Artikel top billede

(Foto: Computerworld)

Guide: Skab et smart hjem med gratis software

Home Assistant giver en nem og gratis platform, som du kan bygge dit smarte hjem på.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

I et afsnit af den amerikanske cyberpunk-tv-serie Mr. Robot, der bliver vist på USA Network, kan man se en broget gruppe af hackere, som kalder sig fsociety. De bryder ind i en kvindes hus ved at sabotere hendes smarthome.

Nogle få linjer kode får stereoanlægget til at buldre løs, dernæst går hendes tyverialarm amok, og til sidst bliver der skruet så langt ned for hendes termostat, at hun er tvunget til at gå rundt inden døre iført en tyk pels. Hun ender med at give op og flytter midlertidigt hjemmefra, så hackerne kan få deres egen trendy base som udgangspunkt for deres handlinger.

I virkelighedens verden er det usandsynligt, at så mange forskellige funktioner i et hjem vil være hægtet på ét computersystem, hvor man nemt kan styre dem udefra. Det er endnu mere usandsynligt, at kryptoanarkister vil prøve at svindle sig ind i et hjem for at planlægge kapitalismens sammenbrud. Men det er ikke desto mindre rigtigt, at fremkomsten af “smarthome” og “Internet of Things” (IoT) rejser sikkerhedsspørgsmål, som vi ikke har kendt til før.

I maj 2016 gennemførte forskere fra University of Michigan adskillige såkaldte proof-of-concept-angreb med Samsungs SmartThings, og i øjeblikket er SmartThings en af de føren-de IoT-platforme for “smarte” elektroniske låse, termostater, sikkerhedssystemer osv.

En del af angrebet bestod i at skaffe en speciel OAuth-sikkerhedsnøgle fra SmartThings’ mobile app. Brugerne fik tilsendt et specielt link, der førte dem til en login-side, som stjal deres personlige oplysninger. Når de var tilvejebragt, begyndte et angreb, der med en bagdørs-pinkode kunne åbne en smart-lås eller sågar starte en falsk brandalarm. Og til al overflod viste det sig, at over halvdelen af de 499 SmartThings havde adgangsprivilegier, som de ikke havde brug for.

I oktober 2016 gik en gruppe hackere videre end det (principielt) harmløse proof-of-concept til et komplet DDoS-angreb (Distributed Denial of Service) på større sites som Twitter, Spotify og Reddit, og disse sites var offline i flere timer.

Dette digitale angreb blev gjort muligt via hacking af tusinder af smarthome-enheder. Mange af dem var produceret i Kina og stod vidtåbne for angreb, fordi deres standardkodeord ikke kunne ændres. Der er dog ingen grund til frygt. I denne guide forklarer vi tankegangen bag smart-enheder og IoT, og vi viser, hvordan man kan reducere risikoen for, at ens hjem

Gang i open source 

Ikke alle smartphone-systemer er skabt lige. Undersøg dine muligheder fra store firmaer til open source-software, før du buldrer afsted. Fra Googles Nest-serie af Smart Devices over Samsungs SmartThings til Amazon Echo, der tilbyder Star Trek-agtig stemmestyring af ens musiksamling – der er ingen mangel på store navne, som vil gøre vores liv smartere. Disse enheder er spændende, men billige er de ikke, og man ser ofte, at sikkerheden bliver ofret på brugervenlighedens alter (se boksen Indbyggede svagheder).

Vi behøver ikke at overbevise dig om fordelene ved gratis og open source-software, også kaldet FOSS (free and open source software). Hvis det er nødvendigt, kan man offentligt se og reparere koden til både smart-enheder og mobile apps. FOSS giver også mulighed for en langt mere skræddersyet oplevelse, der gør det muligt at sammenkæde flere enheder. Det kan man ikke altid med de færdiglavede løsninger.

Home Assistant er en fremragende open source-platform til hjemme-automatisering. Man kan styre alle sine enheder fra et mobil-venligt web-interface uden at gemme nogen data i et cloudlager. Mobile enheder føjer selv web-applikationen til enhedens hjemme-skærm, og der er derfor ingen grund til at bruge Google Play eller iTunes’ store. Det betyder, at man ikke skal bekymre sig om en mobil-app, der skal downloades.

En smart demo af Home Assistant kan ses på https://home-assistant.io/demo.

Home Assistant er den eneste platform, der har et prækompileret operativsystem specielt til Raspberry Pi. Det hedder HASSbian (Se http://bit.ly/HASSbian). Ikke blot er Pi billig, den bygger hovedsagelig på åben hardware, og man kan bruge den til at bygge en række smart-enheder.

