OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu

  • 15 Odpowiedzi
  • 14985 Wyświetleń
*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« dnia: Kwiecień 05, 2018, 14:27:46 »
Witajcie,
Dzięki koledze Gadulowaty poznałem kilka faktów na temat oprogramowania EFC-01. Niestety potwierdziły się moje przypuszczenia, że Zamel nie popisał się jakością oprogramowania ani ogólnie, ani - co dla tego posta ważniejsze - pod kątem bezpieczeńśtwa kontrolera  :-\

Wygląda na to, że w sofcie popełnionych jest szereg szkolnych błędów, które zaznajomiona z tematem osoba może wykorzystać do przeprowadzenia skutecznego ataku na kontroler, a dzięki niemu może dostać się nawet do waszych sieci / urządzeń domowych. Możliwe jest przejęcie kontroli nad kontrolerem a stąd droga wolna do sterowania Waszym domem czy mieszkaniem.

Zatem ostrzegam i radzę: nie "wystawiajcie" waszego kontrolera EFC-01 do bezpośredniego dostępu z internetu!!!

Odradzam robienie przekierowania portów z publicznych IP na Wasz kontroler.
Znacznie bezpieczniejszym (choć nieco mniej wygodnym) rozwiązaniem będzie używanie połączenia VPN do Waszego rutera domowego np. dzięki aplikacji na smartfony. Dopiero po połączeniu się z siecią lokalną przez tunel VPN - uruchomić i używać aplikację Exta Life.
Takiego rozwiązania ja sam używam od początku, właśnie ze względu na niepewność co do jakości oprogramowania kontrolera.

Szansa ataku może ze względu na niską popularność systemu jest niewielka, ale jednak jest. A co gdy Exta Life steruje np. Waszą bramą garażową? Ja bym nie ryzykował...
« Ostatnia zmiana: Kwiecień 05, 2018, 14:30:14 wysłana przez admin »
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #1 dnia: Kwiecień 05, 2018, 15:04:00 »
Witam kolegę admina,
dziękuje za wyręcznie mnie w opisaniu w/w problemu. Na chwilę obecną mam gotowy exploit przeprowadza atak DoS na urządzenie EFC-01 z firmwarem 0.9.4 z dnia 2017.12.20. Szczegóły tego BUG'a bardzo chętnie przekażę osobą z firmy ZAMEL. Może to ich zmotywuje do przyśpieszenie prac nad "lutową" aktualizacją.

DO użytkownika(-ów) z firmy ZAMEL: Po szczegóły zapraszam przez PM.

Pozdrawiam,
Gadulowaty

*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #2 dnia: Kwiecień 05, 2018, 16:08:06 »
Szczegóły tego BUG'a bardzo chętnie przekażę osobą z firmy ZAMEL. Może to ich zmotywuje do przyśpieszenie prac nad "lutową" aktualizacją.

Śmiało, przekaż. Może wspomnij też o tym, co już jest widoczne na wiki - niech zobaczą, że system powoli się otwiera. Jestem bardzo ciekawy co oni na to?   8)

Wątpię jednak, że zmotywuje ich to do czegokolwiek. Oni po prostu najpewniej nie są w stanie poradzić sobie z implementacją własnych koncepcji, a co dopiero z łataniem błędów od użytkowników :D

Gdyby to była firma software'owa lub miała dział software'owy z prawdziwego zdarzenia to powinni ci za takie infromacje podziękować.

PS. Fajny awatar :) Może zmień usera na Snowden albo coś ;)
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #3 dnia: Kwiecień 05, 2018, 16:54:47 »
Nazwy użytkownika nie zmienie, bo wszystko co ze śniegiem związane może być odebrane jako złośliwość z mojej strony jeżeli chodzi o zabezpieczenia transmisji radiowej przed sniffowaniem i podszywaniem. Drobny przytyk zostawiłem na Wiki.

