Loguję się na nie swoją centralkę?! Jak to możliwe?

[mpmdembi 2]

Dziś wchodzę na dom.fibaro.com wpisuję swój login i hasło i... loguję się do nieswojej centralki! Mogę komuś robić co chcę z HCL, a hackerem nie jestem!

Jak widać bezpieczeństwo systemu jest na najwyższym poziomie!

Wiadomo, ze Fibaro to zabawka i nikt poważny na tym nie postawi alarmu czy czegoś istotnego, niemniej taka sytuacja jak można komuś wejść na centralkę, zmieniać, oglądać obraz z kamer powinna dać do myślenia firmie, choć szczerze mówiąc wątpię.

Zgłaszane problemy trafiają na Beredyczów. Pytania dlaczego system ma lagi po kilka/naście sekund też pozostają bez odpowiedzi, więc nie sądzą, aby ktokolwiek zainteresował się powyższym problemem.

Niemniej ostrzegam, bo ta sytuacja dała mi sporo do myślenia...

[j.nowacki 5]

Bardzo przepraszamy za zaistniała sytuację, proszę o kontakt na PM z numerem seryjnym i MAC centralki abyśmy mogli zbadać sytuację. Proszę zwrócić uwagę, na fakt, że właściwym zabezpieczeniem centralki jest jej hasło - rozumiem, że obie centralki miały ustawione domyślne?

[Guest damian]

Odłączam swoją centralę od sieci.

Zespół Fibaro, bardzo proszę o konkretne opisanie problemu, wyjaśnienie sytuacji i określenie czynności które należy przeprowadzić aby zabezpieczyć się przed nieautoryzowanym dostępem osób trzecich do mojego "inteligentnego domu".

[j.nowacki 5]

@damian będziemy w stanie powiedzieć coś po zbadaniu problemu, czekamy na dane centralki by móc to zweryfikować. Jeśli chodzi o zabezpieczenie centralki, to kluczowa na pewno jest zmiana hasła na odpowiednio silne, pozostawienie logowania na admin:admin jest zdecydowanie niezalecane. Bez tego dostępu lokalnego można najwyżej usunąć centralkę z konta zdalnego. Jeśli chodzi o sam dostęp do konta, to musimy to sprawdzić.

[marecki_0luk1 23]

j.nowacki, damian pytał jakim cudem pod dom.fibaro.com dla danego użytkownika podłączyliście nie ta centralę !? hasło jakie jest to nasza sprawa, bo właśnie po to jest logowanie na dom.fibaro.com. To nie chodzi o złośliwości, ale ja na codzień korzystam z dom.fibaro.com ... chciałbym nie "martwić" się o publiczny dostęp do mojej centrali...

[j.nowacki 5]

Dlatego pytałem o dane centralki, po których to są one identyfikowane w systemie, przepraszam, ale nie mam możliwości dalszej weryfikacji, na razie wszystko co mamy to informacja, że takie coś miało miejsce i żadnych danych by to zdiagnozować. Co do logowania - to chodziło mi o dane do dostępu lokalnego - dostęp do konta zdalnego to jedno, ale jeśli @mpmdembi zalogował się na cudzą centralkę to obie najprawdopodobniej miały dane do logowania admin:admin. dlatego zwróciłem uwagę na konieczność zmiany takich haseł.

[mpmdembi 2]

Dlatego pytałem o dane centralki, po których to są one identyfikowane w systemie, przepraszam, ale nie mam możliwości dalszej weryfikacji, na razie wszystko co mamy to informacja, że takie coś miało miejsce i żadnych danych by to zdiagnozować. Co do logowania - to chodziło mi o dane do dostępu lokalnego - dostęp do konta zdalnego to jedno, ale jeśli @mpmdembi zalogował się na cudzą centralkę to obie najprawdopodobniej miały dane do logowania admin:admin. dlatego zwróciłem uwagę na konieczność zmiany takich haseł.

