Freitag, April 19, 2024

Das böse Büro

Uriel Fanellis Blog in deutscher Sprache

Uriel Fanelli

Hilf mir aus meinen Sehnsüchten.

Das Böse Büro 0 Comments

Hilfe meiner Sehnsüchte.

HINWEIS: Ich denke, dieser Artikel wird nur Personen empfohlen, die über systemische Kenntnisse verfügen. Wie Sie wissen, habe ich eine gewisse Eigenart in Bezug auf IoT, weil diese Geräte die Angewohnheit haben, "zu Hause anzurufen". Zum Beispiel ärgere ich mich schon genug darüber, dass die Scheiße von Google Assistant die Cloud ständig von ihren Handys aus anruft. Dafür gibt es jedoch eine Art Portierung von iptables für Android, die Sie auch vom offiziellen Markt herunterladen können. Es ist sehr effektiv, das Ziel des Datenverkehrs zu verstehen und es auf Ihrem Heimrouter zu blockieren.

Die App befindet sich hier: https://play.google.com/store/apps/details?id=app.greyshirts.firewall&hl=de

Trotzdem muss ich sagen, dass es überhaupt nicht schlecht wäre, wenn die Heimautomation nur das tut, was sie verspricht. Das Problem ist, dass Sie verhindern müssen, dass dies die Vorgänge zu Hause durcheinander bringt.

Das erste, was ich tat, war, einen WLAN-Router zu kaufen, der nur für IoT-Zwecke verwendet werden kann. Offensichtlich ist der Router NICHT mit dem Internet verbunden, es sei denn, ich entscheide mich, das Ethernet-Kabel physisch anzuschließen.

Manchmal ist dies erforderlich, da das Gerät häufig die Firmware oder einige Grundeinstellungen registrieren und herunterladen muss.

An dieser Stelle tritt jedoch das Problem auf: Fast kein Anbieter sagt Ihnen, dass sein Gerät das Internet benötigt. Sicher, sie sagen dir, dass es "kompatibel mit Alexa oder Google oder Apple" ist, aber sie sagen dir nicht, dass sie es brauchen. Dies erfahren Sie normalerweise später.

Santa Amazon ist ein hervorragendes Mittel dafür. Mit Amazon können Sie das Paket innerhalb von ein bis zwei Wochen (je nach Anbieter) ohne Begründung zurücksenden. Welches ist perfekt, um das zu erreichen, was ich erreichen muss.

Der Algorithmus, den ich verwende, ist daher der folgende.

  • Erstellen Sie ein Ad-hoc-WLAN mit der Einstellung "Client-Isolation", damit ein Gerät nicht mit einem anderen Gerät innerhalb desselben WLANs kommunizieren kann. Normalerweise ist die Einstellung auf jedem guten Router verfügbar, auch wenn sie standardmäßig deaktiviert ist.
  • Bestellen Sie das gewünschte IoT bei Amazon (Glühbirne, Schalter, Steckdosenleiste, was auch immer)
  • Verbinden Sie den IoT-Router vorübergehend mit dem Netzwerk, um die Erstinstallation und möglicherweise das Herunterladen einer aktualisierten Firmware zu ermöglichen.
  • Installieren Sie die Geräte und programmieren Sie sie so, dass sie die erforderlichen Schritte ausführen.
  • Trennen Sie den "iOT" -Douter vom Internet und trennen Sie das Ethernet-Kabel physisch.
  • Überprüfen Sie, ob das Gerät weiterhin funktioniert.
  • Wenn es ohne Internet funktioniert, behalten wir es und haben Spaß.
  • Wenn es ohne Internet NICHT funktioniert, packen wir es zusammen und senden es an den Absender zurück. (Danke Amazon!).

Bisher haben Sie getan, was fast jeder tun konnte. Kaufen Sie einen Router, richten Sie ein WLAN ein und erfahren Sie, wie Sie das Ethernet-Kabel verbinden oder trennen. Und benutze Amazon. Aber ich bin ein Smanetton, also lass uns weitermachen.

Eine schöne Sache sind die Home Automation Hubs, die normalerweise als Amazon Dot, Google, Apple, Samsung, Philips usw. bezeichnet werden. Wenig bekannt ist, dass es auch Open-Source-Software gibt, die das Gleiche tut, wenn sie auf einer Himbeere installiert ist.

