RE: Bezpečnost připojení - was: Bezpecnost ESP8266

Zdeněk Aster Zdenek.Aster na seznam.cz
Neděle Říjen 23 16:41:23 CEST 2016


No z hlediska bezpečnosti bych si to dovolil srovnat s tím jak mám VOIP.
Které má na firmě svůj IP rozsah, svůj switch (který má POE a napájí

telefony), případně konfigurovatelný switch, který mi fyzicky oddělí

ethernet porty.




No a pak na routeru/firewall je vlastně z té VOIP sítě vše zakázano a 
povoluje

se jen natvrdo co je potřeba žádné obecné pravidla, že může na internet

kam chce, jen tam kam se dají na tvrdo pravidla je to sice otrava, ale v 
celku bezpečné. 




No a já když chci nastavit, něco na VOIP, telefonech nebo bránách

tak se musím do té sítě připojit pomocí VPN no a pak tam po ní mohu běhat,

ale opět VPN přijímá jen pár počítačů ve firemní síti, které na ni mohou.




No a když budu hodně paranoidní tak většina těch zařízení bran/VOIP telefonu
 

má taktéž svoji konfiguraci firewallu tak i tam by šlo povolit jen opravdu 
to nutné.




Není to všemocné, ale je to alespoň něco.




Tak nějak podobně bych to dělal i v té průmyslovém odvětví.




Ono plácnu, když to přeženu, tak třeba spouštění nějakého lisu na dálku kde 
není

kamera a nic a někdo se tam může někdo motat by o tom neměl asi ani

nikdo přemýšlet navíc si myslím, že nějaký bezpečák by šel do mdlob.




Jen tak co se může stát a to ani nemusí být internet věcí je to hodně dávno,
ale tahali

jsme v obrovské tovární hale kabely a chodili po kolejích od jeřábu, řekli 
jsme to nějakému

vedoucímu směny, ale ty se vyměnili a nepředali informaci a někdo jeřáb 
zapnul

a začal používát, je to vcelku sranda když se proti člověku řítí jeřáb, 
uskočit není kam,

respektive je na jedoucí jeřáb a je to v dost slušné vyšce.....







Zdeněk Aster



---------- Původní zpráva ----------
Od: Zdeněk <zdej na atlas.cz>
Komu: 'HW-news' <hw-list na list.hw.cz>
Datum: 23. 10. 2016 15:52:50
Předmět: RE: Bezpečnost připojení - was: Bezpecnost ESP8266

"Ethernet jsem vynechal z důvodu, že ve výrobních prostorách většinou není
rozveden. Provizorní vedení je problematické kvůli úklidu nebo případnému
přemísťování linek. Tohle využijeme jen krátkodobě, kdy řešíme vzdáleně
nějaký problém.
Do instalace trvalého vedení LAN se zákazníkům moc nechce. Z toho také
pramení můj pesimismus ohledně smysluplnosti jejich požadavku na připojení.
U toho bezdrátového to zkrátka berou tak, že je to nebude nic stát. Takže si
s tím pár týdnů budou hrát a až je to přestane bavit, tak to vypnou.

Z.

-----Original Message-----
From: Hw-list [mailto:hw-list-bounces na list.hw.cz] On Behalf Of Jindroush
Sent: Sunday, October 23, 2016 3:39 PM
To: HW-news
Subject: Re: Bezpečnost připojení - was: Bezpecnost ESP8266


Zase jen obecne:
1) Prumyslove kontrolni systemy maji jak ovladaci, tak i dohlizeci software
a u toho dohlizeni je pomerne logicke, proc nemit personal doma 'v
pohotovosti' a dohlizet na jednotlive systemy, s tim, ze se v pripade
nutnosti dojede (pripadne, o krok dal, zasahne pres internet). (Proc jste
vlastne vynechal moznost pripojeni stroje pres Ethernet?) Jinak zase,
pouziti neceho generickeho, jako je teamviewer nebo prave prohlizec, zase
zjednodusuje a zlevnuje pristup. Ovsem i utocnikovi.
Co se tyce bezpecnosti wifi, nevim, zda bych si troufnul ji nastavit tak,
aby byla opravdu bezpecna. Co kdyz nekdo muze vysilat na stejnem SSID se
smerovou antenou mimo provoz?
Viz povidani zde
http://cecs.wright.edu/~pmateti/InternetSecurity/Lectures/WirelessHacks/Mate
ti-WirelessHacks.htm

2) V rade PLC byla nalezena rada chyb, vcetne hardcoded hesel. Jakmile
utocnik zjisti, ze mate dany stroj, muze toho zneuzit. Viz napr toto
https://www.wired.com/2011/08/siemens-hardcoded-password/
Motivace utocniku muze byt ruzna: blbost, plana zaskodnicka radost,
vydirani, prumyslova spionaz, u nejakych exponovanych firem pak i
'cyber-neco' (hrozne se mi termin cyberwar ekluje)

Existuje rada stranek se seznamy default hesel do ruznych systemu,
vyhledavace existujiciho hardware (Shodan) - viz https://icsmap.shodan.io/
Treba francouzska hydroelektrarna
http://money.cnn.com/gallery/technology/security/2013/05/01/shodan-most-dang
erous-internet-searches/4.html

--
Jindroush <jindroush na seznam.cz>
_______________________________________________
HW-list mailing list - sponsored by www.HW.cz Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list

_______________________________________________
HW-list mailing list - sponsored by www.HW.cz
Hw-list na list.hw.cz
http://list.hw.cz/mailman/listinfo/hw-list"
------------- další část ---------------
HTML příloha byla odstraněna...
URL: <http://list.hw.cz/pipermail/hw-list/attachments/20161023/be3a7b12/attachment.html>


Další informace o konferenci Hw-list