Witam ponownie. Oczywiście służę zrzutem ekranu "obcej" centralki (zrobiłem zrzut strony głównej i strony z ustawieniami gdzie jest numer seryjny itp). Mogę przesłać zrzuty, tylko proszę o podanie na jaki adres mam je przesłać. Nie wiem jakie hasło miała obca centralka, bo szczerze mówiąc nie powinno to mieć znaczenia. Ja zwyczajnie zalogowałem się na swoje konto dom.fibaro.com swoim loginem i hasłem i zamiast potem zalogować się do swojej centralki (której numer widniał na stronie do logowania) zalogowałem się do centralki z mumerem seryjnym wyższym o 3. Służę dokładnymi danymi na maila, bo nie sądzę, aby forum było najlepszym miejscem do umieszczania danych. 

Jako ciekawostkę dodam, że centralka najpewniej pracuje we Francji, bo opisy pokojów były po francusku.

Mam nadzieję, że Fibaro "w zamian" za pomoc też zechce pomóc mi w rozwiązaniu mojego problemu, czyli okresowo występującego sporego opóźnienia w scenariuszach, np. otwarcie drzwi włącza światło i działa to natychmiastowo, ale raz na czas otwieram drzwi i światło zapala się po kilku/nastu sekundach, a jak w międzyczasie zamnkę i otworzę kilka razy te drzwi to potem wystąpi kilka cykli włącz/wyłącz. Po takim epizodzie wszystko samo wraca do normy na jakiś czas.

 

A informacja do kolegi obawiającego się o swoje bezpieczeństwo - jak widać problem jest tak istotny dla Fibaro, że nikt na priv ze mną się nie skontaktował...

[Guest damian]

A informacja do kolegi obawiającego się o swoje bezpieczeństwo - jak widać problem jest tak istotny dla Fibaro, że nikt na priv ze mną się nie skontaktował...

Widzisz, bo to nie Fibaro ma problem z bezpieczeństwem, tylko my...

Please login or register to see this image.

/emoticons/default_icon_wink.gif" alt=";-)" />

[j.nowacki 5]

@mpmdembi prześlij proszę dane tamtej centralki i swojej na standardowy mail supportu: [email protected], zajmiemy się tym i kwestią opóźnień.Generalnie support zawsze jest najlepszym miejscem na poszukiwanie pomocy w kwestiach technicznych, dostępny jest także telefon w sprawach pilnych.

[mpmdembi 2]

Wysłałem mail do supportu.

Oczywiście mam świadomość, że najlepszym miejscem do umieszczania problemów powinien być kontakt z supportem, ale problem zaczyna się gdy support ignoruje problemy. Przez wiele miesięcy "walczyłem" o uruchomienie zdalnego dostępu (trudno to było nazwać usunięciem problemów, bo dostęp częściej nie działał niż działał), a jak to się udało to przyszedł czas na drobniejsze problemy i tu kontakt mailowy z supportem się urwał - ciekawe dlaczego.

Jak już nieraz wspominałem system Fibaro to fajna zabawka i tak powinien być reklamowany, bo postawienie na nim alarmu, czy obsługi istotnych elementów mieszkania/domu to żart. Nie wspomnę o bezpieczeństwie, bo przyznam, że nie zaskoczył mnie ten problem - w końcu zabawki tak mają. Smutne tylko, że coraz szersza rzesza ludzi nabiera się na hasła reklamowe, które nijak nie mają się do rzeczywistości.

Nie będę gołosłowny:

1. opisany problem z bezpieczeństwem

2. okresowe zawieszanie się systemu (rzadkie, ale jednak)

3. gubienie modułów będących w pełnym zasięgu

4. zasięg gorszy od Bluetooth (ratuje działanie modułów jako repeaterów, ale ulotki reklamowe mówią co innego) - problem sprawdzony razem z Państwa salonem w Krakowie i ku "zaskoczeniu" obsługi (bardzo miłej i to zdecydowanie na plus dla Fibaro) był zdecydowanie odbiegający od tego jaki powinien być (na kilku różnych centralkach).

