Például ezek a srácok is remekül rávilágítanak a dolog veszélyeire.
Jó dolog az IoT, de szvsz a gyártóknak és a usereknek is fel kellene hozzá nőniük.

"Káros webhely letiltva"
F-Secure SAFE

Samsung Galaxy A54

bambano PH!orumtárs aláírása jutott eszembe.

@netik: There is no Internet of Things. There are only many unpatched, vulnerable small computers on the Internet.

Egyelőre ipari vonalon nagyon jó az IoT, ahol a vállalatok saját rendszerbe kötve használják őket.

Resistance Is Futile. You will be assimilated!

rögtön tudtam, hogy itt a helye

Az iot valóban nagyon jó! Például botnetekhez.

#1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility.

Wow! Ez a cikk csak úgy 5 évet késett, mert azért már egy ideje van ez. Írnak is róla itt a Prohardveren, hogy biztonság szempontjából nullák.

És ha nem csak a marketing anyagot nézzük, akkor láthatjuk, hogy pl. a nyilvánvaló rossz dolog mellett, vagyis, hogy széthackelhetővé tesszük vele a környezetünket, vannak olyan problémák is, hogy pl. a Google okosház cuccai reklámokkal bombáz majd, még akkor is ha te nem akarod.

http://ujtechkor.blog.hu/2017/03/23/ilyen_lesz_az_eleted_az_okoshazban_keretlen_reklamok_meg_szokasos_dolgok

http://ujtechkor.blog.hu/2016/09/12/a_jovo_nem_marketing_anyag_szerint

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Szóval kéne egy olyan cikk is, hogy "Mi az az IoT, és miért rossz az nekünk?"

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

" Egy szó mint száz, lassan ott tartunk, hogy az életünk minden szegmensébe befészkelik magukat ezek a megoldások." Mi vagyunk a fogyasztók. Ne vegyünk ilyen cuccokat, hisz mint írtam milyen rosszak és akkor nem fészkelik be magukat az életünkbe.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Az a baj, hogy egy rakat IoT cucc úgy van megcsinálva, hogy nem is lehet saját hálózatban használni, mert csak a gyártó szerverén keresztül lehet elérni őket, tehát ha van egymástól másfél méterre egy okoskapcsoló meg egy okosrelé (lol), ugyanazon a hálózaton, akkor is csak a gyártó szerverén keresztül hajlandóak kommunikálni egymással és ha a gyártó bezárja a boltot, akkor onnantól kezdve meg sehogy sem.
Agyrém.

DRM is theft

Az ipari vonal gondolom kicsit más, már csak a cégből kiindulva ahol dolgozok. Itt minden csak belsős lehet, semmi nem kerülhet ki, inkább megveszünk n összegért drága vasat, de a székházban a helye mindennek. Ide nyilván ezerszer nehezebb bejutni, mivel a külvilág számára kvázi "láthatatlan" a belső rendszer.

A cikk arról szól viszont, hogy ezek az otthonainkba szeretnének beköltözni, és a fentebb linkelt CamRekt is tökéletesen mutatja, hogy lehet most csak a kamerákat érjük el, de amint több dolgot kötünk rá a hálóra, amik nem lesznek normálisan levédve, onnantól kvázi egy idegen is irányíthatja a lakást? CamRektre visszatérve, láttam egy adásuk, és konkrétan nem egy babafigyelő kamerához volt hozzáférésük. Bömböltették a sok hülyeséget addig amíg szegény gyerek fel nem kellt és nem sírt a szülei után.

Ezért írtam, hogy ezek jó dolgok tudnának lenni, hogyha nem lennének a gyártók, de főleg a userek ennyire hanyagok. (Említhetném még ugye a UPC WiFree megoldását, ahol a meg nem változtatott SSID-ból ki lehet találni a hozzá tartozó jelszót is. Kollégám említette, hogy a házukban csak 8 WiFire tudott felcsatlakozni...)

És ilyen tapasztalatok mellett mondjuk kössem rá a netre a fűtést, villanyt, netán a főbejárati zárat?

