Tietoturva & kyberhyökkäykset

K

korsteeni

Jäsen
kuitu jossa P3420B jossa 2 NAT, ei käytössä ja 2 siltaavaa, toisessa RT-AX53U = kotiverkko jossa muut reitimet ja donglet, toisessa palvelin (kotisivu).
HA rokissa joka kotiverkossa, on vaan kaikki data siihen ja talologgercont, mqtt, kamerat ja invertterit niin ajattelin päästä helpolla reiän kanssa vs osoitteenmuutos sillattuna.
ajattelin vaan kun on valmis reikä niin on tavallaan jo pääsy tuohon kotiverkkoon, en tiedä onko.
 
F

fraatti

Hyperaktiivi
korsteeni sanoi:
kuitu jossa P3420B jossa 2 NAT, ei käytössä ja 2 siltaavaa, toisessa RT-AX53U = kotiverkko jossa muut reitimet ja donglet, toisessa palvelin (kotisivu).
HA rokissa joka kotiverkossa, on vaan kaikki data siihen ja talologgercont, mqtt, kamerat ja invertterit niin ajattelin päästä helpolla reiän kanssa vs osoitteenmuutos sillattuna.
ajattelin vaan kun on valmis reikä niin on tavallaan jo pääsy tuohon kotiverkkoon, en tiedä onko.
Klikkaa laajentaaksesi..
Oletko tutkinut Tailscale vaihtoehtoa?
 
A

Arisoft

Hyperaktiivi
korsteeni sanoi:
ajattelin vaan kun on valmis reikä niin on tavallaan jo pääsy tuohon kotiverkkoon, en tiedä onko.
Klikkaa laajentaaksesi..

Jos siinä HA:ssa on jokin bugi, jota hyödyntämällä sen saa toimimaan yhdysäytävänä kotiverkkoosi niin tämä on täysin varteenotettava uhka. Mutta se edellyttää, että ohjelmistossa on tällainen ominaisuus.

Salatun yhteyden luonti ja sen digitaalinen autentikointi on olemassa tätä uhkaa vastaan. Siinä tietysti pitää luottaa toiseen ohjelmistoon, että se on virheetön. Tästä ongelmasta ei pääse oikein eroon ja virheitä löytyy aina sieltä täältä.
 
M

maanma

Vakionaama
Riittävän hyvillä laitteilla HAn voi ohjata ulkoa sellaiseen erillisverkkoon, jossa on vain HA ja sen IPtä tarvitsevat anturit.
 
T

tet

Hyperaktiivi
Arisoft sanoi:
Itse käytän SSH:ta kaikkeen etäyhteyteen mitä harvoin tarvitsee. Vastaa tarpeellisin osin edellisessä viestissä mainittua VPN:ää mutta on yksinkertaisempi ottaa käyttöön, varsinkin jos tarvitsee SSH yhteyden laitteeseen muutenkin.
Klikkaa laajentaaksesi..

Enpä usko, että SSH-yhteyttä kovin paljon helpommalla saa aikaiseksi, kuin tuota omaa VPN-yhteyttä. Kotireitittimen asetuksista lisää uuden clientin, ja jos yhteys tulee mobiililaitteeseen, lukee ruudulta QR-koodin mobiililaitteen Wireguard-clientilla niin yhteys on konffattu. Jos taas vaikka läppäristä kyse, niin menee reitittimen web-liittymään sillä läppärillä ja imaisee konffitiedoston sieltä.

