Domácí automatizace - bezpečně - Verze k tisku +- XBMC-Kodi.cz (https://www.xbmc-kodi.cz) +-- Fórum: Ostatní diskuze (https://www.xbmc-kodi.cz/forum-ostatni-diskuze) +--- Fórum: OFF TOPIC - BEZ ZAMĚŘENÍ (https://www.xbmc-kodi.cz/forum-off-topic-bez-zamereni) +--- Téma: Domácí automatizace - bezpečně (/prispevek-domaci-automatizace-bezpecne) |
Domácí automatizace - bezpečně - cuore - 15.4.2019 Ahoj všem fandům IoT, rozhodl jsem se založit toto vlákno na popud zvětšující se neznalosti, ignoranství uživatelů o problematice IoT, která se stává čím dál více součástí našeho běžného života. Že člověk narazí na různých diskuzních fórech na nezkušené uživatele, ovlivněné mylnými informacemi buď ze zapleveleného internetu, nebo od jiných neznalých uživatelů tvářících se jako Guru, je pochopitelné. Ale vidím narůstající trend, že se tohle děje i na fórech, kde to nebývalo zvykem. Jedná se především o fóra zaměřené na opensource, IT a také toto fórum. Ano, narážím třeba na vlákno zabývající se Xiaomi, které je až fanaticky podstrkováno uživatelům, kteří třeba nejsou schopni domyslet rizikovost používání tohoto řešení. Při snaze alespoň o nějakou věcnou argumentaci a rozdmýchání diskuze, je pak uživatel maximálně napadán, urážen a zesměšňován. To je mimochodem ukázka nezralosti a neznalosti dotčených postujících uživatelů (kteří když nevědí jak argumentovat, začnou hledat sílu v davu a nevěcně ostatní osočovat). Bohužel se tak děje i ze strany uživatelů, kteří by měli být dle jejich prezentace na úrovni. Tohle je ale dáno, špatným systémem vyhodnocování úrovně členů tohoto fóra, odvíjející se od volby dat ovlivňující statistiku jejich postupu. Ve vodách opensource se osobně pohybuji odhadem 13 let, trvale jsem přešel myslím s nástupem ubuntu 10.04LTS. Za tu dobu sleduji pozitivní rozvoj tohoto směru, mezi běžnou laickou veřejnost, který má bohužel i negativní stránku. Snaha o zjednodušení a přístupnost pro běžného uživatele, sebou přináší několik úskalí: 1, zvýšení zranitelnosti, jelikož každý systém je jen tak robustní jak ho nastaví jeho uživatel 2, odchod zkušených uživatelů, kteří většinou nemají kantorské nadání řešit pořád dokola elementární věci. Tím i následně klesá úroveň těchto fór, jelikož chybí přirozená korektura nesmyslů. 3, čím víc je tato technologie využívaná běžnou populací, stává se více zajímavá pro různé společnosti a útočníky. Tady se ale začínají ve větší míře vyskytovat laici, neschopni správně reagovat na rizika. A takhle bych mohl pokračovat, zkrátka musíme vývoj brát tak jak je a doufat, že převáží spíše přínosy a negativa se přirozeně vytřídí. Tohle asi tak obecně k opensource, které má dost blízko i k IoT, jelikož jako na vše má svou alternativu. Výhodu v tomto řešení oproti komerčnímu, vidím v jeho transparentnosti, bezpečnosti, rychlosti vývoje, ohebnosti. Nemusím sice všemu rozumět, ale jelikož může do zdrojového kódu nahlížet kdokoli, je velká pravděpodobnost, že se do něj mrkne někdo, kdo je na vyšším levelu. To u komerčního řešení možné není a pokud má nekalé úmysly přímo společnost dodávající toto řešení, je pravděpodobnost odhalení tohoto chování takřka nemožná. Jsou pouze dvě cesty: 1, reverzní inženýrství, které je v home podmínkách náročné 2, sledování chování zařízení v bezpečném prostředí Toho