Wracając do tematu zasadniczego proszę użytkowników, którzy wystawiają port 20400 kontrolera do internetu o zapoznanie się z tą strona na WIKI.

Pozdrawiam,
Gadulowaty

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #4 dnia: Kwiecień 06, 2018, 09:33:07 »
....co dla tego posta ważniejsze - pod kątem bezpieczeńśtwa kontrolera

Coś więcej w temacie ?

*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #5 dnia: Kwiecień 06, 2018, 09:52:26 »
....co dla tego posta ważniejsze - pod kątem bezpieczeńśtwa kontrolera

Coś więcej w temacie ?
Po szczegóły można zgłaszać się do kolegi Gadulowatego
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #6 dnia: Kwiecień 06, 2018, 10:23:36 »
Na chwilę obecną szczegółów nie ujawnię. Wynika to z troski o obecnych użytkowników ExtyLife - narażałbym ich na to że ktoś złośliwie mogłby wykorzystać istniejącą dziurę, aby w najlepszym przypadku przeprowadzić atak DoS. W przyszłym tygodniu spróbuję nawiązać kontakt z kimś z ZAMELa (może wcześniej sami się odezwą), kto będzie mógł się określić jak szybko są wstanie załatać znalezioną dziurę. Jeżeli nie będzie z ich strony chęci rozwiązania problemu wtedy dopiero posiadane informacje upublicznie.

Pozdrawiam,
Gadulowaty.

*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #7 dnia: Kwiecień 06, 2018, 11:52:47 »
W przyszłym tygodniu spróbuję nawiązać kontakt z kimś z ZAMELa (może wcześniej sami się odezwą), kto będzie mógł się określić jak szybko są wstanie załatać znalezioną dziurę. Jeżeli nie będzie z ich strony chęci rozwiązania problemu wtedy dopiero posiadane informacje upublicznie.

Moim zdaniem na odzew poprzez forum szansa jest nikła. Zdaje się, że Zamel już tutaj raczej nie zagląda :( Ale zobaczmy, może wydarzy się cud. A jeśli nie to możemy Cie tylko prosić o nawiązanie z nimi kontaktu.

Pozdro
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #8 dnia: Kwiecień 12, 2018, 00:00:40 »
Jeśli Zamel nie zareaguje to czas na reakcję użytkowników.

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #9 dnia: Kwiecień 17, 2018, 01:33:45 »
Witam wszystkich.
Czy coś się zmieniło w kwestii załatania tej dziury w zabezpieczeniach?
Pozdrawiam Paweł.

*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #10 dnia: Kwiecień 17, 2018, 11:11:19 »
Witam wszystkich.
Czy coś się zmieniło w kwestii załatania tej dziury w zabezpieczeniach?
Pozdrawiam Paweł.
Na to pytanie być może odpowie kolega Gadulowaty. Ja nie wiem jak się sprawy mają w nowym  sofcie 0.9.5 i czy coś się poprawiło czy nie. Jestem również ciekawy jakiegoś komentarza na ten temat.
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #11 dnia: Kwiecień 17, 2018, 21:28:38 »
Wieczór wszystkim,
niestety nie mam dobrych wiadomości odnośnie tego błędu. W zeszłym tygodniu odezwała się do mnie osoba z Zamela z działu marketingu. Po rozmowie prosiłem, aby przekazał namiar na mnie do działu konstrukcyjnego, (który zajmuje się też oprogramowaniem) tak żebym mógł się podzielić posiadanymi informacjami, niestety do dnia dzisiejszego (ponad tydzień) nikt nie pofatygował się aby skontaktować sie z mna chociaż telefonicznie. Czekam cały czas na kontakt.

