0signature to świetna propozycja na nazwę braku podpisu cyfrowego w oprogramowaniu

Zastanawiałem się, co piecyk od gitary robi zamiast invertera, dopóki nie zauważyłem AC/DC Dzięki za zrobienie wieczoru!

Generalnie wszędzie tam gdzie producent chwali się chmurą od razu trzeba mieć wątpliwości. I brutalna prawda jest taka że większość "producentów" ma zerowe pojęcie o kwestiach bezpieczeństwa.

7:50 Może na cześć Newag'u newbug ? Albo (skoro o podpisywaniu) to na cześć naszego prezydenta :błąd anty Dudowski ?

15:44 Tranzystory KT to chyba w związku radzieckim były produkowane :)

Super robota!! Ogladam od pewnego czasu twój kanał i widzę że kanał trzyma poziom. Leci subik 🎉

Tak, taka fotowoltaika jest dosc niebezpieczna. Jeszcze smieszniej jest ze przez przypadek wlamalem sie do myjni automatycznej marki ISTOBAL przez VNC w warszawie przez uzywanie danych admin admin. Tam moge sterowac cisnienie wody, ilosc mydlin, czy aktywowac tylko boczne, jendna boczna i gorna szczotke i jescze jest opcja "ALT OFF" ktora nie testowalem. Port ktory byl uzywany to był 5900 czyli taki sam jak moj sterownik boscha w piecu analogowym ktory dostal od mnie nawiew i czujnik temperatury oraz awaryjne gaszenie wszystkiego przed odciecie doplywu powietrza do kotla. Tak tak, jak pradu braknie to internet nie dziala ale ja mam router 4g/5g oraz moj serwer multimedialny ktory leci na arch linuxie podlaczony pod UPS (czyli taki power bank dla serwerow i PCtow

16:31 - teoretycznie od 1 sierpnia 2025 roku mocy prawnej nabierze rozszerzenie dyrektywy RED, które wprowadzi minimalne wymagania dotyczące cyberbezpieczeństwa urządzeń sprzedawanych na rynku europejskim (CE). Niestety na ten moment nie została jeszcze opublikowana norma zharmonizowana, która rozwieje sprawy techniczne, natomiast może być inspirowana np. ETSI EN 303 645 V2.1.1. Piszę teoretycznie, bo duża część urządzeń elektronicznych posiada certyfikat CE nadany drogą samo deklaracji (ścieżka A), więc takie urządzenia będą mogły być sprzedawane tak długo jak długo ich nikt nie sprawdzi... Btw. materiał świetny jak zawsze 🙂

Trafilem tu tydzien temu i Wszystkie 3 filmy ktore ogladalem byly zajebiste :) dzieki za to ze to robisz :)

Dziękuję za materiał 👍

Bo już teraz każdy musi mieć wszystko w komóreczce... nawet sprawdzenie jak tam jego panele na daszku lub czy odkurzacz ogarną wszystkie kąty...

W hoymiles nie można wgrać do sterownika alternatywnego oprogramowania jakim jest opendtu. Trzeba sobie najpierw zbudować nowy sterownik w oparciu o moduł esp a następnie wgrać do niego oprogramowanie opendtu. Jest to o wiele bezpieczniejsze rozwiązanie niż fabryczny sterownik Dtu ponieważ nie łączy się z żadną chińską chmurą.

Kuźwa jak w książce Blackout - Elsberg Marc. Polecam przeczytać.

Ale po co tak prosta rzecz jak panel kabel przetwornica akumulator mialby byc podlaczony do sieci? Do chmury czy do ze? I jeszcze kontrola przez apke jakby srubokreta nie bylo😁

Zgłosiłem kiedyś producentowi lukę w pewnym urządzeniu,. Zamiast podziękowania straszenie prawnikami!

Jak zawsze materiał pierwsza klasa. Nigdy bym sam o tym nie pomyślał.

