Sécurité De Nos Box Fibaro

[John]

Salut,

Je viens de faire un constat qui me fait peur et je souhaite vous apporter mes connaissances même si pas mal d'entre vous maîtrise déjàbien le sujet.

Je suis ingénieur en Sécurité et je fais beaucoup de recherche sur le hacking et d'autres sujets. Il y a quelques jours je suis tombé sur un nouveau site un peu prêt similaire àShodan et je me suis dis "Allez je vais voir un peu ce que ça peut donner sur les Grab de bannière indexé par le mot clé Fibaro" À ma grande surprise, une centaines d'Adresses IP de différents pays remontent ! Ce qui signifie que ces IP ont été scanné par des outils type NMAP et autres et que les informations ont été collectés dans une base.

Je décide de me connecter sur ces box juste pour vérifier le niveau du risque qui a été apprécié ou pas par les utilisateurs.

Je vous rappel au passage que toutes intrusions sur un système traitant de la données non prévu àla consultation est punie par la loi.

Première règle et information : Les box Fibaro HCL n'utilisent pas de canal de chiffrement donc toutes communications direct avec vos box transite en clair. Des attaques de type Man In The Middle peuvent

servire àvoler les mots de passe. Donc si vous ouvrez vos box sur internet n'importe qui peut se connecter àvotre système et en prendre le contrôle par une attaque de type brute force.

Je ne pense pas que Fibaro est implémentée des techniques de blocage.

Deuxième règle et constat : Je n'ai même pas eu besoin d'effectuer ce genre de technique d'attaque car après une connexion sur la box, la première chose que j'ai fais est de tester le mot de passe par défaut.

Résultat :

J'ai pris la main sur une dizaines de box avec les identifiants de base.

Le résultat et le constat est le suivant :

Vue complète des caméras :

Une personne mal intentionnée peut enregistrer les séquences vidéo et les mettre sur YouTube

Connaître vos moindres fais et geste et peux créer un planning de cambriolage ou autres.

Modification des scènes :

A votre insu, ajouter des fonctions afin de faire planter vos Box, on appel cela un Déni de Service

Ajouter un utilisateur et modifier les scènes afin de connaître l'état de vos équipement...

Ajouter une scène sur votre localisation et être averti lorsque vous rentrez chez vous

Modification du PIN admin et arrêt de l'alarme complet

Vous êtes beaucoup àmettre les coordonne GPS afin d'avoir les informations météorologiques. Ces informations peuvent être récupéré et l'alarme peut très bien être arrêté.

Je préfère vous le dire, je n'ai commis aucunes modifications, ni collectes d'informations. Les informations ci-dessus est un scénario de mon imagination mais celui-ci est bien faisable !!!!

Je sais que pas mal de personnes ne préfère pas passer pour des raisons techniques ou autres par la passerelle remote de Fibaro mais la connexion est initié de l'intérieur de vos logements donc pas besoin d'ouvrir de port àdestination de votre box sur vos équipements internet. Résultat lors d'un scan par une personne ou un système, la box ne sera pas visible et les bannières ne seront pas indexé. La communication entre la passerelle de Fibaro et votre box est initié en https donc la communication doit être chiffré (information non vérifié)

En ce qui me concerne, j'utilise la fonction de VPN sur ma freebox bloquant toutes communication depuis l'extérieur et j'ai implémentée des règles de sécurité strict pour ma HCL.

Voilàje ne veux pas que vous vous disiez que je suis parano, mais un minimum d'hygiène sur vos système doit être appliqué :

1. Je change le mot de passe du compte Admin

2. J'ouvre pas ma box sur le internet hormis si je comprends le risque que cela implique et que j'applique un contrôle sur la source qui doit se connecter mais je comprends que le trafic a destination de ma box est pas chiffré

3. J'utilise la passerelle de Fibaro pour me connecter en remote

4. J'évite de me connecter depuis des lieux public sur des postes en libre service car des outils type Keylogger peuvent tourner sur ces machines (Keylogger : Collecte des touches du clavier)

5. Je privilégie un système VPN de type OpenSource type OpenVPN.

John

[Sakkhho]

Quelles sont les restriction une fois le mode vpn de la freebox utilisé ?

Quid des HC2 ?

[Lazer]

HC2 idem que HCL

La restriction du VPN, c'est de devoir monter le tunnel avant chaque connexion. Donc devoir installer et configurer le client VPN sur les PC, Smartphone, etc

[Sakkhho]

Pas de mode auto ?