docílíme, že zařízení budeme provozovat po určitou dobu v uzavřené sítí, kde nebude mít možnost přístupu do naši soukromé LAN s daty a jsme schopni jednoduše sledovat datový tok, který je ovlivněn pouze tímto zařízením. Dále pokud není zařízení schopno fungovat bez vnějšího prostředí, je to špatně, jelikož naši bezpečnost předáváme na bedra někomu dalšímu. To je sice fajn pokud tato společnost splňuje různé náležitosti ať už certifikace, je podrobována pravidelným auditům apod. Tohle se bohužel neděje pokud se jedné o různé pofidérní společnosti z východu. Bezpečností IoT se naštěstí zabývá čím dál více společností (nebudeme si nalhávat že mají ušlechtilé pohnutky, je to byznys). Pokus nemáte tušení o co jde prosím o přečtení IoT bezpečnost dále pár postřehů tady a tady. Jak je vidět je to naštěstí ve většině případů bráno dost vážně. Bohužel existuje spousta výjimek, které se snad tímto podaří rozprášit. A teď k samotnému vláknu, vkládejte postřehy, zajímavosti, řešení pro inspiraci, jak lze řešit chytrou domácnost. Díky tomu se třeba zjistí, že každý může mít chytré řešení, které je i bezpečné, levné, a má trvalou hodnotu. RE: Domácí automatizace - bezpečně - S474N - 15.4.2019 Jsem rad, ze ses konecne odhodlal si zalozit vlastni tema. Skoda jen, ze si to pojal jako uplakankovstvi nad tim, ze ti jinde ten zly guru (toto oznaceni jsem si nevymyslel, to prideluje forum automaticky v souvislosti s poctem prispevku) rozslapal neopravnene hracicky a ne nejak konkretne, co by posunulo vsechny nekam dal. Mimochodem, u OpenSource ctu velmi casto, jak se "nekdo treba podiva". A potom clovek zjisti, ze se nepodiva nikdo a ze nejake bezpecnostni chyby se tahnout uz x let. V kazdem pripade, ja jsem ten posledni, co by odmital opensource, jen bych na nej nespolehal, jako na jedinou a spravnou cestu. A ted k tematu - uz ve vedlejsim tematu jsem se ti snazil naznacit (a ostatni byli tehoz nazoru), ze tohleto "laborovani" v uzavrene siti, sledovani provozu, atd. je sice vec pekna, ale ze by asi bylo vhodne se zamerit i na "kriticnost provozovani reseni" (prijatelna mira rizika). Pokud je riziko blizici se limitne nule, tak je asi zbytecne, aby nekdo (skoda, ze ne zrovna ty!?!) travil svuj cas sniffovanim site. Proste prijatelna mira rizika muze ta, ze se clovek spokoji s tim, ze si holt nejaky cinsky soudruh precte informaci o tom, kdy nekomu spustilo zaplavove cidlo. Uprimne jsem ocekaval, ze zde pujdes prikladem a misto obecnych libivych (ci uplakanych) textu se tu treba ja dozvim, jak si za pet minut sniffovani nejakeho vyrobku Xiaomi zjistil to a to KONKRETNI bezpecnostni riziko. Tim bys totiz celou tu tvou "teorii" posunul do praxe. Domácí automatizace - bezpečně - Cinda - 16.4.2019 Docela zajímavý článek na toto téma je v časopisu Computer 2018/11 na straně 14. RE: Domácí automatizace - bezpečně - cuore - 16.4.2019 Tak pro začátek je důležité mít nějaké centrum chytré domácnosti. Četl jsem tady nějaké povzdechy nad raspberry jak mu dochází dech apod. Ano na nové formáty a kodeky už nemá dostatečně optimalizovaný hardware, tak proč ho nevyužít jako centrum chytré domácnosti. Já jsem zvolil Home Assistant, ale možností je mnohem víc, nástřelem Domoticz, OpenHab. Možností instalace je několik, já zvolil stažení připraveného image výhoda tohoto