Aller au contenu

Recommended Posts

Bonjour à tous,

Parmi les possesseurs de connexion SSH vers le HC2, savez vous se qui se passe en download et upload sur le contrôleur. 

En effet, les statistiques du port de mon HC2 m'impressionne. Pouvons-nous considérer que des opérations qui ne sont pas à notre initiative sont effectuées par Fibaro en dehors des downloads de nouvelles versions ?

Pourriez-vous faire quelques audits sur la plateforme ? Enfin pour ceux qui connaissent le login/pwd.

 

Insérer un autre média

 

HC2.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai jamais pris le temps de regarder en détail, et le sujet a déjà été abordé plusieurs fois sur le forum, mais voici quelques uns des échanges réalisés par la HC2 :

- remote control : tunnel SSH qui tombe et remonte régulièrement, donc génère de l'activité même si on n'utilise pas l'accès distant via home.fibaro.com ou l'appli moblie

- mise à jour météo et différents plugins (yahoo, netatmo, harmony, etc)

- vérification de dispo d'une nouvelle mise à joiur

- connexion à Google : check de la connexion Internet (toutes les 60 secondes)

- évidemment, toute l'activité liée à nos VD et Scènes

 

et d'autres chose que je dois oublier

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui mais là ton graph montre un port de ton switch, pas du trafic de la HC2 vers Internet, non ?

Donc on ne peut pas trop savoir si c'est du trafic local ou distant

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok je vais considérer le HC2 comme pas fiable en terme de sécurité car je ne fais vraiment plus rien avec, plus de VD réseau, plus de requête périodique ... etc. Je ne vois pas comme je pourrais avoir ce pic. Vraiment.

Donc pas de backdoor en cœur de réseau. Lui aussi va passer en VLAN IOT.

Partager ce message


Lien à poster
Partager sur d’autres sites

Tiens par curiosité t'es passé sur quelle box ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Ben j'ai pas changé, mais j'ai enlevé beaucoup de choses du HC2, car finalement à trop centraliser je prenais trop de risque (ne pas mettre tous les œufs dans le même panier).

Mais il est vrai que j'aime vraiment FHEM puis la gamme complète GCE. Comme je ne suis pas fan des IHM en général (Visuel, Vocale ...) car je trouve cela nazebrok, je me contente de mon usine à gaz car je sais ce qui s'y passe au moins.

J'ai une VERA Pro dans le carton et je ne l'utiliserais pas pour moi.

Finalement, après avoir travaillé 3 ans dans la construction d'un contrôleur dans mon boulot, je crois que toutes les solutions du marché sont des passoires de sécurité, alors je fais moi-même et cela me va bien.  

--- EDIT---

Et non toujours pas de Jeedom pour exactement les mêmes raisons annoncées au dessus. La sécurité n'est jamais une priorité dans un business model.

Modifié par CaptainIgloo
AJOUT

Partager ce message


Lien à poster
Partager sur d’autres sites

Ben je ne veux pas être trop pessimiste, mais les choses vont vite...

Là où nous étions une poignée de découvreurs il y a 6-7 ans, il y a maintenant plein de monde persuadé d'être mieux, meilleur et différent.

J'ai vécu effectivement une période, où mon background d'informaticien n'était pas vraiment entendu. C'est pas grave dans l'absolu, à chacun de faire son expérience aussi.

Mais je suis vraiment devenu un peu parano maintenant.

Tout ce que je ne comprends pas ou ne maîtrise pas moi-même : OUT.

 

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Mouais, la sécurité est une chose, de là à en faire l'élément principale, je suis contre à 100%. Car comme tu le dis toi même, après on construit des usines à gaz. Mais c'est un choix personnel et je le comprends. Moi je m'en tape, car clairement, si qqun veut me pirater, bah qu'il le fasse, je ne risque vraiment pas plus avec que sans ma HC2. Et au contraire, moi je préfère centraliser un maximum pour le contrôle. Par contre je gère la sécurité la plus importante pour moi : La panne de box, avec une autre box de secours tout simplement.

 

Sinon pour le traffic, oui déjà abordé un paquet de fois, et sur le fofo officiel aussi, par des root qui n'ont rien trouvé du tout.

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

@Nico je ne vais pas tenter de te persuader de quoi que ce soit. A chacun de positionner le curseur.

A chacun de déterminer ce qui est acceptable ou pas.

Il y a probablement des domaines où tu es intraitable ...

 

Le WAF et la domotique est pour certain un critère important, et je crois "personnellement" que nos compagnes s'en balancent complètement, et pourtant tant de gars y font attention... Mélanger le WAF et la non régression d'usage c'est pas la même chose.

Ben moi c'est la sécurité avant tous. 

Des roots n'ont rien trouvé du tout ... Ben c'est dommage d'être root et de ne pas comprendre non ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Mouais... Pas pour moi.

Partager ce message


Lien à poster
Partager sur d’autres sites

Captain, parle à Nico de la supériorité de ATI Radeon sur nVivia, et tu sauras sa position intraitable :D
 

My 2 cents : j'approuve ce que tu dis concernant la sécurité, mais j'ai toujours considéré, à la maison comme en entreprise, qu'il faut savoir s'arrêter à un moment et utiliser son système.

Donc mettre les objets à risque dans une DMZ et une bonne option, cela permet de bénéficier du service, sans pour autant devoir s'en passer complètement et devoir tout réécrite à la main.

 

EDIT : quant à comprendre le trafic, même en étant root, c'est juste une question de temps.... et de priorités.

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Non, quand je disais des roots n'ont rien trouvé, je veux dire qu'ils ont vérifier les paquets, et cela correspond à la liste des différents points que Lazer a mentionné plus haut.

 

Sinon Lazer oui, car j'ai toujours raison, c'est un fait. Et pour nVidia j'ai eu raison, vu qu'ils ont eu raison d'ATI :)

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok, les gars, je me demande parfois si avoir tord n'est pas mieux.

Maintenant je suis vieux (ah merde), et quand je crois avoir raison, je me fais très bien à l'idée que les autres ont tord.

Ce post, c'était pour savoir si quelqu'un savait, mais si personne sait je vais m'y faire... et de toutes façons le HC2 est maintenant isolé sur son vlan dédié.

Mais comme je suis un maniaque réseau, et que je sais le faire, cela sera ceinture et bretelles pour lui.

Partager ce message


Lien à poster
Partager sur d’autres sites

lis ca @CaptainIgloo

 

https://forsec.nl/2017/09/smart-home-remote-command-execution-rce/

 

Tu vas aimé :D

 

Le pire c'est que l'exploit est remonté le 22/02/2017 et personne le prend au serieux.

 

Patché le 14/09/2017 , waowww quelle rapiditée ... A la fin il lui offre un tee shirt ^^

Modifié par yoim
  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites

*** UPDATE 10 October 2017 ***

How cool! Received an unannounced gift from Fibaro after blogging my findings. This is much appreciated. Thanks Fibaro!

 

Ils ont quand même finis par lui offrir une Hc2, un minimum ... :13:

Partager ce message


Lien à poster
Partager sur d’autres sites

×