Persönlich fühle ich mich damit sehr wohl: https://github.com/domoticz/domoticz

Ich mag es, weil es bereits viele der Protokolle unterstützt, die ich benötige, und weil es einfach ist, es mit LUA oder Python zu erweitern. An den berühmten IoT-Router, der KEINE Verbindung zum Internet herstellt, müssen wir außerdem einen Raspi anschließen, der Domoticz unterstützen kann. Wenn Sie ArmBian, Ubuntu für Raspi oder das native Raspbian verwenden, ist die Kompilierung nach der Installation der üblichen Build-Essentials usw. nicht sehr kompliziert.

Das einzige, was Sie tun müssen, ist einfach das Raspi als Standard-Router zu konfigurieren, sodass jedes Mal, wenn etwas versucht, das Internet zu erreichen, das Paket an das Raspi gesendet wird. Zufällig gibt es auf dem Stiel eine nette kleine Regel von Iptables, die den Verkehr einiger Türen auf dem Stiel selbst beendet.

Dies dient Ihnen aus zwei Gründen. Das erste ist, dass Sie, wenn Sie einen tcpdump auf den Stielen machen, sehen, was die erbärmlichen Spionageschmuckstücke versuchen, wenn sie versuchen, auszuspionieren. Der zweite Sieg ist, dass diese Geräte keine echte Liste von Zertifizierungsstellen haben, bei denen sie nachsehen können, wenn sie zu Hause anrufen. Um es zu haben, sollten sie es regelmäßig aktualisieren und dies erhöht die Kosten und die Komplexität. Sie haben im Allgemeinen nicht einmal ein Client-Zertifikat oder nur die Zertifizierungsstelle ihres Servers, da das Zertifikat am Ende abläuft und diese Geräte nicht komplex genug sind, um es zu aktualisieren.

Sie können dies leicht bemerken, indem Sie einen NTP-Server auf Ihrem Stiel einrichten und das gesamte NTP-Protokoll dort über iptables senden. Alles, was Sie tun müssen, ist, die Daten beispielsweise in 5/10 Jahren auf den Server zu zwingen und zu sehen, wie das Gerät, das es für 2025/30/40 hält, reagiert. Offensichtlich werden die Zertifikate als abgelaufen angezeigt und versuchen, sie zu aktualisieren. Wenn ja, dann ist es klug. Wenn er es nicht versucht, liegt es daran, dass er nicht die Intelligenz hat, um sie zu aktualisieren. In diesem Fall können Sie davon ausgehen, dass weder eine Liste der Zertifizierungsstellen noch ein Clientzertifikat vorhanden sind. In diesem Fall ist es vernünftig zu glauben, dass es auch ein selbstsigniertes System akzeptiert, solange der CN mit dem DNS-Namen übereinstimmt und Sie alles aufsetzen können, was Sie zum Schrauben benötigen, ohne Zeit zu verschwenden.

Wenn sie primitiv sind, glauben sie an ein Zertifikat, auch wenn es selbstsigniert ist, falls der Hostname übereinstimmt. Alles, was Sie tun müssen, ist, alle Proxy-DNS (ungebunden, pdnsd, coredns) zu installieren, die eine Hosts-Datei als Quelle verwenden. An diesem Punkt können Sie die DNS fälschen und Ihre selbstsignierten Zertifikate verwenden, um diese Geräte auszutricksen.

Ich spreche nicht von relativ hoch entwickelten und teuren Geräten, die auch Zertifikate gut verwalten. Ich spreche von den sehr einfachen, die Sie dann mit Domoticz steuern oder einfach täuschen können.

Ich spreche über solche Dinge: https://www.amazon.de/dp/B07NV4L2W5?ref_=ast_sto_dp

Oder dieses hier: https://www.amazon.de/dp/B07GF2MG7F?ref_=ast_sto_dp

Dies sind interessante Chinesen, aber sie haben die schlechte Angewohnheit, "zu Hause anzurufen". Das Pech, das sie haben, ist, dass eine sehr billige Elektronik keine echte Zertifikatsprüfung durchführt, und Sie können sie mit jedem selbstsignierten Zertifikat täuschen, solange Sie ein DNS eingerichtet haben, das das Gerät täuscht.

In diesem Fall müssen Sie eines tun:

  • Stellen Sie Ihren Stalk als DNS auf dem WLAN-Router in DHCP ein.
  • Starten Sie auf dem Raspi den DNS im Debug-Modus.
  • Schalten Sie das Gerät ein und warten Sie, bis es den DNS abfragt.

