🛡️ Kibernetička sigurnost pametnog doma 2/2

shi osnovemreža; sigurnost; infrastruktura
Written By Dario Sekula

🔐 Kad uređaji međusobno pričaju

U prvom dijelu serijala bavili smo se mrežom – onim dijelom pametnog doma koji sve povezuje i koji predstavlja temelj informacijske sigurnosti.

U ovom blogu idemo u neke više slojeve, gdje u konačnici dolazi do komunikacije - bilo između samih uređaja ili između uređaja i nas kao korisnika.

AI generirana slika prikazuje kako različiti uređaji u pametnom domu stalno komuniciraju

🧩 Tko s kim komunicira?

Za početak u pametnom domu uređaji međusobno kontinuirano nešto “čakulaju”. Ovo kontinuirano može značiti doslovce u svakoj sekundi ili na primjeru baterijski napajanih uređaja u intervalima - ovisno o događajima ili proteku vremena. Recimo ovako nekako:

Senzor pokreta javlja serveru (Home Assistant) da je netko ušao u prostoriju, server prosljeđuje naredbu releju, relej pali svjetlo, a aplikacija na mobitelu javlja da je automatizacija izvršena.

Dio te komunikacije odvija se lokalno, unutar mreže vašeg doma, dok dio komunikacije izlazi iz vašeg doma, negdje u oblake (cloud). Taj cloud iliti računarstvo u oblaku ili jednostavno oblak, nije ništa drugo nego nečije tuđe računalo dostupno vama putem Interneta.

Kada je OK da nešto ide i izvan vaše lokalne mreže tema je za neki drugi blog. Ono što je moja filozofija, a to onda vjerojatno izlazi i kroz ova moja piskaranja, je da što više toga zadržim lokalno no ne libim se koristiti i neke cloud resurse.

☁️ Cloud vs lokalna obrada podataka

Opasnost za nas korisnike nastaje kada pametni uređaji (posebno oni jeftiniji) u potpunosti ovise o cloudu i bez Interneta ne funkcioniraju. U takvim slučajevima ne samo da naši podaci mogu završiti u rukama trećih strana ili biti zlorabljeni, nego uređaj može u jednom danu prestati raditi jer je proizvođač tako odlučio — ili jednostavno propao. Pisao sam već o primjerima kada su takvi uređaji doslovno postali beskorisni preko noći.

AI generirana slika koja simbolizira lokalnu vs cloud komunikaciju pametnih uređaja

U kontekstu sigurnosti što manje uređaj priča prema “vani”, to bolje za našu privatnost i sigurnost.

Zato je dobro:

  • birati uređaje koji nude lokalni način rada (lokalna mreža - LAN)

  • za kritične funkcije preferirati lokalnu komunikaciju (Zigbee, Thread, Matter)

  • cloud koristiti tamo gdje to najviše ima smisla i/ili nije moguće izvesti u lokalnoj mreži - npr. popularni glasovni pomoćnici (Amazon Alexa, Google Home…)

Cloud bazirana rješenja su popularna jer se jednostavno postavljaju i rade “out-off-the-box”. Kupiš, otpakiraš, spojiš, kreiraš tamo neki račun i kreneš koristiti. Neki put upravo je to ono što želimo, no kada je sigurnost u pitanju trebamo paziti na neke osnovne postulate kada koristimo takve uređaje.

✅ Za razliku od uređaja koji za svoj rad trebaju internet, prednosti onih koji to ne trebaju su više nego logične:

  • rade i kad nema interneta

  • brže reagiraju na promjene

  • sigurniji su jer podaci o korištenju ostaju samo u našem pametnom domu

💡 Kombinirani (hibridni) pristup možda je zato najoptimalniji. Uzmimo najbolje što nam lokalna mreža može ponuditi, a u specifičnim situacijama koristimo i cloud.

🔐 Siguran pristup putem javne mreže

Mreža i svi pametni uređaji mogu biti savršeno postavljeni, ali ako netko nekako dođe do vaše lozinke priča pada u vodu 😓.

AI generirana slika koja prikazuje dvofaktorsku autentikaciju (2FA)

Za početak idemo ponoviti gradivo o lozinkama:

  • Uključite dvofaktorsku autentikaciju (2FA). Ovo stavljam na prvo mjesto jer je stvarno nešto što eksponencijalno diže sigurnost, a danas je više manje standard na svim servisima. Čak i ako netko dođe do vaše lozinke, bez tog drugog faktora (koda ili biometrije), ne može ništa.

  • Koristite password manager. Ne znam kako bih, osim da koristim jednostavne i ponavljajuće lozinke što je naravno no-no, mogao zapamtiti sve lozinke koje mi svakodnevno trebaju. 1Password je PM koji mi koristimo i to u obiteljskoj verziji koja omogućava 5 različitih korisnika. Besplatna verzija s kojom sam imao svojevremeno dobra iskustva bila je KeePass.

  • Jedna lozinka = jedan servis. Nikada ne koristite istu lozinku na više mjesta. Ako jedan servis doživi neki kibernetički napad i podaci se nađu tamo gdje ne bi trebali, napadači često pokušavaju istu kombinaciju i drugdje.

  • Duža lozinka bolja je od kratke - no shit, Sherlock! 🤣 Da, svi ovo znaju ali i dalje je statistika relativno poražavajuća. Za one koji ne žele investirati u password managere koji mogu lako pamtiti nešto poput “JMeBtYmD!UuB4MkCwmJ2tkdN”, koristite neku samo vama blisku frazu. Recimo “Mislimdanitkovumojulozinkunecepogoditi”.

🌐Svijet bez lozinki - PassKey

Lozinke su dugo bile jedini i glavni način prijave, ali i glavni uzrok problema. Prejednostavne, ponavljane i zaboravljene – tko se nije barem jednom borio s “reset password” mailom neka baci kamen prvi 😅.

U zadnjih par godina sve više servisa prelazi na passkey – moderni način prijave bez klasične lozinke.

Kod passkey prijave, identitet se potvrđuje biometrijski (npr. otiskom prsta ili konturama lica), a tako generirani ključ ostaje sigurno pohranjen na tvom uređaju. Prilikom prijave ne koristi se lozinka, nego kriptografski potpis koji se trenutnom tehnologijom teško probija (nikad ne reci 100% siguran 😉).

✅ Gdje god je moguće, zato, koristite passkey umjesto lozinke – jednostavnije je i sigurnije rješenje.

Dvofaktorska autentikacija (2FA)

Kao što sam gore već napisao, a bez obzira koristite li dobre stare lozinke ili ovaj noviji način pomoću passkey-a, obavezno uključite dvofaktorsku autentikaciju. 2FA je onaj dodatni korak prilikom prijave kada nas servis traži dodatni kod. Taj kod generira aplikacija (npr. Google Authenticator) ili ga servis šalje na mobitel.

Na ovaj način, čak da netko i sazna tvoju lozinku, bez tog drugog faktora (koda) ne može se ulogirati.

✅ Preporuke u ovom segmentu bile bi:

  • koristite aplikaciju za generiranje kodova. Već spomenuti 1Password ili besplatni Google Authenticator su dobre opcije. Opcija sa slanjem SMS-a na mobitel je isto OK, ali je manje sigurna.

  • obavezno generirajte i backup kodove te ih zapišite na sigurno mjesto. Ove kodove koristite u slučaju da iz bilo kojeg razloga ne možete generirati novi kod u aplikaciji koju ste prethodno registrirali.

  • gdje god je to moguće upišite dodatnu email adresu (roditelja, partnera, prijatelja…) koji mogu poslužiti ako vam račun bude kompromitiran ili iz bilo kojeg razloga nedostupan. Korisničkoj podršci u tom slučaju možete pomoću tog alternativnog e-maila dokazati svoj identitet.

  • za one koji se i dalje ne osjećaju sigurno, tu je hardverska opcija sigurnosnog ključa (YubiKey, Titan Key i sl.). Radi se o fizičkom USB ili NFC uređaju kojim potvrđujete da ste to zaista vi 😊.

AI generirana slika koja prikazuje korištenje 2FA kodova prilikom autentikacije na računalo

Ako postoji jedna stvar koju biste trebali uključiti odmah nakon što ste pročitali ovaj tekst – to je 2FA. Bez pretjerivanja, to je trenutno najbolji omjer “cijene i kvalitete” u svijetu sigurnosti 😎🥷.

Dario Sekula https://smarthomeinsights.eu
Next

🛡️ Kibernetička sigurnost pametnog doma 1/2