Zabezpieczenia w IoT. Czy każda komunikacja powinna być szyfrowana?

[ethanak]

1 godzinę temu, Harnas napisał:

Wytłumacz mi , jak słabo/źle zabezpieczone urządzenia mają częściej padać ofiarą atakujących niż takie które nie posiadają żadnych zabezpieczeń?

Bo to nie żadna frajda wleźć sąsiadowi na niezabezpieczoną sieć. Poza tym jest przydatna, mogę sobie za darmo po necie polatać, ogólnie lepiej nie ruszać bo się sąsiad zorientuje i nie daj Boże zabezpieczy.

Ale złamanie szyfrowania (np. za pomocą ściągniętego z netu programu o którym się nie wie na jakiej zasadzie działa ale łamie) to już coś! Można kumplom pokazać że się jest mądry, a czasem nawet i panienki lecą na mastahaka 😉 A kto nie lubi pociupciać?

Edytowano Styczeń 29, 2019 przez ethanak

[deshipu]

2 godziny temu, Harnas napisał:

Pisałeś wcześniej że takie urządzenia muszą być 10x droższe. A nie weryfikuje bo nie ma pamięci na certyfikaty zaufanych wydawców. Możesz sobie wgrać te które potrzebujesz i sobie weryfikować.

Jak to pisałem, to miałem na myśli sam czujnik, a nie mikrokontroler, więc nie "takie urządzenia" — dyskusja była o szyfrowaniu komunikacji z każdym czujnikiem. Ale nawet w przypadku gdy masz urządzenie które może ci robić szyfrowanie, to sam sobie odpowiadasz na pytanie: albo płacisz za urządzenie które ma tyle pamięci, żeby certyfikaty się zmieściły, albo płacisz komuś, kto wie, że certyfikaty potrzebujesz, skąd te certyfikaty wziąć, jak je wgrać i jak je zweryfikować. Albo kogoś, kto to wie i do tego zaprojektuje interfejs, instrukcję i będzie robił support dla użytkowników, którzy mimo to nadal nie ogarniają, bo zawsze się tacy znajdą. Niestety nie ma nic za darmo.

2 godziny temu, Harnas napisał:

A samo WPA2 już szyfruje transmisje bezprzewodową co sprawia że atakujący żeby spoofować pakiety musiałby wpiąć się fizycznie kablem w sieć.

Skoro szyfruje, to po co ci ten zepsuty HTTPS? Żeby zrobić man-in-the-middle, wystarczy, że będziesz gdziekolwiek na drodze pakietów — lokalną sieć WiFi masz zaszyfrowaną, ale dalej przez cały Internet już wszystko leci szyfrowane tylko TLS-em, którego równie dobrze w tym przypadku mogłoby nie być, bo nie sprawdzasz z kim się połączyłeś.

2 godziny temu, Harnas napisał:

Wytłumacz mi , jak słabo/źle zabezpieczone urządzenia mają częściej padać ofiarą atakujących niż takie które nie posiadają żadnych zabezpieczeń?

A to jest akurat bardzo proste. Jak nie ma zabezpieczeń, to się dwa razy zastanowisz zanim prześlesz otwartym tekstem hasła, klucze, etc. — a jeśli nawet będziesz musiał to zrobić, to je osobno zaszyfrujesz. Będziesz mieć też mniejsze zaufanie do takich danych i odpowiednie zabezpieczenia. A jak jest "bezpieczne", to przecież "nie trzeba", więc hulaj dusza piekła nie ma. Do tego pojawia się problem używania tego samego hasła/klucza/certyfikatu do innych rzeczy (bo przecież to tyle pracy je generować za każdym razem jak wygasają), więc często jak złamiesz taki słabo zaimplementowany szyfr w czymś mało ważnym, to uda ci się uzyskać dostęp do dużo ważniejszych rzeczy.

Edytowano Styczeń 29, 2019 przez deshipu

[Elvis]

20 minut temu, deshipu napisał:

Jak to pisałem, to miałem na myśli sam czujnik, a nie mikrokontroler, więc nie "takie urządzenia" — dyskusja była o szyfrowaniu komunikacji z każdym czujnikiem.

Dyskusja była o zastosowaniu ECC508 w module Arduino, cała reszta to offtopic i błędne rozumienie wiadomości przesłanych otwartym tekstem.

21 minut temu, deshipu napisał:

albo płacisz za urządzenie które ma tyle pamięci, żeby certyfikaty się zmieściły, albo płacisz komuś, kto wie, że certyfikaty potrzebujesz, skąd te certyfikaty wziąć, jak je wgrać i jak je zweryfikować

To jest jak zwykle częściowa prawda, czyli całe kłamstwo. Certyfikaty nie są takie duże, powiedzmy 2048 bitów dla RSA, czy 128 bitów dla klucza AES można spokojnie zapisać w pamięci Flash. Oczywiście nie jest to bezpieczne, ale bardzo tanie. A traktowanie kryptografi jako magicznej dziedziny wcale nie pomaga w podniesieniu poziomu bezpieczeństwa.

