Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > sfnet.atk.linux > #869

Re: Tietoturva sulautetuissa laitteissa

From Elias <elias.stahlberg@gmail.com>
Newsgroups sfnet.atk.linux
Subject Re: Tietoturva sulautetuissa laitteissa
Date 2017-02-01 10:50 +0200
Organization A noiseless patient Spider
Message-ID <0e61fb0c-326a-75ac-7b15-e6463bfc9ca6@gmail.com> (permalink)
References <nvgb71$fs7$1@dont-email.me> <2uRSz.24190$mN1.10960@uutiset.elisa.fi>

Show all headers | View raw

4.11.2016, 3:27, Tuska Pankki kirjoitti:
> Reijo Korhonen <reijo.korhonen@invalid.invalid> Wrote in message:
>> Tietoturvakeskustelu näytti herättävän paljon kiinnostusta joskin mopo
>> näytti varsin pian karkaavan käsistä ja puurot ja vellit olivat pian
>> sekaisin.
>
> On aina hyvä tapa aloittaa keskustelu haukkumalla muita.
>
>> Kamerassa ei
>> sentään ole, vaikka sellaisiakin taitaa olla. Aikakin valvontakameran
>> olisi saanut verkkokiintolevyyni.
>
> Tiedätkö varmuudella, ettei ole? Osassa on kuitenkin piilotettu
>  pohjana oleva melko tehokkaasti.
>
>> Kaikki laitteet ovat verkossa ja näkevät internetin mutta tietoisesti
>> vain reititin näkyy internettiin päin joskaan ei vastaa mininkään
>> palvelupyyntöön joten senkin näkymisen kansssa on niin ja näin. Tuo laite
>> on samalla palomuurini.
>
> Olemassa on useita esimerkkejä siitä, miten pahojakin puutteita
>  reitittimissä on. Samoin monen valmistajan kiinnostus päivitysten
>  tekoon loppuu helposti varsin nopeasti. Laitteiden elinikä on
>  kuitenkin pidempi, jolloin koko sisäverkko voi altistua
>  hyökkäyksille.
>
> Käytätkö reititintä valmistajan omalla vai ulkopuolisella firmiksellä?
>
>> Kauhukuvaskenaarioita IoT (Internet of Things) on levitelty jo pitemmän
>> aikaa ka esimerkiksi linux TV:den on varoiteltu olevan tietoturvariskejä.
>
> Pidän enemmän tosiasiana kauhuskenaarion sijasta.
>
>> Kyllähän valmistajat päivittävät näiden laitteiden firmwareja silloin
>> tällöin, mutta eihän heillä ole siihen muuta velvollisuutta kuin maineen
>> säilyttäminen.
>
> Varsin moni ei päivitä ollenkaan ja kuten reitittimen kohdalla
>  yllä mainitsin, laitteiden elinikä on pidempi kuin päivitysten
>  tarjoaminen.
>
>> Itse tiedän verkkokiintolevyssäni olevan tietoturvareiän,
>> joka on tukkimatta, mutta en pidä tuota kiintolevyä internetissä.
>
> Pidän tällaista erittäin huolestuttavana. Tuollaiset
>  haavoittuvuudet ovat yleisesti tiedossa ja siten
>  hyödynnettävissä. Lisäksi haavoittuvuuksia voi olla useita, koska
>  niitä on sekä valmistajan omassa softassa ja taustalla pyörivässä
>  käyttiksessä. Samalla toteutus on usein sellainen, ettei edes
>  osaava pysty helposti asentamaan esim debian-pohjaiseen debianin
>  tietoturvapäivityksiä jääden näin valmistajan hyvinkin hitaan /
>  olemattoman päivitystahdin varaan.
>
> Moni myös pitää nassit netissä käyttäen niitä omana pilvenään. Eli
>  käytännössä joko luovut osasta ominaisuuksia tai otat tiedostetun
>  riskin. Riskin, jonka olemassaoloa moni ei edes ymmärrä. Ja
>  samalla jo yksittäinen laite voi tarjota reitin kaikkiin muihin
>  kotiverkon laitteisiin.
>
>> Iot:n leviämisen suurimpana esteenä monet pitävät tietoturvakysymyksiä ja
>> toiset taas kasvavan liikenteen määrää. Liian moni käyttäjä on jättänyt
>> internettiin liitetyn kodin valvontakameran asetukset perusasetuksille
>> eli käyttäjätunnus ja salasana on sama kuin manuaalissa ja sen
>> seurauksena kamera näyttää olohuoneen puuhia sivustolla jossa muitakin
>> saman menettelyn tehneitä on pilvin pimein. Noita kameroita ei ole
>> varsinaisesti häkätty, mutta on käytetty hyväksi sitä, että kuka tahansa
>> saa striimata kameran kuvaa kunhan tietää käyttyäjätunnuksen ja salasanan
>> ja nehän kerrotaan manuaalissa. Eikä noiden valvontakameroiden omistajat
>> tiedä mitään siitä, että he ovat jatkuvasti "piilokamerassa". Tosin ei
>> tässä ole kyse pelkästään viatomasta kepposesta, vaan varkaat saavat