řešení je jednoduchost, a hlavně přímá podpora rozšíření tzv. ADD-ON. Postup rozbalení image atd. snad není potřeba popisovat. Po vložení připravené SD karty (doporučená velikost je 32GB) do raspberry a jeho připojení na napájení si počkáme asi 5 min. (četl jsem až 20) než se provede prvotní inicializace. Home assistent by si měl provést scan sítě a pokud rozezná nějaké IoT zařízení, tak ho automaticky přidá. Nepřipojujte žádný monitor apod. Home assistant nemá žádný xserver, takže obrazový výstup nečekejte (vystačíte si jen s ethernetem a napájením). Otevřete prohlížeč na jakémkoliv PC ve stejné síti a zadejte IP:8123, pokud neznáte přidělenou IP adresu zadejte hassio.local:8123. Po prvotní inicializaci home assistant nabídne vytvoření účtu, takže zadáme jméno a heslo, tohle jde pak postupem času upravit, takže stačí zadat něco jednoduchého a následně při vytvoření přístupu z venku si změnit heslo. Po výzvě k přihlášení zadáme jméno/heslo a naběhne home assistant do úvodní obrazovky tzv. dashboard. Doporučuji si vše proklikat a udělat si základní přehled. Pokud by někdo hledal, kde je nastavení uživatele jako je jazyk, heslo tak je pod odznáčkem obsahujícím vaše iniciály, vedle nápisu home assistant vlevo nahoře. Jméno uživatele jde zase změnit pod kartou Nastavení/Uživatelé. Pokud by někomu nebylo něco jasné, napište a doladíme, ať se může jít prochodit nějaká první IoT. K tomu bude potřeba doinstalovat a oživit pár addonů jako je Configurator, Mosquitto, Node-Red, SSH, Samba. Addony se instaluji pod kartou Hass.io/ADD-ON STORE kde si přidáme komunitní repozitáře pomocí tohoto postupu. Je to jednoduché, jen pomocí Add se vloží url adresa repozitáře. Díky tomu získáme node-red, MQTT Server & Web client. Takže z oficiálního repozitáře si nainstalujeme Configurator, Mosquitto broker, Samba share, SSH server a z komunitních Node-RED a popř. MQTT Server & Web client. Ten já osobně nepoužívám jelikož jako server používám Mosquitto, takže pak by šlo použít z tohoto doplňku jen Web client, kde je přehledně vidět komunikace MQTT, ale to je i v logu Mosquitto. Pokud máme nainstalováno, tak si rozklikneme první doplněk Configurator. Tam upravíme Config, já mám tohle Kód: { Kód: { Kód: panel_custom: Další dopněk Mosquitto broker. Do jeho configu Kód: { Další doplněk node-red je ptrochu náročnější. Do configu se musí vyplnit řádek credential_secret. Já tam mám 17-ti místný unikátní klíč. Pak ještě do řádku hesla musí být použito nějaké jiné heslo než je do Hass. Kód: { SSH server slouží pro přístup přes terminál, jeho spuštění je triviálni Kód: { Kód: { RE: Domácí automatizace - bezpečně - cuore - 16.4.2019 @S474N: s tím tvým "uplakankovstvím" si vedle. Tohle vlákno jsem založil proto, že budu postupně vkládat postup jak rozchodit bezpečnou domácí automatizaci. Co jsem psal je můj názor a shrnutí situace okolo IoT a jeho vývoji, který se podobá vývoji opensources. Takže se bude ubírat pravděpodobně stejným směrem. To že sis označení Guru nevymyslel jsem popisoval o špatně nastaveném systému většiny fór, kde je úroveň uživatele většinou přímo úměrná jen počtu postů. O jejich kvalitě, přínosu, nebo nebezpečnosti toto nevypovídá. Takže nemusíš mít obavy, žádné hračky si nerozšlapal. To že je opensource jediná správná cesta jsem nikdy