[John]

Pour moi le VPN est très bien. Je suis connecté en permanence et cela ne consome pas plus que toutes autres application qui tourne en background. Pour les notifications j'utilise les mails.

Je preference perdre 2 secondes àinitier mon VPN plutôt que de perdre du temps au commissariat et avec les assurances

[Sakkhho]

Ça bloque pas certaines connexions des nos apps etc. ??

Car quand je monte le vpn du boulot àla maison pas mal de choses sont alors bloqués et plus lentes.

Idem sur l iPad par exemple.

Je testerai une fois àla maison en même temps que la 4.070

[John]

C'est tout àfait normal. Cela dépend de comment le service VPN est configuré.

Lorsque nous mettons des VPN àdispositions de nos utilisateurs il y a deux méthodes pour accéder aux services de l'entreprise.

1: je diffuse une route IP globale : tout trafic hormis le point de connexion VPN passe dans le tunnel. Ex: tu navigues sur internet ca passe par l'entreprise. Cela permet d'éviter que ta machine fasse office de passerelle àdestination de l'entreprise. Si ta machine est infectée et que vous avez une PSSI (politique de sécurité des systèmes d'information)avec des équipements de sécurité (Proxy, IPS...) alors le trafic sera bloqué et éviteras toutes tentatives d'intrusion ou que ta machine puissent communiquer avec un C&CC pour le pilotage d'un bot. Car si ta machine contient un bot et qu'un ordre d'attaque lui ai demandé alors c'est l'IP de l'entreprise qui sera la source de l'attaque.

2: je diffuse seulement les services dont tu dois avoir accès : ex: mon serveur de mail àl'ip 1.1.1.1 alors je diffuse la route suivante :

Pour accéder à1.1.1.1 prendre le tunnel VPN le reste utilise la passerelle par défaut (ton FAI)

On appel cela du Split Tunnelling.

Dans mon cas je diffuse juste les équipements (HCL, Caméra....)

John

[Sakkhho]

Quand vpn boulot tout passe dans ce tuyau.

Je vais regarder de plus près tout ça car perso j ai redirigé les ports de mon hc2, mes caméra et mon nas

[D-GK]

Article très intéressant sur une problématique que j'avais déjà  évoqué... John je pense que tu pourrais presque faire un petit tuto sur la mise en place d'un VPN 

 

En tout cas, c'est super de pouvoir bénéficier de l'expérience de profils comme le tien sur ce forum !

[Nico]

John, moi je pense qu'il y a également un autre point : Déjà  changer le port par défaut lors d'un forwarding de port, ce qui au niveau recherche est déjà  bien plus compliqué. Ensuite effectivement, modifier son mot de passe par du bien complexe.

Et là , sur HC2, cela devient déjà  très compliqué à  pirater. Car la technique du Man in the middle, cela veut dire qu'on se connecterai sur un faut portail intérmédiaire ou alors que la personne puisse accéder aux paquets qui transitent, etc.

 

Pour moi le VPN présente bien trop de contrainte, et en respectant les règles de base, cela protège à  mon avis parfaitement la box. Exemple de souci avec le VPN : Tu rentres chez toi avec ton Wifi, si le VPN se lance en auto, cela veut dire que tu vais sortir pour re-rentrer par le VPN, donc perte de vitesse. En plus, lancement auto du VPN, cela veut dire d'autre contrainte, vu qu'il peut se lancer quand tu ne veux pas, et là  va expliquer ça au WAF...

 

Je pense qu'une bonne protection et respect des règles de bases couvre tout ça. Mais tu fais bien de le remonter, car effectivement, beaucoup ne protègent rien alors qu'ils ouvrent leur box sur le net...

[John]

Salut Nico,

 

Je suis un peu mitigé avec ta réponse et je vais te donner mon point de vue et ce n'est que mon point de vue.