Home Assistant kan konstatere, at enkelte brugere er hjemme, og kan aktivere enheder som lamper og dørlåse.

Der er andre open source-løsninger til smarthomes: OpenHAB (www.openhab.org) er skrevet i Java og kører også fint på Raspberry Pi. OpenMotics (www.openmotics.com) har en mere holistisk tilgang til smarthome-løsninger: Her tilbyder man løsninger, der kombinerer open source-software med åben hardware. Domoticz (https://domoticz.com) er også open source, men det understøtter også en lang række tredjepartsenheder såsom Google Nest Thermostat.

Set fra et sikkerhedssynspunkt er den bedste løsning at installere en open source-platform til hjemmeautomatisering og bygge eventuelle smarte enheder med maskiner som Pi. Men det er naturligvis dit valg, og selvom du kun bruger færdiglavede smart-enheder og ditto software, er der nogle ting, du kan gøre for at sikre dit hjem.

Home Assistant kan skelne mellem individuelle smart-enheder. Hvis Viggo for eksempel kommer hjem før Birthe, kan interfacet se, at han er gået ind i huset, og tænde for lyset i køkkenet. Viggo plejer nemlig at begynde at lave mad. Når Birthe kommer hjem, bliver lyset i arbejdsværelset automatisk tændt, fordi hun skal ind og studere.

Indbyggede svagheder

Det er fristende at vælge den nemme løsning: at købe og installere et færdiglavet hjemmesystem. Men man skal huske, at prisen for denne nemhed kan være ringere sikkerhed. For eksempel tilbyder Google en ”lære”-termostat som del af Nest-serien af smart-enheder. I 2015 demonstrerede TrapX Security en form for “jailbreak”, der brugte enhedens USB-port og satte angriberne i stand til at få adgang til et Wi-Fi-netværk og andre enheder.

Når sådan et angreb kunne lade sig gøre, hænger det sammen med, at mange IoT- udbydere ikke krypterer data som Wi-Fi-kodeord på enheden for at holde udgifterne nede. Andre handlinger er mere obskure. I august 2015 afdækkede forskere en sårbarhed i Samsungs Smart Fridges. Displayet kan vise oplysninger fra Google Calendar, men køleskabet undlod at verificere SSL-certifikater.

Det gjorde køleskabet sårbart overfor MTM-angreb (man-in-the-middle), hvorved en hacker kunne oprette et falsk Wi-Fi- accesspoint og stjæle Gmail-brugernavne og -kodeord. Specialiserede mobil-apps udgør også et minefelt, fordi der ikke findes nogen nem metode til at undersøge den underliggende kode. Sårbarheden i Samsung SmartThings-appen indtraf blandt andet, fordi dens adgangsprivilegier var for omfattende.

Sommetider er platformens event-subsystem usikkert og giver hackerne mulighed for at narre enhederne til for eksempel at udløse brandalarmen. Under alle omstændigheder kan en bruger af enheder med en speciel app eller et specielt styresystem kun vente på, at der kommer en opdatering.

Tjek dine interfaces - Har du brug for det? Så skal du sikre det

Ligesom i den førnævnte tv-serie, Mr. Robot, kommer nogle af de angreb, man har omtalt i forbindelse med smart-enheder og telefoner, næppe til at finde sted. De er for svære at udføre. Et eksempel: For at få adgang til en brugers Wi-Fi-kodeord skal man have fysisk adgang til brugerens Google Nest Thermostat og plante malware med en USB-nøgle. Det vil sandsynligvis efterlade tegn på indbrud, og brugeren vil derfor ændre sit kodeord.

Situationen kan imidlertid være mere nuanceret end som så, for belastede enheder kan blive solgt som brugte og finde vej ind i ens hjem, og disse enheder er som nævnt fjernbetjente.

Den malware, der hedder ‘Mirai’, var ansvarlig for den kolossale IoT-hacking i 2016. Den udnyttede de svage kodeord i en række enheder, herunder internetkameraer. Det tvang en kinesisk elektronikproducent til at indrømme, at firmaets egne dvr-kameraer var blevet udnyttet.

Hvis man imidlertid helt undgår brugte enheder, aktuionssites og kinesiske komponenter, fortæller Schneiers lov os, at enhver kan opfinde et sikkerhedssystem, som opfinderen ikke selv kan bryde. Derfor skal man ikke tøve med at søge råd hos andre teknologikyndige folk, når man sammensætter sit smarthome, og når det gælder om at finde kædens svage led.

