"Z reálného světa je takové chování podobné tomu, že si fixem napíšete svůj PIN na platební kartu nebo že si pořídíte bezpečnostní dveře, a klíče necháte viset zvenčí na provázku na klice."
Přesnější paralela by byla, že by banky vydávaly karty s PINem 1234 a dveře se dodávaly se zámky se stejným klíčem. A bylo by na každém, zda si změní PIN či vymění zámek, přičemž by ale vše fungovalo i bez toho.
V reálném světě se zjevné problémy tohoto přístupu již vyřešily, banky generují PIN pro každého klienta zvlášť, dveře se prodávají s různými zámky (pokud koupíte hotové řešení "dveře se zámkem"). A uživatel je na to zvyklý, PIN ani unikátnost zámku nejsou jeho starost, jen akceptuje, že jeho PIN je 3862 a do jeho zámku pasuje klíč, který má v kapse.
Proč by to v online světě mělo být jiné? Uživatel koupí třeba router, strčí do něj napájecí a datový kabel a funguje mu internet. Někteří výrobci už dokážou pro každý přístroj generovat unikátní heslo, problém tedy zřejmě řešení má (další je výchozí heslo, bez jehož změny ale nejde zařízení používat).
Takže ne, i v případě botnetu Mirai a posledních útoků jde zodpovědnost (snad ani ne především jako výhradně) za dodavateli zařízení, koncept standardního výchozího hesla bez vynucení jeho změny před použitím zařízení je zlo.
Hmmm... to opravdu nepůjde. Pokud se očekává masivní rozšíření IoT zařízení je naprosto absurdní očekávat od lidi nějakou aktivní práci pro obsluhu desítek zařízení. To dnes nedělají ani profesionálové - kdo si opravdu pamatuje a pravidelně mění hesla pro ty desítky různých Webu? Šílený koncept...
Už jsem tu zmiňoval, že náš wifi modem má k sobě CD, s jehož pomocí by asi šlo i změnit heslo z výroby, nicméně vyžaduje windows konkrétní verze. Takže sorry, pokud k tomu výrobce nedodá skutečně funkční nástroj nebo alespoň funkční popis, tak to spousta lidí prostě nezmění, protože to technicky nezvládne.
Hesla na webech nema smysl menit. Heslo zadane na web je heslo verejne. Jedine co smysl ma je pouzit pro kazdy web heslo unikatni, coz je casto problem take, protoze mnozina a rozsah vstupnich znaku jsou velmi casto velice omezene, a to i tak, ze klidne dovoli zadat 30+ znaku, ale realne pouziji prvnich 5. V kazdem pripade to znamena pouzivat spravce hesel, coz je dalsi zcela zbytna prace navic, nebot v 99% pripadu neexistuje zadny relevantni duvod proc by mel web vubec nejake heslo pozadovat.
1. přednastavené heslo 12345, 00000 nebo "password", je opravdu špatně už z principu
2. i pokud by to tak nebylo, první věc co by mělo zařízení po připojení chtít je změnit heslo
3. a ignorujete fakt, že spoustě zařízení to ani změnit nemůžete - STB/modem/router od mobilních operátorů je často čistě v jejich režii, a "vy do toho nemáte co šahat protože oni to zakázali". Občas vás nechají změnit si heslo k Wifi, větší drsoni ani to ne.
Samozřejmě chce to s rozumem. Takové tuším RWE vás sice nechá administrovat si leccos přes web, ale když na volbu hesla potřebujete asi 15 pokusů protože chtějí písmeno, chtějí znaky, nechtějí tolik tamhle, občas nesmí být toto nebo tamhleto na konci atd., tak je to k uzoufání.
Autor clanku si musi uvedomit, ze tato zarizeni nekupuji jen lide, kteri se v teto problematice vyznaji. Zkratka to jsou uivatele, kteri chteji, aby "to fungovalo" a to je vse. Dal uz nad tim nepremysleji. Reseni tedy neni karat lidi na "IT" strankach, ze si maji menit hesla (tito lide to delaji), ale tlacit na vyrobce, aby napriklad nedavali zakladni hesla a heslo by se muselo nastavit pri prvnim spusteni nebo tak neco...
Tak třeba taková "cihla" od UPC. Nedávno jsem to u známého měnil, údajně mi žádné papíry nezatajil. Přiložený letáček, že jméno a heslo k WiFi je na spodku přístroje, a užívejte si našich služeb. Heslo k administraci nikde není, nicméně admin/admin fungovalo. Vypadá to, že UPC ani nechce, abyste si cokoliv měnili :-/
Jesti ono to s internetem věcí nebude jako s komunismem...
Nalajnovaný a v hlavách přesvědčených to vypadá ideálně, správně a bezvadně. Ovšem jakýkoli pokus zavést to do praxe ztroskotá a postupně živoří s velkými (původně) neplánovanými škodami.
