FHEM Forum

FHEM - Hausautomations-Systeme => Homematic => Thema gestartet von: errazzor am 03 November 2017, 11:13:01

Titel: Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: errazzor am 03 November 2017, 11:13:01
Hallo,

mir ist heute aufgefallen, dass ich wohl seit ein paar Tagen mehrere HM-Rauchmelder in meiner Config habe - die mir gar nicht gehören. (Ich habe keine solchen Rauchmelder).
Die Rauchmelder haben sich von selbst in meiner Config hinzugefügt und im Logfile erscheinen des öfteren ATTACK Meldungen.
Ich sehe die komplette Config der Rauchmelder...power Up, status und so weiter...

Ich vermute mal, dass die dem Nachbarn gehören...

Fragen:

1. Warum und wie haben die sich in meiner Config hinzugefügt ? Sie sind wirklich als Gerät bei mir eingerichtet.
2. Auch wenn ich die kompletten Daten sehen kann wie Powerup,RSSI, Status und so weiter..steuern kann ich die aber hoffentlich nicht, oder? Sonst ginge es ja auch umgekehrt...
3. Wie verhindere ich sowas künftig und wie ignoriere ich die Geräte des Nachbarn ?

Ich hoffe mal, dass der Nachbar nicht auch meine Fenstersensoren etc. sehen kann...das wäre ja irgendwie auch eine Sicherheitslücke, oder?


Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: CoolTux am 03 November 2017, 11:45:52
Wie witzig. Ich habe am Mittwoch bei mir neue Rauchmelder installiert. Die neuen SD-2 Teile.
Er kann wenn dann den Status Deiner Kontakte sehen, als Broadcast Meldung. Aktiv schalten, zum Beispiel Aktoren, kann er aber nicht.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: frank am 03 November 2017, 11:55:44
1. autocreate
2. wahrscheinlich nicht. denn die attack meldungen verursacht sicherlich eine unterschiedliche hmid eurer zentralen.
3. attr ignore setzen.

sicher ist es nur mit einem eigenen aes key.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: sku am 03 November 2017, 12:29:31
Die HM Nachrichten kann jeder immer mitlesen, siehe https://wiki.fhem.de/wiki/AES_Encryption (https://wiki.fhem.de/wiki/AES_Encryption) Grundlagen
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: errazzor am 04 November 2017, 13:26:35
Ich muss da nochmal nachhaken.
Wenn jetzt ein Aktor, nehmen wir mal einen Jalousie-Aktor KEINE AES Signierung verwendet...dann reicht es doch aus die HMID zu sniffen, diese in die eigene FHEM Installation einzutragen...den Aktor mitzusniffen und als Gerät anzulegen...und schon kann jemand fremdes meinen Aktor  schalten.

Korrigiert mich bitte wenn ich falsch liege.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: CoolTux am 04 November 2017, 13:52:02
Dazu muss Dein Aktor in den Anlernmodus und er darf nicht schon mit einer Base gepaired sein. So einfach ist das also nicht. Du kannst eventuell vorgeben die Base zu sein. Aber da bin ich mir unsicher.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: betateilchen am 04 November 2017, 13:55:46
Wenn man etwas sicheres haben möchte, sollte man nichts funkbasiertes nehmen.

Und auch der ganze AES Quatsch bei Homematic ist nichts als Augenwischerei, weil es gar keine Verschlüsselung ist, sondern nur eine Signierung.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: errazzor am 04 November 2017, 14:32:31
Zitat von: CoolTux am 04 November 2017, 13:52:02
Dazu muss Dein Aktor in den Anlernmodus und er darf nicht schon mit einer Base gepaired sein. So einfach ist das also nicht. Du kannst eventuell vorgeben die Base zu sein. Aber da bin ich mir unsicher.

Danke. Also reicht es nicht aus, lediglich die Basis mit HMID und Serial des Aktors zu spoofen.

Ich wollte hier keine Grundsatzdiskussion lostreten (funkbasiert vs Kabel) und das es nur eine Signatur und keine Encryption ist, ist klar.
Mir ging es nur um die vermeintliche Einfachheit eines Hacks.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: frank am 04 November 2017, 14:40:47
ohne "selbsterstellten" aes key, trotz aktivierter signierung, braucht dein hackender nachbar nur die beiden hmid's von zentrale und aktor.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: errazzor am 05 November 2017, 23:09:37
Also ist es doch so wie vermutet?

FHEM aufsetzen, mit der HMID des "Opfers" versehen, Geräte per autocreate anlegen lassen und schon kann ich alle Aktoren ohne eingeschaltete AES Signierung (oder die, die den Standard Key verwenden) schalten? Ohne das die Aktoren dazu im Anlernmodus sein mussten und bereits an der Zentrale des Nachbarn gekoppelt sind?
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: CoolTux am 06 November 2017, 08:08:00
Ich sage nein. Man muss erst noch anlernen. Vorher kann nur gelauscht aber nicht geschalten werden.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: darkness am 06 November 2017, 08:30:32
Zitat von: CoolTux am 06 November 2017, 08:08:00
Ich sage nein. Man muss erst noch anlernen. Vorher kann nur gelauscht aber nicht geschalten werden.

Was doch aber mit

ZitatHMID des "Opfers" versehen

umgangen wird, oder?
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: CoolTux am 06 November 2017, 08:44:04
Na ich hoffe doch nicht das es soooo einfach ist.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: sku am 06 November 2017, 10:31:08
Zitat von: CoolTux am 06 November 2017, 08:44:04
Na ich hoffe doch nicht das es soooo einfach ist.

Ich gehe auch davon aus, dass es so einfach möglich ist, siehe https://wiki.fhem.de/wiki/Virtueller_Controller_VCCU (https://wiki.fhem.de/wiki/Virtueller_Controller_VCCU)
zu finden unter
Definition der VCCU
hmId wählen
ZitatDefiniert man eine VCCU nachdem I/Os (CUL oder HMLAN) für Homematic angelegt sind, sollte die hmId der bereits vorhandene Funkschnittstelle verwenden, hierdurch kann man sich das Neupairen der HM Devices ersparen.
Titel: Antw:Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen
Beitrag von: frank am 06 November 2017, 11:36:26
die attack meldungen wurden ja auch nicht aus spass eingeführt.

wenn ein "fremdes io" mit "unserer hmid" eines "unserer devices" manipuliert, gibt es bei diesem device entsprechende attack warnungen. daher überwache ich solche meldungen und lasse mir entsprechende warnungen ausgeben.

sehr schön kann man es zb beobachten, wenn man die eq3-konfigurationssoftware, bei verwendung der eigenen hmid, zum konfigurieren eigener devices nutzt. auch bei verwendung der eq3-software für fw updates. eine zweite fhem installation ist ja auch nichts anderes.

also an sensiblen stellen immer aes mit eigenem schlüssel einschalten oder besser noch funklos arbeiten.


ich denke: so ein aufwand wird sicherlich kein "aussenstehender" einbrecher eingehen. höchstens ein "genervter" nachbar, der uns ärgern will. also immer freundlich und hilfsbereit zum nachbarn sein!