Når du har besluttet, om du vil satse på en open source-løsning, eller om du vælger et færdiglavet system, bør du ofre nogen tid på at overveje, om en smart-enhed er noget for dig. Tanken om en enhed, der tænder for ovnen, når man sender den en sms på vej hjem, er fristende, men man kan lige så godt bruge et simpelt tænd og sluk-ur med en urskive, som man indstiller manuelt. Det kan man også bruge til andre hjemmefunktioner som at tænde og slukke for lyset på bestemte tidspunkter.

Den løsning har den ulempe, at den ikke kan aktiveres på afstand, men set fra et sikkerhedsperspektiv er den ideel, fordi andre heller ikke kan aktivere den. Mange af de enheder, som man gerne vil gøre “smarte” i sit hjem, som for eksempel at tænde og slukke for varmen, kan man automatisere på denne vis, forudsat at der skal tændes eller slukkes på bestemte tidspunkter.

Enkelt, men smart hjem

Når det gælder den fysiske sikkerhed, bør man så vidt muligt holde sine enheder inden døre og helst på svært tilgængelige steder. Det kan lyde indlysende, men hvor ofte har du set et sikkerhedskamera indenfor komfortabel rækkevidde?

Hardware firewalls er mulige at få, men de er som regel unødvendige og dyre til f.eks. smarte hjem. Overvej i stedet software som ufw.

Naturligvis vil der være nogle enheder, som man helst vil betjene på afstand, for eksempel fjernsynet eller garageporten. Her udgør den mobile betjeningsenhed en markant sårbarhed. Sund fornuft tilsiger, at man bør overveje, hvad man vil stille op, hvis man mister sin mobile enhed, eller den falder i de forkerte hænder. Hvis det overhovedet er muligt, bør man bruge kryptering på sin mobiltelefon, og man bør bruge en stærk kodeordslås, dvs. en pinkode på mindst ti tal.

Hvis den tilsvarende app til dit smarte hjem også har en pinkode eller et kodeord, skal du sørge for at ændre dem fra standardværdien og slå dem til, så du får et ekstra sikkerhedslag.

De fleste smarthome-løsninger såsom SmartThings (http://bit.ly/SmartThings MultAccounts) og HomeAssistant
(https://home-assistant.io/components/group) giver mulighed for at tilknytte flere brugere, der kan styre dit smarthome, og det kan være nyttigt for både et hjem og et kontor.

Det er praktisk, fordi man kan tilføje en betroet ven eller slægtning som bruger til sit smarthome for det tilfældes skyld, at man mister sin mobile enhed. Ulempen er, at hver enhed skal sikres ordentligt mod uautoriseret adgang.

Overvej at bruge tænd og sluk-ure til rutineopgaver som at tænde for varmen. Man indstiller tiden manuelt, og derfor kan man ikke hacke dem.

Det er som regel bedst at følge den doktrin, der foreskriver “færrest mulige rettigheder”, når det gælder brugere. Din teenagesøn skal for eksempel kunne slå tyverialarmen fra, når han kommer hjem, men der er ingen grund til, at han kan styre din plænevander.

I skrivende stund er der desværre ingen smarthome-løsninger, der giver mulighed for at oprette brugere med definerede rettigheder til bestemte enheder, selvom Home Assistant skal være på vej med en løsning.

Du kan heldigvis gøre noget tilsvarende med dine enheder. Spørg i hvert tilfælde dig selv, om enheden skal kunne tilgås på afstand via din telefon. Hvis din hoveddør for eksempel er sikret med en smart-lås, behøver den kun låse op, når du eller din elskede står ude foran huset. Hvis låsen er programmeret til at modtage kommandoer fra dit lokale netværk (den funktion er slået til som standard i Home Assistant), er der kun en ringe risiko for, at man kan åbne den via nettet.

For at forhindre nærtboende hackere i at invadere dit trådløse net bør du så vidt muligt forbinde dine enheder med et ethernetkabel til routeren. På svært tilgængelige steder kan du anvende Homeplug-enheder, som kan bruge almindelige strømstik til et hjemmenet. Hvis det ikke er muligt i dit hjem, kan du oprette et skjult trådløst net til dine enheder (se boksen Smarthome-netværk på næste side).

Hvis du har specialiserede enheder som Samsung SmartThings Hub, skal du køre regelmæssige opdateringer for at sikre dig, at din firmware er så up to date som muligt (se http://bit.ly/SmartThingsFirmwareUpdate). Etiske hackere kontakter løbende store firmaer, før de offentliggør oplysninger om sårbarheder, men det skader ikke at være på den sikre side.

