פרצת אבטחה בחברת בית חכם סינית חשפה מידע פרטי של ישראלים

SIRI, CORTANA, ALEXA, ECHO, GOOGLE HOME, HOME PAD, שלטים חכמים, KEY PADS, אפליקציות
דומיקון (פותח השרשור)
סמל אישי של משתמש
עוסק בתחום
עוסק בתחום
הודעות: 886
הצטרף: מאי 2015
מיקום: מרכז השרון
נתן תודות: 50 פעמים
קיבל תודות: 146 פעמים

פרצת אבטחה בחברת בית חכם סינית חשפה מידע פרטי של ישראלים

נושא שלא נקרא #1 

https://www.calcalist.co.il/internet/ar ... 30,00.html

אולי משנה מעט את המחשבה על קניית מוצרי בית חכם זולים מסין... ולי אישית יש לא מעט בבית...
דומיקון - בית ישראלי חכם יותר
נציגי חברת Vera Control LTD בישראל
הפתרון המלא לבית חכם ישראלי בטכנולוגיית Z-Wave בתדר 916 MHz באישור משרד התקשורת ומכון התקנים
http://www.domicon.co.il/

dr0r
חבר ותיק
חבר ותיק
הודעות: 1685
הצטרף: נובמבר 2018
מיקום: תל אביב
נתן תודות: 46 פעמים
קיבל תודות: 256 פעמים

נושא שלא נקרא #2 

ממש לא מפתיע. כפי שאומר המם הותיק, The S in IoT Stands for Security.
אותו דבר נכון אגב גם להרבה מאוד מוצרים ישראליים, שלעיתים קרובות הם פשוט מדבקה מעל מוצר סיני (מפסק הדוד WiFi של Homeetec, למשל, הוא למעשה Tuya סיני, עם אפליקציה מתורגמת שעובדת מול השרת הסיני). שלא לדבר על השערוריות הבלתי נגמרות של Ring האוקראינית, גם אחרי שנקנתה ע״י אמאזון.
הפתרון הוא:
1. להעדיף פרוטוקולים כ-Z-Wave או Zigbee. מעבר ליעילות המובנית, הרכיבים בהגדרה אינם יכולים לדבר החוצה.
2. להחליף את ה-firmware של רכיבי Sonoff/Tuya ב-Open Source.
3. לחסום גישה החוצה לכל רכיב WiFi מלבד ה-hub. זה נכון במיוחד למצלמות אינטרנט.
4. לקנות hub של חברה ידועה ואמינה כמו Samsung או Vera, או להשתמש ב-OpenSource כ-openHAB או HomeAssistant.

mescaline
חבר ותיק
חבר ותיק
הודעות: 1879
הצטרף: ספטמבר 2018
נתן תודות: 57 פעמים
קיבל תודות: 143 פעמים

נושא שלא נקרא #3 

בית חכם ב"שקל" מה ציפיתם, שיהיה מאובטח?

אצלי לא עלה בדימיוני ללכת על מערכת שאינה מותקנת במוסדות ציבור/מלונות/תעשיה.

kodi
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 281
הצטרף: פברואר 2016
נתן תודות: 66 פעמים
קיבל תודות: 19 פעמים

נושא שלא נקרא #4 

לא ממש ברור לי איך מתג או אפילו האב יכול להגיע לסיסמאות, וקודים לאיפוס חשבונות שלי.
ובנוגע למיקום המדויק שלי, כל אפליקציה שמקבלת הרשאת מיקום יודעת את המיקום המדויק שלי. וחלק ניכר האפליקציות גם יודעות את הIPשלי ואת כתובת המייל שלי. בכל זאת לא ראיתי היסטריה כזאת נגד שימוש בפלאפון.

dr0r
חבר ותיק
חבר ותיק
הודעות: 1685
הצטרף: נובמבר 2018
מיקום: תל אביב
נתן תודות: 46 פעמים
קיבל תודות: 256 פעמים

נושא שלא נקרא #5 

@kodi

הסיסמאות הן למשתמש במערכת שלהם.
אכן, היו לא מעט אפליקציות עם חורי אבטחה, שלא לדבר על אפליקציות שנועדו לשתות מידע פרטי של המשתמשים באופן חוקי יותר או פחות. ההבדל הגדול הוא בשליטה על הבית שלך.
כמו כמעט כל מערכת בית חכם, השליטה מרחוק מבוצעת דרך שרת מרכזי. פריצה או כניסה בעזרת משתמש וסיסמא שהחברה לא טרחה להגן עליהם כיאות מאפשרת שליטה ברכיבי המערכת, כולל במנעול הדלת. יותר מכך, העובדה שהחברה מפרטת גם מיקום מאפשרת לגנבים לסנן מראש משתמשים באיזור הרלוונטי, ולפרוץ רק לחשבונות הללו.

kodi
חבר פעיל מאוד
חבר פעיל מאוד
הודעות: 281
הצטרף: פברואר 2016
נתן תודות: 66 פעמים
קיבל תודות: 19 פעמים

נושא שלא נקרא #6 

@dr0r
·
כמובן שלא היה עולה על דעתי להתקין בבית שלי מנעול שמחובר באיזושהיא צורה לאינטרנט, וגם לא מצלמה.