A wracając do meritum, błąd w postaci takiej jakiej zaistniał w wersji 0.9.4 z dnia 20.12.2017 jest również obecny w wersji 0.9.5 tej która była publikowana do beta testów. Na marginesie to, żal mi nas, bo żałosne jest to co zrobił Zamel z tą aktualizacją, a mianowicie - otrzymujemy wersję kilka dni przed oficjalną publikacją, aby ją przetestować. Wielu z nas poświęciło swój czas na testowanie i wykrycie problemów, które mogą się pojawić. Tak żeby przed wydaniem finalnej aktualizacji dołożyć hot-fixy znalezionych jeszcze niedoróbek i wypuścić produkt jak najlepszej jakości. A co robi nam Zamel - wrzuca na stronę wersję, która trafiła do nas jako wersja do testów. Teraz wszyscy użytkownicy zostali beta-testerami ;)

Pozdrawiam,
Gadulowaty.

*

Offline admin

  • *****
  • 1624
  • Twórca i moderator forum
    • Zobacz profil
    • Forum ExtaLife
Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #12 dnia: Kwiecień 17, 2018, 21:57:57 »
Cześć,
Cytuj
W zeszłym tygodniu odezwała się do mnie osoba z Zamela z działu marketingu.(...)
niestety do dnia dzisiejszego (ponad tydzień) nikt nie pofatygował się aby skontaktować sie z mna
Brzmi znajomo. Ja już przestałem nawet pytać o ten obiecany do testów kontroler. Osoba z facebooka od czasu do czasu pyta się czy odpowiedzialna osoba się ze mną kontaktowała a ja jak mantrę powtarzam, że nie. Ta firma tak ma...niestety....:(

Cytuj
Na marginesie to, żal mi nas, bo żałosne jest to co zrobił Zamel z tą aktualizacją, a mianowicie - otrzymujemy wersję kilka dni przed oficjalną publikacją, aby ją przetestować. Wielu z nas poświęciło swój czas na testowanie i wykrycie problemów, które mogą się pojawić. Tak żeby przed wydaniem finalnej aktualizacji dołożyć hot-fixy znalezionych jeszcze niedoróbek i wypuścić produkt jak najlepszej jakości. A co robi nam Zamel - wrzuca na stronę wersję, która trafiła do nas jako wersja do testów. Teraz wszyscy użytkownicy zostali beta-testerami

Bo jak już wielu z nas doszło do wniosku - Zamel nie jest ani firmą programistyczną, ani nawet nie ma działu programistycznego z prawdziwego zdarzenia (bo przepraszam - 1 osoba do programowania kontrolera? serio?!  :-\ Jako support to rozumiem, ale nie w aktywnej fazie developmentu produktu). Od numeracji wersji software'u zaczynając (te same numery pomimo wprowadzanych zmian) aż na jakości kodu i podejściu w jego łataniu kończąc...
Tam nikt się takimi "drobnostkami" nie przejmuje. "Się poprawi", kiedyś.
Chociaż z jednej strony zgodzę się, że wypuszczenie tego softu oficjalnie miało sens dla osób których cały system działał niestabilnie, lub prawie w ogóle. To choć istnieją błędy - to da się może w ich przypadku tego teraz jakoś używać.

A Hotfixy? W tym systemie takie pojęcie nie funkcjonuje. Chyba, że hotfixem jest coś co jest łatane po pół roku od zgłoszenia błędu....

Smutna ta nasza ExtaLife' owa rzeczywistość... :-\
« Ostatnia zmiana: Kwiecień 17, 2018, 22:05:14 wysłana przez admin »
Elementy systemu, których używam: 3xSRP-22, 5xRDP-21, 3xROP-22, 4x ROP-21, 1xP-456/36, 1xRNK-24, 3x RNP-21, 1xRCT-22, aplikacja na Android oraz iOS + Home Assistant

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #13 dnia: Czerwiec 12, 2018, 00:27:18 »
No i mamy światełko w tunelu ;), wersja z 15.05.2018 łata dziurę buffer overflow w procedurze obsługi połączenia od klienta z aplikcacji ExtaLife. W końcu ktoś przejrzał kod obsługi bufora odczytu i prawidłowo zaczął operować na wskaźnikach do początku bufora.