Patologią jest to, że urządzenia tego typu (energetyka, pojazdy czy nawet głupie AGD) w ogóle dostają homologację i są dopuszczane do obrotu mając możliwość komunikacji a tym samym otrzymania poleceń czy "spowiadania się". Autonomia to najprostsze zabezpieczenie. Pod tym względem ceniłem stare palmtopy sprzed ery Androida. Po prostu nie było fizycznej możliwości aby sprzęt "sam się zaprogramował", nawet te późne które miały dostęp do internetu. Pamięć programu była, jak w tych dostępna jedynie przez podpięcie się kablem do sterownika ROM. Obecnie pracuję przy opracowywaniu urządzeń dużej mocy których potraktowanie takim atakiem mogłoby wysadzić budynek. Albo spalić okoliczną sieć energetyczną, tak jak fotowoltaika w przypadkach zadziałania jak to opisał Mateusz. Oprogramowanie sterownika musi być _w danej wersji_ audytowane przez notyfikowaną jednostkę. I możliwe do zmiany tylko przez fizyczny dostęp. Co przy okazji wymusza wypuszczenie dopracowanego i dogłębnie przetestowanego produktu a nie narażanie użytkownika na aktualizacje i związane z tym ryzyko, jak to się potocznie mówi, "wgrania nowych błędów". Większe obostrzenia ma tylko sprzęt wykorzystujący źródła promieniowania jonizującego (moja stara praca), z tego co wiem również medyczny i parę innych nisz.

Ja mam zwyczaj, że nie wysyłam nic z IoT do chmury. Sprawdzam urządzenia wczesniej i obsługuję je lokalnie, jeśli nie mogą tak działać to szukam innego producenta. Dostęp zdalny mam przez własny VPN. Były już przypadki, że pracownicy producenta potrafili coś grzebać zdalnie.

Dzięki Mateusz !

Idealna pogoda na film ❤️

Super odcinek, dzięki

W obecnych czasach, gdy człowiek się nudzi, to komplikuje sobie życie za pomocą nowoczesnych technologii.

Potencjalnie jest jeszcze większe zagrożenie, zwłaszcza gdyby udało się złamać oprogramowanie w inverterze to np mozna by podnieść napięcie wyjściowe znacząco powyżej 240v i spalić całkiem sporo urządzeń wpiętych do sieci (zwlaszcza przy ataku synchronicznym). Można na koniec stwierdzić że potwierdza się regula ze producenci którzy robią nawet całkiem dobry hardware to robią do tego fatalny soft i zabezpieczenia. Ps. Niezabezpieczone JTAG to można w wielu miejscach znaleźć.

Tbh ja bym nie krytykował jakoś specjalnie za JTagi czy podpisywanie softu. Dzięki temu jak producent sie wycofa albo porzuci utrzymanie infry itp, użytkownicy mogą wepchać zmodowane / customowe oprogramowanie dzięki któremu sprzęt może odżyć, albo na przykład użyć jakieś infry self-hosted. Jestem mega zwolennikiem tego że jak jakiś sprzęt jest twój to powinien pod twoimi palcam poslusznie wgrywać co chcesz. Taka odwrotność Apple.

a chińskie liczniki z rozłącznikami i komunikacją zainstalowane w kazdym naszym domu są bezpieczne?

Problemem jest walenie usług w chmurze tam gdzie to niepotrzebne

Nie trzeba hakować falowników. Producentów jest kilku. Wystarczy scenariusz z książki którą napisał Marc Elsberg pt. Blackout Tam hakowano inteligentne liczniki prądu. Mam "fotowoltaikę" od dwóch lat i jak tylko dowiedziałem sie że producent może zdalnie sprawdzać i aktualizować oprogramowanie to zapaliła mi sie czerwona lampka. Od początku mnie to martwi i zastanawiam sie co z tym zrobić. Myślałem że wystarczy mieć oprogramowanie u siebie na karcie i w razie czego restart i wgranie nowego Ten film (i jeden wpis tutaj o możliwości podniesienia napięcia powyżej 253V w sieci w dni słoneczne) uświadomił mi że można falownik zniszczyć fizycznie przestawiając parametry programu. W sumie to nikt głowy sobie chyba nie da uciąć że falowniki (i inne urządzenia) juz teraz nie posiadają czegoś w stylu "jeśli przez rok nie będzie widoczny w chmurze to wyłącz" albo czegoś podobnego i tylko czekają na polecenie. W razie konfliktu Nato Chiny może byc różnie. Zawsze moga powiedzieć że padli ofiarą ataku hakerów. Powiedzcie mi czy dobrze rozumuje ze jesli odłączę wi fi to falownik straci fizyczną możliwość kontaktowania się ze światem zewnętrznym i powinien działać poprawnie. No chyba że sam zaktualizuje oprogramowanie które będzie posiadało jakiegoś konia trojańskiego czy inna niespodziankę. Myślę że takie rzeczy mogą być juz od lat stosowane ale jak w polityce: wy macie haki na nas my na was więc swoich nie ruszamy - do czasu. Mógłbyś nagrać film jak sie zabezpieczyć co mozna zrobić po czym rozpoznać że coś się dzieje itp. Czyli czego nie wiemy. Dzięki i pozdrowienia

