Forum
Tak som si pisal s Loxone ohladom bezpecnosti, neviem ci som paranoik ale proste hneva ma ze na existujucich zakaznikov kaslu: (moj text dlhsi je oranzovym).
Vysledok komunikacie je ze Gen 1 nikdy nebude kryptovane a mozeme sa aj...
Vedel by to niekto overit ako je to s bezpecnostou? Mam celkom obavy kedze mam elektronicky zamok na loxone...
Dakujem moc.
Mockrát děkujeme za feedback a vážíme si toho. Co se týče těch bodů, tak je to takto: 1. Odemknutí aplikace pomocí otisku prstu či face ID je v aplikaci obsažené. Najdete to v nastavení ve složce bezpečnost. 2. jsme rádi, že to zmiňujete a naši vývojáři se tím už zabývají 3. Webové rozhraní nedoporučujeme používat k vzdálenému přístupu, zejména ne ve veřejných sítích. Dnes slouží spíše pro účely konfigurace. Nicméně aplikace používá šifrované přihlášování i šifrované tokeny a neustále se zlepšuje s každou aktualizací. Co se týče technického dotazy na API, prosím obraťte se na naši technickou podporu. Hezký den, Bára
mojho pohladu (je to skor nieco ako bonus) skor by som to privital ako moznost k vizualnemu passwordu na dodatocne overenie. To je trosku rozdiel .
OCT 23, 2019, 11:39 AM
Dobrý den, 1. velmi se omlouvám, ověřovala jsem to u vývojářů a je tam bug, který je v beta verzi opraven, ale do veřejné se ještě nedostal. 3. omlouvám se, ale bohužel tomuto nerozumím a přeposlala jsem oficiální odpověď od vývojářů, pokud vás to zajímá, obraťte se na naši technickou podporu a ti vám jistě rádi odpoví
Hezký den, Bára
SAT 5:28 PM
Dobrý den, děkujeme za Vaši zprávu. Odpovíme, co nejdříve to bude možné. Nicméně v kanceláři jsme jen v pondělí až čtvrtek do 17 hodin a v pátek do 12 hodin. Děkujeme za pochopení.
To ako trestate vasich vernych zakaznikov? Ze mame od Vas produkt?
Uplne tomu nerozumiem podpora softwaru je v dnesnej dobe u velkych firiem na niekolko x-rokov planovana. Podpora sa tyka hlavne - stability - bezpecnosti - noviniek
ako dokazete uz existujucim zakaznikom vysvetlit slovo bezpecnost ked im ju vl. odmietate dat? to je vysmech zakaznikom a vystrazny prst pre novych aby to zvazili ci ist do vasho riesenia. Prosim o vysvetlenie. Vas nechapajuci zatial zakaznik.
Dakujem Ivan Pospisil
8:13 AM
Dobrý den,pane Pospíšile. 1. generace Miniserveru bohužel nedisponuje dostatečným výkonem, který by je potřeba pro protokol HTTPS.
Uprimne? tomu neverim...
mam server zatazeny na 40%
sami ste povedali
ze to bezi zakryptovane (resp. neda sa to odchytit)
a ze na bezpecnosti pracujete
navyse ja sa ako zakaznik citim byt doslova podvedeny
vasou spolocnostou
mam zariadenie ktore nema ani 2 r
a uz mu nedate adekvatnu podporu
to nehovorim o zakaznikoch kt. si vase zariadenie dali nainstalovat napr. v priebehu tohto roka
a vy im poviete ze SSL
nie jep odporovane
(ALE MAME TO KRYPTOVANE!)
lebo vykon cpu
Chápu vaše dotazy pane Pospíšile. V případě, že to chcete prodiskutovat více, obraťte se prosím na na naší technickou podporu, po telefonu vám to vysvělíme lépe.
+421 233 872 141
NIe
napiste mi to
co je psano to je dano
aspon to mozem zverejnit
aky mate postoj ku zakaznikom co maju vas produkt
a to mam alarm oddeleny od loxone (posielame do neho len informaciu z alarmu) ludia co maju od Vas alarm sa mozu podla mna adekvatne obavat bezpecnosti
vasho systemu
to nie je paranoja to je proste dane standartom kt. je vseobecne uznavany vo svete
ak je nieco "zastarale" ...
