(Ne)bezpecnost ESP32 v smart home?

(Ne)bezpecnost ESP32 v smart home?
« kdy: 20. 11. 2024, 00:02:55 »
Caute, nie som si isty ci som temu spravne zaradil (mozno by mala ist pod hardware). Chcem sa spytat aky je Vas nazor na pouzivanie ESP32 dosiek ako rozne senzory v ramci HA resp. ESPHome? Davnejsie som totiz narazil na clanky, ktorych obsah si uz presne nepamatam, no zakladna info bola, ze ESP dosky nie su zrovna bezpecne. U mna prevazuju zigbee zariadenia a viem, ze vseobecne sa zigbee povazuje v ramci IoT za bezpecnejsie ako wifi aj kvoli tomu, ze zigbee su jednoucelove zariadenia, ale neviem ci su ESP dosky povazovane z nejakeho dovodu za este menej bezpecne ako ine IoT zariadenia na baze wifi? Pripadne ake opatrenia je mozne urobit pre minimalizovanie rizika, ked uz treba pouzit ESP?
« Poslední změna: 20. 11. 2024, 00:05:48 od googler2 »


Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #1 kdy: 20. 11. 2024, 00:56:43 »
Co znamená nebezpečné?
Každé zařízení které komunikuje bezdrátově je právě tak bezpečné jako jeho firmware.
Zrovna ESPHome, z hlediska toho že to je opensource komunitní projekt, mě přijde rozhodně bezpečnější než random výrobce s firmwarem bastleným "hardwareráři" (co si budeme namlouvat, výrobce HW má programátory jen proto že bez firmware to nefachá a všeobecně mě přijde že profi programátoři firmware jsou celkem pr*sata kteří spoléhají na security by obsurity -- jsou samozřejmně světlé výjimky, nerad bych se někoho dotknul  ;D)
« Poslední změna: 20. 11. 2024, 00:59:10 od cznarg »

RDa

  • *****
  • 2 732
    • Zobrazit profil
    • E-mail
Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #2 kdy: 20. 11. 2024, 01:05:24 »
Tim, ze ESP ma uzavreny firmware pro radio a je to ten samej firmware, tak statisticko vzato - ano - je to nebezpecne jako cokoliv do ceho nevidime. Problem je, ze se to nasazuje ve velkem poctu a tak by se utok vyplatil - stejny princip, jako proc jsou viry hlavne na Windows..

Z prakticke stranky, monetizace utoku na ESP neni tak lehka jako u PC, takze zustava model DoS - a klidne to muze byt bouda stylem "a jeje, ono to nahodou umrelo, no nic, koupime dalsi, flashnem a jede se dal". Ale uzivatel uz za tim nevidi to, ze ho nejaky kamos od vyrobce pekne vodi za nos a fakticky doji.

Moje paranoidni hlava rika: NE, esp nebrat. Do doby nez nebude veskery FW opensource.

PS: musite rozlisovat mezi uzivatelskym firmwarem, ktery si delat sam, nebo ho vezmete z komunitniho projektu, vs toho, co obsluhuje samotnou radiovou cast - ta je analogicka k BIOSu na PC, jenze bezi porad. A do ni nevidite.

Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #3 kdy: 20. 11. 2024, 01:24:20 »
Takze podla tvojho nazoru je bezpecnost ESP takpovediac "neznama" rovnako ako bezpecnost akehokolvek wifi routera, ktory ma uzavrety firmware?

Jen Kings

  • ***
  • 113
  • Hryprodva.cz
    • Zobrazit profil
    • Hry Pro Dva
    • E-mail
Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #4 kdy: 20. 11. 2024, 06:14:44 »
Jak už psal předřečník. Pokud bys to zakládal na uzavřenosti firmwaru pro wifi, pak bys musel doma žít bez internetu v čemkoliv.
Uzavřený firmware máš v PC, v mobilu, v televizi... ve všem. Takže z tohohle pohledu i kdyby to byl problém, tak si nezanášíš nic nového "do hnízda".

Jinak se ESP32 používá naprosto běžně, má to veškeré potřebné certifikace a nespatřuj v tom žádný problém.


