Názory k článku Senzory Martina Malého: Když si nejste ochotní ani změnit přednastavené hes­lo

No, co jsem o tom útoku četl, tak u řady těch zařízení (a to hlavně těch z kategorie IoT) ani heslo změnit možné není, případně v nich nechal výrobce otevřená zadní vrátka. Takže vhodný příměr z reálného života je, že dostanete platební kartu s PINem na ní vytištěném.

Ten příměr s dveřmi je přesný.

A právě proto že jsme zvyklí kupovat dveře, poštovní schránky, visací zámky, auta a vše ostatní s unikátním klíčem, tak to očekáváme i u "těch krabiček co nás doma připojí na internet a udělaj wifinu".

Mala drobnost - ten klic unikatni neni, existuje pomerne velmi omezena skupina klicu. Jeji velikost zavisi na typu zamku - v nekterych pripadech tech moznosti neni vice nez 30. Zaroven pak plati, ze otevrit (bez poskozeni) bezne (tedy v 99%) pouzivane zamky je trivialne primitivni.

Zamky se totiz defakto kupuji kvuli pojistovne(se kterou budete mit problem, pokud si tedy nasledne ty dvere nevykopnete sam), a ne kvuli realnemu zabezpeceni.

Jediny fakticky rozdil je v tom, ze zamek na dverich nelze odemknout z druhe strany planety a osobne jich neodemknete miliardu behem nekolika minut. Primarne jde totiz o cas, neexistuje zpusob jak neco zabezpecit, existuji pouze zpusoby, jak prodlouzit prekonavani zamku - nebo hesla.

To je nesmysl, je vidět, že tomu houby rozumíte a zároveň kupujete shit FABky za dvacku.

DPS = 133 mil. možných kombinací. http://www.evva.com.au/dps/

Je videt, ze vite kulove o tom, jak se zamky oteviraji. Bezna vlozka je otazkou vterin, tzv "bezpecnostni" maximalne minuty.

Klasickou starou fabku otevřete planžetou nebo bumping key do pár vteřin, je to otázka cviku a celkem zábavné.
Bezpečnostní vložky už se snažej chránit, ale nedělám si iluze že je profík neotevře stejně tak dobře jako já otevřu klasickou fabku planžetou. Řekl bych že je to jen otázka času, nicméně pokud si vás někdo vyhlídne a bude to někdo kdo se vyzná, máte smůlu.

Nejvetsi pruser je, ze neexistuje rozumny siroce pouzivany mechanismus, diky kteremu bych si nemusel pamatovat tisice unikatnich hesel (ktere treba za tri mesice vyprsi a musi se zadat jine). Diky tomu je stavajici situace, kdy spousta lidi nezmeni heslo vubec nebo maji jedno, dve, ktere pouzivaji vsude.

Password manager

"rozumny, siroce pouzivany". To password manager nesplnuje.

který je sám o sobě nezabezpečený (děravý jako všechno)...

to myslite neco jako openid pro IoT ?

Navrhuju neco podobneho jako fungovali kdysi modemy - zarizeni na sebe budou piskat pres repracek/mikrofon a tim si vymeni session klic a zadne heslo neni potreba - remote access se pak nastavi napr pres mobilni aplikaci ktera bude distribuovat klientske certifikaty misto hesel

Už jsem tu zmiňoval, že náš wifi modem má k sobě CD, s jehož pomocí by asi šlo i změnit heslo z výroby, nicméně vyžaduje windows konkrétní verze. Takže sorry, pokud k tomu výrobce nedodá skutečně funkční nástroj nebo alespoň funkční popis, tak to spousta lidí prostě nezmění, protože to technicky nezvládne.

Hmmm... to opravdu nepůjde. Pokud se očekává masivní rozšíření IoT zařízení je naprosto absurdní očekávat od lidi nějakou aktivní práci pro obsluhu desítek zařízení. To dnes nedělají ani profesionálové - kdo si opravdu pamatuje a pravidelně mění hesla pro ty desítky různých Webu? Šílený koncept...

Pravidelne menit hesla neni potreba. A pamatovat si je neni treba. Staci pouzivat password manager.

Hesla na webech nema smysl menit. Heslo zadane na web je heslo verejne. Jedine co smysl ma je pouzit pro kazdy web heslo unikatni, coz je casto problem take, protoze mnozina a rozsah vstupnich znaku jsou velmi casto velice omezene, a to i tak, ze klidne dovoli zadat 30+ znaku, ale realne pouziji prvnich 5. V kazdem pripade to znamena pouzivat spravce hesel, coz je dalsi zcela zbytna prace navic, nebot v 99% pripadu neexistuje zadny relevantni duvod proc by mel web vubec nejake heslo pozadovat.

Možná je to od výrobce záměr.

Já teď z Číny objednal hromadu IP kamer, nejlevnější stála $16!! Budu to využívat v lokální vlan bez přístupu do internetu, takže výrobce má smůlu, ale jak jinak lze dosáhnout takto nízké ceny, aniž by výrobce nefinancoval svoje aktivity nějak jinak (zadní vrátka pro vládu nebo sebe?)