WireGuard: fast, modern, secure VPN tunnel

WireGuard: fast, modern, secure VPN tunnel
www.wireguard.com www.wireguard.com
 
K

kotte

Hyperaktiivi
Arisoft sanoi:
Itse käytän SSH:ta kaikkeen etäyhteyteen mitä harvoin tarvitsee. Vastaa tarpeellisin osin edellisessä viestissä mainittua VPN:ää mutta on yksinkertaisempi ottaa käyttöön, varsinkin jos tarvitsee SSH yhteyden laitteeseen muutenkin.
Klikkaa laajentaaksesi..
Minäkin käytän paljon ssh-etäyhteyksiä, aivan rutiinisti ja automaattisesti ohjattuna (esim. niin, että ulkopuolinen kone, jonne ei ulkoa pysty ottamaan yhteyttä ja jonka verkkoyhteyksiä on muutoinkin rajoitettu, pystyy ottamaan yhteyttä paikalliseen isäntäkoneeseen). Tuo infrastruktuuri tekee mahdolliseksi rajoittaa kotiverkossa myös sitä, mitä moinen ulkoa tullut yhteys on oikeutettu tekemään: Eli yhteydenotto reititetään täsmälleen tietylle koneelle, PKI-avain identifioi sillä sallitun paikallisen käyttäjätunnuksen ja tuolle käyttäjätunnukselle puolestaan asetetaan kohdekoneessa sandbox, jolla vain tietyt nimetyt palvelut ja niille tietynlaiset nimetyt operaatiot sallitaan. Tuo tekee mahdolliseksi rajoittaa käyttöoikeuksia eri tasoilla riippumatta toisistaan eikä ulkoa tulleelle palvelupyynnölle tarvitse suoda yhtään enempää oikeuksia kuin on välttämätöntä. Toki tuo sitten on jo hiukan monimutkaisempi konfiguroida (PKI-avaimen luonti, julkisen avaimen välittäminen kohdekoneelle offline sekä sandboxin konfigurointi kohdekoneella sekä reititys palomuurin lävitse).

Suhteellisen kätevästi tuolla saa myös etäyhteyden läppäristä, kun konfiguroi vastaavan PKI-avainsetin ja kopioi julkisen avaimen offline. Tuolloin ei tavallaan aukaise lisää aukkoja kotiverkon laitteisiin. Luotan näet joihinkin kotiverkon laitteisiin enemmän kuin toisiin (mm. webin käyttötapojen seurausvaikutuksena) ja käytän kotiverkossakin valtaosin ssh-pohjaista salausta kaikessa, mille tuo ei ole ongelma (eli pääosa laitteista pyörii linuxilla ja sillähän ssh-pohjaisesti voi käytännössä hoitaa kaiken koneiden välisen tiedonsiirron, paitsi mitä tietyt systeemipalvelut edellyttävät).
 
T

tet

Hyperaktiivi
kotte sanoi:
Suhteellisen kätevästi tuolla saa myös etäyhteyden läppäristä, kun konfiguroi vastaavan PKI-avainsetin ja kopioi julkisen avaimen offline.
Klikkaa laajentaaksesi..

Eikä tarvitse kopioida edes offline. Julkinen avainhan on julkinen, ei sen päätyminen hakkerille haittaa mitään.

Itselleni tuo WireGuard oli uusi tuttavuus, kun Ubiquitin reitittimen hankin. Niin helppo systeemi se on, että toivoisin sen tulevan mahdollisimman nopeasti kaikkiin kotireitittimiin tarjolle. Käyttistuki on jo aika kattava, mutta peruskäyttäjää tuskin kiinnostaa serveripäätä asennella PC:lle. Reititin on VPN-serverille paras paikka kotiverkossa.

Ei tarvitsisi enää kenenkään puuhastella turvallisen etäyhteyden kanssa, kun se löytyisi kotireitittimestä - niissähän on luvattoman huonot VPN-ominaisuudet noin pääsääntöisesti. Usein pelkkä pass-through -tuki löytyy protokollalle jos toisellekin. VPN:n käyttöhän ei sulje mitään lisäturvia tietenkään pois. Jos kotiverkossa käyttää systeemiä x, niin se systeemi x toki toimii myös VPN:n läpi - VPN vain siirtää koneen kotiverkon sisään sieltä "kannon nokasta".
 