Le fait de changer le port par defaut, ne changera pas le problème. Tu pars du principe que tu connais le port alors qu'avec un scan NMAP, tu exécutes un scan sur tous les ports qui te donnera un retour comme cela :

$ nmap -A **.**.**.**

Starting Nmap 6.49SVN ( https://nmap.org ) at 2016-01-26 21:29 CET
Nmap scan report for **********************************)
Host is up (0.064s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE VERSION
80/tcp open http lighttpd 1.4.35
|_http-server-header: lighttpd/1.4.35
|_http-title: Fibaro Home Center <<<<<<<<<<<<< Detection de type par le header
88/tcp open http lighttpd 1.4.31
|_http-server-header: lighttpd/1.4.31
|_http-title: IPCam Client
1723/tcp open pptp Freebox
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.10, Linux 2.6.32 - 3.13, Linux 3.2 - 3.13
Network Distance: 10 hops
Service Info: Host: ***************************

Comme tu peux le voir en aucun cas j'ai spécifié un port et il m'a fallu que quelques secondes pour savoir si il y a une box Fibaro derrière l'adresse IP Scanné, donc compliqué non.

 

Pour ce qui est de la technique du MiTM, je pense que tu fais trop confiance aux choses et aux moyens qui te sont mis à  ta disposition dont tu n'a pas le contrôle. Le fait que tu sois en sécurité sur ton réseau je suis à  100% d'accord avec toi. Le fait que tu penses que cela est très compliqué à  dumper des paquets non cela ne l'est pas pour les personnes qui en ont les moyens.

 

Lorsque que tu te connectes à  ta box depuis l’extérieur de ton habitation, tu te connectes depuis quoi ton téléphone en 3G/4G ? Comment es tu sur que la connexion est fiable à  100% ? As tu vu les dernière révélation de constructeur d'équipement avec des Backdoor (Ex: Juniper) qui fourni une grosse partie des opérateur Télécom. Je ne te parle même pas de Huawei. As tu les comptes rendu des Audit de sécurité qu'ils font sur leur Backbone ? Moi je ne les ai jamais vu.

 

Allez poussons la chose un peu plus loin. Tu te connecte en Wifi depuis des bornes Public ? Es tu sur sur quoi tu te connectes ? Lors de précédente nuit du Hack, nous avons démontré qu'il était possible de créer des HotSpot Wifi de tous les opérateurs et de permettre une connexion avec tes identifiants Internet et de les usurper et de te donner accès à  internet. Comment sais tu que tu n'est pas victime d'un dump de trafic.

 

Tu te connectes depuis ton poste de travail, qui te dis qu'il n'y as pas un debug en cours et que le trafic est pas dumpé ? Les personnes du service informatique te previennent lorsque qu'il font du Troobleshooting ? A moins que tu sois le DSI ou le responsable d'exploitation, rien ne garantie que tu n'as pas un petit stagiaire en train de t'espionner

 

A partir du moment ou ton canal de communication n'est pas chiffré, dis toi clairement que tu as une sécurité de bas niveau, et qu'il ne faudrat pas longtemps pour te faire peter ta box et je peux te confirmer que lorsque tu prends le contrôle d'un système c'est pas pour que tu t'en aperçoivent. Bien au contraire, tu t'en rendras compte beaucoup trop tard. On appel cela une attaque de type APT.

 

Sur mon scan NMAP, tu as d'autres informations comme les versions du Middleware utilisé pour faire tourner la box. Crois-tu vraiment que Fibaro est au taquet sur la veille sécuritaire de leur box ? Entre nous je ne crois pas. Car le fait de pouvoir changer le PIN sans demander l'ancien afin de confirmer que tu es bien la personne identifié et authentifié avec le compte que tu utilises, je ne pense pas du tout et je pense vraiment que coté sécurité se sont des grosses quiches

 

Pour la partie VPN, je ne suis pas totalement d'accord avec toi. Aujourd'hui les systèmes effectuant des calculs cryptographique sont plus que performant. Effectivement tu vas te prendre peut etre 20ms en plus mais tu ne le resentiras pas. Ton système n'est pas en train de déchiffrer 1Go de donnée en même temps. C'est quelques Ko hormis effectivement si tu upload des images sur ta box et encore

 

Concernant le routage de ton VPN le fait que tu sortes et re rentre comme tu dis ce n'est qu'une image que tu te fais du fonctionnement des VPN hormis je te l'accorde si le système est hébergé en dehors de chez toi. Si ton VPN est configuré sur ta box internet, alors oui, ton vpn se connecteras lorsque tu seras en Wifi, car ton serveur VPN va être porté sur ton IP public. Si celui-ci est sur un équipement en interne de ton réseau alors la connexion echoura, à  moins que tu ais un DNS privé en interne avec un domaine public.

 

Il faut partir de ce principe :

 

Reseau personnel de la maison = Réseau sur (et encore, il faut savoir ce que l'on fait)

Reseau non personnel devant passer par Internet = !!!!!! NON FIABLE !!!!!!!!