Když může, s trochou nadsázky, chytrá žárovka být součástí DDoS už teď, v zárodku IoT, tak je něco špatně. A ne, nepovažuju to za "porodní bolesti". S množením věcí, zapojených do IoT budou pokusy o ovládnutí IoT sofistikovanější a skrytější. Bůh nás chraň, ač jako ateista bych měl vyměnit boha za "Rozum". Jenže prachy...
Možná je to od výrobce záměr.
Já teď z Číny objednal hromadu IP kamer, nejlevnější stála $16!! Budu to využívat v lokální vlan bez přístupu do internetu, takže výrobce má smůlu, ale jak jinak lze dosáhnout takto nízké ceny, aniž by výrobce nefinancoval svoje aktivity nějak jinak (zadní vrátka pro vládu nebo sebe?)
Důvod u uživatelů bych viděl celkem jednoduše - únava. Za situace, kdy heslo požaduje každý ešopový hejhula, je každé další zátěží navíc. Nedej bóže, že by se ještě muselo pravidelně měnit. Ale všechno zlé je pro něco dobré, možná se výrobci chytnou za nos, až proběhne ve zprávách informace, že (například) chytrá pračka VyperuSamo zastavila službu Google :-)
Nehledejte záměr, kde to lze vysvětlit neschopností. Ta nízká cena se dosahuje použitím hotových kitů dodávaných vč. firmware. Ten před lety zplácal s s cgi skripů někdo bez elementárních programátorských znalostí a kvůli absenci kontroly kvality se na to nepřišlo.
Kdybych nezažil spolupráci s číňany, kde třeba několik měsíců čekáte, než jsou schopni přidat do rc skriptu příkaz, protože je nutné ho uzavřít do uvozovek, což jim za boha nevysvětlíte, nevěřil bych.
To, že čínská vláda výrobu takových zařízení dotuje je možné, ale tyhle bezpečnostní díry jsou způsobené pouhým lemplovstvím výrobců a nezájmem zákazníků (copak se někdo při koupi třeba http://www.akcniceny.cz/detail/andy-lenovo-tablet-1-ks-2369840/ ptá, zda jsou na to bezpečnostní aktualizace? těžko).
Pane autore, u mnoho těch NVR, kterých se to týká (u nás např. oblíbený KGuard, ale stejnou sračku používá spousta dalších klonů) změnit heslo nelze. Je tam backdoor od výrobce, když se ten jejich shitoidní FW při nastavování posere (například tak, že znefunkční defaultní admin účet), tam vám z podpory pošlou root přístup emailem.
Dear Sir/Madam,
Thank you for contacting KGuard Technical Support.
Regarding to the question you have, here is our solution:
1. Please go to DVR's local side and try those two temporary user/password admin/393856 OR admin/519070 to login
2. Go to DVR's "Main menu" --> "System" --> "Password" and set new admin password
3. Reboot DVR and login to check DVR's new admin password is working
We hope this helps and please do not hesitate to contact us with any additional queries you may have.
Best Regards,
KGuard Technical Support_Erika
KGUARD INFORMATION CO., LTD.
4F, No.113, Jian 2nd Rd., Jhonghe Dist., New Taipei City 23585, Taiwan (R.O.C.)
A to se bavíme o zařízeních za desítky tisíc. No, a takhle to u těch šikmovokejch dementů vypadá všude.
Kdybych nezažil spolupráci s číňany, kde třeba několik měsíců čekáte, než jsou schopni přidat do rc skriptu příkaz, protože je nutné ho uzavřít do uvozovek, což jim za boha nevysvětlíte, nevěřil bych.
Jojo, to se musí zažít. Např. několik let jsem se snažil vysvětlit nejmenovanému výrobci NAS, že by měli zkompilovat coreutils a rsync s podporou ACL, páč to jinak při zálohování kurví práva k souborům (což je u zařízení určeného primárně jako úložiště souborů takový triviální problém). Stejná banda debilů ani po 4 letech nepochopila, že systémový čas synchronizovaný z NTP serveru se nepřepisuje několikrát denně rozjetým časem z interních hodin, ale dělá se to přesně naopak. Změnit jeden řádek v init skriptu je zcela nad jejich síly. Mimochodem, celý init běží na busyboxu 1.01, dodnes. To neopraví nikdy nikdo.
A ted si zkuste predstavit nasledujici situaci.
HW je dodan tak, ze donuti uzivatele po prvnim spusteni zadat heslo. Uzivatel je prumerne tupy (tzn vetsinovy) a heslo do 10s pusti z hlavy. Jelikoz je HW vazne bezpecny, neexistuje zadny zpusob jak jej donutit heslo zmenit bez jeho znalosti. Mate tutiz "nefunkcni" HW a uzivatel bezi reklamovat.