>> tietää koska perhe ei ole kotona ja käy putsaamassa paikat.
>
> Kamera streemaa itse, mutta streamia pystyy katsomaan helposti
>  kuka tahansa, jos kamera on suoraan netissä oletusasetuksin.
>  Mutta  koko totuus ei ole oletukset vaan mukana on myös selkeitä
>  haavoittuvuuksia ja koska moni kamera on kiinalainen jollakin
>  random-nimellä tehty, päivityksiä et saa luultavasti
>  mistään.
>
> Ja sama ongelma on monessa laitteessa. Eli salasanaa ei pakoteta
>  vaihtamaan. Näin pitäisi automaattisesti olla käyttöönoton
>  yhteydessä.
>
>> Näiden laitteiden firmwaren päivittäminen vaatii jonkin verran
>> viitseliäisyyttä. Yleensä pitää itse käydä valmistajan sivuilla
>> katsomassa onko päivtyksiä. Sitten pitää ladata päivitys ka laittaa se
>> flashaamaan laitteen rommi hallintaohjelman kautta.
>
> Ainoastaan kamera on tämänhetkisistä laitteista ainoa oma, jossa
>  ei ole hallinnassa järkevää tapaa tarkistaa päivityksiä ilman
>  mitään suurempia toimenpiteitä. Osa tarkistaa myös itse ja kertoo
>  päivityksen olemassaolosta maililla. Mutta moni käyttäjä ei edes
>  tiedä sen operaattorin tarjoaman wlanin tms hallinnasta, käy
>  siellä koskaan, saati ymmärrä asiasta mitään. Eli helppokaan
>  päivitys ei auta.
>
>> Minulla nuo laitteet ovat palomuurin sisällä. Kaikilla ei jolloin ne ovat
>> koputtelikoille alttiina.
>
> Luottamuksesi palomuuriin on todella ihailtava. Miksi uskot sen
>  olevan laite, jossa ei voi olla haavoittuvuuksia?
>
> Itse pidän näiden reititin/modeemi/nat/wlan/palomuuri -laitteiden
>  roolia todella kriittisenä ja olen niiden haavoittuvuuksista
>  huolissani. Mitä enemmän sisäverkossa eri laitteita on, sitä
>  varmemmin osa niistä on haavoittuvia. Eli sen verkkojen välissä
>  olevan laitteen merkitys kasvaa koko ajan ja haavoittuvuuden
>  olemassaolo voi antaa suoran reitin todella moneen muuhun
>  laitteeseen.
>
> Ongelmaa pahentaa vielä entisestään operaattoreiden järjetön tarve
>  saada reitittimet varustetuksi jonkinlaisella custom-firmwarella
>  tai vaihtoehtoisesti koko laite on hyvin eksoottinen. Kun samalla
>  estetään käyttämästä suoraan valmistajan tarjoamaa firmistä,
>  ollaan aina jäljessä ja tietoa mahdollisista ha
> avoittuvuuksistakin on vaikea saada, koska versionumerointi ei ole
>  sama.
> Liian monessa on lisäksi upnp, wps jne valmiiksi päällä. Eli
>  helpotetaan verkkoon tunkeutumista ja samalla sitä, että jonkin
>  käyttäjän toimen seurauksena sisäverkkoon päässeen haittaohjelman
>  on helpompi toimia.
>
> Kun vielä huomioidaan se, että monen laitteen hintojen laskiessa
>  nopeampien wlanien hinnat ovat melko korkealla, ei voida odottaa
>  laitteita uusittavan kovin nopealla syklillä jos laite ei hajoa
>  fyysisesti.
>
>> Jotkut pitävät vallunaja kemeroista,
>> verkkokiintolevyjä, reitittimiä yms. suurena riskinä siksi, että noilla
>> vallatuilla laitteilla voitaisiin toteuttaa mm. massiivisia
>> palvelunestohyökäyksiä.
>
> Voitaisiin toteuttaa? Oikea muoto on toteutetaan. Esimerkit ovat
>  jo olemassa ja mikä olisi noita otollisempi kohde? Verkkoyhteys
>  löytyy, resursseja on esim verkkolevyissä melko reilusti ja koska
>  täsmälleen samalla firmiksellä ja raudalla olevia laitteita on
>  paljon, onnistuu hyödyntäminen helposti.
>
> TP
>
>
> ----Android NewsGroup Reader----
> http://usenet.sinaapp.com/
>
Juuri noiden operaattorien reitittiminen huonouden ja joskus säätöjen 
puutteellisuuden takia itse käytän pfsenseä. Saa säädettyä sellaiseksi 
kun haluaa. Esim itselläni openvpn sisäverkkoon menee pfsensen kautta. 
Itse pidän hyvänä sellaista politiikkaa verkossa jossa sallitaan 
palomuurista vain tarvittavat portit ulkoverkkoon ja muut ovat 
suljettuja. Näihin portteihin pääsyä esimerkiksi pfsensellä voidaan 
rajoittaa. Esimerkiksi jos verkossa on vain yksikone jolla selataan 
nettiä voidan asettaa että vain osoitteella 192.168.1.3 päästään 
porttiin 80 ja 443.