No ale że podobno lubie się czepiać to będzie mała szpila dla Zamela. Czas żeby majstry z Zamela pochylili głowy nad optymalizacją alokacją pamięci dla lwIP (biblioteka wykorzystywana do komunikacji TCP/IP) bo plik opcji dla tego pakietu poszedł z jakiegoś exampla z sieci metodą kopiuj wklej i raczej nikt się nie zastanawiał co właściwie i gdzie i po co lwip alokuje. Moje pobieżne przejrzenie alokacji pamięci dla lwIP wykazuje że można przynajmniej ilość pamięci obecnie wymaganej przez lwIP zminiejszyć o 50%.

Pozdrawiam,
Gadulowaty.

Odp: OSTRZEŻENIE: nie upubliczniajcie swojego EFC-01 do internetu
« Odpowiedź #14 dnia: Czerwiec 12, 2018, 09:34:44 »
No i mamy światełko w tunelu ;), wersja z 15.05.2018 łata dziurę buffer overflow w procedurze obsługi połączenia od klienta z aplikcacji ExtaLife. W końcu ktoś przejrzał kod obsługi bufora odczytu i prawidłowo zaczął operować na wskaźnikach do początku bufora.

No ale że podobno lubie się czepiać to będzie mała szpila dla Zamela. Czas żeby majstry z Zamela pochylili głowy nad optymalizacją alokacją pamięci dla lwIP (biblioteka wykorzystywana do komunikacji TCP/IP) bo plik opcji dla tego pakietu poszedł z jakiegoś exampla z sieci metodą kopiuj wklej i raczej nikt się nie zastanawiał co właściwie i gdzie i po co lwip alokuje. Moje pobieżne przejrzenie alokacji pamięci dla lwIP wykazuje że można przynajmniej ilość pamięci obecnie wymaganej przez lwIP zminiejszyć o 50%.

Pozdrawiam,
Gadulowaty.

Szacun za wiedzę i zaangażowanie, naprawdę jestem pod wrażeniem i czekam na dalsze postępy w Twojej pracy na firmware.

Wieczór wszystkim,
niestety nie mam dobrych wiadomości odnośnie tego błędu. W zeszłym tygodniu odezwała się do mnie osoba z Zamela z działu marketingu. Po rozmowie prosiłem, aby przekazał namiar na mnie do działu konstrukcyjnego, (który zajmuje się też oprogramowaniem) tak żebym mógł się podzielić posiadanymi informacjami, niestety do dnia dzisiejszego (ponad tydzień) nikt nie pofatygował się aby skontaktować sie z mna chociaż telefonicznie. Czekam cały czas na kontakt.

A wracając do meritum, błąd w postaci takiej jakiej zaistniał w wersji 0.9.4 z dnia 20.12.2017 jest również obecny w wersji 0.9.5 tej która była publikowana do beta testów. Na marginesie to, żal mi nas, bo żałosne jest to co zrobił Zamel z tą aktualizacją, a mianowicie - otrzymujemy wersję kilka dni przed oficjalną publikacją, aby ją przetestować. Wielu z nas poświęciło swój czas na testowanie i wykrycie problemów, które mogą się pojawić. Tak żeby przed wydaniem finalnej aktualizacji dołożyć hot-fixy znalezionych jeszcze niedoróbek i wypuścić produkt jak najlepszej jakości. A co robi nam Zamel - wrzuca na stronę wersję, która trafiła do nas jako wersja do testów. Teraz wszyscy użytkownicy zostali beta-testerami ;)

Pozdrawiam,
Gadulowaty.


Doczytałem ostatnio że dla zamela aplikacje tworzy firma ready4s czyli to co piszesz w pełni się zgadza, btw na stronie ready4s są informacje o aplikacji ExtaFree z poczatku 2017 a jak wiemy ostatnia aktualizacja w sklepie Play była 06.2016 tak więc coś tu mi nie gra....
ExtaFree 12xSRP-02 2xROB-01 EFC-02