suma sumarum
podla Vas
cez HTTP to bezi kryptovane (lebo to proste kryptujete)
na to je dostatocny vykon
ale na HTTPS miniserver 1.gen to vykon nema
to nehovorim o tom ze priamo v texte pre konfiguraciu miniservera mate ponovomnapisane pouzivajte SSL
verim ze nie som jediny zakaznik. kt. bezpecnost inteligentnej domacnosti nie je ukradnuta
a spravite napravu
Pane Pospíšile, není důvod k panice (viz náš blog). U Miniserveru funguje vše tak, jak jste byl v minulosti zvyklý. Budete dostávat aktualizace, bude i nadále podporován, bude fungovat dále. Tento Miniserver je na světě 10 let a u některých větších/komplikovanějších projektů jsme se dostali do vyšších čísel zatížení procesoru. Pokud přistupujete přes Loxone App (viz dokumentace), nemusíte se o svou bezpečnost obávat. Pouze nedoporučujeme (viz opět dokumentace) přistupovat přes webový prohlížeč z veřejných a jiných ne úplně bezpečných Wi-Fi sítí. Miniserver druhé generace je úplně nový produkt, který je 21x rychlejší, má 16x vyšší paměť, atp. Z tohoto důvodu jsme schopni dělat i velmi náročné výpočty, mezi které (mimo jiné) patří i HTTPS. První generace by tento výpočet bezpečně nezvládla. Pokud by tomu tak bylo, již bychom funkci podporovali v minulosti. Pokud máte ještě nějaké dotazy, velice rádi Vám je zodpovíme. Milan
Dovod k panike je mate nebezpecny system a nerobite s tym nic
https://vulners.com/seebug/SSV:97255
Workaround: Only connect to your miniserver via secure VPN and disable any port forwardings. Use an isolated PC (browser) to control the smart home and do not surf on the web while being logged in to the miniserver web interface. Use different passwords for all installations and don’t reuse them.
toto je ich workaround
nepouzivat miniserver voci vonkajsiemu svet
u
to ja ako zakaznik nie som ochotny v dnesnej dobe akceptovat
pri zariadeni kt. nema ani 2r
ja neviem ci ide o overenu informaciu nie som hacker, ale kazdopadne stranka vulners.com mi pride hodne doveryhodna vzhladom na to cim sa zaoberaju a ake spolocnosti ich podporuju
toto je clanok z 2018
tu je clanok z 2016
https://github.com/BuddhaLabs/PacketStorm-Exploits/blob/master/1502-exploits/SA-20150227-0.txt
pise o tom istom
pride mi ze 2roky ste nespravili v tejto oblasti NIČ
Nyní jsem se seznamoval s obsahem na stránce. Důveryhodnost nedokáži vyhodnotit a bylo by to kvůli reklamám na stránce dost subjektivní. Nicméně: 1) Poslední kontakt s výrobcem (Loxone je z roku 2015) 2) Poslední testování bylo na verzi 6.x.x.x (dnes máme verzi 10.3) 3) To, co se tam píše, je přehnané i na možnosti verze 6.3 - mezitím jsme implementovali řadu bezpečnostních featur a firewallu 4) Za poslední 3 roky jsme zabezpečení posunuli na Miniserveru úplně někam jinam. Samozřejmě, že VPN je nejbezpečnější možnost připojení, to nelze rozporovat. Pokud ale, jak jsme již psal, používáte připojení přes App (šifrování přes tokeny) a máte nahranou poslední verzi Loxone Configu, jste v bezpečí.
Takze ak aplikacia pouziva token a niekto mi ho odchyti
som uplne v keli
lebo token pokial nie je sifrovany cez HTTPS
je to ako cisty text
akurat ze s tokenom ma pristup do celeho systemu?
ocividne sa nezhodneme na pojme Bezpecnost
co mna ako zakaznika mrzi
na to ze som do vasho systemu investoval niekolko tis. eur
Token se vytváří 1x za měsíc a pravděpodobnost je mizivá. Jakmile máte token vytvořený, jste v bezpečí. Opravdu chápu Vaše obavy a pocity, ale z mého pohledu nejsou na místě. Do budoucna Vám doporučuji stále aktualizovat App i Miniserver, kde budeme reagovat na případné hrozby tak, jako v minulosti. Pokud chcete využívat HTTPS, můžete vyměnit Miniserver první generace za tu druhou - zbytek instalace je samozřejmě kompatibilní. Pokud Vám ale výkon dostačuje a používáte App, neměnil bych.
nie je to pravda co pisete
mam 1 modul od KNX Zennio
na ovladnie tepelneho cerpadla
a to uz nie je zalezitost miniservera kedze modul od KNX + Miniserver Gen2 je dvojnasobne vyssia
ako povodna verzia Gen1
kedze Tree modulov mam len 2
na system kt. nema ani 2 roky je to podraz
V tom případě rozumím a zůstal bych na Gen 1, popřípadě můžete spojit Miniserver Gen 2 a Gen 1 do Gatewaye a využít Gen 1 pouze pro KNX.
date mi Gen2 s maximalno zlavou kedze mi ide len o bezpecnost a zvysne casti nepotrebujem?
