PA3CQN schreef: ↑26 jun 2022, 11:58
Hoe het AP dat straks gaat controleren is me trouwens een raadsel. Want dan zouden ze de firmware van ieder apparaat moeten decompileren op zoek naar verborgen stukjes software/achterdeurtjes. Een zich verder normaal gedragende slimme lamp die zijn instructies van buiten ontvangt kan immers best een geheim stuurcommando hebben die extra functies activeert. Daar kom je bij het eerste gebruik niet achter.
Typisch doe je NMAP op zo'n ding om te zien welke poorten openstaan. Je controleert hoe het zit met credentials, bijvoorbeeld of ieder apparaat bij default een verschillend wachtwoord heeft in plaats van admin/admin.
Mocht het apparaat toegang hebben met verschillende privileges dan probeer je als gewone gebruiker een command uit te voeren wat alleen een beheerder mag (soms worden die commando's afgedekt in een web-pagina, maar werken ze wel!). Je controleert of een gebruiker zonder credentials de commando's niet uit kunt voeren.
En dat is het wel zo'n beetje. Lukt het om het ding te reverse-engineeren dan ga je verder. Dat heb ik wel gedaan, maar dat zal bij een test ten behoeve van certificering niet gebeuren.
Zaken als SSL-certificaten kun je vergeten. Wel eens Lets Encrypt geprobeerd te draaien op een lamp?
Zoals je ziet is 't niet spannend allemaal. Het griezelige is dat er heel veel spul is wat zelfs al niet aan deze banale eisen voldoet. Heel veel PLC-spul bijvoorbeeld werkt zonder authenticatie. Prima voor een industrieel project waar je drie kastjes met ethernet (binnen een schakelkast) koppelt. Koppel je dit naar buiten ("gemakkelijk") dan ben je de sjaak.
Achtergrond:
https://owasp.org/www-project-top-ten/. Dit is meer bedoeld voor web-pagina's maar het geeft inzicht (en ook met web-apps is veel mis!)
Het griezelige van de vele aankondigingen is dat er allerlei high-profile aankondigingen zijn, lachende mensen op de foto maar bijvoorbeeld geen gepubliceerde lijst van eisen. Ik heb van het AT geen technische lijst van eisen gezien, en die hebben we wel voor RF ("xx V/m, yy dBm zendvermogen, zz dB harmonischenonderdrukking"). Voor "smart apps" nog niets kunnen vinden. Dat zegt me dat er vooral niet-techneuten zich hier druk om maken, want die snappen de techische eisen niet. Er is goed geld in te verdienen.
Ikzelf zat vele jaren geleden ook in deze business. Doe tegenwoordig andere dingen die ik veel leuker vind. En deze "smart appliances", tja. Je kunt besluiten om ze niet te gebruiken, maar dat lukt maar ten dele. Hoe lang denken mensen nog "vrijwillige smart meters" buiten de deur te kunnen houden met de huidige energieschaarste bijvoorbeeld?
Geert Jan
). Niemand weet waarvoor.