7:55 newagup 😂

Te apki froniusa czy sofara to są takie spaczone ze przy prostej konfiguracji itp potrafią sie wylozyc i trzeba resetowac urządzenie...

Dr. Kochanek (USz) mówiła że kluczowym elementem bezpieczeństwa energetycznego jest dywersyfikacja źródeł energii elektrycznej

Czy lepiej jest wyłączyć falownikowi dostęp do internetu?

Fajny materiał. Akurat to pominąłem z ccc (czytaj że również nikt mi go nie polecił na grupie patronackiej)

Dzięki!

Mało tego, bo każdy inverter ma pewien zapas wytrzymałości napięciowej, jeżeli wrzucić kod który zwiększy limit napięcia o 30 czy 50v to zapewne przez jakiś czas inverter jeszcze podziała, ale urządzenia wokoło już nie zawsze, jak te urządzenia zaczną padać to pobór się zmniejszy a inwerter będzie miał jeszcze łatwiejsze możliwości zwiększania napięcia, aż do spalenia wszystkiego wokoło oraz siebie, chociaż to mocno uogólnione i przesadzone(na inwerter sąsiada - innej firmy, widząc że w sieci jest 280v nie będzie już oddawał) ale w odpowiednich warunkach wykonalne

Elektryka prąd nie tyka, a jak tyknie, to elektryk fiknie.

Tak na marginesie dlaczego GPS przestaje działać jak to można zakłócić. Nadaje sie jakiś sygnał, hakuje satelity?

ciekawe co UKE na zakłócenia radiowe z inventerów i kto za to odpowiada?

DOS kiedyś tez tak działał, jeżeli błędnie wpisałeś zaklęcie to wyświetlał listę poprawnych zaklęć. ;) (byłem niekwestionowanym mistrzem zarzadzania i gospodarowania pamięcią RAM w DOS - "640kb każdemu wystarczy" ) :D

problem w tym że nawet gdy nie chcesz mieć dostępu do chmury dla instalacji PV to nie możesz, bo taki prikaz euro kołchoźników

Ten Tinder dla fotowoltaiki jest bardzo przydatny. Pomaga ocenic nasza instalacje, albo oszacowac w jakich realnych warunkach mieszkamy.

Siema, zrób odcinek na temat wizualizowania myśli lub snów czyli elektromagnetycznej aktywności mózgowej przez AI na podstawie danych zbieranych za pomocą radarów wifi, są też plotki że każdy router wifi może być użyty jako taki radar oraz że prototypowy model analizujący dane na temat aktywności mózgowej użytkowników wykorzystuje najnowsze airPods od jabłka do zbierania danych.

Sprawdziłeś tę teorię w praktyce czy to tylko fikcja litracka?

7:54 Propozycja nazwy dla podatności polegającej na braku zabezpieczenia kryptograficznego w systemie: ghost-key (klucz-widmo)😂

Jaki najlepszy zdalny dostęp? To analogowa instalacja :) Druga sprawa ludzie są tępi nie znają się i nie chcą się znać. Ma świecić ładnie bipiac i cykac, a sąsiad ma być zazdrosny. Ot taka głupota.

A można jakoś zablokować aktualizację oprogramowania w inwerterach? Czy by to coś dało?

