Pages: 1 [2]   Go Down
Author Topic: Arduino aus dem Internet erreichen  (Read 2155 times)
0 Members and 1 Guest are viewing this topic.
Offline Offline
Jr. Member
**
Karma: 2
Posts: 77
View Profile
 Bigger Bigger  Smaller Smaller  Reset Reset

Verstehe ehrlich gesagt die Problematik nicht ganz.
Mein Arduino Ethernet Webserver hängt auch am Internet und ich mache mir keine Sorgen wegen der Sicherheit.

Ich habe dabei 5 "Schutzmechanismen" eingebaut.

1. Nicht Port 80, sondern 9999
2. htaccess Authentifizierung
3. Document Root liefert eine weiße Seite, im Unterordner liegt mein Script versteckt. (z.b. /GzaEdHXd92A33/
4. Variablen zum Steuern der Scripte sind ebenfalls dem Angreifer unbekannt.
5. Jede Seite liefert nen 404 Text smiley-wink

Sind wir da nicht ein bisschen paranoid smiley-grin ?!
Logged

Offline Offline
Edison Member
*
Karma: 21
Posts: 1419
View Profile
 Bigger Bigger  Smaller Smaller  Reset Reset

Sind wir da nicht ein bisschen paranoid smiley-grin ?!
Nein, mit Sicherheit nicht. Wer nicht darüber nachdenkt ist Leichtsinnig.
Logged

Hamburg
Offline Offline
Jr. Member
**
Karma: 0
Posts: 66
View Profile
 Bigger Bigger  Smaller Smaller  Reset Reset

Sind wir da nicht ein bisschen paranoid smiley-grin ?!

Nö. Wenn Du wüsstest, was diese Steuerung bewirkt... smiley
Logged

Germany
Offline Offline
Full Member
***
Karma: 1
Posts: 130
View Profile
 Bigger Bigger  Smaller Smaller  Reset Reset

Nö. Wenn Du wüsstest, was diese Steuerung bewirkt... smiley

Ahh, interessant! Dann können wir ja mal checken ob wir das Garagentor auf und die Heizung auf Sauna-ähnliche Temperaturen bekommen smiley-wink

Für meinen Webserver habe ich eine HTML-Seite, die ein paar Befehle per POST verpackt.
Ein Eingabefeld meiner Form dient als Passwort und wird dann mit den entsprechenden Werten gesendet.
Wer das Passwort nun nicht kennt, kann maximal den Arduino mit einem DOS-Angriff lahmlegen. Das Ergebnis ist vielleicht ein rauchender Arduino, aber kein Zugriff auf die Funktionalitäten.
Per Bruteforce ist das Passwort sicherlich zu knacken, aber das obliegt ja jedem selbst, wie kompliziert man das Passwort gestaltet.
Gefährlicher an dieser Stelle wäre sicherlich, dass mein POST mit gelesen wird und das Passwort ausgelesen werden kann. Ist theoretisch möglich, aber doch eher unwahrscheinlich.
In diesem Fall wäre es dann leider möglich die Farben auf meinem LED-Tisch zu ändern smiley-roll

@da2001: Letzteres ist auch die einzige Möglichkeit alle 5 Mechanismen auf einmal auszuhebeln.
Fraglich ist nur, wer den Aufwand treiben würde mit einem Sniffer deine Leitung abzuhorchen...
Logged

Hamburg
Offline Offline
Jr. Member
**
Karma: 0
Posts: 66
View Profile
 Bigger Bigger  Smaller Smaller  Reset Reset

@Trib

Brutforce htpasswd knacken geht sicherlich. Aber dann ist die Hürde weiterhin das unbekannte Verzeichnis, die Datei und die benötigten Variablen. Ohne Erfolgsmeldung wird sicherlich keiner mehrere Monate warten, bis bei mir im Flur das Licht angeht.

Bevor jemand die Möglichkeit hat, meinen Datenverkehr mit einem Proxy zu filtern und die passenden Befehle zwischen allen anderen zu erkennen, wäre es einfacher bei mir die Scheibe einzuschlagen, zur "Sauna" zu gehen und dort die Temperatur zu verstellen smiley-grin
JETZT werden wir paranoid smiley-wink
Logged

Pages: 1 [2]   Go Up
Jump to: