¿Qué riesgos existen con una cerradura de puerta basada en Bluetooth y hay mitigaciones?

6

Hay algunos cerraduras de puerta Bluetooth interesantes en el mercado que usan la versión Bluetooth 4.0, sin embargo, parece que hay algunos problemas con esto

... y, para colmo, creo que es posible "manejar la guerra" y ubicar estos bloqueos de interés sin estar físicamente cerca del bloqueo.

Mi pregunta es; ¿Son estos riesgos razonables para que yo considere? ... o estoy siendo prudente al no usar bloqueos de Bluetooth en una casa que prefiero mantener de bajo perfil.

Los factores de conveniencia son muy interesantes, pero quiero asegurarme de que entiendo los riesgos antes de instalarlos.

    
pregunta random65537 13.08.2013 - 01:54
fuente

2 respuestas

4

Tecnología realmente interesante

Si la tecnología está diseñada, desarrollada y de manera segura, entonces puede ser bastante segura. Parece proporcionar muchas características interesantes.

  • Configure las claves para acceder a la casa de forma centralizada en "Aplicación".
  • Implemente la "clave" a la persona según sea necesario y para los plazos acordados y sin entrega física.
  • Cierre de llaves según sea necesario.
  • Muchas claves posibles, nombradas y configuradas y reportadas.
  • Bluetooth wardriving podría ser posible, pero puede ser minimizado / eliminado por el proveedor del sistema.

PERO: introduce riesgos adicionales

  1. El proveedor del sistema clave tiene control total y acceso a su hogar.
  2. El proveedor del Sistema de claves debe permanecer en el negocio para continuar usando los bloqueos.
  3. el acceso a Internet puede interrumpirse activamente e impedir que ciertas funciones funcionen (borrar / desactivar teclas)
  4. Errores de diseño en el sistema (no hay suficiente información en el sitio para informar).
  5. Errores de implementación en el sistema, incluye sus sistemas web (puede permitir el acceso completo al atacante).
  6. Si es importante: el gobierno puede acceder a su hogar a escondidas.
  7. Denegación de acceso a la casa: la falla del sistema o la radio bluetooth podrían detener el ingreso o, peor aún, la salida de la casa (piense en cómo accedería a su casa si la llave no estaba operativa, recuerde que la llave no podrá ser recogida por un cerrajero) .
  8. El compromiso remoto o físico de cualquier teléfono con teclas podría comprometer su casa.
respondido por el Andrew Russell 13.08.2013 - 02:55
fuente
4

Tecnológicamente, no hay razón para que las clases posteriores de bluetooth (2.1 y posteriores) no puedan usarse de forma segura. Las vulnerabilidades E0 2007 se abordaron en las modificaciones realizadas a la especificación de bluetooth para 2.1 y versiones posteriores, y el cifrado se convirtió en una parte obligatoria con las modificaciones realizadas en el proceso de emparejamiento.

Dado un emparejamiento seguro (que puede verificarse que el dispositivo abre la puerta) y una implementación adecuada por parte del fabricante o la cerradura (que utiliza un proceso de emparejamiento de pin o llave seguro), la cerradura debe ser significativamente más segura que una Pin y vaso típicos.

Hay dos fuentes principales de preocupación que puedo identificar. Ambos se relacionan con la complejidad. La belleza principal, así como la debilidad principal, de un pin tradicional y la cerradura del vaso es la simplicidad. Es un dispositivo a prueba de errores y casi a prueba de fallos porque simplemente implica alinear los pines con el borde de un cilindro, pero esto también es lo que les permite ser recogidos fácilmente.

Por otro lado, un bloqueo de Bluetooth es un dispositivo electrónico complejo que tiene muchas más piezas que pueden romperse. Un dispositivo bien diseñado podría estar diseñado para desbloquearse o permanecer bloqueado cuando falla. Para salir desde el interior, SIEMPRE debería fallar al permitir salir, desde el exterior, depende de su preferencia si prefiere que falle como bloqueado o falle como desbloqueado.

Esto se ve contrarrestado en gran medida por el hecho de que los candados electrónicos se han usado comercialmente durante muchos años con un alto grado de confiabilidad, por lo que no es algo completamente nuevo. Recomendaría que dicho bloqueo tenga un método de acceso estándar establecido de recuperación, como el acceso a una tarjeta de proximidad HID (o similar) que podría utilizarse para anular las funciones del bluetooth en caso de falla del subsistema de bluetooth o falla del bluetooth. dispositivo. También podría tener un doble propósito al requerir la tarjeta de proximidad para el emparejamiento para evitar el emparejamiento no autorizado de dispositivos.

La segunda y mayor debilidad sería la mayor complejidad y la pérdida de independencia de cualquier sistema conectado externamente. Si el bloqueo está conectado a la red en un servicio externo, ese servicio externo ahora puede tener control sobre el bloqueo y puede ser una fuente de compromiso para la integridad del sistema. Se espera que un desafío / respuesta criptográfica decente sea seguro, pero un servicio web que proporciona funciones avanzadas tiene una probabilidad mucho mayor de tener problemas según la forma en que se implementen las funciones. Agrega una gran cantidad de incógnitas al sistema y no me atrevería a usar tales características a menos que los estándares fueran bien conocidos, publicados y tal vez algo que pudiera ejecutar yo mismo.

    
respondido por el AJ Henderson 13.08.2013 - 16:07
fuente

Lea otras preguntas en las etiquetas