 

Pour ce qui est des Howto, je vais vous en préparer un et surtout je vais faire un truc sympa autour de la secu des Box Fibaro car il y a un truc sympa à  faire avec vous les gars

 

John

[D-GK]

Je suis très intéressé par ta démarche John, j avais essayé de lancer un sujet équivalent il y a quelques temps :http://www.domotique-fibaro.fr/index.php/topic/6170-sécurité-accès-à-distance/

J attends ton howto avec impatience

[Lazer]

+1 très intéressé par cette discussion, et je suis 100% d'accord avec tout ce que dit John.

 

Par contre, faire de la sécurité c'est toujours très contraignant, donc après chacun fait ce qu'il veut/peut en fonction de ses besoins et compétences.

Mais cette sensibilisation est la bienvenue

 

Pour Fibaro et la HC2, disons qu'ils sont meilleurs en sécurité pour protéger leur propre logiciel (et encore....hum hum) qu'en sécurité pour protéger la box domotique de leurs clients.

Il y a une subtile nuance, et ceux qui ont une clé recovery en panne comprendront de quoi je parle. A coté de ça, la box tourne sur une vieille Debian 6 non patchée, et tous les services exposés ont une configuration par défaut. Je ne suis pas spécialiste, mais j'imagine qu'il doit être relativement aisé de rentrer par l'interface Web avec une injection qui va bien....

[Olinet]

Totalement d'accord avec John. Disons que si on pouvait accèder ànos box en https cela serait déjàun grand plus. Perso, je me connecte depuis l'extérieur sur un ordinateur en local via teamviewer pour accéder àma box.

[PITP2]

Discussion super intéressante et très détaillée merci John pour le temps pris pour nous éclairer 

Par contre ce n'est pas très sympa d'avoir pris ma box en exemple 

[mprinfo]

@pitp2 ton mots de passe etait le plus simple : Bieres avec un "s"

Envoyé de mon SM-G900F en utilisant Tapatalk

[Nico]

John : Oui, au boulot je suis mon DSI, donc pas de souci

Je n'utilise jamais de hotspot Wifi, ou si je le fais je passe par mon BVPN, donc VPN...

 

Mais j'éclaire mes points, j'étais volontairement simpliste :

-Pour la partie VPN, on ne s'est pas compris. Je ne parlais pas du tout de perte de vitesse, mais de la facilité d'utilisation. Désolé, rien n'est 100% WAF la dedans aujourd'hui. Exemple bête : Tu mets un VPN, par défaut, cela veut dire que quand tu lances ton navigateur sur ton smarphone, tu vas passer par défaut par le VPN, donc passer par chez toi pour sortir sur le net : Si tu as un upload de mer**, c'est juste l'horreur. Donc ensuite il faut déjà  un VPN que tu ne paramètres que sur certaines applis, déjà  plus compliqué. Ou alors tu le lances manuellement avant de lancer l'appli Fibaro par exemple : Dans ce cas, c'est mort pour la partie flux remontant de la maison : Push, portier IP/SIP pareil, c'est mort, on ne peut plus utiliser etc etc...

-Ensuite je considère mon réseau privatif comme sà»r, et il l'est pour le commun des mortels. Donc pour pirater ça, il faut déjà  un gars sacrément équipé, et surtout une sacré motivation. Car il va me faire quoi ? Me bousiller ma HC2 ? Bonne chance à  lui, mon backup externe il ne peut pas y accéder. Et pourquoi faire ? Me cambrioler en ouvrant mon portail. Mouais, bah sacré voleur le mec, il faudra vraiment que je devienne très riche pour que qqun s'intéresse à  moi de cette façon.

-Sinon pour le scann de port, c'est devenu très très très rare depuis 1 an, et mon routeur check cela (Et d'ailleurs bloque facilement un scan complet en nmap), donc il lui faudra un sacré temps pour y arriver.

 

Ce que je veux dire, c'est que bien sà»r il ne faut pas faire n'importe quoi, mais il y a un juste milieu. Et il faut bien sà»r prévenir les gens, mais je pense sans aller dans l'excès. On reste sur l'accès à  une box domotique, pas l'accès sécurisé de notre portail bancaire... Tout est pour moi une question de proportion.

Et mettre un VPN en place de façon très simple et WAF, 99,999 % des personnes sont complètement incapable de le faire. Donc pour moi ce n'est pas une solution pour protéger notre HC2.