Zabezpečení Home Assistanta

Zabezpečení Home Assistanta
« kdy: 06. 02. 2024, 00:52:55 »
Ahojte, uz nejaky cas pouzivam Home Assistant s prevazne zigbee zariadeniami (plus 2 wifi zariadenia) a teraz ked uz to ako tak splna prakticku funkcnost, sa chcem spytat ake odporucania mate ohladom "bezpecnostnych nastaveni a opatreni"?

Sucasny stav je:
- nainstalovany proxmox virtual pre HA (zatial len v ramci "nutnych default nastaveni"
- Je to na samostatnej vlan pre iot spolu s tymi dvoma wifi zariadeniami
- zigbee usb stick
- Neplanujem pristup z netu a ak nahodou, tak len velmi zriedkavo cez wireguard

Diky za rady a mozno uvahy
« Poslední změna: 06. 02. 2024, 07:30:43 od Petr Krčmář »


Zopper

  • *****
  • 689
    • Zobrazit profil
Re:Home Assistant - Zabezpecenie?
« Odpověď #1 kdy: 06. 02. 2024, 07:00:47 »
Nechali si udělat minimálně jeden security audit a vylezly jim z toho issues, co opravili. Takže můj pohled je, že bezpečnost berou vážně. https://www.home-assistant.io/blog/2023/10/19/security-audits-of-home-assistant/

Re:Zabezpečení Home Assistanta
« Odpověď #2 kdy: 06. 02. 2024, 10:53:15 »
Z tohoto pohledu to za mě bezpečný je. Pokud se někomu v okolí podaří něco prolomit, zůstane jen v té "HA" síti.
Druhý pohled je, co se přes to ovládá, jestli by případný útočník nemohl škodit i tímto způsobem. Např. vypnout topení nebo zapnout naplno, zkusit něco přetížit, zamezit zvednutí rolet a podobně. Právě z tohoto pohledu tomu osobně vůbec nevěřím a přes Zigbee akorát sbírám teploty po baráku a synek si přes to ovládá led pásek.

Re:Zabezpečení Home Assistanta
« Odpověď #3 kdy: 06. 02. 2024, 11:26:48 »
"Kriticku infrastrukturu" zatial pripojenu nemam a asi ani neplanujem, presne preto co pises, ale aj tak by ma zaujimali nazory ci ostatni uzivatelia zohladnuju potencialne hrozby (napr. to spomenute pretazenie) a ci existuje moznost aspon ciastoce minimalizovat riziko podobnych a inych hrozieb.

Re:Zabezpečení Home Assistanta
« Odpověď #4 kdy: 06. 02. 2024, 12:21:48 »
Určitě bych přes počítač neovládal cokoliv, co může způsobit závažnější škodu v případě selhání/zneužití. Doba, kdy vám někdo přes wifi hackne varnou konvici a způsobí požár asi ještě nenastala, ale doba, kdy vám někdo hackne ledničku a bude vyhrožovat, že vám nechá roztát zmrzlinu, se asi blíží.

Každý spínač, sensor a podobné chytré krabičky v sobě maji počítač vlastní. A jak víme, počítače se dokážou podělat neuvěřitelným způsobem v době, kdy to zrovna nejméně potřebujete. A vy si pak třeba nemůžete ani rozsvítit v době, kdy už je třeba ve čtyři odpoledne tma.


Re:Zabezpečení Home Assistanta
« Odpověď #5 kdy: 06. 02. 2024, 14:32:57 »
S odstupom casu mi z tohto pohladu pridu najrozumnejsie "krabicky" typu fingerbot, switchbot pretoze v pripade ich "zlyhania" ich moze clovek jednoducho odstranit z "hlupeho" vypinaca / zariadenia a funguje "po starom". Vyuzitie takychto krabiciek je ale viac obmedzene v porovnani s tymi beznejsimi smart zariadeniami a tiez to ma svoje esteticke nevyhody.

Zopper

  • *****
  • 689
    • Zobrazit profil
Re:Zabezpečení Home Assistanta
« Odpověď #6 kdy: 06. 02. 2024, 19:14:26 »
Abych řekl pravdu, tak se mnohem víc bojím, že se něco rozbije "samo o sobě" (ať už blbě udělaná automatizace mnou, bug v nějakém SW, odcházející HW), než že mi někdo bude chtít rozmrazit zmrzlinu, nebo rozhodit topení, pokud mu nedám bitcoin.

On ten kotel stejně musí mít teplotní pojistku proti přehřátí a promrznutí zase dost dlouhou dobu trvá. A když na to přijde, tak se to dá přepnout do manuálního řízení a kotel si ovládat tlačítky na něm. Asi by se dal najít způsob, jak ho poškodit, ale to se pak dostáváme do Stuxnet oblasti. Spíš přijde přepětí ve vedení, co s sebou vezme půlku elektroniky v bytě a pak je jedno, jestli to topení bylo chytré, nebo ne.
« Poslední změna: 06. 02. 2024, 19:24:15 od Jan Ťulák »

Re:Zabezpečení Home Assistanta
« Odpověď #7 kdy: 06. 02. 2024, 19:50:28 »
Tak když se podíváte i zde na Rootu, je to HA vlevo, HA vpravo, stává se z toho takové Windows ve světě IoT.
Takže osobně očekávám, že se na to potenciální útočníci budou zaměřovat stále více.
To je riziko toho, když plujete s hlavním proudem...

