Wampiryczny blog

Choć nie zajmuję się już aktywnym testowaniem (od ~2013), dalej to lubię. Lubię więc czasem coś sobie przypomnieć, albo nauczyć się czegoś nowego i Web Security Academy nadaje się do tego doskonale, o ile znajdzie się na to czas.

Przez długi czas „broniłem” się przed modą na smart home, ale czas płynie, technologia (i dostępne opcje) się zmieniają i w pewnej chwili nawet nie myśląc o urządzeniach „smart” w pewnej chwili okazuje się, że jest ich kilka w domu, więc czemu nie spróbować. Na stanie mam:

• klimatyzatory zarządzalne przez WiFi (Gree);
• lampę Philips HUE;
• termometry Xiaomi (BLE).

W ramach eksperymentów nabyłem do tego Raspberry Pi 3 B+ plus koordynator ZigBee. Na tym uruchomiłem OpenHab 3.0, Zigbee2mqtt i własny skrypt odpytujące termometry BLE (w zasięgu są 3 z 5). Do tego InfluxDB i Grafana.

Jak wspomniałem 3 z 5 termometrów jest w zasięgu BLE. Z drugiej strony w tych pomieszczeniach, gdzie zasięgu nie mam, mam klimatyzatory, które również podają bieżącą temperaturę, choć z mniejszą rozdzielczością. Aktualnie jestem na etapie ustawiania offsetu temperatury, bo raportowana temperatura jest mniej więcej o 1 do 2 stopni za wysoka. Tutaj na odmianę napisałem skrypt do pobierania historii temperatury z termometrów (temperatura minimalna i maksymalna z rozdzielczością godzinową) po to, by porównać wskazania termometrów z klimatyzatorami.

Największym problemem było znalezienie jakiegoś w miarę działającego modułu dla Pythona obsługującego Bluetooth pod Windows. Ostatecznie skończyłem na bleak, który mniej więcej działa. Tak, wiem, jest pybluez, ale kompilować modułu mi się po prostu nie chce.

Efekty? Po pierwsze mam nieco mądrzej ustawioną lampę (temperatura plus jasność) dzięki czemu lepiej pracuje mi się przy komputerze. Po drugie zbieram dane (temperatura), by nieco mądrzej ustawić ogrzewanie (piec dwufunkcyjny + kaloryfery). Przy okazji - zawziąłem się w końcu i zrozumiałem kilka rzeczy o ogrzewaniu:

• moc grzejników w poszczególnych pomieszczeniach przy różnych temperaturach zasilania;
• krzywe grzewcze pieca;
• ustawienie temperatury CWU.

Moim największym sukcesem do tej pory jest osiągnięcie sytuacji, w której temperatura wody pod prysznicem jest stała, bez wahań ciepła/zimna (mimo termostatu). Powód okazał się nieco inny niż ustawienie pieca - zbyt wysokie ciśnienie wody. Cóż, człowiek uczy się całe życie.

Duża. To jest tak piękne, że aż podejrzane: CyRC analysis: Authentication bypass vulnerability in Bouncy Castle.

Nieodmiennie coś takiego kojarzy mi się z tym:

if ((options == (__WCLONE|__WALL)) && (current->uid = 0))
        retval = -EINVAL;

W jednym i drugim przypadku można długo dyskutować, czy wprowadzona podatność jest wynikiem niezamierzonego błędu (niekompetencji), czy wprost przeciwnie. Plausible deniability wiecznie żywe!

I tak, jeśli znajdujesz swój ulubiony kawałek kodu w artykule The Linux Backdoor Attempt of 2003 to znaczy, że:

1. jesteś stary;
2. jeszcze coś pamiętasz.

Kawały o teściowych nie wzięły się z niczego. To jest denerwujące, gdy ktoś po prostu "wie lepiej" (albo tylko mu się tak wydaje), ale... (...). No właśnie, nieco inna perspektywa - dostaję raport, czytam go i mam więcej pytań niż odpowiedzi. I nie tylko pytań, bardzo często również mam to wewnętrzne przeświadczenie, że zrobiłbym to lepiej. Dlaczego?

Okazuje się, że z KeePass korzystam już 12 lat. Przez ten czas zebrało się tam prawie 400 rekordów, różnych. Nie wszystkie do usług online, ale i tych zebrało się sporo. Ostatecznie zebrałem się w sobie i zrobiłem drobne czyszczenie efektywnie redukując ilość rekordów o połowę.

Przy okazji - z uwagi na dobrą promocję zdecydowałem się w końcu na zakup klucza U2F/FIDO2 (Security Key by Yubico). Dlaczego dopiero teraz (poza promocją)? Bo w końcu adopcja jest wystarczająco szeroka.

Na koniec dodam, że koncepcyjnie podoba mi się pomysł Sign in with Apple, choć wiem, że z wykonaniem były problemy - ‘Sign in with Apple’ vulnerability find earns $100k bug bounty. Niemniej jednak gdy widzę, że aplikacja oferuje tę opcję - zwykle z niej korzystam.