Pane Pospíšile, snažil jsem se Vám problematiku vysvětlit a z mého pohledu to podraz není - je to evoluce produktů.
HAHA
bezpecnost v dnesnej dobe
je potrebna
Ano, proto jsme razantně navýšili výkon a udělali potřebné úpravy.
takze suhlasite ze Gen 1 ma bezpecnostne problemy
verte ze tato komunikacia bude zverejnena ak nedospejem ku cielu kt. bude pre mna uspokojujuci
a to ju dam aj prelozit
ide mi o princip...
Nesouhlasím, protože žádné bezpečnostní problémy neevidujeme.
ok
to je veta kt. sa da overit
ak budu
garantujete MNE?
ze ich napravite?
chapte ja nepotrebujem mat zmenenu ikonku v aplikacii aby to vyzeralo krajsie(samozrejme to ocenujem) ale to nie je dovod preco som si vybral od Vas zariadenie, bolo mi povedane ze to ma otvorene API (nie je to uplne pravda, lebo otvore mozno je ale dokumentacia je velmi biedna). A ze bude existovat dlhodoba podpora zariadenia (a to som ratal aj bezpecnost) kedze mam elektricky zamok na dome a ak mi niekto narusi loxone ma do domu otvorene DVERE a to je ze naozaj nezelany stav, to poistovny nevysvetlim...
poistovni...(pardon za hrubku)
Pane Pospíšile, velice rád bych Vám pomohl, ale vše, co potřebujete jsem již napsal: 1) Miniserver první generace nepodporuje HTTPS z důvodu výkonu, kdy bychom nemohli garantovat správnou funkčnost u všech projektů. Komunikace přes App je bezpečná, přes web má omezení (viz naše dokumentace) a řeší to případně připojení přes VPN. 2) Miniserver druhé generace má několikanásobně vyšší výkon a tak jsme, mimo jiné, implementovali i HTTPS. Z automobilu, které splňuje normu EURO3 také nemůžete udělat automobil s EURO6.
ok
pekny den
Vám také
Chat Conversation End
Type a message...
Mno, taky me jejich diletantstvi stve, ale muzeme se stavet na hlavu. Novy miniserver nam urcite nedaji a https proste neimplementuji. Jedine co muzeme, udelat si vpn a https proxy na nginxu nebo apache. Pak jeste zakazat pristup k miniserveru z wifiny. Z wifiny jedine pri pripojene vpn.
Ahoj vsem,
osobne mam Gen1 a v zadnem pripade bych server nevystavil mimo domaci sit. Jsou i taci, kteri ho radeji daji do sve oddelene VLANy. Ja osobne mam na vzdaleny pristup OpenVPN. U nas ve firme vyvyjime podobny HW a ten problem s vykonem bych jim veril, taky muze byt problem s podporou knihoven apod. Me osobne vadi spis absence IPv6. To je ale stejna story. Myslim, ze novy HW je dobre reseni. Cena samotneho miniserveru neni v cele elektroinstalaci zas tak velke peklo.
Podla mna dalo by sa to spravit, keby v ich appke (ios, android) bola moznost naimportovat si certifikat a urcit SSLkovy port. Nasledne ten kto vie, si spravi presne HTTPS proxy a ten najvacsi nedostatok by bol odstraneny. Aspon ja ako IT ckar s nejakymi malymi znalostami ohladom bezpecnosti to tak vidim...
Aj tak by ma zaujimalo ako ta appka vie akceptovat certifikat ked kazde zariadenie by ho malo mat iny na GEN 2. A hl. by mal byt asi overeny certifikacnou autoritou...
chalani, jednoduche reverzne proxy napr na Synology Vam to vyriesi uplne elegantne
Ak to spravim cez proxyarp a zablokujem http aplikacia mobilna iOS a Android pojde v pohode? Dokazu sa "vysporiadat" s neznamym SSL certifikatom ako aj s SSLkom?
Ak ano je mozne dat nejaky link na overeny tutorial? 🙂
Je na to navod na loxwiki:
https://www.loxwiki.eu/pages/viewpage.action?pageId=47121263
(nicmene ja zustanu u apky a VPN)
Ja jsem volal na technickou podporu a technik mi tvrdil, ze pouzivaji vlastni sifrovani. Po par otazkach jsem nabyl dojmu, ze nevi o cem mluvi. Z jeho informaci jsem pochopil, ze pouzivaji podobny pristup jako OAuth (tokeny s platnosti). Na moji otazku, ze pokud ten token nekdo odchyti a pouzije pro utok men-in-the-middle mi odpovedel, ze ten token plati jen pul hodiny a pak uz se tam utocnik nedostane. 🤣
Me z toho plyne, ze jedine reseni je to mit pod VPN nebo vymenit za novejsi miniserver.