5. opóźnienia w scenariuszach przy prostym systemie

6. ograniczona kompatybilność z profuktami Z-Wave nie Fibaro (ale to można trochę wytłumaczyć).

7. Motion sensor miał mieć czujnik "sejsmiczny" - do tej pory support nie potrafił powiedzieć jak go uruchomić, bo chyba to nie jest możliwe, że był w ulotce a w rzeczywistości go nie ma...

Szkoda więcej wymieniać, ale jak na profesjonalny system to trochę zbyt wiele. 

Cieszę się, że jakoś obsługuje mi moduły Danfoss, bo to było głównym celem zakupu centralki, ale mówić, że to ma być centrala obsługującego inteligenty dom... no może taki dla lalek, bo do zabawy to na prawdę świetne urządzenie.

[j.nowacki 5]

Problem dotyczył naszego dostępu zdalnego i jak udało nam się ustalić był to izolowany przypadek. Zostały pojęte kroki, by wykluczyć ponowne wystąpienie takiego problemu.

[mpmdembi 2]

I oczywiście stało się tak jak zwykle z "supportem" Fibaro. Wysłałem tak jak prosili szczegółową informację o problemie i niby był to odosobniony przypadek. Oczywiście mój problem z opóźnieniem systemu został zbyty "gotowcem", a dalsza korespondencja z prośba o pomoc pozostaje bez odpowiedzi - nawet nie zadazą sobie trudu, aby napisać, że nie interesuje je ich problem.

Chyba czas przesłać zebrany przeze mnie materiał o poważnej luce w bezpieczeństwie na fora międzynarodowe, bo ludzie mają prawo wiedzieć jak niebezpieczny jest ten system. Skoro tak przykładają się do mojego problemu, to jestem pewien, iż informacja o odosobnionym przypadku i "krokach" jest lekko mówią wątpliwie wiarygodna.

Szczęśliwie udokumentowałem dostęp do obcego system i nie pozostaje mi nic innego jak nagłośnić sprawę. Chciałem, aby Fibaro wyszło z tego z twarzą i umieściłem to jedynie na naszym forum. Miałem nadzieję, że zmotywuje to support, a w ramach "podziękowania" pomogą mi z moim problemem, co powinno być oczywiste także bez pomocy z mojej strony. Myślę, że klienci z zagranicy nie będą mieli tyle wyrozumiałości przy wyborze systemu domu inteligentnego co my gdy czarno na białym otrzymają dokumentację o braku sprawnych zabezpieczeń w dostępie osób niepowołanych bądź co bądź do ich domu.

[j.nowacki 5]

Przeczytaj proszę PM w sprawie logowania.

[mpmdembi 2]

Przeczytaj proszę PM w sprawie logowania.

Teraz to już zupełnie nie rozumiem?! Treść Pana PM z dnia dzisiejszego to "Nawiązując do posta proszę o przesłanie posiadanych danych na adres [email protected], gdzie nasi pracownicy się tym zajmą. Pozdrawiam ".

Pragnę zauważyć, iż 26.05 (czyli 3 dni temu) przesłałem zgodnie z sugestią te wszystkie wiadomości do supportu (wspomniałem także o tym fakcie w poście z 26.05. godz. 21.35. Ponadto dwa posty wyżej jest informacja zwrotna, iż problem został wyjaśniony. Jak mam to wszystko rozumieć?

 

Dodam, iż po interwencji odezwał się do mnie ponownie support i jak na razie sprawa mojego problemy z opóźnieniem scen ma zostać zweryfikowana, na co oczywiście czekam z niecierpliwością.

