proxy, då kan du autensitera användaren i brandväggen innan paketen vidarebefodras till kameran, och då spelar det ingen roll om kameran råkar t.ex. ha en auth-bypass-exploit eftersom du måste autensitera dig mot brandväggen först innan du ens får åtkomst till kamerans inloggning.
Squall Leonhart: Självklart, att öppna port 22 är som att be om bruteforceattacker. Behöver man komma åt SSH så är enklaste att lägga porten bakom en VPN-server (många routrar har stöd för VPN)
När det gäller windows-brandväggen, är den inte så vettig eftersom den är tjatig och pratig. Har man istället en "tyst" brandvägg, dvs som routern som manuellt måste öppnas mot portar istället för program så blir det mkt säkrare.
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 714 inlägg
Paxman: Säljer? Nä jag brukar hjälpa folk gratis...
Sedan kan jag personligen tycka att många människor är lite "dumma" (inget illa menat!) när det kommer till datorer.... Liksom folk som skickar/tar emot mail och inte vet vad SMTP är, eller inte ens vet skillnaden mellan POP3 och IMAP... Eller över huvud taget använda internet och inte veta skillnaden mellan TCP och UDP...
Det är lite som att ha körkort och bil och inte veta vad ratt, broms och gas är för något, eller inte veta skillnaden mellan bensin och diesel.... Vissa saker är rätt självklara när det kommer till datorer.
Det är ju ganska bra om man har grundläggande kunskaper när man kopplar in IoT-utrustning och smarta-hemmet saker till sitt hem.
Sedan kan jag personligen tycka att många människor är lite "dumma" (inget illa menat!) när det kommer till datorer.... Liksom folk som skickar/tar emot mail och inte vet vad SMTP är, eller inte ens vet skillnaden mellan POP3 och IMAP... Eller över huvud taget använda internet och inte veta skillnaden mellan TCP och UDP...
Det är lite som att ha körkort och bil och inte veta vad ratt, broms och gas är för något, eller inte veta skillnaden mellan bensin och diesel.... Vissa saker är rätt självklara när det kommer till datorer.
Det är ju ganska bra om man har grundläggande kunskaper när man kopplar in IoT-utrustning och smarta-hemmet saker till sitt hem.
Jag håller med om det sista, men förstår inte varför jag skulle behöva kunna nåt om alla dom där bokstavskombinationerna. Jag hänger på Internet hela tiden men har verkligen ingen aning om det där.S sebastiannielsen skrev:
Sen vad gäller bilar... Du får inte köra bil utan körkort och körkort får du inte utan att kunna hantera en bil i alla fall hjälpligt. Och om den går på bensin eller diesel spelar knappast nån roll så länge du bara ska köra den, utan att tanka.
Förklara gärna så jag förstår!
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 714 inlägg
Kirre2: Anledningen till att jag gjorde jämförelsen, är för att försöka förklara på vilken grundläggande nivå det ligger på.
Medlem
· Västerbotten
· 892 inlägg
Rent tekniskt behöver du inte kunna alla förkortningar, hur protokollen funkar eller ens vilken teknik som används, men det underlättar. Vad som däremot behövs är en inställning att det ska vara säkert. Ungefär som att du vet att bilbälten behövs, du behöver inte veta att det finns flera olika typer av infästningar eller vad bältena är gjorda av.
I grundutförandet är all säkerhet redan på plats om du har en router av vettig modell som du själv kan styra och alla operativsystem försöker upprätthålla en viss form av säkerhet i sig.
Men när portar öppnas i brandväggen för att tonåringen i familjen ska sitta i spela eller när man helt utan eftertänksamhet godkänner alla frågor som ställs av programmen i operativsystemet så börjar man även tumma på säkerheten. Är man inte medveten om det så blir det lite som att knäppa fast bilbältet för att slippa varningen i bilen men istället för att spänna fast sig själv så sätter man sig på bältet.
Så enkelt förklarat: Du behöver inte veta hur en HTTP-server funkar men du bör sätta dig in i vad det innebär att öppna port 80 för inkommande trafik bara för att tvättmaskinen vill det.
I grundutförandet är all säkerhet redan på plats om du har en router av vettig modell som du själv kan styra och alla operativsystem försöker upprätthålla en viss form av säkerhet i sig.
Men när portar öppnas i brandväggen för att tonåringen i familjen ska sitta i spela eller när man helt utan eftertänksamhet godkänner alla frågor som ställs av programmen i operativsystemet så börjar man även tumma på säkerheten. Är man inte medveten om det så blir det lite som att knäppa fast bilbältet för att slippa varningen i bilen men istället för att spänna fast sig själv så sätter man sig på bältet.
Så enkelt förklarat: Du behöver inte veta hur en HTTP-server funkar men du bör sätta dig in i vad det innebär att öppna port 80 för inkommande trafik bara för att tvättmaskinen vill det.
Jo, men om man stänger av kopplingen till den externa webtjänsten så måste man öppna sin egen brandvägg i stället för att komma åt bilderna utifrån. De flesta nöjer sig nog med att dom har lyckats öppna/forwarda en port så att dom kommer åt kameran, sen är man nöjd och vill inte pilla nåt mer.S sebastiannielsen skrev:
Pest eller kolera känns som en bra jämförelse...
hsd
Medlem
· Kalmar län, Östra Götaland
· 6 293 inlägg
hsd
Medlem
- Kalmar län, Östra Götaland
- 6 293 inlägg
Mycket bra artikel
Många köper häftiga prylar och ansluter till nätet utan eftertanke, hoppas att de läser detta
Många köper häftiga prylar och ansluter till nätet utan eftertanke, hoppas att de läser detta
Elektroniktokig
· LAT: 57.76145780 LON: 12.06116821
· 714 inlägg
useless: Det jag menar är att det är ju lätt att då antingen låsa porten mot VPN-servern (och upprätta ett VPN-snöre mellan sin mobil och routern) eller låsa porten mot käll-IP så har du ju en säker lösning. Även om kameran skulle ha säkerhetshål i firmware.