Angreb på enheder som Google Nest Thermostat er afhængige af, at man kan køre ondsindet software ved at sætte USB-drev i ventende porte. Hvis du har enheder med USB-porte, kan du overveje at investere i USB-låse som Lindy USB Combination Lock for at gøre livet mere surt for indtrængende. Hvis din router har en USB-port, må du ikke glemme at låse den (med lim?).

Smarte valg til din lås

Smarte låse kan være dyre, og det kan være nemmere at hacke dem end at dirke dem op. Nogle forsikringsselskaber dækker ikke hjem, der er beskyttet af smarte låse, medmindre de er konmbineret med en gammel-dags lås. Fordelen er, at de ser ualmindelig fikse ud. Hvis du vil have sådan en, bør du tænke dig om. Grunden til at installere en smart-lås er formentlig, at man vil undgå, at låsen bliver dirket op (men vil folk gerne kunne åbne døren under en strømafbrydelse?). Prøv at finde en, der åbnes elektronisk.

Men søg også efter en lås med en alternativ åbningsmetode. Med nogle låse kan man manuelt indtaste en kode. Hvis du får mange gæster, kan visse smart-låse som Lockitron også give gæster midlertidige koder i stedet for at udlevere hovedkoden til alle og enhver. Det giver bedre sikkerhed, og man kan spore den sidste person, der har været i huset. Overvej også at installere en gammeldags lås. Det stiller to krav til brugeren: Noget, man har (en fysisk nøgle) og noget, man ved (koden til smart-låsen).

Ikke ret smarte kameraer

Smart-kameraer er problematiske, fordi de som regel er beregnede til at blive betjent på afstand. Der er faktisk ingen grund til at have et sikkerhedskamera, hvis man blot kan kigge gennem et nøglehul og se, hvem der er indenfor.

Du kan øge chancerne for, at kun du har adgang til sikkerhedskameraets optagelser, ved omhyggeligt at undersøge dit hjem og din situation. Er det særlig vigtigt, at du kan logge ind for at holde øje med dine ting, eller rækker det blot at tjekke videoen en gang om dagen eller ugen?

En speciel kamera-pakke til Raspberry Pi fra www.modmypi.com. Der medfølger kabinet, objektiv og vægmontering. Kameraet og Pi bliver solgt separat.

Husk, at mange bruger kameraer som afskrækkelse. Du griber næppe en tyv på fersk gerning, medmindre du overvåger optagelsen døgnet rundt. En af de billigste og nemmeste løsninger til et hjemmekamera-net består i at bruge MotionEyeOS (kan fås på https://github.com/ccrisan/motioneyeos/wiki). Det fikse styresystem kan installeres på en Raspberry Pi. Når man kombinerer det med Pis infrarøde kamera og et fornuftigt kabinet, kan man lave et billigt, men fremragende sikkerhedskamera til en brøkdel af de sædvanlige omkostninger.

Ligesom med alle andre smart-enheder skal man huske at placere sine kameraer uden for nem rækkevidde. Ideelt set bør hvert kamera have sin egen uafhængige strømkilde. MotionEyeOS understøtter både tilslutning til tråeløse net og lagring af optagelser på et tilsluttet USB-drev. Den sidstnævnte er bedre ud fra et sikkerhedssynspunkt, fordi en tyv skal have fysisk adgang til enheden for at få fat i optagelserne.

En anden mulighed er at uploade foto og video til et cloudlager såsom Google Drive eller Dropbox, der er sikret med SSL. Uanset hvilken metode man bruger, kan Motion-EyeOS begrænse optagelserne til situationer, hvor der er noget, der bevæger sig. Det gør det meget nemmere at gennemgå en optagelse.

Smarthome-netværk, hold dine enheder skjult

Du har nu forhåbentlig fået reduceret antallet af enheder, der skal forbindes til dit trådløse net og potentielt internettet, til et skrabet minimum. Det vigtigste svage punkt, som enhver hacker vil gå efter, er routeren. Mange bruger simpelthen den router, der bliver leveret af internetudbyderen. Den er som regel udvalgt af udbyderen for sine lave pris snarere end af hensyn til sikkerheden.

Med routerne følger ofte et standard-brugernavn og -kodeord, og det gør det nemt for andre at tiltvinge sig adgang. Når man skal gardere sit smarthome, er det derfor afgørende vigtigt at bruge routerens webinterface til at ændre standard-kodeordet.

Når man skal reducere risikoen for at blive offer for forældet firmware and zero-day-angreb, kan man bruge en router med DD-WRT. Det er Linux-baseret open source-firmware, og den er kompatibel med vældig mange enheder. Den har også et glimrende og brugervenligt webinterface (du kan finde flere oplysninger på www.dd-wrt.com/wiki/index.php/Main_Page).