A czy podobnym sposobem, dało by radę spowodować pożar instalacji? Wyobrazam sobie że pożar w 1,5mln domow naraz, moglby byc dla niektorych łakomym kąskiem

Jeżeli dostawcy nadal będą dostarczali systemy (ESP) w których hasło jest 8 znakowe i do tego nie dopuszcza opcji znaków specjalnych o innych zabezpieczeniach nie wspomnę (Fox) - to będzie słabo.

Super ciekawy odcinek! Dzieki Szefie

Polecam “Blackout”, Marc Elsberg

świetny materiał - *NIESTETY na zdestabilizowanie INFRASTRUKTURY KRYTYCZNEJ sposobów jest więcej* - ale dziury "trzeba łatać" - od dawna już nie zajmuję się aktywnie bezpieczeństwem IT (choć dalej zawodowo zajmuję się "częścią IT Security") - dlatego naiwnie sądziłem, że w tego typu urządzeniach - cały software jest "podpisywany cyfrowo" (co dalej nie załatwia sprawy w 100% ale ZDECYDOWANIE utrudnia ataki i ułatwia obronę) ... P.S. Mam trochę urządzeń "smart home" ale mają wydzieloną podsieć, a łączący je router - jest włączany z palca - tylko wtedy kiedy jest to potrzebne ...

Akurat podawanie udziału fotowoltaiki poprzez maksymalny chwilowy udział w mixie jest bardzo obłudne, należałoby podać jeszcze np. minimalny, ponieważ np. w grudniu i styczniu energia fotow. nie przekracza ani nie zbliża się do ćwierci tej chwilowej maksymalnej w roku, ponadto fotowoltaika jest najsłabsza w okresie grzewczym, czyli wtedy kiedy energii potrzebujemy najwięcej, więc max w ciągu roku prawie 20%, ale minimum poniżej 3% najprawdopodbniej, więc te dane już nie są takie wspaniałe, zwłaszcza, że poszły na setki milirdów naszych pieniędzy, czyli podatników.

Cześć Mateusz: czy mógłbyś zgłębić problem usługi sieciowej kamer IP? (bez używania VPN) tzn żeby móc zdalnie przeglądać nagrania z NVR trzeba podać hasła do kamer. Wówczas "ktoś" z IP z lotniska w Wietnamie próbuje dodzwonić się do Twojej kamery. Nie wiem czy wyrażam się jasno (jestem lajkonikiem w temacie)? Ale ku przestrodze użytkowników licznych chińskich kamer IP. Pozdrawiam i tak 3-maj.

7:56 Newag option

juz pisalem wczesniej ale pisze ponownie, oddzielna siec do urzadzen domowych!

Jak rozumiem "łatanie" błędów rozpoczął od usunięcia możliwości wgrania plików na "social media inwerterów" ;-) ? Bo raczej nie ma możliwości odgórnego odpalenia patchowania na wszystkich sterownikach. W naszym kraju podział na producentów jest dość duży więc nie było by to takie proste - jest duża dywersyfikacja jeżeli o to chodzi ;-)

Czemu inwerter wygląda jak piec do gitary ? :)

to napocić czy napsocić?

nie rozumiem po cholerę pv (czy wiele innych) podłczac do internetu

O jakich inwerterach mowa, o jakich sterownikach? Dotrę gdzieś do producenta i konkretnego badanego modelu? Edit. Mam Hoymiles. Jak się zabezpieczyć? Podgląd chcę mieć ponieważ sprawdzam czy Tauron nie robi mnie na $. Tyle, że mógłbym to robić analogowo, nie potrzebuję do tego routera.

ja odciąłem logerom dostęp do internetu a statystyki produkcji zbieram modyfikowanym skryptem python który strzela do logera (btw bez większych zabezpieczeń logery soffar wystawiają pełnego mbusta)

Well done 👍✅.

Wszystko fajne tylko kto Kowalskiemu ogarnie te wszystkie dodatkowe bezpieczne sieci itd

Ja dwa lata temu już o tym mówiłem firmie że aplikacja można spalić komuś dom

Czy zastanawia się ktoś co zrobić ze zużytymi panelami fotowoltaicznymi ?

