Fremde Rauchmelder in meiner Config und "ATTACK" Meldungen

Begonnen von errazzor, 03 November 2017, 11:13:01

Vorheriges Thema - Nächstes Thema
Drucken
Nach unten Seiten1
Benutzer-Aktionen

errazzor

03 November 2017, 11:13:01
Hallo,

mir ist heute aufgefallen, dass ich wohl seit ein paar Tagen mehrere HM-Rauchmelder in meiner Config habe - die mir gar nicht gehören. (Ich habe keine solchen Rauchmelder).
Die Rauchmelder haben sich von selbst in meiner Config hinzugefügt und im Logfile erscheinen des öfteren ATTACK Meldungen.
Ich sehe die komplette Config der Rauchmelder...power Up, status und so weiter...

Ich vermute mal, dass die dem Nachbarn gehören...

Fragen:

1. Warum und wie haben die sich in meiner Config hinzugefügt ? Sie sind wirklich als Gerät bei mir eingerichtet.
2. Auch wenn ich die kompletten Daten sehen kann wie Powerup,RSSI, Status und so weiter..steuern kann ich die aber hoffentlich nicht, oder? Sonst ginge es ja auch umgekehrt...
3. Wie verhindere ich sowas künftig und wie ignoriere ich die Geräte des Nachbarn ?

Ich hoffe mal, dass der Nachbar nicht auch meine Fenstersensoren etc. sehen kann...das wäre ja irgendwie auch eine Sicherheitslücke, oder?


CoolTux

#1
03 November 2017, 11:45:52
Wie witzig. Ich habe am Mittwoch bei mir neue Rauchmelder installiert. Die neuen SD-2 Teile.
Er kann wenn dann den Status Deiner Kontakte sehen, als Broadcast Meldung. Aktiv schalten, zum Beispiel Aktoren, kann er aber nicht.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

frank

#2
03 November 2017, 11:55:44
1. autocreate
2. wahrscheinlich nicht. denn die attack meldungen verursacht sicherlich eine unterschiedliche hmid eurer zentralen.
3. attr ignore setzen.

sicher ist es nur mit einem eigenen aes key.
FHEM: 6.0(SVN) => Pi3(buster)
IO: CUL433|CUL868|HMLAN|HMUSB2|HMUART
CUL_HM: CC-TC|CC-VD|SEC-SD|SEC-SC|SEC-RHS|Sw1PBU-FM|Sw1-FM|Dim1TPBU-FM|Dim1T-FM|ES-PMSw1-Pl
IT: ITZ500|ITT1500|ITR1500|GRR3500
WebUI [HMdeviceTools.js (hm.js)]: https://forum.fhem.de/index.php/topic,106959.0.html

sku

#3
03 November 2017, 12:29:31
Die HM Nachrichten kann jeder immer mitlesen, siehe https://wiki.fhem.de/wiki/AES_Encryption Grundlagen

errazzor

#4
04 November 2017, 13:26:35
Ich muss da nochmal nachhaken.
Wenn jetzt ein Aktor, nehmen wir mal einen Jalousie-Aktor KEINE AES Signierung verwendet...dann reicht es doch aus die HMID zu sniffen, diese in die eigene FHEM Installation einzutragen...den Aktor mitzusniffen und als Gerät anzulegen...und schon kann jemand fremdes meinen Aktor  schalten.

Korrigiert mich bitte wenn ich falsch liege.

CoolTux

#5
04 November 2017, 13:52:02
Dazu muss Dein Aktor in den Anlernmodus und er darf nicht schon mit einer Base gepaired sein. So einfach ist das also nicht. Du kannst eventuell vorgeben die Base zu sein. Aber da bin ich mir unsicher.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

betateilchen

#6
04 November 2017, 13:55:46
Wenn man etwas sicheres haben möchte, sollte man nichts funkbasiertes nehmen.

Und auch der ganze AES Quatsch bei Homematic ist nichts als Augenwischerei, weil es gar keine Verschlüsselung ist, sondern nur eine Signierung.
-----------------------
Formuliere die Aufgabe möglichst einfach und
setze die Lösung richtig um - dann wird es auch funktionieren.
-----------------------
Lesen gefährdet die Unwissenheit!

errazzor

#7
04 November 2017, 14:32:31
Zitat von: CoolTux am 04 November 2017, 13:52:02
Dazu muss Dein Aktor in den Anlernmodus und er darf nicht schon mit einer Base gepaired sein. So einfach ist das also nicht. Du kannst eventuell vorgeben die Base zu sein. Aber da bin ich mir unsicher.

Danke. Also reicht es nicht aus, lediglich die Basis mit HMID und Serial des Aktors zu spoofen.