Med Pi-mote kan man få forbindelse til op til fire Energie-stik, der omdanner dit udstyr til smart-udstyr

Uanset hvilken slags router du bruger, bør du altid oprette et specielt trådløst net til din smarthome-hub og dine enheder. Ideelt set vil du gøre det til et gæstenet, der trods internetopkobling ikke kan få adgang til dit LAN og dermed andre enheder som bærbare computere, der er forbundet med routeren. Hvis du vælger at installere DD-WRT eller investere i en router, der har det forudinstalleret, kan du besøge http://bit.ly/DDWRTGuestNetworkSetup og få råd til installationen.

Uanset den metode, du bruger, skal du vælge en WPA2-PSK (AES)-krypteringsprotokol, hvis dine smarte enheder understøtter den, for det er den sikreste. Du skal vælge et stærkt kodeord, for eksempel 16 vilkårlige tegn, der kan forhindre et brute force-angreb.

En anden fortræffelig og nem måde at øge sikkerheden på består i at gøre dit nye trådløse net skjult. Det betyder imidlertid, at man skal indskrive nettets detaljer manuelt, det vil sige Wi-Fi-netværksnavn og kodeord på hver smart-enhed. Man skal derfor sikre sig, at denne funktion er understøttet. Hvis du har besluttet dig for at bygge smarte enheder ved hjælp af Raspberry Pi 3 eller Pi Zero, er denne funktion understøttet.

Sikring af dit SSH

Hvis du vælger at bygge smarte enheder med Raspberry Pi, vil du opdage, at mange hjemmeautomations-scripts nemt kan køres fra kommandolinjen. Hvis du mener, at du kan klare dig uden er farverigt webinterface, kan du vælge fjernforbindelse til hver af dine Pi-baserede enheder via SSH til kørsel af kommandoer, for eksempel at tænde for plænevanderen.

Der findes nogle apps til Android, iPhone og desktopsystemer, som understøtter forbindelse via SSH. Hvis du vælger dette, skal du følge nogle gode råd for at sikre dig, at forbindelsen er sikker. Det første skridt er kun at tillade adgang via SSH til den bruger, du har oprettet til at køre smart-enhed-programmerne. Det er ikke nødvendigt at indføre system- ændringer som rod efter opsætning, og det ville kunne blive misbrugt af en hacker.

Hvis du ved, at du kun skal tilgå din Pi fraen ip-adresse, for eksempel din kontorcomputer, kan du også redigere firewallen til kun at acceptere forbindelser der hidrører fra den ip. Det vigtigste er, at du bruger offentlige/private nøgler til at verificere din enhed. Du kan kopiere den private nøgle til enhver enhed, for eksempel din og en vens Android-telefon, for at få forbindelse til din Pi.

Det har den fordel, at du ikke behøver et kodeord for at få forbindelse, og at andre ikke kan cracke kodeordet uden den private nøglefil. Debians manual rummer nyttige anvisninger til ovenstående og mere http://bit.ly/SecuringDebianManual. Disse kommandoer vil alle virke på din Raspberry Pi.

En anden stor fordel ved at bruge Raspberry Pi til dine enheder er, at du kan installere en firewall på hver af dem og dermed beskytte dem mod angreb. Den mest populære til Linux er ufw (Uncomplicated Firewall). Den kan man bruge på hver enhed og for eksempel oprette regler, der forhindrer andre i at få forbindelse til en Pi via SSH over internettet.

Man kan finde en grundlæggende guide med eksempler på Ubuntus website på https://help.ubuntu.com/community/ufw. Hvis du bruger en Pi, skal du huske at ændre standardkodeordet fra “raspberry” til noget, der er mere komplekst. Den ultraparanoide kan vælge at installere en UTM-enhed (Unified Threat Management). Den fungerer som hardwarefirewall og beskytter mod alle former for trusler.

Den sørger blandt andet for, at alle forbindelser bliver krypteret via SSL. De fleste af den slags enheder er imidlertid dyre, og mange af deres funktioner kan man installere ved hjælp af gratis software på routere, der kører DD-WRT.

Nogle angreb fokuserer på forbindelsen mellem din smarthub og den mobile enhed. Både Samsung og Google krypterer disse forbindelser med SSL, hvilket gør det langt sværere at stjæle kodeord og data. Andre, såsom Home Assistant, gør det ikke.