Nehledejte záměr, kde to lze vysvětlit neschopností. Ta nízká cena se dosahuje použitím hotových kitů dodávaných vč. firmware. Ten před lety zplácal s s cgi skripů někdo bez elementárních programátorských znalostí a kvůli absenci kontroly kvality se na to nepřišlo.

Kdybych nezažil spolupráci s číňany, kde třeba několik měsíců čekáte, než jsou schopni přidat do rc skriptu příkaz, protože je nutné ho uzavřít do uvozovek, což jim za boha nevysvětlíte, nevěřil bych.

To, že čínská vláda výrobu takových zařízení dotuje je možné, ale tyhle bezpečnostní díry jsou způsobené pouhým lemplovstvím výrobců a nezájmem zákazníků (copak se někdo při koupi třeba http://www.akcniceny.cz/detail/andy-lenovo-tablet-1-ks-2369840/ ptá, zda jsou na to bezpečnostní aktualizace? těžko).

Kdybych nezažil spolupráci s číňany, kde třeba několik měsíců čekáte, než jsou schopni přidat do rc skriptu příkaz, protože je nutné ho uzavřít do uvozovek, což jim za boha nevysvětlíte, nevěřil bych.

Jojo, to se musí zažít. Např. několik let jsem se snažil vysvětlit nejmenovanému výrobci NAS, že by měli zkompilovat coreutils a rsync s podporou ACL, páč to jinak při zálohování kurví práva k souborům (což je u zařízení určeného primárně jako úložiště souborů takový triviální problém). Stejná banda debilů ani po 4 letech nepochopila, že systémový čas synchronizovaný z NTP serveru se nepřepisuje několikrát denně rozjetým časem z interních hodin, ale dělá se to přesně naopak. Změnit jeden řádek v init skriptu je zcela nad jejich síly. Mimochodem, celý init běží na busyboxu 1.01, dodnes. To neopraví nikdy nikdo.

1. přednastavené heslo 12345, 00000 nebo "password", je opravdu špatně už z principu
2. i pokud by to tak nebylo, první věc co by mělo zařízení po připojení chtít je změnit heslo
3. a ignorujete fakt, že spoustě zařízení to ani změnit nemůžete - STB/modem/router od mobilních operátorů je často čistě v jejich režii, a "vy do toho nemáte co šahat protože oni to zakázali". Občas vás nechají změnit si heslo k Wifi, větší drsoni ani to ne.

Samozřejmě chce to s rozumem. Takové tuším RWE vás sice nechá administrovat si leccos přes web, ale když na volbu hesla potřebujete asi 15 pokusů protože chtějí písmeno, chtějí znaky, nechtějí tolik tamhle, občas nesmí být toto nebo tamhleto na konci atd., tak je to k uzoufání.

Kolik BFU by pak bylo v koncích protože by tam nabouchalo nějaké heslo typu !#3&/A8d a už nikdy by nedokázalo jej zadat znovu? Zkrátka je potřebné nalézt nějaký nový koncept pro tato zařízení.

Kdo by si psal pin na kartu, když si ho může napsat přímo na bankomat.

Ten příklad "z reálného světa" moc neodpovídá. Pokud vám uhodnou PIN, tak vám vyberou konto.
Pokud vaši webkameru použijí na DDoS, tak maximálně načas stoupne vytížení konektivity, kterou stejně platíte paušálem. Z hlediska uživatele té webkamery žádná škoda, která by ho donutila to řešit. Ergo, nic, co by donutilo výrobce to řešit (naopak, ten, který to bude řešit, bude dražší).
Pokud se nenajde jiný způsob řešení (osobně mě nenapadá), tak to prostě je fakt a do budoucna se situace nezlepší.

Pokud zrovna někdo třeba nestáhne a nepublikuje video jak se majitel před kamerou převléká, či případně dělá ještě horší věci :-(

Ano, to jedine. Ale pokud to pouzije "jenom" k utoku jinam, tak to majitele nebude zajimat.

Pane autore, u mnoho těch NVR, kterých se to týká (u nás např. oblíbený KGuard, ale stejnou sračku používá spousta dalších klonů) změnit heslo nelze. Je tam backdoor od výrobce, když se ten jejich shitoidní FW při nastavování posere (například tak, že znefunkční defaultní admin účet), tam vám z podpory pošlou root přístup emailem.

Dear Sir/Madam,
Thank you for contacting KGuard Technical Support.
Regarding to the question you have, here is our solution:
1. Please go to DVR's local side and try those two temporary user/password admin/393856 OR admin/519070 to login
2. Go to DVR's "Main menu" --> "System" --> "Password" and set new admin password
3. Reboot DVR and login to check DVR's new admin password is working
We hope this helps and please do not hesitate to contact us with any additional queries you may have.
Best Regards,
KGuard Technical Support_Erika
KGUARD INFORMATION CO., LTD.
4F, No.113, Jian 2nd Rd., Jhonghe Dist., New Taipei City 23585, Taiwan (R.O.C.)