Wenn Sie wissen, welchen CN Sie verwenden müssen, wissen Sie genug, um mit openssl ein betrügerisches selbstsigniertes Zertifikat zu erstellen. Sobald Sie fertig sind, haben Sie die Qual der Wahl. Entweder können Sie den Datenverkehr zwischen der Muttergesellschaft und dem Gerät abhören, indem Sie einfach einen Proxy in der Mitte einrichten (dies erfordert jedoch, dass Sie den Stamm auch mit dem Internet verbinden), oder Sie senden den Datenverkehr einfach über iptables auf Domoticz und hoffen, dass ein unterstütztes Protokoll verwendet wird. Die obige Kette funktioniert nicht mit Domoticz, also musste ich den Verkehr schnauben.

Was ich gesehen habe ist, dass die Chinesin das Haus über ihre Existenz informiert und regelmäßig einen JSON mit einem Kalender herunterlädt. Dies ist das, was Sie mit der App eingerichtet haben, wenn die Steckdosen nur zu bestimmten Zeiten bleiben sollen . Die Geräte authentifizieren sich überhaupt nicht, ein Zeichen dafür, dass sie wirklich billig sind und kein Geld ausgegeben haben: Um die Wahrheit zu sagen, senden sie eine Art ID in die Header, aber ich habe versucht, sie neu zu schreiben, und das Backend akzeptiert alle Zeichenfolgen mit einer Länge von 18 Zeichen, einschließlich "puppaquicinciaolin". (Getestet).

Sie verstehen gut, dass ein dummer Webserver, der eine JSON-Datei bereitstellt, mehr als genug ist: Wenn ich jedoch nur einen Kalender in der Cloud halte, ist der größte Ärger, dass er meine IP kennt, was durchaus praktikabel ist TOR auf den Stiel setzen und mit dem Internet verbinden. https://learn.adafruit.com/onion-pi/install-tor

Seien wir ehrlich: Die Tatsache, dass ein Mann in China weiß, dass die Lichter auf meiner Terrasse um 11:00 Uhr abends ausgehen müssen, macht mir keine großen Sorgen. Da es jedoch ein psychologisches Profiling gibt und vielleicht 11:00 typisch für diejenigen ist, die Nachbarn töten, um die Leber mit Fava-Bohnen und Chianti zu essen, habe ich einen dummen Json auf die Stiele gelegt.

Schritte für Chianti, aber die Leber mit "einem Teller Bohnen", sagen wir mal so, wie man sagen sollte, ist ein verdammtes Rezept, weil die Bohnen, die die Leber begleiten, zu Püree reduziert werden müssen. Aber Hannibal war Amerikaner, was zum Teufel erwarten wir von einem amerikanischen Kannibalen in der Küche? Unnötig zu kopieren, sie sind fähig! (cit.) Es ist lange her, seit er die Ananas darauf gelegt hat. Allerdings lege ich unten das Rezept (eines von) der Leber mit den Bohnen in Püree . (1)

Lass uns weitermachen. Wenn es sich um ein komplexeres Gerät handelt, dh um ein Gerät, das Zertifikate oder Zertifizierungsstellen enthalten und aktualisieren kann, ist dies kompliziert. Denn diese Geräte spionieren nicht nur aus, sondern möchten auch sicher sein, dass die Daten an den richtigen Spion gesendet werden.

In diesem Fall besteht die richtigste Lösung darin, einfach zu "packen und an Amazon zurückzusenden".

Wenn Sie Glück haben, kann Ihr Gerät jedoch eine Verbindung mit einem bekannten Protokoll herstellen, was mir bei Geräten, die für mit Philips Hue kompatibel erklärt wurden, häufiger passiert ist. In diesem Fall sind Sie zu Pferd, weil Domoticz sehr gut damit umgehen kann. Falls Sie das WLAN Ihres Raspi verwendet haben, um es mit dem Internet zu verbinden, können Sie auch Ereignisse mit Beehive an Sie senden lassen, der Hue spricht. https://github.com/muesli/beehive

Da Beehive auch Hue unterstützt, gelang es mir zu diesem Zeitpunkt, E-Mails und Nachrichten über meinen XMPP-Server zu senden. Das Problem mit dieser Lösung ist, wie Sie sagen, dass sie das Internet nutzt. Natürlich, aber eines dürfen wir nicht vergessen: Jetzt sind wir diejenigen, die den Transport kontrollieren. Wenn ich beschließe, dass alles über MEINEN XMPP-Server läuft, bin ich es, der es steuert.