Ich wollte hier keine Grundsatzdiskussion lostreten (funkbasiert vs Kabel) und das es nur eine Signatur und keine Encryption ist, ist klar.
Mir ging es nur um die vermeintliche Einfachheit eines Hacks.

frank

#8
04 November 2017, 14:40:47
ohne "selbsterstellten" aes key, trotz aktivierter signierung, braucht dein hackender nachbar nur die beiden hmid's von zentrale und aktor.
FHEM: 6.0(SVN) => Pi3(buster)
IO: CUL433|CUL868|HMLAN|HMUSB2|HMUART
CUL_HM: CC-TC|CC-VD|SEC-SD|SEC-SC|SEC-RHS|Sw1PBU-FM|Sw1-FM|Dim1TPBU-FM|Dim1T-FM|ES-PMSw1-Pl
IT: ITZ500|ITT1500|ITR1500|GRR3500
WebUI [HMdeviceTools.js (hm.js)]: https://forum.fhem.de/index.php/topic,106959.0.html

errazzor

#9
05 November 2017, 23:09:37
Also ist es doch so wie vermutet?

FHEM aufsetzen, mit der HMID des "Opfers" versehen, Geräte per autocreate anlegen lassen und schon kann ich alle Aktoren ohne eingeschaltete AES Signierung (oder die, die den Standard Key verwenden) schalten? Ohne das die Aktoren dazu im Anlernmodus sein mussten und bereits an der Zentrale des Nachbarn gekoppelt sind?

CoolTux

#10
06 November 2017, 08:08:00
Ich sage nein. Man muss erst noch anlernen. Vorher kann nur gelauscht aber nicht geschalten werden.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

darkness

#11
06 November 2017, 08:30:32
Zitat von: CoolTux am 06 November 2017, 08:08:00
Ich sage nein. Man muss erst noch anlernen. Vorher kann nur gelauscht aber nicht geschalten werden.

Was doch aber mit

ZitatHMID des "Opfers" versehen

umgangen wird, oder?

CoolTux

#12
06 November 2017, 08:44:04
Na ich hoffe doch nicht das es soooo einfach ist.
Du musst nicht wissen wie es geht! Du musst nur wissen wo es steht, wie es geht.
Support me to buy new test hardware for development: https://www.paypal.com/paypalme/MOldenburg
My FHEM Git: https://git.cooltux.net/FHEM/
Das TuxNet Wiki:
https://www.cooltux.net

sku

#13
06 November 2017, 10:31:08
Zitat von: CoolTux am 06 November 2017, 08:44:04
Na ich hoffe doch nicht das es soooo einfach ist.

Ich gehe auch davon aus, dass es so einfach möglich ist, siehe https://wiki.fhem.de/wiki/Virtueller_Controller_VCCU
zu finden unter
Definition der VCCU
hmId wählen
ZitatDefiniert man eine VCCU nachdem I/Os (CUL oder HMLAN) für Homematic angelegt sind, sollte die hmId der bereits vorhandene Funkschnittstelle verwenden, hierdurch kann man sich das Neupairen der HM Devices ersparen.

frank

#14
06 November 2017, 11:36:26
die attack meldungen wurden ja auch nicht aus spass eingeführt.

wenn ein "fremdes io" mit "unserer hmid" eines "unserer devices" manipuliert, gibt es bei diesem device entsprechende attack warnungen. daher überwache ich solche meldungen und lasse mir entsprechende warnungen ausgeben.

sehr schön kann man es zb beobachten, wenn man die eq3-konfigurationssoftware, bei verwendung der eigenen hmid, zum konfigurieren eigener devices nutzt. auch bei verwendung der eq3-software für fw updates. eine zweite fhem installation ist ja auch nichts anderes.

also an sensiblen stellen immer aes mit eigenem schlüssel einschalten oder besser noch funklos arbeiten.


ich denke: so ein aufwand wird sicherlich kein "aussenstehender" einbrecher eingehen. höchstens ein "genervter" nachbar, der uns ärgern will. also immer freundlich und hilfsbereit zum nachbarn sein!
FHEM: 6.0(SVN) => Pi3(buster)
IO: CUL433|CUL868|HMLAN|HMUSB2|HMUART
CUL_HM: CC-TC|CC-VD|SEC-SD|SEC-SC|SEC-RHS|Sw1PBU-FM|Sw1-FM|Dim1TPBU-FM|Dim1T-FM|ES-PMSw1-Pl
IT: ITZ500|ITT1500|ITR1500|GRR3500
WebUI [HMdeviceTools.js (hm.js)]: https://forum.fhem.de/index.php/topic,106959.0.html
Drucken
Nach oben Seiten1
Benutzer-Aktionen