για όσους δεν το γνωρίζουν εδώ και μία βδομάδα περίπου, η ΔΕΥΑΗ (Δημοτική Επιχείρηση Ύδρευσης – Αποχέτευσης Ηρακλείου) αποφάσισε να αλλάξει τα παλιά υδρόμετρα με νέα ψηφιακά με τηλεμετρία (22.000 νέα υδρόμετρα). (RF 868.95Mhz )
Όλα “καλά” μέχρι εδώ.
Το πρόβλημα που αντιλήφθηκα άμεσα είναι ότι η ΔΕΥΑΗ δεν άλλαξε το προεπιλεγμένο κλειδί κρυπτογράφησης (ΧΧΧΧ) και όλα τα δεδομένα μπορούν να “διαβαστούν” από τον καθένα.
Αρκεί να έχει ένα πολύ φτηνό rtl-sdr και στημένο το wmbusmeters.
Τρέχοντας
wmbusmeters "rtlwmbus:CMD(rtl_sdr -f 868.95M -s 1600000 - 2>/dev/null | rtl_wmbus -p s -a)" water iperl ANYID E6C88800DEB868C0D6A84880CE982840
μετά από κάμποση ώρα (τα υδρόμετρα είναι σεταρισμένα να στέλνουν ένα telegram ανά ώρα) μπορεί ο οποιοσδήποτε να δει την μέχρι τώρα κατανάλωση, και την στιγμιαία κατανάλωση των υδρομέτρων που λαμβάνει το rtl-sdr.
Εδώ δημιουργείτε ένα κατά την γνώμη μου θέμα ασφάλειας…
Πολύ εύκολα μπορείς να βγάλεις συμπέρασμα αν κάποιος είναι στο σπίτι του ή λείπει για κάμποσες μέρες… Το μόνο που χρειάζεται να ξέρεις το ID του υδρόμετρου (που μπορείς πάρα πολύ εύκολα να το βρεις…)
To καλύτερο θα ήταν κατά το πρώτο e-mail που τους έστειλες πριν κοινοποιήσεις τους υπόλοιπους, να τους έδινες έναν χρόνο να αντιδράσουν, και να τους προειδοποιούσες ότι εάν δεν προβούν σε ενέργειες μετά από κάποιο εύλογο χρονικό διάστημα, θα ενημερώσεις τοπικά ειδησεογραφικά site.
Σεβαστή ή άποψη σου, αλλά θα διαφωνήσω, γιατί όπως το βλέπω εγώ, προτιμώ την διαφάνεια, παρά την “απειλή”.
Δουλειά τους είναι να κάνουν την έρευνα(από την στιγμή που είναι ΕΣΠΑ project και αν δεν κάνω λάθος πρέπει να συμμορφώνετε με ασφάλεια δεδομένων ), πριν υλοποιήσουν κάτι το οποίο δεν διορθώνεται παρά μόνο στο εργοστάσιο κατά την παραγγελία.
Και θα το κλείσω εδώ το κομμάτι του σωστού/λάθους, ηθικού ή όχι.
Ευχαριστώ.
Δεν πρόκειται για “απειλή”, περισσότερο δες το σαν κίνητρο για άμεση κινητοποίηση και δράση. Δεν γνωρίζω τις λεπτομέρειες και κάνω τον δικηγόρο του διαβόλου. Απλά μπαίνοντας στην θέση τους, εάν παρείχα μια υπηρεσία και υπάρχε κάποια “τρύπα” για οποιονδήποτε λόγο (αβλεψία, αμάθεια, κτλπ.) θα ήθελα να μου το πεις πρώτα πριν δημοσιεύσεις σε κάποιο site. Θα μπορούσαν πχ. να προβούν σε νέα παραγγελία και να διορθωθεί πριν γίνει γνωστό σε πιθανούς επιτήδειους.
Τέλος πάντων κοντός ψαλμός αλληλούια, αυτά από εμένα, και εγώ ευχαριστώ για την πληροφόρηση.
Σύμφωνα με τις κοινές “πρακτικές” σε τέτοια ζητήματα, θα πρέπει να δοθεί αρκετός χρόνος στην εταιρεία για να διορθώσει το πρόβλημα. Εάν ξεκινήσει αμέσως η διαδικασία την “δημοσίευσης”, το μόνο που έχει να κάνει η εταιρεία είναι να μπει σε “αμυντικό / νομικό mode”, και να εξετάσει κατα πόσο είναι “πρόβλημα” αυτό ή όχι.
