Boilerplate4U
Medlem
· CEO Tomteverkstan Nordpolen
· 2 348 inlägg
Boilerplate4U
Medlem
- CEO Tomteverkstan Nordpolen
- 2 348 inlägg
"MiFare Classic 1K" är den första modellen man släppte från 1994 och är lika säker som typ X10 (dvs ingen inbyggd säkerhet alls).P Peter787 skrev:
Är väl ingen nyhet att trådlösa grejer går att störa ut, därför företagslarm är trådade
Samma med WiFi-kameror, störs lätt ut med en WiFijammer
Bättre med POE-kameror
Samma med WiFi-kameror, störs lätt ut med en WiFijammer
Bättre med POE-kameror
Sedan skall vi inte glömma det här!L lbgu skrev:Jag är mest förvånad att de har några kunder alls. Var inte alltför länge sedan det slogs upp stort i media hur personalen hade som fikanöje att titta på bilder på nakna kunder som fotograferats av larmkamerorna. Om man vet detta och ändå är kund så tål man det mesta av firmor som man betalar månadspeng till. Kan ju finnas en del kunder som gillar att blotta sig med, de kanske ser det som en bonus som är värd att betala extra för
Helt värdelöst bolag!
https://www.aftonbladet.se/nyheter/...nande-hus-men-larmjatten-skickade-ingen-hjalp
Boilerplate4U
Medlem
· CEO Tomteverkstan Nordpolen
· 2 348 inlägg
Boilerplate4U
Medlem
- CEO Tomteverkstan Nordpolen
- 2 348 inlägg
Den hade jag glömt. Helt sjukt!
1. Ni alla verkar missuppfattat funktionen hos larmbrickorna. De används för att stänga av larmet, inte för att öppna några dörrar/passerkontroll. Om man kopplat ett lås (Yale) till larmet måste man kombinera eventuelll bricka med kod (eller köra bara 6-siffrig kod).
2. Har man appen får man sabotagelarm/notis rätt omgående om någon enhet inte har kontakt med huvudenheten. Det händer så fort man exempelvis drar ur en smartplug ur väggen. Så har man koll på appen borde man själv upptäcka att något är skumt om alla enheter plötsligt ger felmeddelanden, om man nu inte litar på deras egna detektion som nämns i exjobbet (och av Mats-S i inlägg #13).
5. För mig var nämnda brister självklara och kända redan innan jag skaffade Verisure. Alla hemmalarmleverantörer har i princip samma/liknande och/eller sämre brister, det är bara att Verisure har hamnat i hetluften för att de är störst och därmed har störst mediaintresse.
6. Om någon skulle lyckas komma så pass i närheten av min ficka så de kan klona min verisurebricka behöver de även:
Missförstå mig rätt, jag jobbar med säkerhet så jag anser givetvis allmänt att brister ska åtgärdas, men man måste även vara lite pragmatisk och bedöma risker sett till helheten.
2. Har man appen får man sabotagelarm/notis rätt omgående om någon enhet inte har kontakt med huvudenheten. Det händer så fort man exempelvis drar ur en smartplug ur väggen. Så har man koll på appen borde man själv upptäcka att något är skumt om alla enheter plötsligt ger felmeddelanden, om man nu inte litar på deras egna detektion som nämns i exjobbet (och av Mats-S i inlägg #13).
3. De kör inte 3G längre (de tvingade alla till byte av enhet för ett tag sen eftersom 3G försvinner). 4G är väl i första hand backuplösning, men tror man kan välja att enbart köra 4G (utan ethernet) om man vill, men då får man väl skylla sig själv tänker jag?Mats-S skrev:
4. Jag jobbar i penetrationstestbranchen. Det är trivialt att klona "taggarna"/korten även till de passersystem du nämner (har dock bara veifierat det på en av dem, men du säger att de använder samma teknik så). Dock är ju det som sagt "proffesionella" passersystem och inte riktigt jämförbart med hemmalarm.
5. För mig var nämnda brister självklara och kända redan innan jag skaffade Verisure. Alla hemmalarmleverantörer har i princip samma/liknande och/eller sämre brister, det är bara att Verisure har hamnat i hetluften för att de är störst och därmed har störst mediaintresse.