netvrdil, jsou i komerční možnosti, kde jsem ale upozornil na vyšší cenu a obezřetnost uživatele od koho si tuto technologii pořizuje. Jde vidět že si toho o rizicích IoT moc nečetl, když pořád tvrdíš tyhle blbosti, ono o informaci, že máš někde rozsvíceno opravdu nejde. Asi nechceš, nebo jen nejsi schopen dané rizika domyslet v celém spektru. A u spousty uživatelů je nepřípustné jenom to, že jejich koupené čidlo není jen jejich vlastnictví a je možnost jeho čtení a ovládání někým dalším. RE: Domácí automatizace - bezpečně - marh - 16.4.2019 cuore má pravdu A je dobre otvoriť tému na tento problém. Tiež som tu upozornil na tému Zľavy na GEARBESTe a moderátor má chcel ukameňovať. Zbytočná téma na zľavy. To si nájdem celú ponuku na WWW. To že je úspešne predávaný produkt napr. XIAMOI neznamená , že je dobrý alebo bezpečný. Čína dotuje výrobu a agresívne ceny vytlačujú konkurenciu. USA/RUSKO/Čína sledujú ako aj každý iný. Kto vyrába aj hardware tak si tam otvorí zadné dvierka. Rusko nemá čo vyrábať. A tie feedbacks/hodnotenie nie sú zárukou kvality a obzvlášť nie na GEARBESTE. 10000 predaných veci a 5 hviezdičiek. Tomu ani slepiť nemôže veriť. A lepšie open source lebo vidíš zdrojový kód a vieš si upraviť podľa seba ak ti niečo nevyhovuje a najmä to sledovanie. Nahrávanie hovorov SIRI/ALEXA atď., GPS, sms, cookies ... A potom predavajú údaje iným na reklamu alebo nekalú súťaž alebo polícii. Radšej ESP8266/ARDUINO a pod. s hotovými projektmi a možno vykonnejší software na spracovanie/ovládanie na PC(Domoticz...). A cloud riešenia pre SMART stoja za prd. Ak zanikne firma za pár rokov alebo spoplatnia službu tak bez alternatívneho firmware všetko pôjde do koša. Už sa tak aj stalo. IFFT/CLOUD atď. funguje ale niekedy stačí jednoduchšie riešenie Uzavreté a aj malé SMART hráčičky môžu odosielať informácie napr. vonk.IP adresu, zariadenia v sieti, otvorené porty prípadné skenovať BT či RF zariadenia v okolí napr. myš, klávesnicu. Alebo nedajbože odomknúť váš dom ak bude nejaký pidihajzlík(zamestnanec cloud smart zariadenia) stať pred dverami. Toto bola komédia https://zive.aktuality.sk/clanok/126989/vyrobca-smart-zamku-vypustil-chybnu-softverovu-aktualizaciu-pouzivatelia-sa-nedostali-do-bytov-a-domov/ Na druhú stranu netreba byť paranoidný a nevychádzať kvôli tomu z domu. Niektorí majú domá rušičky či detektory zo strachu. Kto nie je zlodej tak mu nevadí nejaké odosielanie dát prípadne firma kvôli špionáži.(najmä čínske kamery čo vysielajú živý obraz na cloud). Aj tak príde doba kde všetko/všetci bude prepojené a sledované z nariadenia vlád.. :) RE: Domácí automatizace - bezpečně - Cinda - 16.4.2019 Jen houšť s podobnými návody. Těším se na další. Za sebe děkuji. RE: Domácí automatizace - bezpečně - mobilemanic - 16.4.2019 No, co se týká bezpečnosti, žádná není.. Lze řešit jistou odolnost proti plošným hrozbám, ale kdyby šlo o cílený útok profesionálů, neobstojí prakticky žádné řešení... Prakticky aplikuji toto: - síť postavená na HomeKitu, + HomeBridge na všechno to, co podporu HomeKitu nemá - co je moje a pod kontrolou (známý protokol, LAN only), to do té sítě může - co moje není (tedy je cloud-only, třeba moje stupidní proprietální pračka), to připojené není, nebo to dostane maximálně wifi pro guesty + vlastní pravidla na firewallu.. Ale