23 minuty temu, deshipu napisał:

Albo kogoś, kto to wie i do tego zaprojektuje interfejs, instrukcję i będzie robił support dla użytkowników, którzy mimo to nadal nie ogarniają, bo zawsze się tacy znajdą. Niestety nie ma nic za darmo.

To oczywiście w 100% prawda, ale pewne rozwiązania są darmowe - nawet jeśli nie idealne, to niewielkim nakładem sił i środków mogą zwiększyć poziom zabezpieczeń.

24 minuty temu, deshipu napisał:

Żeby zrobić man-in-the-middle, wystarczy, że będziesz gdziekolwiek na drodze pakietów

To oczywiście piękna teoria, ale sam pomyśl ile osób nie jest w stanie takiego ataku dokonać. Znowu powrót od początku: nie ma idealnych zabezpieczeń, ale chodzi o podniesienie ich poziomu na tyle, żeby nie opłacało się ich łamać.

26 minut temu, deshipu napisał:

A to jest akurat bardzo proste. Jak nie ma zabezpieczeń, to się dwa razy zastanowisz zanim prześlesz otwartym tekstem hasła, klucze, etc.

To forum (chociaż nie tylko) jest pełne projektów przesyłających wrażliwe dane otwartym tekstem. Nawet ostatnio @ethanak do spółki z @SOYEREM pracowicie wypychają mnóstwo danych na niezabezpieczony serwer. To nic złego do nauki, ale może czasem warto zwrócić uwagę, że w pewnym momencie trzeba brać pod uwagę zabezpieczenia.

Więc już odkładając zupełnie na bok niepotrzebne emocje - moim zdaniem każda skrajność jest zła. Zabezpieczanie wszystkiego jest trudne, przesyłanie wszystkiego otwartym tekstem... hmm... odważne. Natomiast pomiędzy, jest to co należy zrobić, tylko na spokojnie wypadałoby się zastanowić co i kiedy warto i wypada. Proste zabezpieczenia wcale nie są drogie, a mogą wiele pomóc.

Ja mam przykład z życia - zawsze śmiałem się z osób, które narzekają że giną im rzeczy z walizek na lotnisku. A w niedzielę, jak leciałem do roboty to przyleciałem bez całej garści duńskich koron... i wniosek mam taki: nawet niewielkie zabezpieczenia, czasem potrafią uchronić przed złym humorem. Chociaż to raptem kilka straconych piw (w Kopenhadze, w Wawie, pewnie skrzynka czy dwie), ale potrafi mocno zdenerować.

[SOYER]

Czuje się wywołany do odpowiedzi.

Od dłuższego czasu już myślałem o zabezpieczeniach na tym moim serwerze. Chcę założyć nowy temat o tym, jednak czekam, aż rozwiąże się sprawa z tym moim stałym IP. Chciałem popytać wtedy całościowo, o firewalle, szyfrowanie przesyłanych danych, zabezpieczenia przeciw skośnookim botom itd.

 

Edytowano Styczeń 29, 2019 przez SOYER

[Polecacz 101]

Produkcja i montaż PCB - wybierz sprawdzone PCBWay!
   • Darmowe płytki dla studentów i projektów non-profit
   • Tylko 5$ za 10 prototypów PCB w 24 godziny
   • Usługa projektowania PCB na zlecenie
   • Montaż PCB od 30$ + bezpłatna dostawa i szablony
   • Darmowe narzędzie do podglądu plików Gerber
Zobacz również » Film z fabryki PCBWay

[Elvis]

@SOYER mam nadzieję, że w żaden sposób Cię nie uraziłem, przepraszam że wspomniałem o Twoim projekcie, nie miałem nic złego na myśli. Chodziło mi tylko o to, że aspekt bezpieczeństwa danych jest zupełnie ignorowany. Nie ma w tym nic złego, sam kiedy się uczyłem podstaw PHP i SQL, bardzo, bardzo dawno temu nawet nie myślałem o zabezpieczeniach. Ale zawsze jest moment kiedy odkrywamy, że świat wokół nas nie jest tak piękny i przyjazny jak się wydaje. @ethanak zwrócił Twoją uwagę na podatność związaną z wstrzykiwaniem kodu SQL (https://pl.wikipedia.org/wiki/SQL_injection), oczywiscie możliwych niebezpieczństw jest więcej.

Ja uważam, że lepiej o nich mówić, pisać i informować, niż chować głowę w piasek (wystawiając inną ważną część ciała). Nawet jeśli nie stworzymy systemu niemożliwego do złamania, to zawsze lepsze niż nie robić nic. Co ciekawe @ethanak jest przeciw ignorowaniu bezpieczeństwa kodu SQL, ale już użycie SSL uważa za niepotrzebne, bo tylko miesza w głowach maluczkim... więc gdzie powinna być bariera zabezpieczeń?