Zaczynam się zastanawiać, czy mój biały kapelusz ma jeszcze jakikolwiek sens. Od zawsze byłem jedynym, który kontrolował mnie, ale jak słyszę o takich kwiatkach, to.. to nie wiem 😊

Internet rzeczy miał być taki piękny, ale nie wyszło. Ten sam problem jest ze wszystkimi innymi urządzeniami, nawet telefonami (bez aktualizacji).

Półtora miliona gospodarstw domowych znika z sieci elektrycznej... Niech to będzie w zimny weekendowy poranek, kiedy ludzie są w domach (i grzeją!). Znika 1-2GW poboru prądu w tym samym momencie. Operator nawet w skali kraju tak dużego jak Niemcy może się wywrócić...

Czyli jednak koza i wungiel i telefon na korbkę bezpieczniejsze...

👍

Można zrobić to ciekawiej, wystarczy wyłączyć zabezpieczenia które zabezpieczają przed nadmiernej produkcji prądu i spalić transformator wtedy uniruchomomy cała miejscowość a nie tylko osoby z panelami 😂

To teraz wystarczy shakować jeden skomplikowany system, który zarządza dystrybucją energii w sieci z paneli (oraz wiatraków). (bo przypomnę, że nie istenieją baterie wielkości tatr, w których można by prosto magazynować i potem używać energii kiedy się chce, musi to być skomplikowany system podłączania i odłączania z sieci w czasie rzeczywistym wielu różnych źródeł i ujść energii)

Blockchain, Blockchain, Blockchain, jeszcze raz decentralizacja! I do tego ochrona cyberprzestrzeni, zabranie się za regulację. Ale po co to komu, lepiej nastraszyć że nam się zaraz haker włamie i na tym poprzestańmy.

Dzięki. W moim przypadku, ja mam apkę dającą dość niski poziom uprawnień w ingerencję inwertera (de facto zerowy), ale firma która montowała całą instalację, ma na czas udzielonej gwarancji (5 lat), inną apkę którą nadzoruje pracę mojego inwertera. Poziom jej uprawnień jest nieograniczony.

Idealny sposób na kopanie bitcoinów :P

Dodatkowo godzinę ZERO ustawi się na jakąś Wigilię albo Sylwestra/Nowy Rok i zanim się to ogarnie to kraj leży i kwiczy..

Mati Klasyczny Bezpieczniku denerwujesz się że soft nie podpisany itp itd ale w świecie embedded do niedawna nie było zasobów na porządne zrobienie ssl/tls a co dopiero zdalny update i podpisywanie softu :) Zgadzam się z tym, że producent ponosi odpowiedzialność za błędy w oprogramowaniu ale nie pomijaj spapranej architektury. Skoro można odstrzelić inwerter to nie ma dobrej izolacji pomiędzy niskopoziomowymi funkcjami krytycznymi a zdalnym zarządzaniem i telemetrią. Ciekawe czy przy innej topologii dałoby się podnieść wartość napięcia w domu i wydymić trochę sprzętu. Jak dla mnie takie systemy powinny być co do zasady modułowe i zapewniać maksimum izolacji pomiędzy niskopoziomowymi funkcjami a wysokopoziomowym sterowaniem i telemetrią. Podpisywanie softu tak ale czy z czasem nie doprowadzi to do tego że będzie się w 100% zależnym od producenta (john deere, ppp, right to repair i te sprawy)?

😮

Nazwa na wpadkę z niepodpisanymi dokumentami "nieduda" :D

W sumie, taką sieć fotowoltaiczną może warto użyć do kopania btc:D

Awaria prądu na całe Niemcy by była. Paraliż państwa, plus kilka wypadków kolejowych bo oni szybkie pociagi maja na prąd.

szkoda że ta energia z paneli w tych tabelkach co to niby tyle wytworzono to taka bardzo krótka w czasie.. zazwyczaj w dzień i to latem 😂😅 a pozostałe miesiące.., noce itd. heheh

Na początku myślałem że ten materiał będziesz dotyczył czegoś innego. Tego co setki innych materiałów ze fotowoltaika jest nieoplacalna czy niebezpieczna. A tu ciekawy materiał dotyczacy bezpieczenstwa funkcjonowania. Nikt o tym nie myśli tylko najważniejsze zeby była apka bo musze sie przecież pochwalic ile juz wyprodukowalem kwh. Temat trafił w punkt!! Co so sloganu ze pradu moze zabraknąć to hmmm... Problem jest ze podczas normalnej pracy sieć jest przewidywalna czyli ile i kiedy musi byc mocy w sieci. Pamietajmy ze siec nie ma pojemności. Nie mozna nic z magazynować globalnie. Moze i zainstalowana moc wytworcza jest wystarczajaca to bezwładność tych urzadzen wytwarzajacych opartych glownie na węglu jest duża. Jesli taki atak nastąpiłby globalnie w znacznej części instalacji pv np w słonecznym lipcu to na kilka ładnych dni cofamy sie do poziomu średniowiecza. Do tego dochodzą zachowania ludzi ktorzy nie maja dostepu do chyba wszystkich potrzebnych codziennych rzeczy i dramat murowany. Dzieki panu na material.

Nieznośna lekkość podpisu 😅

Zbudowałem kilka DTU na OpenDTU jest jeszcze AhoyDTU odpowiednik. Działa bez problemu ale ma pewne ograniczenia. Odczytuje dane szybciej, lepiej więcej niż oryginał, nie pozwala na zmianę ustawień. Przetestowane, da się, przepraszam za wprowadzenie w błąd... Uczymy się całe życie ;)

Wpadka, a raczej przypadłość. Możemy już kopiąc leżącego nazwać albo NewagDoor. Choć Ci mogą się mocno obrazić, więc bezpieczniej jest użyć #ImpulseDoor lub #DerpDoor , patrząc jak trzeba nie umieć przyszłościowo

Panie czarodzieju bezpieczeństwa, może jakiś odcinek o aktualizacjach przez winget z gui vs pobieranie ze stron? Używam od jakiegoś czasu chwalę sobię na windzie, niby raczej się spotykałem z opiniami że to bezpieczniejsze niż łażenie po googlu który od dawna nie działa tak jak kiedyś (Niemce nawet badania na to robili) ale to chyba też musi mieć jakieś słabsze strony i stąd pytanie jakie?

Może mi ktoś wytłumaczyć jaki jest sens dotować (czyli zabierać wszystkim i dawać jakiejś swojej upatrzonej grupie) fotowoltaikę, która produkuje prąd zawsze w tym samym czasie (kiedy jest największe nasłonecznienie)? W ten sposób wszyscy Janusze wzięli sobie fotowoltaikę (bo tańszy prąd i dopłaty), ale już bez akumulatorów (bo im chodzi o przyoszczędzenie a jakieś tam bezpieczeństwo sieci mają w poważaniu)? W ten sposób wtedy kiedy jest największe nasłonecznienie mamy nadwyżkę energii i wzrosty napięcia. Innymi słowy rząd wziął kasę mnie po to, żeby banda Januszy zaraz sprowadziła na mnie niebezpieczeństwo w postaci ponadznamionowego wzrostu napięcia. Gdy jednocześnie nocą i kiedy jest niższe nasłonecznienie te panele energii nie produkują. Fotowoltaika przez chore państwowe dotacje i księżycową ekonomię jest już sama w sobie zagrożeniem bezpieczeństwa i bez hakowania.

#lazy-gate nowa furtka :)

Kolejny ciekawy temat

Może krypto-nima? - Miał być podpis kryptograficzny, ale nima... :)

Aahh te sebixy..

koleś gwiazdorząc godo za wolno, dobrze że jest x1,25

A czytałeś "Blackout"? :D

nie pozwali go? tak jak ostatnio niemieckiego badacza który zgłosił podatności i przegrał sprawe w sądzie

Elektryka prąd nie tyka, tylko z dala napier...😊

Selfhosted, własny homelab i jazda :P Pobór mocy pomijam XD (nie bijcie :) )

Cześć!

Na każde zabezpieczenie stworzone przez człowieka istnieje możliwość dezaktywacji tegoż zabezpieczenia przez drugiego człowieka, częstokroć tegoż samego...

Co za bzdury z tą "demokratyzacją". Po co bezmyślnie powielasz tę propagandę i idiotyzm?

Mam instalacje HPS Picea, nadmiar energii z sezonu letniego magazynuje w postaci wodoru. Dom nie przylaczony nawet do sieci.