podstatné je to, že domácímu uživateli je to ABSOLUTNĚ JEDNO, nezajímá ho to ani za mák, nemá na takové kraviny čas a nemá absolutně žádné tušení jak internet funguje a jeho znalost technologie končí u modrého éčka a seznam.cz.. Každopádně pro ty, které by to zajímat mohlo, je toto super topic, díky :) RE: Domácí automatizace - bezpečně - S474N - 17.4.2019 mobilemanic: naprosta vetsina obyc. lidi nic neresi. Nemaji na to cas a ani znalosti a jejich vybaveni “infrastruktura” LAN je na naprosto tragicke urovni. Sestava se obvykle z nejakyho Tenda/TPLink routeru s WiFi AP, pripadne toho maji vic a ruzne ponastavovane tak, ze je tam X DHCP a tedy i ruznych segmentu site. Pokud me nekdo z takovych lidi (rodina, znami) oslovi, tak jim rovnou rikam, ze pokud se jim mam o to starat, tak to znamena si pripravit nekolik tisicovek, vse vyhazet a vsude uz cpu UBNT. Od EdgeRouteru, pres PoE switche az po “talire”. Na tomto mam osobne overeno, ze nastavim a uz to nemusim znova resit. Takze jsme si ted prosli zakladni sit, kterou obyc lidi neresi a tady Cuore si predstavuje, jak po nocich tihle stejni lide si budou sniffovat sit, odchytavat komunikaci a tu jeste snad i vyhodnocovat. Takhle to v tom realne, svete opravdu nefunguje. Ano, bylo by to krasne, ale fakt ne. RE: Domácí automatizace - bezpečně - cuore - 20.4.2019 Dopsal jsem postup pro základní oživení Hass a doplňků. Pokud by něco bylo nepochopitelné dovysvětlím, popřípadě se doplní nějaké obrázky. Příště se zaměřím na oživení chytrého relé. Dlouhým procházení jsem dospěl k názoru, že je ideální řešení v podobě ESP8266. V případě Wemos je omezení dodělávka napájení a relé. Jako ideální hardware jsem našel Sonoff Basic, který se přehraje nějakým vlastním řešením z prostředí Arduino IDE. Tady je kód sonoff-arduino Kód: // Knihovny pro praci s WiFi Kód: // Pro prevod ceskych znaku v HTML kodu RE: Domácí automatizace - bezpečně - ch_bdxhegz - 20.4.2019 Sonoffy jsou skvělé, ale osobně u nich vidím dva nedostatky: 1 - Pokud vím, nejsou použitelné na spínání DC, ideálně 5, 12 nebo 24 V (většina LED pásků, co znám). 2 - S Tasmotou jsou často velice nestabilní a při nesprávném nastavení v HA se nestabilita ještě zhorší. Nejvíce se mi osvědčila tasmota verze 6.3 ("tovární") a selfcompiled 6.4.1 (verze sensors). Postupně ale Tasmotu opouštím ve prospěch ESPHome. Potencionálním třetím nedostatkem Sonoffů je nutnost napájení pinů, pokud je chce člověk flashnout, a to pro většinu (běžných) uživatelů asi bude oříšek. Nespornou výhodou ESPHome je pro mě automatická integrace do HA a možnost i dodatečně různé senzory a čidla přejmenovat. A úplně super je flashování přes USB (nodeMCU nebo WemosD1) nebo OTA u Sonoffů při přechodu z Tasmoty. RE: Domácí automatizace - bezpečně - cuore - 21.4.2019 Ono na Tasmotě se stále pracuje a na HW sonoff taky, takže nedostatky se pomalu odlaďují. 1, lze řešit HW zásahem, u nové desky to páni vývojáři ulehčili, že jsou nyní pevné cesty nahrazeny dráty. Takže stačí pouze štípačky a kontakty relé jsou bezpotenciálové. 2, 6.4.1 je za určitých podmínek stabilní, zjistil jsem že nestabilita tasmoty je dána nízkým logovacím časem. Default je 300, min je 10s. Pod 30s začínají být výpadky připojení. 