Sicherheitslücke in Wifi Steckdosen

Wer hätte es gedacht, natürlich gibt es auch eine Sicherheitslücke in den WeMo Steckdosen von Belkin. Billige Funksteckdosen aus dem Baumarkt haben schon gar keine Verschlüsselung, da macht man sich wenigstens keine Illusionen, aber hier kann man scheinbar die Cloudverbindung umbiegen und so die Steckdosen fernsteuern. Juhei!

Wegen solcher Sachen ist Heimautomatisierung noch nicht dort wo es sein könnte. Unverschlüsselte Verbindungen und Steuerung über Fremdserver anstatt einer Zentrale zu Hause … man muss sich nur anschauen wie viele Protokolle per Arduino mit Antenne abgehört und mitbenutzt werden können. Wenn das für meine Steckdosen/Lampen/Thermostate geht, dann geht das auch mit denen vom Nachbarn.

Weckt mich, wenn es dann endlich mal sicher ist … so lange fahre ich meine Bastellösung ;-)

Schwitzige Hände II

Nochmal ein Video von den gleichen Typen? Wer tapfer bis zum Ende durchsteht bekommt von mir eine Rose!

E3-Fehler bei Honeywell HR25/HR20/usw. beheben

Vielleicht hilft es jemandem. Ich war es leid mit normalen Thermostaten zu leben und habe mir – auch wegen der Möglichkeit alternative Firmware aufspielen zu können – programmierbare Heizkörperthermostate zugelegt. Den HR25 von Honeywell, weil er ein wenig hübscher als der HR20 aussieht ;-)

Honeywell HR25

Ein davon zeigte seit einigen Tagen die Fehlermeldung E3, was laut Bedienungsanleitung darauf hinweist, dass der Motor sich nicht mehr drehen lässt. Da ich einen aus Neugier auch mal auseinander gebaut habe und es eventuell sogar der defekte war, habe ich gleich daran gedacht, dass ich vielleicht etwas falsch zusammengebaut habe.

War nicht so. Bei mir hat dieser Fehler nur bedeutet, dass Schmiermittel auf den Reflektoren des ersten Zahnrades im Getriebe war. Scheinbar konnte die Lichtschranke nicht mehr so gut die Bewegung des Motors erkennen. Kurz gereinigt und alles wieder eingebaut und schon geht es wieder.

Ich bin übrigens ziemlich begeistert von den Dingern. Sie halten die Temperatur der Räume ziemlich genau auf den vorgegebenen Werten, schalten sich ab wenn man das Fenster aufmacht und vor allem funktionieren sie zeitgesteuert. Jetzt wäre es nur noch super, wenn sie auch noch ferngesteuert werden könnten bzw. die Temperatur von einem anderen Fühler als “direkt an der Heizung” bekommen könnten. Dafür hat dieses Thermostat einen Serviceport und lässt sich so mit alternativer Firmware bespielen (per JTAG). Die einzig mir bekannte ist Open HR20 mit rudimentärer Unterstützung von RFM12B Funkchips. Nunja … da der verwendete Atmel 329P fast identisch mit dem auf Arduinos verwendeten 328P ist, hoffe ich mal ich bekomme einen Arduino Bootloader auf die Dinger drauf und kann dann experimentieren. Ich werde berichten ;-)

Schwitzige Hände

… bekommt man hierbei …

Automatisch WordPress Aktualisierung deaktivieren

WordPress 3.8 hat – von vielen scheinbar unbemerkt – eine neue Funktion verpasst bekommen um künftig automatisch kleinere Aktualisierungen einzuspielen. Major Updates müssen nach wie vor selbst eingespielt werden.

Wer das nicht möchte, kann das mit folgender Zeile in der Datei

wp-config.php

deaktivieren:

define( 'AUTOMATIC_UPDATER_DISABLED', true );

Andere fahren nicht immer perfekt …

Gut gemachter Hinweis an Autofahrer aus Neuseeland.

HomeMatic Heimautomatisierung gehackt

Da die Heizung hier manchmal etwas spinnt (oder die Thermostate?) habe ich heute nach einer Lösung gesucht und fand sie in elektrisch betriebenen Heizkörperthermostaten. Dort kann man alles möglich einstellen und hat dann einen warmen Heizkörper nach Wunsch.