Edytowano Styczeń 29, 2019 przez Elvis

[SOYER]

zara @ethanak tu pewnie wpadnie i co nieco wytłumaczy:-)))

@Elvis nikogo nie uraziłeś, w każdym razie na pewno nie mnie;-), jak napisałem myślałem o tym od dłuższego czasu, ale czekam na to stale IP i na razie nie ruszałem tematu.

Wierz mi, że na pewno jeszcze o tym usłyszycie z mojej strony, założę nowy temat.

Z kolei szyfrowanie wysyłanych danych to temat jak najbardziej na czasie, właśnie do tego etapu dotarliśmy z ethanakiem...

Edytowano Styczeń 29, 2019 przez SOYER

[SOYER]

my tutaj o kodowaniu każdej transmisji, a tymczasem https://www.cyberdefence24.pl/polacy-coraz-bardziej-mobilni-ale-malo-swiadomi-zagrozen-raport

[ethanak]

10 godzin temu, Elvis napisał:

@ethanak jest przeciw ignorowaniu bezpieczeństwa kodu SQL, ale już użycie SSL uważa za niepotrzebne

Kiedy ja coś takiego stwierdziłem?

Oczywiście, uważam użycie SSL za niepotrzebne w sytuacji, gdy (hm... pętla przekierowań) jest niepotrzebne. Pytanie: co da SSL w przypadku, kiedy:

a) serwuję treść ogólnodostępną (czyli nie ma niebezpieczeństwa podsłuchania transmisji)

b) certyfikat (jak w przypadku Let'sEncrypt) nie umożliwia identyfikacji (czyli SSL nie pomoże w przypadku przejęcia domeny przez włamywacza)

Bo ja w takiej sytuacji nie widzę żadnego z SSL-a pożytku, poza tym że zarówno serwer jak i mój komputer trochę więcej prądu zużyje 😉

Edytowano Styczeń 30, 2019 przez ethanak

[Elvis]

Ok, to przepraszam, może trochę źle zrozumiałem wypowiedź z kłódeczką. Czyli chociaż czasem użycie SSL ma sens 🙂

Pytanie teraz znacznie trudniejsze - kiedy warto używać szyfrowania? I tutaj właściwie wracamy do początku dyskusji, bo prawie tak samo będzie z IoT, czy urządzeniami opartymi o Arduino. Możliwe że nie ma sensu wszystkiego zabezpieczać, ale również niezabezpieczanie niczego chyba nie jest rozsądne.

Drugie pytanie to poziom tych zabezpieczeń. Bo nigdy nie zabezpieczymy systemu w 100%. Musimy pogodzić się z pewnym poziomem ryzyka - jak podpadniemy służbom USA, czy Chin, to i tak nasze mega SSL nie będą miały szans. Ale to wcale nie znaczy że mamy usiąć i płakać oraz pozwolić, żeby każdy miał pełny dostęp do naszego systemu.

[ethanak]

29 minut temu, Elvis napisał:

może trochę źle zrozumiałem wypowiedź z kłódeczką

A, o to Ci chodziło.

Tu chciałem o prostu pokazać, że SSL to nie jest lekarstwo na wszystko. W "instrukcji obsługi internetu" w wykonaniu różnych instytucji finansowych widnieje porada, że "trzeba sprawdzić czy jest kłódeczka przy adresie". Tymczasem doskonale mogę sobie wyobrazić sytuację, kiedy taka kłódeczka będzie, połączenie będzie szyfrowane, ale domena "pekaо.tld" (czyli tak naprawdę ""xn--peka-85d.tld") co do której przekonani jesteśmy, że to domena naszego banku - jest w rzeczywistości własnością niejakiego Dmytra Denisowycza Chwedczuka z Czerniowców (firma "Egzekucja długów szybko i tanio") 😉 Czyli - że owszem dostaliśmy klucz, ale ktoś nam podmienił drzwi 😞

38 minut temu, Elvis napisał:

Pytanie teraz znacznie trudniejsze - kiedy warto używać szyfrowania?

A ja bym to pytanie zadał inaczej: kiedy nie warto używać? Bo zakładam, że w każdym przypadku gdy istnieje prawdopodobieństwo podsłuchania/przejęcia transmisji i zrobienia nam brzydkiego kuku szyfrowanie jest co najmniej wskazane, jeśli nie konieczne.

[FlyingDutch]

Cześć,

news "dzisiejszy" (Interia): Rząd Japonii włamuje się do urządzeń IoT w ramach "ćwiczeń" Link tutaj:

https://biznes.interia.pl/wiadomosci/news/rzad-japonii-wlamuje-sie-do-urzadzen-iot-w-ramach-cwiczen,2601254,4199

Pozdrawiam

 

[Elvis]

Inna ciekawostka - wyszukiwarka urzadzeń IoT: https://www.shodan.io/

[SOYER]

Dzisiaj wyświetliła mi się w przeglądarce: https://botland.com.pl/pl/moduly-wifi/13337-azure-sphere-mt3620-eu-zestaw-rozwojowy-modul-wifi.html?utm_term=product&utm_source=criteo&utm_medium=retargeting&utm_campaign=lowerfunnel

to chyba do tego wątku pasuje, ale co to to robi?