K

kotte

Hyperaktiivi
tet sanoi:
Eikä tarvitse kopioida edes offline.
Klikkaa laajentaaksesi..
Periaatteessa toki ei, mutta joka tapauksessa julkinen avain täytyy välittää muuttumatta kohdejärjestelmään, jottei mahdollinen hyökkääjä pääse korvaamaan julkista avainta omallaan ja näin rakentaa MiM-välittimen kontrolloidakseen linkkiä ja sen välittämää tietoa. Tuo alkuperäinen yhteydenotto on ketjun heikoin lenkki ja siksi esimerkiksi openssh varoittaa, jos koneavaimen vastapuoli ei ole ole konfiguroitu (väärä avain on jo epäilty murtoyritys tai vaatii ainakin syvempää selvittelyä syy-yhteydestä) eikä anna edes tehdä moista automaattisesti, ellei erikseen sallita. Moiset haavoittuvuudet ovat käyttäneet nimipalveluiden haavoittuvuuksia moisen aukon hyödyntämiseksi (ja vaikka runkoverkossa nuo ovat kunnossa, netistä löytyy kaikkea maan ja taivaan väliltä).
 
T

Ton1A

Vakionaama
Jaahas, se on taas Front Door rikki, kuten viimeksikin kun oli isompaa häikkää. Nimensä mukaisesti tuo on monen webbipalvelun 'etuovena'.

Critical - Azure Front Door - Connectivity issues - Applying mitigation

Starting at approximately 16:00 UTC, customers and Microsoft services leveraging Azure Front Door (AFD) may have experienced latencies, timeouts, and errors. We have confirmed that an inadvertent configuration change was the trigger event for this issue.
Klikkaa laajentaaksesi..

 
K

kaihakki

Vakionaama
www.kauppalehti.fi

Professori varoittaa: Sähkömittareissa piilee yllättävä riski – Jos se toteutuu, moni voi jäädä ilman sähköä jopa vuodeksi

Älykkäiden sähkömittareiden turvallisuus perustuu usein pelkkään luottamukseen toimitusketjussa. Se voi olla vakava virhe maailmassa, jossa kyberuhat lisääntyvät, varoittaa kyberprofessori Sokratis Katsikas.
www.kauppalehti.fi www.kauppalehti.fi

Tästä jutusta tuli mieleen aurinkopaneeleiden toiminnan kyberturvallisuus. Meillä Solaxin invertteri, joka on johonkin pilvipalveluun vissiin Kiinassa kytketty. Alussa oli joitain konfigurointijuttuja ja laitoin sähköpostia valmistajalle. Tekivät päivityksiä Solaxiin ja homma hoitui hyvin.
Mutta tämähän tarkoittaa, että ko. firmahan pystyy lamauttamaan Solaxin kokonaan jos jostain syystä haluaa sen tehdä.
 
K

kaihakki

Vakionaama
Solax on konfiguroitu ZTE modeemi/reitittimen kautta vierasverkon kautta nettiin. Joten pilvipalvelun omistajan ei pitäisi päästä meidän sisäverkkoon. Mutta kyseessä on kuitenkin ZTE, joka on myös Kiinasta. Elikkä voi olla, että pääsevät jopa sisäverkkoon sotkemaan näitä tietsikoita.
Pitää varmaan jossain vaiheessa hommata joku Eurooppalainen invertteri, joka olisi myös valmistettu Euroopassa ilman kiinalaisia osia. Voi olla kyllä mahdoton juttu.
 
D

dbwarrior

Vakionaama
Auttaako palomuuurin perus porttitason rajoitukset, jos laitteeseen on tehty toimintoja jotka aktivoidaan siinä vaiheessa kun se laite ottaa yhteyttä "kotiin" ?
Solax toki pysyy päällä vaikka siltä escalaatio tilanteessa netin katkaisikin, eli mahdolliset automaatiot toki heikkenee.
Itsellä sungrow vertti joka kyllä juttelee EU regioonan servulle, ja netin katkaisu lähinnä deaktivoisi omankäyttöasteen seurannan.
Mutta noinkohan tuota muistaa pudottaa sitten netistä pois jos ulkopolitiikka tuosta lähtee kiristymään siihen suuntaan, että tämä scenario olisi kaikkien todennäköisin :)
 
K

kaihakki

Vakionaama
Aurinkopaneelisysteemin osalta ei ole onneksi kyse mitenkään kriittisestä jutusta.
Mutta tuo ZTE:n 5G modeemi/reititin rupesi ajatteluttamaan. Vaikka siinä on vierasverkko. Niin se ei ole fyysisesti erotettu, vaan on puhtaasti softalla tehty. Voisi olettaa melko varmasti, että modeemin softan tekijä on jättänyt softaan reiän, jolla voidaan siirtyä vierasverkosta sisäverkkoon ja päinvastoin. Ja vaikka ei olisikaan, niin modemin softaa päivitetään automaattisesti ja uusissa versioissa voi olla tarvittavat reiät. Liekö tästä itselle haittaa kuitenkaan. Mutta voi olla.

Ja tietysti on itsestään selvää, että ZTE pystyy menemään modeeminsa läpi ihan mihin tahansa sisäverkon koneeseen/laitteeseen. Mutta niin pystyy kaikkien muidenkin modeemien valmistajat.

Onkohan markkinoilla yhtään modeemia, joka olisi täysin Euroopassa valmistettu softaa myöten.
 
Viimeksi muokattu:
H

Harrastelija

Vakionaama
kaihakki sanoi:
Voisi olettaa melko varmasti, että modeemin softan tekijä on jättänyt softaan reiän, jolla voidaan siirtyä vierasverkosta sisäverkkoon ja päinvastoin.
Klikkaa laajentaaksesi..
Tarviiko siinä reikää verkkojen väliin?
Jos valmistaja on jättänyt reiän itse modeemiin/reitittimeen,AP:hen niin sittenhän siitä pääsee vaikka mihin verkkoon ja niiden laitteisiin. Toki verkon laitteissa on salasanat että ihan helposti ei tuotakaan kautta pääse itse laitteisiin vaikka sisäverkossa ehkä muuten pääseekin seikkaileen ja paketteja keräileen.

Ja sitten se kun ne verkon laitteetkin saattaa jutella valmistajan kanssa niin ei voi tietää mitä kaikkea pääsevät tekemään.
Ja tähän taisi liittyä tuo sähkömittari homma. Mittarit ovat siirtoyhtiön verkossa (toivottavasti mittariverkot on eriytetty internetistä mutta jutun perusteella ei ole jos kerran netin kautta ovat korjanneet mittarin toimintaa). Onko olemassa komento jolla mittari esim sammutetaan pysyvästi. Tuon kun tekee siirtoyhtiön kaikille mittareille niin pahimmassa tapauksessa pitää tosiaan kaikki mittarit uusia ennen kuin sähkö taas kulkee.kaikilla.
 
K

kaihakki

Vakionaama
Jos hakkerit pääsee modeemin läpi valmistajan salasanoilla, ja edelleen sisäverkon laitteisiin, vaikkapa Solax invertteriin, niin voivat lamauttaa sen pysyvästi. Voi olla, että Solaxin porukkakaan ei sen jälkeen enää pääse etänä laitteeseen.
Kyllä näissä sisäverkkolaitteissa on olemassa riski täydelliseen lamaannuttamiseen, joka ei tokene ikinä.
Jos haluaa 100 prosentin varmuuden hakkererien varalle, niin sisäverkkolaitteet pitäisi irrottaa netistä pysyvästi. Silloin ei myös omatkaan laitteiden etähallintasoftat toimi.
 
K

kaihakki

Vakionaama
Harrastelija sanoi:
Ja tähän taisi liittyä tuo sähkömittari homma. Mittarit ovat siirtoyhtiön verkossa (toivottavasti mittariverkot on eriytetty internetistä mutta jutun perusteella ei ole jos kerran netin kautta ovat korjanneet mittarin toimintaa).
Klikkaa laajentaaksesi..
Meillä on uusi sähkömittari, josta on ihan oma sähköyhtiön langaton nettiyhteys. Ei mene meidän sisäverkon kautta.
Sieltä menee Fingridin Datahubiin kulutus- ja aurinkopaneelien tuotto tiedot.

Homewizardin mokkula on sähkömittarissa ja lukee reaaliajassa kulutus-ja tuottotiedot pilveen, josta kännykkäappi niitä lukee ja piirtää käppyrää. Menee sisäverkon kautta.

Älyenergia-apin toiminta on epäselvä. Käyttötiedot näyttää lukevan Datahubista seuraavana päivänä. Mutta paneelien tuottotiedot lukee reaaliajassa (ainakin lähes) pilveen ja sitä kautta kännykkäappiin. Eli käyttää mahdollisesti tuottotietojen osalta sisäverkkoa.
 
Viimeksi muokattu:
H

Harrastelija

Vakionaama
kaihakki sanoi:
Meillä on uusi sähkömittari, josta on ihan oma sähköyhtiön langaton nettiyhteys.
Klikkaa laajentaaksesi..
Ainakin itse ymmärsin artikkelin että uhka on ne sähköyhtiön valitsemat yhteistyökumppanit ja niiden alihankkijat. Eli mm mittarin valmistaja alihankkijoineen. Jos joku sota tulisi niin vihollisen maassa valmistettu mittari ohjataan ulkomailta käsin pimeäksi.
Lisäksi joku hakkeri saattaisi päästä tuohon mittariverkkoon tekemään ilkeyksiä.
Eli tuo mittariverkko pitäisi saada kokonaan irti yleisestä internetistä.

Mutta onhan sellainenkin uhkakuva heitetty yleisesti että jossain laitteessa voisi olla radiovastaanotin joka sopivalla maapallon toiselta puolelta lähetetyllä (LW/MW) signaalilla sammuttaa laitteen. Antennin pitäisi kyllä olla iso tai lähetyspäässä julmettu teho tai molempia.
 
K

kaihakki

Vakionaama
Harrastelija sanoi:
Mutta onhan sellainenkin uhkakuva heitetty yleisesti että jossain laitteessa voisi olla radiovastaanotin joka sopivalla maapallon toiselta puolelta lähetetyllä (LW/MW) signaalilla sammuttaa laitteen. Antennin pitäisi kyllä olla iso tai lähetyspäässä julmettu teho tai molempia.
Klikkaa laajentaaksesi..
Vanhoissa putkiradioissa ja myös transistoriradioissa oli ferriittiantenni sisällä, joka toimii sekä pitkillä että lyhyillä aalloilla. Pitkät aallot kantaa ympäri maapallon aika pienillä tehoilla. Esimerkiksi radio Luxemburgin musiikkiohjelmia (muistaakseni keskipitkillä aalloilla MW) kuunneltiin aikoinaan 60- ja 70-luvuilla aika yleisesti tavallisilla matkaradioilla, kun suomalaisilta radiokanavilta ei tullut riittävästi nuorisoa kiinnostavaa musaa.
Tällaisen teknologian sisäänrakentaminen mihin tahansa laitteeseen onnistuu ja sopivalla signaalilla laite aktivoi haluttuja toimintoja.
Radioamatöörien käyttämät lähetystehot eivät ole kovin suuria. Ihan kotilaitteilla ja kohtuullisella langanpätkäantennilla onnistuu.
 
K

kaihakki

Vakionaama
Juu iso on. Tässä kuva Philipsin pienestä matrkaradiosta AE2160 FM/AM, jossa ferriittiantenni on muutaman sentin pituinen. On aika hankala piilottaa, mutta isompiin laitteisiin kyllä mahtuu.
1762707799833.png
 
T

Ton1A

Vakionaama
Radio-ohjatun kellon signaalin siirtonopeus on noin yksi bitti sekunnissa, tekoäly sanoi että täyden aikatiedon siirtoon menee noin yksi minuutti (kellonaika, päivämäärä). Mullakin on tuollainen herätyskello käytössä.
 
Sinun on kirjauduttava sisään tai rekisteröityä kirjoittaaksesi tänne.
Back
Ylös Bottom