6. Om någon skulle lyckas komma så pass i närheten av min ficka så de kan klona min verisurebricka behöver de även:
- Ta reda på min adress
- Klona min nyckel (alternativt bryta upp dörren, vilket utlöser larmet innan de hinner in och ens använda den klonade brickan)
- Klippa min internetlandlina
- Störa ut min 4G-koppling
Missförstå mig rätt, jag jobbar med säkerhet så jag anser givetvis allmänt att brister ska åtgärdas, men man måste även vara lite pragmatisk och bedöma risker sett till helheten.
Nu är rapporten kanske inte helt glasklar i det avseendet, men nog antyder den att just detta inte var fallet(?)P pedersparell skrev:
Som jag läser det är slutsatsen att endast Verisures larmcentral ser sabotagelarm vid radiostörning, något som dessutom inte förefaller vara verifierat, utan bygger på Verisures eget påstående.
Sen får nog jag ta på mig att begreppet passerkontroll kom in i sammanhanget. Tänkte på nyckelbrickor i allmänhet. Vidhåller dock att även om brickan "bara" kan användas för att stänga av larmet är det otroligt oseriöst att välja en passiv UID-lösning för ett sådant ändamål.
Sen håller jag med om man tyvärr inte kan förvänta sig så mycket mer av en sådan här produkt.
Besserwisser
· Västra Götalands
· 10 209 inlägg
Preach! Något alla mina studenter hört tills de spyr: "Man är bara säker i förhållande till en hotbild".P pedersparell skrev:
Nej, trådlösa hemlarm har en rad kända brister och svagheter. Det är inte för inte som säkerhetsklassade larm inte kan vara trådlösa.
Ett enklare exempel jag brukar använda är ett par handbojor av samma typ som används av poliser i i stort sett hela världen. Dessa är triviala att "dyrka" eller "shimsa" med en hårnål, gem, eller i det senare fallet med en uppklippt läskburk. (Demonstrationer som brukar gå hem.)
Betyder det att de är helt meningslösa ur säkerhetssynpunkt. Nej. De används nämligen (oftast) i situationer där detta inte är något säkerhetsproblem att tala om.
Så om man redan har gjort analysen att ett larm av Verisure typ, dvs med trådlös koppling både mellan sensorer och till larmcentral, och med enkel kod eller bricka för att stänga av, så spelar dessa specifika svagheter liten eller ingen roll i det stora hela.
Om du seriöst är hotad av en angripare som är kompetent nog att störa ut kommunikation och kopiera RFID-taggar, så är den här sortens larm ändå helt fel nivå från början. Att byta till kod kommer inte att hjälpa ett skvatt mot den sortens angripare eftersom det finns metoder att gå förbi dessa också för dylikt motiverad och resursstark angripare.
Ett sådant enkelt larm är nämligen inte avsett att skydda mot den sortens attacker. Vill man ha sådant skydd (som för det flesta inte är varken motiverat eller kostnadseffektivt) så krävs det en helt annan nivå på larm och skalskydd.
Det är inte ens självklart att kod är säkrare än bricka i den här typen av användning. Man måste ta användningen och bekvämligheten med i beräkningen också. Kod är lite krångligare än bricka, så då ökar istället risken att man inte aktiverar larmet när man går hemifrån. Många, många, kanske tom de flesta hemlarm som har några år på nacken används öht inte. Man tappar intresset pss som man inte orkar byta batterier i brandvarnarna. (Ni skulle bara veta hur många säkerhetsmekanismer som aldrig aktiveras eller används eftersom man anser att de är för krångliga).
Det finns ingen perfekt säkerhet. Det är lika bra att vänja sig vid det. Vi är i de flesta fall trygga inte för att ingen kan komma åt oss, utan för att de flesta inte är ute efter det.
Boilerplate4U
Medlem
· CEO Tomteverkstan Nordpolen
· 2 348 inlägg
Boilerplate4U
Medlem
- CEO Tomteverkstan Nordpolen
- 2 348 inlägg
Intressant! Kan du beskriva vilken metod du använde? Som jag förstått det ska DESFire med AES-128 och slumpmässig UID i princip vara omöjlig att klona.P pedersparell skrev:
För övrigt ligger kostnaden för dessa taggar i nivå med YubiKey och liknande hyllprodukter med samma grundteknik, vilket i detta sammanhang är en spottstyver. Tekniken används som standard i nästa alla moderna hemmalarm men uppenbarligen inte i Verisure.