3, napájení pinů řeší FT232RL adaptér, jen pozor na současné napájení z adaptéru a síťe Jinak k ESPHome - zatím jsem nezkoušel - nemám HW. Až přijde tak odzkouším, jen doufám, že se dá nahrávat a editovat v IDE, jinak to nemá pro mě smysl. RE: Domácí automatizace - bezpečně - plesi - 21.4.2019 No jen si neplést pájení (osazení pin headeru) a napájení ;-) Ale i s tím si běžný uživatel poradí 0:-) RE: Domácí automatizace - bezpečně - ch_bdxhegz - 21.4.2019 Napájení = připájení, co udělá nevhodná předpona, že :-) Sonoffy jdou přeflešnout na ESPhome OTA, pokud již běží na Tasmotě. Pochopil jsem to tak, že Sonoffy máš. "Kód" pro ESPhome se píše nejpohodlněji přímo v prostředí ESPhome a rovnou se z něj do zařízení taky pošle, lze samozřejmě použít textový editor, například Sublime, kód je obyčejný yaml. Samotné ESPHome je dostupné buď jako doplněk pro Hassio nebo například jako Docker container připojený k HA. RE: Domácí automatizace - bezpečně - plesi - 21.4.2019 Také bych byl zvědav zda místo pájení pinové lišty někdo používá pogo piny (odpružené hroty) a kolíček "jumbo" třeba s plexi nebo jiný pohodlný "zlepšovák";-) Domácí automatizace - bezpečně - Azazael - 22.4.2019 @cuore je fajn že si založil toto vlákno a prezentujes v ňom svoj názor a postoj lepšie ako vo vlakne o Xiaomi. A v mnohom môžem súhlasiť, hass plus nodemcu a pod. s tým sa dá čarovať :) Ale nie je to pre každého. Ja nie som technicky negramotny, zložil som si niekoľko pc, nainstaloval všetko čo potrebujem, zosietoval som si domácnosť, pouzival som niekoľko android zariadení s custom rom, rpi s LE, teraz vorke z CE, nejaké drobnosti z nodemcu a arduinom. Ale potom som skusil linux a niekolko sw ktoré by som chcel používať, inspirovala ma najmä táto stránka. A tam som narazil na jeden problém za druhým, hodiny googlenia sa stali dňami a týždňami. Ako si na začiatku písal o arogancii a tak, to nie je o arogancii ale o prioritách a čase. Nie každý chce a môže študovať a kodovat 4 sw ktoré by pod win rozbehal za pár hodín. Nemám pocit že je to vhodné a použiteľné pre jedného z milióna :) Ja osobne ak sa budem strašne nudiť alebo nebudem mať nič lepšie na práci sa k tomu možno vrátim... a mozno nie. Domácí automatizace - bezpečně - Cinda - 23.4.2019 @plesi, muzes hodit odkaz na ty zlepsovaky? RE: Domácí automatizace - bezpečně - ch_bdxhegz - 23.4.2019 Já mám tohle https://www.thingiverse.com/thing:2980893, ale protože je mi většinou líto nechat Sonoff jen jako relé,když se k němu dají připojit sensory nebo třeba další relé, tak ten pin header stejně většinou napájím (připájím), prostě ho tam naletuju :-) RE: Domácí automatizace - bezpečně - plesi - 23.4.2019 (23.4.2019, 10:22)ch_bdxhegz Napsal(a): Já mám tohle https://www.thingiverse.com/thing:2980893 Joo něco podobného jsem myslel :-) ... a tak si říkám zda nepoužíváte i jiné vychytávky (nějakou jinou víceúčelovou svěrku,kolík,pole...) Jinak samosebou je lepší připájet pinový kolík,přesně jak popisuješ důvod a také že to je jen chvilka pájení.(na pár kousků) RE: Domácí automatizace - bezpečně - ch_bdxhegz - 23.4.2019 Nic jiného jsem zatím neměl potřebu použít, tedy kromě běžných pomůcek jako je třetí ruka, vál na těsto upravený na pájecí pracovní plochu :-) a podobně. A vlastně i ta výše odkazovaná svorka leží v šuplíku. Co ale v poslední době hodně zvažuju je 3D tiskárna. Průša Mk3, Ender... |