[j.nowacki 5]

@mpmdembi przeprosiłem za opóźnienie, gdyż faktycznie nie otrzymał pan odpowiedzi w dniu 28.05, za co w imieniu suportu bardzo przepraszam. Jednak chwilę przed pańskim postem z 29.05 kolega odpowiedział prosząc o dostęp zdalny i to do tej wiadomości nawiązywałem.

Przepraszam bardzo za nieporozumienie, z tego co wiem trwają właśnie prace na pańskiej centralce.

[Guest damian]

Kiedy dowiemy się co oficjalnie wpłynęło na widoczność innej centrali?

Bo na razie wspomniano tylko, że problem dotyczył "dostępu zdalnego", a to wie każdy idiota.

Niektórzy mają okna zamykane siłownikami sterowanymi przez Fibaro, inni jeszcze mają domofony, niektórzy zamki w drzwiach przez Was sterowane! To nie chodzi o prywatność (jeśli ktoś ma kamery w toalecie albo sypialni), ale o bezpieczeństwo!

[Guest damian]

Problem leżał po stronie podłączenia obu centralek niejako pod ten sam adres dostępu zdalnego, co spowodowało wzajemną widoczność obu urządzeń przy zalogowaniu na różne konta użytkowników. Tak jak wspominałem sprawdziliśmy wszystkie centrale działające w dostępie zdalnym pod tym kątem oraz zastosowaliśmy dodatkowe zabezpieczenia by wykluczyć taką sytuację w przyszłości.

Nie rozumiem, "obu centralek pod jeden adres dostępu zdalnego"? To nie można tak? Nie mogę mieć dwóch centralek w jednym dom.fibaro.com?

Kupuję nową centralę, rejestruję ją sobie w dom.fibaro.com podając (jeśli dobrze pamiętam) MAC i numer centrali... Jak to możliwe, że ta dodawana centrala dodaje się zarówno w moim, jak i w czyimś (osoby na drugim końcu świata) panelu?

Gwarantujecie ze 100% pewnością, że ten problem został wyeliminowany?

[Guest damian]

j.nowacki, Twój post znikł...

[j.nowacki 5]

Odpowiedź zniknęła, gdyż zdecydowałem się dodać trochę więcej szczegółów.

 

Nie rozumiem, "obu centralek pod jeden adres dostępu zdalnego"? To nie można tak? Nie mogę mieć dwóch centralek w jednym dom.fibaro.com?

Kupuję nową centralę, rejestruję ją sobie w dom.fibaro.com podając (jeśli dobrze pamiętam) MAC i numer centrali... Jak to możliwe, że ta dodawana centrala dodaje się zarówno w moim, jak i w czyimś (osoby na drugim końcu świata) panelu?

Gwarantujecie ze 100% pewnością, że ten problem został wyeliminowany?

 

To był pewien skrót myślowy, nie chodziło o dodanie kilku central do tego samego konta użytkownika,a o naszą wewnętrzną komunikację z urządzeniami. Mechanizm dostępu zdalnego wymaga przydzielenia każdej z centralek unikalnego adresu na naszych serwerach. Powstała sytuacja była wynikiem błędu, gdzie dwie centralki (i tylko te dwie) otrzymały ten sam adres. Wykonaliśmy weryfikację, czy taka sytuacja miała miejsce w innych przypadkach i jesteśmy pewni, że był to jednorazowy incydent. Niezależnie od tego wprowadziliśmy dodatkowe zabezpieczenia oraz mechanizm weryfikujący.

[Guest damian]

Czyli mogę spać spokojnie, dziękuję za informację.

P.S. Potrzebowaliście na to 10 dni...

Please login or register to see this image.

/emoticons/default_icon_wink.gif" alt=";-)" />

[marecki_0luk1 23]

j.nowacki chcesz powiedzieć, że poprawa niektórych funkcjonalności zajmuje w Fibaro 2 lata, ale dodaliście "wprowadziliśmy dodatkowe zabezpieczenia oraz mechanizm weryfikujący"  w kilka dni ?