[ Szerkesztve ]

Jelenleg. Amúgy az alapötlet nagyon jó, csak a sok hipster startup leszarja a biztonságot, így ma elég könnyű széthackelni bármit ami IoT.

Ugyanakkor a 8kerben nem félek attól, hogy Kolompár Ottomán oda wardrivingol az ablakom alá és meghekkeli az okoszáramat. Valszeg a klasszikus pajszer mellett fog dönteni.

A lényeg az, hogy biztonságosabb legyen annál hogy megérje feltörni. Lakossági szinten nincs azért magasan a léc, ide nem kell haditechnika szintű biztonság, de azért még azt az alacsony lécet is le-le verik ma...

Talent is over rated, get back to practice. - Jeremy Piven

Az IoT gondjai közé sorolnám a sávszélesség- és csatornatelítettség-mizériát.

A 802.11 protokol ugyebár azt jelenti, hogy az adott frekvencián (frekvencia-tartományban) egyszerre csak egy eszköz "beszélhet". Minél több eszköz van az adott csatornán (és az áthallás miatt a szomszédos is tényező), annál nehezebb "szóhoz jutni". Ez ugye közismert, panelházakban ezért rémálom a wifi (összetett téma, most ezt nem fejtjük ki). Na most ha már az izzóktól kezdve a hűtőgépen át a porszívó is wifi kapcsolatra lesz kötve minden lakásban, akkor az irtózatosan megterheli az adott csatornát. Erre "megoldás" ugye az AC wifi, meg az 5GHz-es freki. Ami azonban hasonlóan gyorsan meg tud telítődni. Itt jönne majd jól az AD wifi, ami ugye 60GHz-en dolgozik (meg a kína-specifikus AJ, ami 45GHz-en).

Légvédelmisek mottója: Lődd le mind! Majd a földön szétválogatjuk.

Pár napja volt hír, hogy a Googlehöz tartozó nagy cég rendszere is nulla biztonság szempontjából. A másik meg, hogy sokkal komolyabb rendszereket is feltörnek, úgyhogy ha jobban oda is teszik magukat biztonság terén akkor is feltörhetőek maradnak. Úgyhogy egyszerűen fel kell ismerni, hogy erre nem való... Egy komolyabb háború jön és a felek teljesen tönkreteszik majd a digitális államot, gazdaságot és annál nagyobb lesz a kár minél több dolgot bíznak rá. Addig is békeidőben kémkedésre is lehet használni.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

"Ugyanakkor a 8kerben nem félek attól, hogy Kolompár Ottomán oda wardrivingol az ablakom alá és meghekkeli az okoszáramat. Valszeg a klasszikus pajszer mellett fog dönteni."

Nyugi majd kialakul a piac... nem kell majd mindenkinek hackernek lenni, majd megveheti a feltörő kiteket simán az interneten.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Benne van a cikk-ben hogy "egyszerű" életet, ahol egy negyedik fél hajlandóságától, szolgáltatás hosszútávú működőképességétől függ, hogy lesz-e fűtésed, világításod, ételed, bejutsz-e a lakásodba.

Nem akarok kertelni, ez is azon a modellen alapul, hogy a user által vásárolt hardver - valamilyen "okos funkció" mögé bújva - információt gyűjt a termék gyártónak a felhasználó szokásairól, amit az el tud adni harmadik félnek.

A user jár ezzel a legjobban, mert: ő fizet a (termék, support-ha van, net, áram) -ért és kapja érte a szolgáltatás lehetőségét egy harmadik féltől, amiért amúgy is fizetne pl. napi friss tej a hűtőben.

Szerintem ez az urbanizálódás következő fokozata lesz, ha végbemegy.
Ha ezek a "problémák" valóban megoldódnak az IoT által, akkor pont hogy még kevesebb szabadideje marad az embernek. Azért mert összességében még több pénzbe kerülnek majd azok a dolgok, amelyek - papíron - a szabadidejét növelik, és pont ezekért kell többet dolgoznia, hogy ezeket a tárgyakat, szolgáltatásokat finanszírozni tudja.

Szóval: Nem nekünk jó az IoT!

[ Szerkesztve ]

Ha már meghatározás, lehetett volna kicsit konkrét iskolai definícióként megfogalmazni, legalább a "mi ez?" kérdésre a választ. Nem pedig ilyen megosztják elérik ez meg az módon.

[ Szerkesztve ]

Szerintem a hálozati és feltörési probléma nem IoT specifikus probléma.
Ugyanúgy előfordulhat ez okosTV-nél, autók fedélzeti computerénél, sima PC-t is lehet botnetbe kötni, mobiltelefon.

Nem 5 évet, hanem inkább 17-et .
Magát az IoT szót 1985-ben definiálták és használták először, de 2000 körül vált igazán divatos buzzword-dé, azóta folyik a csapból is ez.

Először a hardveraprót kéne úgy megcsinálni, hogy androidos mobilról chrome-mal be tudjak lépni. Aztán jöhet az IoT

Én ezt már most megválaszolom neked. A gyíkemberek miatt.

***

Köszi hasznos volt.

"Egy kicsit részletesebben leírnád, mire gondoltál?"

Mirai botnet

"Egy távolról vezérelhető (fel - le kapcsolható) izzó, vagy konnektor esetében is lehet ilyenről beszélni, ami nem futtat semmit, csak egy vezérlő jelet tud fogadni?"

A gyakorlatban ezek egyre inkább úgy néznek ki, hogy komplett OS fut rajtuk - ez egyébként nem nagy cucc, a fényképezőgépemben olyan SD kártya van, amiben a 32 GB flash mellett elfért egy linuxos webszerver is - én 10000 Ft alatt volt az ára. Egy ilyen kütyü már bőven elég arra, hogy botnetben használni lehessen és ahogy figyelni szoktak az ilyen IoT holmiknál a biztonságra (sehogy) és ahogy frissíteni szokták őket (soha), nem olyan nehéz találni valami működő támadást.

[ Szerkesztve ]

DRM is theft

Egyszerűen az lenne a megoldás, hogy kívülről semmilyen módosítást ne lehessen végrehajtatni az adott eszközön ,ha egy egyszerírható EEPROMban lenne az SW nem lehetne rosszra használni, bár így a frissítésektől is elesik az ember, de ha a fő funkció egyszer jól lett megírva, nincs is rá szükség...

#Raspberry #Orangepi #HassOS #Esp32

A gond ott van, hogy nincs tökéletes szoftver. Akármilyen jól is írják meg a "fő funkciót", lesz olyan hiba, amit kihasználva másra is használhatóvá válik, de legalábbis adatgyűjtésre. Innentől kezdve az írásvédettség nem sokat ér, a frissítések hiánya pedig kritikus ponttá válik.

[ Szerkesztve ]

Ubuntu MATE 20.04, hobbi cayenne termesztő

> bár így a frissítésektől is elesik

Kb. nem lenne értelme az egésznek.

"ha egy egyszerírható EEPROMban lenne az SW nem lehetne rosszra használni"

Dehogynem lehetne, RAM mindenképpen kell, onnantól kezdve meg szabad a vásár.

DRM is theft

Ha nincs jól megírva (ez a helyzet az esetek 100%-ban), akkor meg kuka...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Az IoT-ben éppen az a félelmetes, hogy nem Kolompár Orbán fog személyesen odaállni az ablakod alá wardrive-olni, hanem többezer km-ről és nagy tömegben fogják lepwn-olni a cuccaidat (vagy ugye az autódat, ha már itt tartunk).

Egyik "kedvencem" - ez egy IoT zár, ha jól emlékszem az August lock volt. Ez is egy központi szerveren keresztül kommunikál, de alapvető dolgok nem voltak megoldva. Pl. úgy kapott admin jogokat, hogy az üzenetben az isAdmin-t paramétert átírta True-ra, meg ugye a klasszik firmware-ben hardcode-old jelszó is ott van a "biztonság kedvéért". Ha jól emlékszem a tavalyi defcon-on volt előadás.