YouTube-kanalen BRUH Automation har udfærdiget en fremragende guide (http://bit.ly/HowToSecureHomeAssistant) om, hvordan man krypterer forbindelser til HomeAssistants webplatform, og hvordan man bruger DuckDNS til at sikre sig, at ens enhed altid peger mod den korrekte webadresse. Det er meget vigtigt, fordi man undgår “DNS-forgiftning”. Det er her, man kan skrive en korrekt webadresse, men bliver videreført til en phishing-website, der stjæler ens oplysninger.

Opsætningen er ikke særlig svær, men man står stadig i den situation, at man har en webportal, som kan bliver angrebet af hackere. Hvad nu, hvis man på afstand kunne få adgang til sin smarthome-platform, uden at den skulle ligge på det almindelige internet?

Hvis du bruger Home Assistant, er du heldig. Den platform kan man køre som en Onion Site via Tors Hidden service-funktion (du kan finde flere oplysninger om, hvordan Tor fungerer på an kan ikke blive offer DNS-forgiftning , idet hver onion-adresse er unik. Ikke blot vil din portal være usynlig for internettet; det er kun folk, der kender kodeordet og har den særlige nøgle installeret på deres enheder, som kan konfigurere dit smarthome. Du kan læse mere om, hvordan man kan bruge Tor til at sikre sit IoT på andre platforme her: http://bit.ly/InternetofOnionThings.

Arranger Home Assistant med Tor

1 Installer Tor

Få forbindelse til din Raspberry Pi eller Linux Server via SSH, og kør kommandoen sudo apt-get install tor . Tryk y for at fortsætte med installationen. Når du skal bygge Tor fra kilden, skal du sikre dig, at du først installerer libvent og har openssl og zlib installeret. Kør det følgende: tar xzf tor-0.2.9.8.tar.gz; cd tor-0.2.9.8 ./configure && make Nu kan du køre make install (som rod, om nødvendigt) for at installere i /usr/local og for at starte, skriver du blot tor .

2 Rediger Tor-konfiguration

Kør kommandoen sudo nano etc/tor/torrc , og blad ned til sektionen This section is just for location-hidden services . Find teksten, der hedder ## address y:z , og tilføj en ny linje med det følgende: HiddenServiceDir /var/lib/tor/homeassistant/ HiddenServicePort 80 127.0.0.1:8123 HiddenServiceAuthorizeClient stealth haremote1 Tryl Ctrl+y, og tryk y. Vend tilbage, gem og luk.

3 Genstart Tor, og skaf et hostname

Brug kommandoen sudo /etc/init.d/tor restart til at genstarte Tor og udføre alle dine ændringer. Dernæst skal du bruge sudo more /var/lib/tor/homeassistant/hostname til at se dit nye Tor-hostname og din verifikations-cookie, det burde fremkomme i dette format: abcdef1234567890.onion ABCDEF1122334455667789 # client: haremote

4 Arranger klientadgang

Nu skal du installere din verifikations-cookie på din mobile enhed eller computer. Fremgangsmåden varierer fra enhed til enhed. Besøg Home Assistants website, og læs guiden på https://home-assistant.io/cookbook/tor_configuration, og følg anvisninger i sektionen “Tor Client Access Setup” to tredjedele nede på siden.

Gør det selv-smarthome

Den ultimative sikkerhedsløsning består i at konstruere dit smarthome helt fra grunden. Den logiske konklusion på vores anbefalinger er, at de sikreste smarthome-anordninger vil være dem, du selv har lavet og installeret. Med billige enkeltkorts-computere som Raspberry Pi er det ikke blot en billigere løsning, den kan også være vældig sjov.

Det er især Pi Zero eller Zero W – hvis du kan opsnuse dem på nettet – , der er ideel til hjemmeautomation, fordi den er nem at opsætte, men den bliver ikke leveret med Wi-fi eller Bluetooth som standard. Derfor kan man selv beslutte, hvilke netværkskomponter man vil tilføje. Til kun ca. 50 kroner vælter Zero heller ikke budgettet.

En computer er i sig selv ikke til megen nytte, fordi smart-enheder som regel påvirker omgivelserne på en eller anden måde. Hvis du før har svinget en loddekolbe, kan du overveje Enviro pHAT (https://thepihut.com/products/enviro-phat), der er en perfekt og lillebitte add-on til Pi Zero. Den rummer et væld af sensorer, der måler temperatur, lufttryk, lysniveau og bevægelse samt input fra analoge enheder. Pi Hut har også lavet et gratis Python Library (https://github.com/pimoroni/enviro-phat) der indeholder mange eksempler, herunder hvordan man bygger et system, der tænder lyset, når det bliver mørkt.