Ja mam nastesti router od Mikrotiku, tak mam VPN (IPsec) nakonfigurovanou primo tam.
Udelam par bezpecnostnich testu a pokud to vyjde jak si myslim, tak jim to hodim na hlavu.
Bude určitě zajímavé to hacknout a potom je s tím konfrontovat. Oni jsou ale vůči tomuhle celkem rezistentní, takže se to stejně mine účinkem. Navíc, oni stejně asi nemají co s tím udělat, když výkon chybí.
VPN je imho základ, neotvíral bych komunikaci přímo ani v případě MS2. Rozjet VPN není problém s jakýmkoliv routerem, který umí port forwarding. Mám Wireguard na raspi a na routeru otevřený jeden jediný port kvůli VPN.
VPN je istota, u gen1 nutnost. Reverzna ssl proxy bol problem co si pamatam, museli sa hackovat nejake ich resource files alebo url po ceste, vykaslal som sa na to. Mozno je dnes situacia ina.
Osobne by som ani gen2 (ale nic o nej neviem) nevystavoval priamo von, aby sa nestalo ze sa najde diera ktora umoznuje napr. zafloodovanim tcp syn alebo ssl handshakom tu zelenu mrdku zhodit alebo zahltit. Radsej nech hacker zhodi vpn koncentrator (router), nez cely barak.
Inak ja chapem ze MS1 ma 10 rokov, ale aj v tej dobe boli v pohode dostupne procaky s crypto akceleratorom, takze je to len vyhovorka. A keby sw vyvojari nebola banda diletantov, tak by web ui v ms1 naprogramovali tak, aby pred to sla strcit akakolvek ssl proxy bez zasadnejsich problemov.
Tyo zdá se mi, že to moc přeháníte. Na MS1 nikdy HTTPS nebude, kvůli výkonu - to se ví už 5 let minimálně. Znám plno lidí, co to mají přesměrováno na veřejku a jsou stím uplne vpohode. Neexistuje případ, kdy by se někdo dostal do Loxonu a nějak ho hacknul nadálku.
Ptát se na todle na podpoře? Jste blázni, to neví ani lidi v Rakousku, natož tady...
Jo, plno lidi je s tim v pohode. A plno lidi ma do netu vystaveno ledacos, ani o tom nevi nebo si mysli, ze se jim nemuze nic stat. Ona to ale neni pravda.
Tady je dokumentace jak se v Loxone sifruji prikazy a jak se handluji tokeny https://www.loxone.com/cscz/wp-content/uploads/sites/7/2016/09/loxone-api-communicating-with-the-miniserver.pdf
Je to zajimave cteni, pokud vas ta bezpecnost opravdu zajima. Po prvotnim nahledu to vypada, ze se spolehaji na sitovou bezpecnost a tokeny pouzivaji hlavne k autorizaci. Takze nebezpecne bude pouzivat verejne WIFI bez sifrovani, ale to snad nikdo, kdo ma rozum nedela. 😀
Ano, nesifruju celu komunikaciu, ale aspon prikazy. Robustnost tohoto riesenia takto narychlo nedovidim, ale podla mna je to len 'jeden klacek pod nohy'. Minimalne to vobec nijak nebrani MITM, co je podla mna najcastejsi vektor utokov vobec.
Takze resume - asi to zabrani pubertakom nahodne skusajucim exploity ovladat dom nadialku v plnom zmysle slova, ale nezabrani to niekomu aspon trochu zdatnemu, kto chce podniknut realny utok na dom, aby sa don dostal. V kombinacii s elektronickym zamkom a podobnymi nebezbecnymi nezmyslami je to potom smrtiaca kombinacia.
moje security inner-me stebou souhlasi na 110%.
bohuzel moje racionlni "me" absolutne vubec... kdyz uz nekdo pujde vykrast to moje "nic" co doma mam, kde "nic" cti jako "zadne umeni za miliony, zadne sperky, zadne kufry penez apod" tak jsem si na 100% jistej, ze pujde zadem pres terasu skrz francouzske okno...
nedovedu si predstavit, ze na to nekdo pujde jako z filmu 🙂 ale mozna se pletu
- VPN samozrejme mam, ale ne na loxone - nepohodlny, nechci popirat usability skrz zapinani VPN kdyz prijzdim domu autem nebo jdu z hospody abych si otevrel na jeden klick pruchod na sedacku do obyvaky
TEORETICKY by se dalo prejit zvenku na technologii/vendora, kterymu clovek veri (u me je to Apple) a pouzit homebrige/homekit bez jakekoli reverzni proxy