Back to sfnet.atk.linux | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-03 21:46 +0000
  Re: Tietoturva sulautetuissa laitteissa Ari Saastamoinen <oh3mqu+news@hyper.fi> - 2016-11-04 02:19 +0200
    Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-04 06:41 +0000
      Re: Tietoturva sulautetuissa laitteissa Ari Saastamoinen <oh3mqu+news@hyper.fi> - 2016-11-04 12:50 +0200
        Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-04 18:20 +0000
          Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-04 20:39 +0200
          Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-04 21:34 +0000
            Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-05 00:21 +0200
      Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-04 15:47 +0200
    Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-04 18:06 +0000
      Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-04 20:24 +0200
  Re:Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-04 03:27 +0200
    Re: Tietoturva sulautetuissa laitteissa Elias <elias.stahlberg@gmail.com> - 2017-02-01 10:50 +0200
      Re: Tietoturva sulautetuissa laitteissa Juhani Varemo <juhani.poista@kuivanto.fi.invalid> - 2017-02-01 15:21 +0200
        Re: Tietoturva sulautetuissa laitteissa Elias <elias.stahlberg@gmail.com> - 2017-02-01 17:30 +0200
          Re: Tietoturva sulautetuissa laitteissa Juhani Varemo <juhani.poista@kuivanto.fi.invalid> - 2017-02-01 23:39 +0200
            Re: Tietoturva sulautetuissa laitteissa Ari Saastamoinen <oh3mqu+news@hyper.fi> - 2017-02-02 00:46 +0200
              Re: Tietoturva sulautetuissa laitteissa Juhani Varemo <juhani.poista@kuivanto.fi.invalid> - 2017-02-02 09:08 +0200
              Re: Tietoturva sulautetuissa laitteissa Pertti Kosunen <pertti.kosunen@pp.nic.fi> - 2017-02-02 11:30 +0200
  Re: Tietoturva sulautetuissa laitteissa Jouko Holopainen <jhol@iki.invalid.fi> - 2016-11-04 09:39 +0200
    Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-04 18:22 +0000
      Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-04 20:48 +0200
      Re: Tietoturva sulautetuissa laitteissa Jouko Holopainen <jhol@iki.invalid.fi> - 2016-11-04 21:20 +0200
  Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-15 19:33 +0000
    Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-16 08:02 +0200
      Re: Tietoturva sulautetuissa laitteissa Jouko Holopainen <jhol@iki.invalid.fi> - 2016-11-16 08:44 +0200
        Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-16 09:30 +0200
        Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-16 19:23 +0000
          Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-16 22:51 +0200
    Re: Tietoturva sulautetuissa laitteissa Ari Saastamoinen <oh3mqu+news@hyper.fi> - 2016-11-16 11:26 +0200
      Re: Tietoturva sulautetuissa laitteissa Reijo Korhonen <reijo.korhonen@invalid.invalid> - 2016-11-16 19:39 +0000
        Re: Tietoturva sulautetuissa laitteissa Tuska Pankki <eioo@ei.tuu> - 2016-11-16 22:25 +0200

csiph-web