Én az IoT ugy tudnám elképzelni, hogy maguk az okoskütyük nem tudnak felcsatlakozni az internetre közvetlenül. Minden eszköz legyen az IPcam, vagy távolról netről vezérelhető virágcserép egy központi vezérlőeszközhöz kéne csatlakoznia, Mikor valamit be akarsz állítani akkor nem az eszközhöz csatlakozol hanem vezérlőeszközhöz és annak felületén kiválasztod melyik eszköz akarod állítani. ha egyik okoseszközödnek saját netkapcsolat kell mondjuk valami AI alapú cucc, akkor ő ellőbb felcsatlakozik a vezérlőhöz aki ad neki egy csatornát és megtörténik a kommunikáció. Vezérlőmodulon keresztül állíthatod mikor mit tehet az AI cucc.

Fontos lenne a vezérlőnek alapvetően gyártófüggetlenül bármelyik IoT cuccot tudjad vezérli.
Persze minden gyártó vezérlő felületét személyre szabhatná és a saját eszközei jobban integrálódnának, ám másik gyártó eszközét is látná,legrosszabb esetben mint valami külön megnyitandó eszköz ott lenne.
vezérlőeszközhoz való hozzáférésnél kéne Mac address /vagy valami hasonló regisztrációját, vagy beállíthatod bizonyos eszköz csak bizonyos eszközről lehet hozzányúlni. 1 eszköz csak 1 vezérlőhöz csatlakozhat,és míg le nem lesz onnan választva máshova fel se megy.

SCADA sebezhetőségek beindítja a csengőt?

Jelenleg is tele van a világ mindenféle biztonságot mellőző "zárt" hálózattal. Az IoT viszont új szintre emeli ezt azzal, hogy most már nem is zárt hálózaton lógnak ezek az előzőkhöz hasonló módon (nem) védett cuccok...

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Azért annál butább bruteforce megoldás kevés van, mint hogy minden egyes villanykörte 0-24-ben WiFin (értsd fölöslegesen bonyolult, baromi magas overheadet generáló, nagy energiaköltségekkel járó és jelen alkalmahásra túlságosan gyors kommunikációs forma) lógjon. És szerencsére normálisabb rendszerekben ez nem is így működik.

Arra kell törekedni hogy biztonság is épüljön a iot mellé. persze sokkal egyszerűbb vezérlőt frissítgetni mint a különálló tucatnyi kütyüt különféle gyártótól. KasperskyOS jó iránynak tűnik, de míg ezer gyártó ezer készülék amik sose lesznek javítva mert saját OS...
jajjj

Igen, ezek azok a kommersz sz@rságok, amiktől majd idővel meg fog tisztulni a piac. Érdemes pl. rákeresni a Loxone cuccaira. Mi pár éve voltunk a hazai képviseletnél, már akkor egészen érdekes cuccaik voltak.

Resistance Is Futile. You will be assimilated!

Csodálom, hogy nem került szóba a shodan.io keresőmotor a cikkben. Aranybánya a rossz embereknek illetve tananyag a másik oldalnak. Pl. "hue" keresőszóra kidob pár nem túl jól bekonfigurált okos izzót amit Átlag János a sarki Tescoban leemelt a polcról mert rá volt írva hogy az a jövő technológiája

[ Szerkesztve ]

Ha már minden használati tárgyad okos, már csak egyedül Neked kell okosnak maradnod, hogy ne kapcsolódj tengerentúli magáncégek szervereihez akikkel szemben jogilag _semmiféle követelésed nem realizálható_.

https://logout.hu/tema/re_gerincserv_muteti_kezelese/keres.php?suser=Eastman ⮞ Műtét nélkül is lehet megoldás...

Ezért kell "hekkelhető" IOT eszközöket vásárolni, hogy utána a hibáit kihasználva, saját programot/kódot futtass rajta - és onnantól már biztonságos(abb) lesz és csak rajtad múlik, más nem hibáztathatsz ha felnyomnak