Redigerat:
Boilerplate4U
Medlem
· CEO Tomteverkstan Nordpolen
· 2 348 inlägg
Boilerplate4U
Medlem
- CEO Tomteverkstan Nordpolen
- 2 348 inlägg
Vi använde kodbrickor när barnen var små och det var väldigt smidigt både för dem och oss. Dessutom tyckte vi att det var både enklare och billigare att ha några brickor i reserv än att hålla på med reservnycklar.
Frågan är om dom ens är betraktade som seriösa i nuläget efter alla skandaler som uppenbarats. Varumärket har ju även det redan ett ganska tvivelaktigt renommé, så det är nog en lång resa att återställa ryktet oavsett hur man hanterar den här frågan.K krambriw skrev:
Dom jobbar väl på samma sätt som de som sprider Nigeriabrev? Alla vet ju att du inte alls ska få 100 miljoner av Mr Mpape bara du lämnar ut dina kortuppgifter, men ändå går folk på det...
knackar Verisures säljare dörr hos en miljon Svenskar varje år så räcker det att en promille blir lurade/övertalad/inte har läst på.
Jo men allt i livet är ju en massa kompromisser.... även ett hemlarm.
Kort så hade vi ett hemlarm från AlertAlarm som då blev uppköpt av Verisure.
Att hålla igång AlertAlarm systemet blev mer och mer "pyssel" så jag ringde upp deras kundtjänst och att de nu erbjuder en Verisurelösning. Sen är ju allt i livet en massa förhandlande och jag fick till ett pris som jag är nöjd med.
Eftersom jag även är mer "nördisk" med hemautomagi så undersökte jag även det spåret.
Sen behovet
- Frun i huset vill skydda sig mot inbrott
- Jag prioriterar ett säkert brandskydd för vårt gamla hus när vi inte är hemma.
Verisures kameralösning med detektering och branddetektorer blev helt avgörande inkl att deras larmcentral direkt ser mha kamerorna vad som händer, tecken på inbrott eller en massa rök från en brand.
I skalskyddet så finns det då en entredörr som behöver en nyckel eller att vi appstyr ett Gluelås för att komma till manövercentralen.
Sen kan man sedan grotta ner sig i detaljer men jag kan inte se något avgörande fel på Verisures lösning mer än kanske taggarna men det är långsökt hur man skulle nyttja det?
Besserwisser
· Västra Götalands
· 10 209 inlägg
Vi kan om vi vill krångla till det ännu mer.
Det är inte ens säkert att en bricka som inte går att klona leder till ett säkrare system än ett där det går att göra det. För om ett hot minskar så kan ett annat, värre, öka som följd av det. Två historiska exempel visar på problemet. I USA innan förra sekelskiftet så blev banksäkerheten bättre iom att man satsade mer på bättre bankvalv med mer avancerad teknik. Det blev så svårt att bryta sig in och stjäla pengar att bankrånarna bytte metod. Man tog istället bankkamrerens familj gisslan mitt i natten för att tvinga honom att följa med andra i ligan till banken och helt enkelt låsa upp valvet.
Som svar på det så uppfann James Sargent tidlåset 1873. Dvs ett lås som man låser valvet med på kvällen och som hindrar att valvet öppnas innan rätt tid påföljande morgon. Ingen kan låsa upp valvet under tiden som tidlåset spärrar det. (Testades första gången skarpt redan 1875 med önskat resultat.)
Vi såg samma fenomen i lite mer närtid iom att billås och startspärrar blev elektroniska. I USA så ledde det till en ökning av s.k. carjackings, alltså "bilrån" eftersom det blev lättare att hota föraren när bilen redan var upplåst och igång med nyckeln i, än att stjäla bilen från gatan. Jag tror de flesta håller med om att även om det är trist att få bilen stulen under natten, så är det ännu tristare att få en pistol körd i nyllet när man står i kö eller vid ett rödljus. (Jag har ingen klockren referens här, men ökningen av GPS-tracking, remove immobilization osv. går hand i hand med ökningen av "bilrån")
Så varje skydd som ökar tröskeln kommer att solla bort en hel del angripare som inte längre tycker det är värt det. Men den kommer också att motivera en del av de som är kvar att gå ännu längre och ta till ännu grövre metoder. Och det är inte alltid önskvärt eftersom det kan öka den personliga risken.
Allt är en avvägning. Svaret på alla intressant frågor är alltid: "Det beror på..."