Το πιθανότερο είναι να μην υπάρχει νομικό / πραγματικό ζήτημα, δεδομένου ότι η προδιαγραφή του “διαγωνισμού” δεν θα περιλαμβάνει “ιδιωτικότητα” των μετρήσεων, καθώς και πρακτικά δεν δημιουργείται ιδιαίτερο ζήτημα. Εάν υποθέσουμε ότι για να αντιστοιχήσεις τα υδρόμετρα με το id τους πρέπει να ανοίξεις το καπάκι και η μέτρηση δεν λέει και πολλά γιατί μπορεί να τρέχουν αυτόματα ποτίσματα πχ. Επίσης η μέτρηση του ρεύματος (εξίσου δημόσια) είναι ακόμα πολύ πιο εύκολο για να καταλάβει κάποιος τι γίνεται.
Από άποψη φυσικής ασφαλείας ενός χώρου, οι κλειστοί χώροι φαίνονται, εάν θέλεις να ξέρεις έαν κάποιος είναι στον χώρο για να τον παραβιάσεις, χτυπάς το κουδούνι, έαν απαντήσει κάποιος ρωτάς μια ανοησία και φεύγεις, εάν δεν απαντήσει κάποιος…
Πιθανότατα για να το λες κάτι θα ξέρεις. όμως ο πολίτης δεν είναι υποχρεωμένος να δώσει χρόνο. Είδε ένα κενό ασφαλείας και είπε να ενημερώσει και κατά τη γνώμη μου καλά έκανε. Δεν είναι κακό αυτό, κακό είναι που αντί να πουν θα κοιτάξουμε να διορθωθεί το πρόβλημα, τα έβαλαν με αυτούς που υποδείξαν το πρόβλημα.
Όπως μπορεί να λειτουργούν ποτιστικά κλπ , έτσι μπορεί να υπάρχει κάτι στην πρίζα. Δε λέει κάτι αυτό, ειδικά εφόσον οι μετρητές του νερού είναι πιο συχνά σε εξωτερικό χώρο. Αν χτυπήσεις το κουδούνι μπορεί και να καταγραφείς κλπ.
Το θέμα είναι να πάψει να υπάρχει το κενό ασφαλείας.
Επίσης καλώς ήρθες στο φόρουμ.
Αναφέρομαι στις πρακτικές, στα πλαίσια την ανακάλυψης ενός κενού ασφαλείας. Πρέπει να δοθεί εύλογο χρονικό διάστημα στην επιχείρηση για να αντιδράσει και να διορθώσει το πρόβλημα. Vulnerability Disclosure - OWASP Cheat Sheet Series
Στην προκειμένη περίπτωση με μια κίνηση έχουμε απ΄ ευθείας δημοσιότητα στο πρόβλημα (δηλαδή από αύριο θα μπορούν να αρχίζουν να το εκμεταλλεύονται για οποιοδήποτε σκοπό) και η κοινοποίηση στα τοπικά μέσα απλά θα δημιουργήσει κάποια πολιτική αντιπαράθεση χαμηλής σημασίας, δεδομένου ότι εκλογές θα έχουμε ξανά σε αρκετά χρόνια.
Τι θα έκανα εγώ;
Εάν δεν μου απαντούσαν μετά από κανα εξάμηνο, θα έφτιαχνα ανώνυμα ένα site με στατιστικά και γραφήματα κατανάλωσης ανα μετρητή για όλο αυτό το εξάμηνο και θα το άφηνα δημόσιο, για να καταλάβει και ο κόσμος που είναι το πρόβλημα. Με ένα Grafana και μια μικρή db στήνεις κάτι τέτοιο σε ένα απόγευμα.
αηδία οι δικηγόροι τους, ευχαριστούμε για την ενημέρωση.
Τέλος ένα σχόλιο: don’t shoot the messenger! Δεν είναι penetration tester το άτομο, και ένα εξάμηνο ή μια αναμονή μηνών είναι πολύ για ένα τέτοιο θέμα. Τώρα που τρέχει το έργο μπορεί να διορθωθεί, μετά καλά κρασιά… το μόνο που μας “σώζει” είναι ότι οι μετρητές είναι κτηρίου και άρα σε πολυκατοικίες μάλλον θα είναι μεικτό το αποτέλεσμα (λίγα σπίτια θα έχουν μετρητές ανά διαμέρισμα εκτός κι αν μιλάμε για μονοκατοικία)