Zopper

  • *****
  • 689
    • Zobrazit profil
Re:Zabezpečení Home Assistanta
« Odpověď #8 kdy: 06. 02. 2024, 20:38:35 »
Spíš takový Linux. Windows ve světě IoT jsou ty huby od výrobců, obzvlášť když vyžadují online účet a volají domů, jako třeba Philips. Lidí, co si koupí takováhle řešení, a zůstanou u nich, je a bude mnohem víc, než těch, co si začnou hrát s Home Assistantem nebo OpenHABem.

Tím neříkám, že bezpečnost se nemá řešit - nějaké riziko existuje a stojí za to ho omezovat. A taky chápu, že pro spoustu lidí prostě nemá programovatelná domácnost tu přitažlivost. Ale když už do toho člověk jde, tak tu vidím mnohem větší a pravděpodobnější rizika, jak se něco může potentovat, a na která je vhodné upozornit spíš.

Re:Zabezpečení Home Assistanta
« Odpověď #9 kdy: 06. 02. 2024, 21:34:43 »
Osobne som sa tiez zamyslel nad tym, ze v idealnom pripade by som nepouzival HA, ale nejaku jeho menej znamu alternativu pretoze tiez si myslim, ze cim je system znamejsi a pouzivanejsi, tym vacsie rizika su s nim potencialne spojene. No pouzivat alternativu nie je take jednoduche pretoze menej znamy system = menej prepracovane uzivatelske rozhranie = mensia komunitna podpora = v pripade riesenia nejakeho "problemu" s konfiguraciou bude vyzadovana vacsia individualna "odbornost" uzivatela.

Re:Zabezpečení Home Assistanta
« Odpověď #10 kdy: 06. 02. 2024, 22:40:55 »
Rozhodně bych udělal "chytrou domácnost" na prvcích, které nejsou závislé na internetu. Např. Shelly  jdou ovládat i když se celá síť rozpadne, mechanicky přes klasické vypínače.

Re:Zabezpečení Home Assistanta
« Odpověď #11 kdy: 07. 02. 2024, 01:53:07 »
to je jasne, ale keby doslo k nejakemu utoku typu hack, tak aj ked cvaknete vypinac za ktorym je nejaka krabicka, tak v tom momente by som ju tym vypinacom sice vypol alebo zapol, ale hned potom ju moze utocnik zapnut alebo vypnut. Teraz mi ale napada ako si to mozno myslel, ze v pripade hacku je mozne napr. odpojit zigbee stick alebo wifi siet s tym, ze lokalne (cez vypinace) ostanu zariadenia funkcne. V pripade, ak sa teda nedaju vzdialene pretazit a tak "odpalit".

Re:Zabezpečení Home Assistanta
« Odpověď #12 kdy: 07. 02. 2024, 10:06:16 »
Presne na to sa snazim poukazovat v mojom okoli. Nic kriticke nedavat na smart. Ja cele IoT beriem ako doplnok k existujucemu systemu, teda ak ho vypnem, viem fungovat nadalej bez problemov. Kurenie to zasadne ide na klasicke prvky + mechanicke zabezpecenie (ventily a pod.), jedine co, tak IoT mi monitoruje teploty a v pripade problemov ma upozorni. ale urcite nebude zasahovat do riadenia.
A uplne najhorsia vec su cloudove veci. vsetko cez apku, a ked sa jedneho dna cinan rozhodne vypnut server, tak si ani len svetlo nezapnu.

Re:Zabezpečení Home Assistanta
« Odpověď #13 kdy: 07. 02. 2024, 11:31:28 »
Tak osobne sa snazim vseobecne v iot nepouzivat akykolvek cloud, ale zase si nemyslim, ze by riziko cinskeho cloudu bolo vyssie ako ineho, myslim si, ze kazdy "spravca cloudu" bude ten svoj prevadzkovat dovtedy, kym mu to bude davat zmysel z hladiska akejkolvek formy monetizacie. Podla mna aj "necinska firma" prestane prevadzkovat cloud, ak na tom prestane zarabat resp. nevykryje si ani naklady a ten cinan takisto, kym to nejak vie monetizovat, nema dovod vypinat. Z dobrej vole a nejakej ucty k zapadnym hodnotam nikto prevadzku drzat nebude.

Re:Zabezpečení Home Assistanta
« Odpověď #14 kdy: 07. 02. 2024, 12:23:27 »
Este k tomu co si pisal na uvod predchadzajuceho postu, ze nic kriticke neriesit cez smart. Rovnaky nazor mam aj ja, ale v mojej konfiguracii som sa zatial zameral cisto len na nejaku praktickost co a ako potrebujem mat nastavene, aby to bolo uzitocne, ale uz dlhsie rozmyslam nad tym, ze najviac prezentovana vyhoda iot ma byt uspora energii a mam k tomu par poznamok:

1. Je jasne, ze najvacsiu spotrebu energie ma kriticka infrastruktura (kurenie, osvetlenie) - plyn, elektrina, svetla, ohrev vody.... Takze je jasne, ze bez zapojenia kritickej infrastruktury na iot nebude uspora.

2. Ak si ale uz niekto zapoji aj kriticku infrastrukturu do iot, tak stale nevidim ten prezentovany velky prinos iot v uspore oproti uz existujucim neiot rieseniam pretoze:
a) osvetlenie sa da uz davno riesit hlupym pir senzorom
b) hlupe kotly maju hdo
c) hlupe casovo programovatelne termostaty tiez nie su zrovna novinka
d) rovnako nie su novinka ani hlupe casovo programovatelne zasuvky
e) Nemeral som to, ale predpokladam, ze nejaku spotrebu naviac, oproti tomu co uvadzam, si vyzaduje aj to ze ta iot technologia stale "pocuva" pokyny

Moze mi teda prosim niekto skusenejsi vysvetlit ako sa mysli ta revolucnauspora nastupom smart (home)?