Letztendlich ist alles, was Sie für ein sicheres IoT benötigen, Folgendes:

  • Die Leidenschaft für die "SMANETTATIO DVRA", Macaronic entwickelt sich, um zu sagen, dass Sie diese Dinge wirklich gerne tun.
  • Ein billiger WLAN-Router, besser Tp-Link, damit Sie über mehrere Betriebssysteme wie OpenWRT hinweg arbeiten können.
  • Ein Raspi, der Wifi und Ethernet unterstützt.
  • Domoticz.
  • Mehrere Stunden Zeit und negative Gebete schwören .

Am Ende werden Sie sich fragen, ob es sich lohnt, all dies zu tun, um die Probleme mit Glühbirnen und Sensoren und allem zu vermeiden, aber ich muss die Wahrheit sagen: Das Nützlichste ist die automatische Temperaturregelung der Heizkörper. Nehmen wir eine „intelligente“ Regelung an, die diese Kette hier verwendet: https://www.amazon.de/dp/B07VW9536M?ref_=ast_sto_dp

Der Grund, warum ich das sage, ist, dass es viel Geld spart, was niemals schlecht ist. Aber ich möchte den diensthabenden Chinesen nicht mitteilen, dass ich zu Hause bin, dass ich schlafe und wie viele Menschen in meinem Zimmer schlafen (jeder Mensch stößt je nach Grundumsatz etwa 2600 kCal pro Tag aus. Berechnen Sie also den Unterschied im Kalorienverbrauch Wenn sich Personen im Raum befinden, ist dies nicht sehr schwierig, solange Sie die Außentemperatur kennen und die Geschichte Ihres Hauses kennen.

Also ja, Aiotti 'ist in Ordnung, aber in Ihrem eigenen Haus ausspioniert zu werden, ist es nicht. Da dies also Fähigkeiten sind, die ich bereits habe, finde ich nichts falsch daran, sie zu verwenden.

Die letzte Frage ist: Ja, aber spionieren sie mehr die Chinesen oder die Amerikaner aus?

Was ich gesehen habe, ist, dass chinesische Produkte im Allgemeinen sehr billige Rechenzentren mit sehr eingeschränkter Funktionalität bauen, und selbst wenn sie diese Daten zum Ausspionieren verwendeten, sind sie im Allgemeinen billige Geräte, die jedes Zertifikat akzeptieren, dessen CN dem DNS entspricht. Auf diese Weise ist es einfach, sie abzufangen und zu verstehen, was sie auch tun.

In den USA hergestellte Geräte verwenden dagegen billigere Chipsätze. Sie schaffen es, eine Liste von Zertifizierungsstellen zu führen, was es VIEL schwieriger (aber nicht unmöglich) macht, sie abzufangen. Im Allgemeinen müssen Sie darauf zugreifen, wo Sie ein Linux finden, und eine Zertifizierungsstelle installieren, die Sie mit OpenSSL erstellt haben. In diesem Fall sind Ihre Zertifikate von diesem Moment an glaubwürdig und Sie können den Datenverkehr abfangen.

Ich habe es nur mit einem Echo Dot geschafft und ehrlich gesagt habe ich gesehen, dass sie zu viel Zeug für meinen Geschmack schicken. Der Punkt ist also einfach: Zumindest für den Moment spionieren billige chinesische Geräte WENIGER aus als westliche, aus dem einfachen Grund, dass teurere westliche Geräte leistungsfähigere Clouds und leistungsstärkere Chipsätze implementieren können.

Bisher bevorzuge ich daher chinesische Geräte, die ich besser steuern kann. Falls sogar die Chinesen wie die USA wurden, wird sich die Diskussion ändern und wir werden sehen, wie es möglich ist, eine selbst generierte CA unter ihnen einzufügen. Aber ich muss ehrlich sein, ich habe es nur auf einem Echo Dot gemacht, dann habe ich die Unehrlichkeit und den bösen Glauben satt, mit denen sie entworfen wurden, und ich habe es zurückgeschickt.

(1)

Hilfe meiner Sehnsüchte.
Credits: Elena Miano auf ospiatavola.com

Quelle: https://keinpfusch.net/aiotti-delle-mie-brame/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Create a website and earn with Altervista - Disclaimer - Report Abuse - Privacy Policy - Customize advertising tracking