Smarte projekter

En Redditor, RedditSeph, har sågar påtaget sig at slutte sin Pi direkte til et termostatrelæ, der gør, at det kan styres fra et enkelt webinterface. Da systemet blev opbygget fra grunden, er det ikke så nydeligt som Google Nest Thermostat, men det kan installeres af enhver med et elementært kendskab til elektronik.

Før du rækker ud efter loddekolben, bør du overveje at installere PiHome på din Pi, hvis du vil arrangere et hjemme-varmesystem (http://pihome.eu/how-to-build.html). I modsætning til konventionelle systemer kan man tilføje så mange zoner, man vil, til at styre temperaturen i hvert lokale.

Hvis du ønsker en mere avanceret opsætning, skal du overveje at investere i SenseHAT. Dette add-on-kort ligner EnviroPy og kan måle lufttryk, luftfugtighed og temperatur, men det har også et gyroskop, indbygget kompas og et LED-display. Det gør kortet egnet til langt flere projekter. Man kan for eksempel bruge det i en tyverialarm, og det kan vise temperaturen rundt omkring.

Kortet er kolossalt populært, og den nyeste version af Raspbian-styresystemet på Raspberry Pi har en emulator til SenseHAT, således at man kan afprøve sine projekter, før man køber. Der er flere oplysninger på https://www.raspberrypi.org/products/sense-hat.

Hvis du er mindre tryg ved elektronik, foretrækker du måske en enklere måde at gøre “dumme” enheder smarte på. En løsning er at bruge Energie Remote Controlled Sockets. De er specialiserede, men de brave folk hos Energie har skabt en fremragende Pi-mote-betjening til Raspberry Pi, hvormed man kan opsætte sine enheder til at virke med en Pi. De er også radiostyrede, og man behøver derfor ikke direkte forbindelse til internettet.

Man kan bruge den medfølgende fjernbetjening til at styre for eksempel et komfur, og man kan få sikker forbindelse til sin Pi via SSH og dermed aktivere enhederne over internettet. Android-brugere kan overveje den fikse SSH Button-app i Google Play Store (http://bit.ly/SSHButton). Den kan også automatisere processen med at få fjernforbindelse og for eksempel aktivere en tyverialarm.

Siden IoT-hackingen i 2016 virker SSH ikke længere som standard på Raspberry Pi. Det skyldes, at de fleste brugere ikke ændrer deres standard-kodeord, raspberry, og det gør det nemt at hacke på afstand. Man aktiverer SSH ved at forbinde Pis SD-kort til en kortlæser og lægge en fil ved navn ssh i /boot-partitionen. Når du har logget på, skal du huske at bruge kommandoen sudo passwd pi for at opdatere kodeordet.

Apples iPhones er som standard krypteret, mens Android-brugere nemt kan begynde at kryptere deres telefon fra Sikkerhedsmenuen.

Hvis du satser på Energie, bør du også overveje at installere det praktiske program fail2ban på din Pi. Det frakobler brugere, der trods flere forsøg ikke bliver verificeret (i tekstboksen Sikring af dit SSH kan du læse mere om, hvordan du holder din Pi sikker).

Det lyder meget godt at bygge sin egen IoT, men næste gang du søger inspiration, skulle du prøve at anlægge en sikkerhedsfokuseret tilgang, når du browser på www.instructables.com eller Raspberry Pis website, eller når du læser om IoT-profekter i bladene. Overvej, hvordan du kan skræddersy hvert projekt, så det opfylder dine behov og stadig er sikkert.

Et eksempel er en bruger af Instructables.com ved navn AngusC5, der har været så elskværdig i juli at offentliggøre et projekt, der går ud på med Raspberry Pi at arrangere en smart ringeklokke, der fotograferer alle, der trykker på knappen, og sender billedet via e-mail til ejeren.

Det lyder smart, men enhver, der opsnapper sådan en e-mail, kan regne ud, at man nok ikke er hjemme, især ikke hvis ringe-klokken ringer flere gange. Endnu værre er det, at gæsternes fotos kan opsnappes. Hvis man skal gøre sådan et projekt sikkert, kan man hoste en e-mailserver i hjemmet eller endnu bedre lagre billederne på sin Pi, så man senere kan gennemgå dem. Hvis man vil have fjernadgang til sin gæst, kan man gøre det sikkert via SSH.