התקנתי מפסק Tuya, ולא החלפתי קושחה. אני לוקח סיכון מסוים שהאתר שלהם יפרץ והסיסמא שלי תגנב ומישהו יוכל לכבות לי את הבוילר באמצע המקלחת. זה סיכון קטן יחסית לשימוש באנדרואיד שמחזיק באמת אינפורמציה חשובה עליך.
בסך הכל השימוש ברכיבים סיניים זולים המקובל אצל כולנו, נראה לי סיכון מתקבל על הדעת.

אני עדין מתלבט האם חיבור של HA לרשת באמצעות SSL הוא סיכון סביר, עשיתי את זה כדי להתחבר לIFTTT, ומי שמצליח להתחבר ל HA שלי יודע מי בבית, יכול לשחק בתאורות, ולנטרל את מערכת האזעקה.

dr0r
חבר ותיק
חבר ותיק
הודעות: 1685
הצטרף: נובמבר 2018
מיקום: תל אביב
נתן תודות: 46 פעמים
קיבל תודות: 256 פעמים

נושא שלא נקרא #7 

@kodi
אני לא יודע מה איתך, אבל מבחינתי אחד היתרונות המרכזיים של בית חכם הוא שליטה מרחוק, כולל לפתוח את הדלת למנקה או לבייביסיטר ולנעול אחרי שהם הולכים (ולסגור את התריסים, ולהפעיל את האזעקה). אני כנראה רחוק מלהיות היחיד, בהינתן כמות השרשורים פה על מנעולים חכמים.
השאלה היא בעיקר איך עושים את זה. כן, ברור שלחשיפה יש עלות באבטחה, אבל אבטחה זה תמיד עניין של trade-offs. אני מעדיף את האפשרות הזו על לתת למנקה מפתח וקוד לנטרל את האזעקה.
המערכת שלי מבוססת על Smart Things, עם סיסמא רנדומלית, ויש לטלפון שלי תוכנה מעודכנת, נעילה ביומטרית, אין root, והוא לא של וואווי. ממה שאני רואה, סמסונג דואגים להגנה ראויה לשרתים שלהם, כך שממש לא סביר שיצליחו לפרוץ אל החשבון שלי, וכנ"ל בנוגע לפתיחת הטלפון. אם הטלפון עומד בדרישות האבטחה המחמירות של החברה שאני עובד בה, זה אמור להיות מספיק טוב בשביל להגן על הבית שלי.

דומיקון (פותח השרשור)
סמל אישי של משתמש
עוסק בתחום
עוסק בתחום
הודעות: 886
הצטרף: מאי 2015
מיקום: מרכז השרון
נתן תודות: 50 פעמים
קיבל תודות: 146 פעמים

נושא שלא נקרא #8 

אני תמיד אומר שגנב ממוצע ישתמש הפטיש ומברג הרבה לפני שהוא יתחיל לפרוץ את הרשת....אלא אם אתם יעד חשוב כמו מליונר גדול או ראש ארגון פשע :)
דומיקון - בית ישראלי חכם יותר
נציגי חברת Vera Control LTD בישראל
הפתרון המלא לבית חכם ישראלי בטכנולוגיית Z-Wave בתדר 916 MHz באישור משרד התקשורת ומכון התקנים
http://www.domicon.co.il/

liorp
חבר ותיק
חבר ותיק
הודעות: 2352
הצטרף: ספטמבר 2009
נתן תודות: 169 פעמים
קיבל תודות: 205 פעמים

נושא שלא נקרא #9 

אני יוצא מנקודת הנחה שאין כזה דבר טלפון, מחשב או רכיב בית חכם מאובטח.

dr0r
חבר ותיק
חבר ותיק
הודעות: 1685
הצטרף: נובמבר 2018
מיקום: תל אביב
נתן תודות: 46 פעמים
קיבל תודות: 256 פעמים

נושא שלא נקרא #10 

@דומיקון
כן, ברור. גם שיטת התנין עובדת (תדאג שלפורץ יהיה יותר קל או יותר כדאי לפרוץ לשכנים). העניין בתקלת האבטחה הזו הוא שגנבים יכולים בקלות לחפש יעדים בסביבתם.

@liorp
השאלה מה אתה מגדיר כמאובטח? אתה לא מנסה להתגונן מה-NSA, ואם כן אז כנראה באמת תיכשל. אם נקטת באמצעי אבטחה ראויים, ואתה לא יעד מועדף, לא יפרצו אליך. זה הרבה יותר מסובך ממה שזה נשמע, אם שומרים על היגיינת אבטחה. הרבה יותר סביר שיקדחו דרך הצילינדר בדלת, או ישברו את החלון, מאשר שישתלטו לך על הבית ע"י פריצה לרשת ה-WiFi.

ליקר
חבר ותיק
חבר ותיק
הודעות: 1084
הצטרף: אוגוסט 2007
מיקום: חולון
נתן תודות: 193 פעמים
קיבל תודות: 9 פעמים

נושא שלא נקרא #11 

צפוי מראש לא ?
!אל תשאל שאלות קשות שלא תשמע שקרים!
!!!אנחנו הישראלים חושבים כול הזמן כחול ותמיד יוצא לבן !!
!!משפט סיני חכם אומר.אם אין לך מה לכתוב,תכתוב משפט סיני חכם!!

שלח תגובה

חזור אל “עוזרות קוליות, שליטה ובקרה”