P.S - trochu offtopic okénko, ale:
Vždy mně neskutečně dokážou pobavit lidi, co mi vyprávějí o tom, jak by si nikdy domů nedali Huawei router, protože se vyrábí v Číně a mohla by je odposlouchávat čínská vláda. To si radši koupí jiný dražší router (mimochodem také vyrobený v Číně). Hnev v zápětí mi pak ale vysvětlují, jak strašně ušetří na nákupech, protože mají v telefonu asi patnáct "kartičkových" a slevových "appek" od všech možných i nemožných obchoďáků. Když jim vysvětlím, že hlavním, a prakticky jediným, účelem těchhle aplikací je právě to, sledovat a analyzovat chování uživatele.. Jejich odpověď je, že "to takhle nemůžeš brát"... Což je mimochodem stejné, jako u lidí,, kterým se člověk snaží vysvětlit, že nemá cenu jezdit každou neděli tankovat na 70km vzdálené ONO, aby ušetřili korunu na litru benzinu...


bmn

  • ***
  • 172
    • Zobrazit profil
    • E-mail
Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #5 kdy: 20. 11. 2024, 09:00:49 »
Z hlediska bezpečnosti je esp s wifi určitě lepší než zigbee. Na esp si nastavíte heslo po kabelu. Na běžném zigbee zařízení to nejde. Používá se všude stejný link key.

Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #6 kdy: 20. 11. 2024, 10:21:42 »
Tak hlavne o cem presne se bavime? ESP32 je sirokej pojem.
Musis specifikovat model.
Kdyztak CVE jsou zde
https://docs.espressif.com/projects/esp-idf/en/latest/esp32/security/vulnerabilities.html

Kupuj ESP32 z aktualni rady modelu (na Espressif webu), ne nejakej XX let starej ESP.
A potom zabezpecit sit na kterou se ty ESP pripojuji, VLAN atd.

Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #7 kdy: 22. 11. 2024, 10:49:51 »
Za mě bezpečné (v tom smyslu, že je to sympatický OSS projekt, který je duveryhodny), ale choval bych se k tomu jako k jakémukoli device  vystrčené do netu

Možnosti:
Předřadit proxy server který omezí api jen na pár veci
SChovat za VPN
Izolovat do VLAN
Dát do DMZ



Zopper

  • *****
  • 786
    • Zobrazit profil
Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #8 kdy: 23. 11. 2024, 07:33:00 »
Jen poznamenám, že ESP32 dneska pohání fakt spoustu wifi IOT zařízení, byť s vlastním firmware výrobce toho zařízení.
Ohledně bezpečnosti wifi vs zigbee, o tom jsme tu měli už pár horkých diskuzí a za mě prostě vítězí fakt, že pro Zigbee je potřeba být fyzicky na místě s anténou, která není součástí notebooků, a nebo ovládnout controller, a zigbee zařízení nemohou sama komunikovat ven ze sítě. Zatímco jedno zabreberkované wifi zařízení může udělat cokoliv. Ale není to zas tak, že bych kvůli tomu nespal - nějaká wifi zařízení mám.

Re:(Ne)bezpecnost ESP32 v smart home?
« Odpověď #9 kdy: Dnes v 18:19:00 »
choval bych se k tomu jako k jakémukoli device  vystrčené do netu

Možnosti:
Předřadit proxy server který omezí api jen na pár veci
SChovat za VPN
Izolovat do VLAN
Dát do DMZ

Z toho co pises, mam zatial len samostatnu VLAN, v ktorej su wifi IoT a samotny HA server. Plus v nastaveni tej IoT wifi mam zapnutu izolaciu zariadeni. Okrem HA serveru maju vsetky zariadenia v tej VLAN zakaz do internetu resp. niektore zariadenie obcas individualne povolim z dovodu firmware update check.
Predpokladam, ze rada ohladom schovania za VPN alebo za proxy server a obmedzit (to by som asi ani nevedel spravit) by bola aktualna len v pripade, ze ESP by bola trvalo pristupna z netu a to nie je moj pripad. Alebo sa mylim a myslel si to vseobecne?