Jiste, dalo by se to vyresti realnym mechanickym spinacem ktery by HW vratil do vyrobniho nastaveni, jenze ten spinac stoji cent. A miliarda centu to uz je slusny balik.
Nez zacnete psat nejakou uzasnou reakci na tema jak je to primitivne resitelne (vazne je), tak se poptejte, kolik lidi ve vasem okoli pouziva kardiostimulator. Vsechny lze dnes programovat na dalku. Staci vam k tomu i vas telefon. Krabicka posilajici pakety po internetu nikoho nezabije.
Ono je to jeste mnohem horsi, vetsina tech zarizeni ma (ac si to vyrobci nepreji) pomerne dlouhou zivotnost, coz znamena, ze jednak bude jejich pocet pouze rust, sekundarne to pak znamena, ze i pokud bude zarizeni k terminu prodeje povazovano za bezpecne, tak zcela jiste bude pouzivano jeste v dobe, kdy tomu tak jiz nebude.
A jiz tomu tak je - staci se podivat do oblasti mobilnich telefonu. Miliardy zarizeni se stovkami verzi systemu a miliony verzi vsemoznych aplikaci. Bude to jen a jen horsi.
to myslite neco jako openid pro IoT ?
Navrhuju neco podobneho jako fungovali kdysi modemy - zarizeni na sebe budou piskat pres repracek/mikrofon a tim si vymeni session klic a zadne heslo neni potreba - remote access se pak nastavi napr pres mobilni aplikaci ktera bude distribuovat klientske certifikaty misto hesel
Samozřejmě, všechno jde. Ale zkuste vysvětlit Číňanovi, že když je něco unikátní pro každé zařízení, nemůže to dát do firmware, který rozkopíruje do všech zařízení, ale musí to být v jiném storage.
Ostatně podívejte se tady, prakticky všechny body, i ty zdánlivě samozřejmé, vycházejí z reálných situací (zde bod 2):
https://github.com/angelcam/arrow-client/wiki/Integration-best-practices
Pro IT zařízení existuje spousta norem. Měla by se k nim přidat jedna, která by říkala, že do prodeje nesmí síťové zařízení bez nálepky s náhodně generovaným továrním heslem. Pokud by pak poskytovatelé internetu ještě dostali právo blokovat zařízení, která mají (již existující) profláknutá hesla, bylo by po problému. Veřejnost má právo být chráněna před znečišťováním životního či síťového prostředí.
Mala drobnost - ten klic unikatni neni, existuje pomerne velmi omezena skupina klicu. Jeji velikost zavisi na typu zamku - v nekterych pripadech tech moznosti neni vice nez 30. Zaroven pak plati, ze otevrit (bez poskozeni) bezne (tedy v 99%) pouzivane zamky je trivialne primitivni.
Zamky se totiz defakto kupuji kvuli pojistovne(se kterou budete mit problem, pokud si tedy nasledne ty dvere nevykopnete sam), a ne kvuli realnemu zabezpeceni.
Jediny fakticky rozdil je v tom, ze zamek na dverich nelze odemknout z druhe strany planety a osobne jich neodemknete miliardu behem nekolika minut. Primarne jde totiz o cas, neexistuje zpusob jak neco zabezpecit, existuji pouze zpusoby, jak prodlouzit prekonavani zamku - nebo hesla.
Ten příklad "z reálného světa" moc neodpovídá. Pokud vám uhodnou PIN, tak vám vyberou konto.
Pokud vaši webkameru použijí na DDoS, tak maximálně načas stoupne vytížení konektivity, kterou stejně platíte paušálem. Z hlediska uživatele té webkamery žádná škoda, která by ho donutila to řešit. Ergo, nic, co by donutilo výrobce to řešit (naopak, ten, který to bude řešit, bude dražší).
Pokud se nenajde jiný způsob řešení (osobně mě nenapadá), tak to prostě je fakt a do budoucna se situace nezlepší.
To je nesmysl, je vidět, že tomu houby rozumíte a zároveň kupujete shit FABky za dvacku.
DPS = 133 mil. možných kombinací. http://www.evva.com.au/dps/
Klasickou starou fabku otevřete planžetou nebo bumping key do pár vteřin, je to otázka cviku a celkem zábavné.
Bezpečnostní vložky už se snažej chránit, ale nedělám si iluze že je profík neotevře stejně tak dobře jako já otevřu klasickou fabku planžetou. Řekl bych že je to jen otázka času, nicméně pokud si vás někdo vyhlídne a bude to někdo kdo se vyzná, máte smůlu.
Nejvetsi pruser je, ze neexistuje rozumny siroce pouzivany mechanismus, diky kteremu bych si nemusel pamatovat tisice unikatnich hesel (ktere treba za tri mesice vyprsi a musi se zadat jine). Diky tomu je stavajici situace, kdy spousta lidi nezmeni heslo vubec nebo maji jedno, dve, ktere pouzivaji vsude.