Hvis du allerede har investeret i specielle enheder som Sonos Speakers eller Google Chromecast, er det alligevel ikke for sent at købe en Pi. Du kan i det mindste køre din smarthome-hub fra den. Opdagelses-komponenten i Home Assistant vil automatisk lede efter disse enheder og føje dem til dit netværk under opsætningen. Så kan du fokusere på at sikre adgang til selve Pi og forhindre, at dine enheder falder i de forkerte hænder.

Lang levetid

Prøv at forestille dig at være en indbrudstyv. Hvis du ville bryde uset ind i et smarthome for at stjæle eller forøve hærværk, ville en af de enkleste fremgangsmåder simpelthen være at slukke for strømmen ved hovedkontakten. Det er ikke særlig svært, fordi tilslutningsdåser er af gode grunde nemme at komme til, når de skal vedligeholdes.

Forestil dig, at hver smart-enhed havde sin egen strømkilde, så den kunne blive ved med at virke under en strømafbrydelse. Hvis du bygger dit smarthome ved hjælp af Raspberry Pi-enheder, er det nemt at gøre. Websites som AdaFruit og PiHut sælger batteripakker til Raspberry Pi, og de kan holde enhederne kørende i flere timer eller dage, afhængig af deres specifikke funktioner.

Navnlig Raspberry Pi Zero har meget beskedne krav til strøm, og den vil derfor holde meget længere på batterier end de andre Pi-modeller. Batteripakkerne er genopladelige, så man kan skifte dem ud og/eller vende tilbage til netstrøm, når lyset igen bliver tændt. Det er især nyttigt, hvis man bruger er Pi-opsætning som trådløs router, idet ens enheder kan blive ved med at kommunikere med hinanden og med mobilen.

Hvis man gerne vil spare penge, kan man overveje en løsning som BattBorg (www.piborg.org/battborg), der giver mulighed for at køre en Raspberry Pi på almindelige AA-batterier.

Vær beredt

Husk så vidt muligt at bruge “dumme” anordninger med analoge timere, hvis du har brug for at styre dem, når du ikke er til stede. Hvis det ikke er muligt, skal du sikre dig, at man kun kan få adgang til dine smarte enheder via dit lokalnet. Stol ikke på smartphone-apps, når du kan bruge et sikkert webinterface, der virker på tværs af platforme.

I de situationer, hvor du skal have fjernadgang til dine smarte enheder, for eksempel sikkerhedskameraer, skal du prøve at bygge enhederne selv, således at du kan skræddersy adgangen. Hvis du vælger en open source-løsning som Home Assistant, bør du prøve at få forbindelse via det mørke net eller i det mindste sikre din forbindelse med SSL.

Hvem ved, hvad der sker inde i proprietære enheder…

Endelig må du ikke være bange for at kontakte din producent af smarthome-enheder med dine reaktioner. Der er for eksempel ingen undskyldning for at undlade at frigive kildekoden til mobile apps. Firmaet har allerede tjent sine penge, da det solgte enheden til dig. Vær ikke bange for at bede om funktioner, du ønsker. Det kan for eksempel være at skræddersy adgang til individuelle brugere eller sikker adgang via tofaktor-verificering.

Hvis du læser om, at udstyr er blevet hacket, skal du kontakte din udbyder for at finde ud af, hvad der er blevet gjort. Med tilstrækkelig årvågenhed kan smarte enheder forhåbentlig være både praktiske og sikre. 

Digitale smarthubs

Nogle smarthubs er ikke en integreret enhed som Samsungs, men bliver udbudt via et website som Wyliodrin (www.wyliodrin.com) eller Prota OS (https://prota.info/prota), som kan installeres på Raspberry Pi. På bjerget synes man at foretrække at undgå at give penge for en færdiglavet løsning som Amazon Echo; man vil hellere have besværet med at bygge et system fra grunden ved at forbinde flere eksemplarer af Pi.

Interfacet til sådanne hubs er ganske intuitivt og kræver ikke altid programmering, men brugen af flowcharts til at bestemme forskellige emheders adfærd, for eksempel Raspberry Pi, Arduino og Samsung Smart Appliances. Når det er sagt, er der ikke meget, de kan tilbyde, som software såsom Home Assistant ikke allerede kan klare, selvom det kan tage længere tid og mere tålmod.

Mange af disse løsninger kræver også betaling, og at man bruger internettet til at programmere sine enheder, således at kortoplysninger og styring af ens smarthome vil befinde sig på en anden server. Nogle systemer sådom Prota OS er ikke engang open source, og derfor kan miljøet ikke inspicere koden og lede efter sikkerhedsbrister eller bevidst anbragte “bagdøre”. Giv dig tid til at vælge open source-software til dit smarthome, og gem den på et lokalt net. Det giver ro i sindet.