Go Down

Topic: Arduino aus dem Internet erreichen (Read 2540 times) previous topic - next topic

MindCode


Verstehe ehrlich gesagt die Problematik nicht ganz.
Mein Arduino Ethernet Webserver hängt auch am Internet und ich mache mir keine Sorgen wegen der Sicherheit.

Ich habe dabei 5 "Schutzmechanismen" eingebaut.

1. Nicht Port 80, sondern 9999
2. htaccess Authentifizierung
3. Document Root liefert eine weiße Seite, im Unterordner liegt mein Script versteckt. (z.b. /GzaEdHXd92A33/
4. Variablen zum Steuern der Scripte sind ebenfalls dem Angreifer unbekannt.
5. Jede Seite liefert nen 404 Text ;)


Sind wir da nicht ein bisschen paranoid :D ?!

mkl0815


Sind wir da nicht ein bisschen paranoid :D ?!

Nein, mit Sicherheit nicht. Wer nicht darüber nachdenkt ist Leichtsinnig.

da2001


Sind wir da nicht ein bisschen paranoid :D ?!


Nö. Wenn Du wüsstest, was diese Steuerung bewirkt... :)

Trib


Nö. Wenn Du wüsstest, was diese Steuerung bewirkt... :)


Ahh, interessant! Dann können wir ja mal checken ob wir das Garagentor auf und die Heizung auf Sauna-ähnliche Temperaturen bekommen ;)

Für meinen Webserver habe ich eine HTML-Seite, die ein paar Befehle per POST verpackt.
Ein Eingabefeld meiner Form dient als Passwort und wird dann mit den entsprechenden Werten gesendet.
Wer das Passwort nun nicht kennt, kann maximal den Arduino mit einem DOS-Angriff lahmlegen. Das Ergebnis ist vielleicht ein rauchender Arduino, aber kein Zugriff auf die Funktionalitäten.
Per Bruteforce ist das Passwort sicherlich zu knacken, aber das obliegt ja jedem selbst, wie kompliziert man das Passwort gestaltet.
Gefährlicher an dieser Stelle wäre sicherlich, dass mein POST mit gelesen wird und das Passwort ausgelesen werden kann. Ist theoretisch möglich, aber doch eher unwahrscheinlich.
In diesem Fall wäre es dann leider möglich die Farben auf meinem LED-Tisch zu ändern :smiley-roll:

@da2001: Letzteres ist auch die einzige Möglichkeit alle 5 Mechanismen auf einmal auszuhebeln.
Fraglich ist nur, wer den Aufwand treiben würde mit einem Sniffer deine Leitung abzuhorchen...

da2001

@Trib

Brutforce htpasswd knacken geht sicherlich. Aber dann ist die Hürde weiterhin das unbekannte Verzeichnis, die Datei und die benötigten Variablen. Ohne Erfolgsmeldung wird sicherlich keiner mehrere Monate warten, bis bei mir im Flur das Licht angeht.

Bevor jemand die Möglichkeit hat, meinen Datenverkehr mit einem Proxy zu filtern und die passenden Befehle zwischen allen anderen zu erkennen, wäre es einfacher bei mir die Scheibe einzuschlagen, zur "Sauna" zu gehen und dort die Temperatur zu verstellen :D
JETZT werden wir paranoid ;)

Go Up