A to se bavíme o zařízeních za desítky tisíc. No, a takhle to u těch šikmovokejch dementů vypadá všude.

A ted si zkuste predstavit nasledujici situaci.

HW je dodan tak, ze donuti uzivatele po prvnim spusteni zadat heslo. Uzivatel je prumerne tupy (tzn vetsinovy) a heslo do 10s pusti z hlavy. Jelikoz je HW vazne bezpecny, neexistuje zadny zpusob jak jej donutit heslo zmenit bez jeho znalosti. Mate tutiz "nefunkcni" HW a uzivatel bezi reklamovat.

Jiste, dalo by se to vyresti realnym mechanickym spinacem ktery by HW vratil do vyrobniho nastaveni, jenze ten spinac stoji cent. A miliarda centu to uz je slusny balik.

Nez zacnete psat nejakou uzasnou reakci na tema jak je to primitivne resitelne (vazne je), tak se poptejte, kolik lidi ve vasem okoli pouziva kardiostimulator. Vsechny lze dnes programovat na dalku. Staci vam k tomu i vas telefon. Krabicka posilajici pakety po internetu nikoho nezabije.

No, nevím, možná mám kliku, možná opravdu ty nejstrašnější šunty nekupuji i když vybírám i podle ceny, ale zatím na všem, co jsem kdy měl, šlo nějak tovární nastavení obnovit. A většinou to bylo i popsáno hned na začátku manuálu.

Jiste, kliknutim na polozku nekde v menu, na kterou si muze stejne dobre kliknout i kdokoli z internetu.

Právě že ne. Buď byl na to speciální čudl, někdy hodně obtížně přístupný, nebo nějaký opičí hmat.

a co takhle nemit zadne defaultní heslo nebo ho generovat při prvním spuštění?

Samozřejmě, všechno jde. Ale zkuste vysvětlit Číňanovi, že když je něco unikátní pro každé zařízení, nemůže to dát do firmware, který rozkopíruje do všech zařízení, ale musí to být v jiném storage.

Ostatně podívejte se tady, prakticky všechny body, i ty zdánlivě samozřejmé, vycházejí z reálných situací (zde bod 2):
https://github.com/angelcam/arrow-client/wiki/Integration-best-practices

Už jsem se setkal i s výrobky, které neumožňovaly nastavit jiné uživatelské jméno než admin a jako heslo dovolovaly pouze šest malých písmen (například externí disk WDMyCloud).

Tak ty čínské NVR (viz výše) mají heslo taky max. 6 znaků [a-zA-Z0-9].

Jesti ono to s internetem věcí nebude jako s komunismem...

Nalajnovaný a v hlavách přesvědčených to vypadá ideálně, správně a bezvadně. Ovšem jakýkoli pokus zavést to do praxe ztroskotá a postupně živoří s velkými (původně) neplánovanými škodami.
Když může, s trochou nadsázky, chytrá žárovka být součástí DDoS už teď, v zárodku IoT, tak je něco špatně. A ne, nepovažuju to za "porodní bolesti". S množením věcí, zapojených do IoT budou pokusy o ovládnutí IoT sofistikovanější a skrytější. Bůh nás chraň, ač jako ateista bych měl vyměnit boha za "Rozum". Jenže prachy...

Ono je to jeste mnohem horsi, vetsina tech zarizeni ma (ac si to vyrobci nepreji) pomerne dlouhou zivotnost, coz znamena, ze jednak bude jejich pocet pouze rust, sekundarne to pak znamena, ze i pokud bude zarizeni k terminu prodeje povazovano za bezpecne, tak zcela jiste bude pouzivano jeste v dobe, kdy tomu tak jiz nebude.

A jiz tomu tak je - staci se podivat do oblasti mobilnich telefonu. Miliardy zarizeni se stovkami verzi systemu a miliony verzi vsemoznych aplikaci. Bude to jen a jen horsi.

Autor clanku si musi uvedomit, ze tato zarizeni nekupuji jen lide, kteri se v teto problematice vyznaji. Zkratka to jsou uivatele, kteri chteji, aby "to fungovalo" a to je vse. Dal uz nad tim nepremysleji. Reseni tedy neni karat lidi na "IT" strankach, ze si maji menit hesla (tito lide to delaji), ale tlacit na vyrobce, aby napriklad nedavali zakladni hesla a heslo by se muselo nastavit pri prvnim spusteni nebo tak neco...

Pro IT zařízení existuje spousta norem. Měla by se k nim přidat jedna, která by říkala, že do prodeje nesmí síťové zařízení bez nálepky s náhodně generovaným továrním heslem. Pokud by pak poskytovatelé internetu ještě dostali právo blokovat zařízení, která mají (již existující) profláknutá hesla, bylo by po problému. Veřejnost má právo být chráněna před znečišťováním životního či síťového prostředí.