Natürlich hat der Geek in mir auch gleich die Funkvarianten entdeckt und war dann schon auf ein System von HomeMatic eingeschossen … doch bekam ich dieses Video zu Gesicht:

Mist! Sie verwenden für alle Aktoren und Sensoren zwar ein eigenes Protokoll, aber man kann wohl ziemlich einfach eine Basisstation emulieren (siehe auch das Projekt Homegear). Wenn man also ein paar Thermostate einsetzt, kann jemand anderes den Funkverkehr abhören und so tun als ob er eines der anderen Geräte wäre und Kommandos senden bzw. Daten auslesen. Spitze! Verstellt man also wild die Heizung anderer Leute … Wardriving mal anders (und ausprobierenswert) …

Bevor ist mich jetzt also mit dem Gedanken anfreunde, dass der Heizkörper neben dem Schreibtisch von der Straße aus ferngesteuert werden könnte, kennt jemand eine solche Funklösung, die verschlüsselt arbeitet? Zur Not eine Lösung mit Kabel und ich implementiere die Funkstrecke mit irgendwelchen Billigtransievern mit Verschlüsselung? Im Grunde ist HomeMatic nämlich schon genau das was ich gesucht habe ;-)

Well paced GoPro video is well paced!

Flying Tiare

Beratung bei Telekommunikationsunternehmen

In den letzten Tagen war ich einmal bei Mnet und ebenfalls bei der Telekom im Laden gestanden und komme aus dem Staunen nicht mehr raus. Kann es wirklich sein, dass diese Telekommunikationsunternehmen leere Hüllen in ihre Läden stellen, die nichts anderes machen (und können) als die Webseite des Unternehmens für mich zu bedienen?

Bei Mnet füllte der Mitarbeiter das Anmeldeformular für einen neuen Anschluss aus und musste bei der Hotline anrufen, weil er sich über irgendetwas wunderte. Auf meine Frage was mit Glasfaser im Zentrum von Erlangen sei, wusste er keine Antwort obwohl im Laden fast ein Viertel der Fläche für eine Präsentation zum Stand des Ausbaus benutzt wird.

Bei der Telekom meinte eine junge Dame, dass man mit DSL 16000+ schon Glasfaser hätte (nach dem Ausbau von Glasfaser gefragt). Scheinbar ist dort das Wort Glasfaser ein Synonym für “Kunde hat T-Entertain”. Ich habe mir verkniffen zu bemerken, dass es ja ganz erstaunlich sei wie ein ganz normales DSL-Modem mit Glasfaser funktionieren kann und trotzdem am Ende nur 12 Mbit statt 16 herauskommen. Ich schätze sie würden auch VDSL als Glasfaser bezeichnen. Vorgabe von oben … Kunde will Glasfaser, sie haben es nicht, aber behaupten es damit Kunde nicht kündigt? Wer weiß das schon … jedenfalls alles am Rechner nachgeschaut in dem sie die Adresse eingegeben hat. Mehr nicht.

Halbwissen mit Rechnerunterstützung … brillant! Und verstörend :/

P.S.: Dann habe ich mir noch die Geschäfte in der Umgebung angeschaut. Bei Feller Electronic z.B. weiß man wenigstens was man verkauft und muss nicht dauernd an einem PC nachschauen. Auch ist der Laden nicht wie eine Boutique aufgebaut (Telekom!) :-)

Noch was zum Abschluss

Wenn dieses Jahr eines gezeigt hat, dann dass wir schon lange in der Totalüberwachung leben. Alles was wir anstellen wird eventuell aufgezeichnet. Ob durch Kameras und Payback-Karten offline oder durch Vorratsdatenspeicherung und NSA (bzw. Geheimdienste allgemein) online.

Wenn wir daraus bitte eines lernen könnten und im neuen Jahr verschlüsselte Kommunikation wenigstens ermöglichen könnten? Das geht nämlich eigentlich schon lange … aber um irgendwem etwas verschlüsselt zukommen lassen zu können, muss dieser jemand das eben einmal eingerichtet haben und das ist zu oft nicht der Fall. Stattdessen sendet man dann ZIP- oder Word-Dateien mit Passwort … yeah!

Webseiten können meist auch über HTTPS aufgerufen werden. Gerade bei Diensten bzw. sozialen Netzwerken sinnvoll. In fremden Netzen kann man über VPN-Verbindungen sicher gehen, dass einen wenigstens nicht der Provider abhören kann. Und wenn wir schon bei Webseiten sind, könnten die Dienstleister auf der anderen Seite von uns Konsumenten es bitte unterlassen Kreditkarten Daten im Klartext in irgendwelchen Datenbanken zu speichern, die sowieso regelmäßig gehackt werden? Danke ;-)

Nochmal einen guten Rutsch und hey, vielleicht findet mal wer Überwachungshardware an seinem PC/Auto … würde mich mal interessieren wie viele Jahre die zurück hängen im Vergleich zu was man bei Pearl & Co bestellen kann :D