Reingeschaut: 433MHz Fenstersensor

Es gab schon einen Blick in einen 433Mhz Fenstersensor in der Vergangenheit. Da es diese Sensoren in vielen verschiedenen Ausführungen gibt, stellt sich die Frage: Sind die alle gleich?

osm900-1

Als erstes fällt auf, dass dieser Sensor grösser ist. Beim Öffnen sieht man, warum das so ist:

osm900-3

Dieser Sensor nutzt AAA batteries. Das macht den Austausch einfacher und kostengünstiger als die Spezialbatterie, die wir im anderen Sensor gesehen haben. Wer das Gerät zum Einbruchschutz nutzen will, findet es vermutlich nützlich, dass beim Öffnen des Gehäuses auch ein Signal gesendet. Wird. Dafür ist ein zusätzlicher Mikroschalter vorhanden.

osm900-2

Auf der Rückseite gibt es keine Überraschungen: Der Sendechip, ein paar externe Komponenten und  eine LED.

Das genutzte 433MHz Funkprotokoll ist trivial, es wird immer exact der gleiche Code gesendet. Es gibt keinerlei Verschlüsselung o.ä. Das heisst auch, dass es extrem einfach ist, dieses Signal aufzuzeichnen und beliebig oft wieder abzuspielen. Ob das ein Problem ist, hängt vom Anwendungsfall ab.

Wir das vorher getestete Modul sendet auch dieses nur ein Signal beim Öffnen des Fensters, nicht beim Schliessen. Das heisst, der Sensor kann nicht genutzt werden, um festzustellen, ob ein Fenster geöffnet oder geschlossen ist.

Zugriff auf Home Assistant über das Internet

Eine Hausautomatisierung in der eigenen Wohnung ist ganz nett. Allerdings ist es für viele Anwendungsfälle doch sinnvoll, das System auch über das Internet bedienen zu können.

Um das ganze jedoch einigermassen sicher zu betreiben, muss man etwas Aufwand betreiben.

VPN

IC196810Ein “Virtual Private Network” ist wohl die sicherste Lösung. Die Steuerungssoftware ist damit nicht direkt aus dem Internet erreichbar. Selbst wenn die Lösung also eine Sicherheitslücke hat, kann nicht jedermann diese ausnutzen.Viele Internetanbieter bieten heute schon VPN-Zugänge an, fragen Sie doch mal bei ihrem nach, ob das angeboten wird und wie es konfiguriert werden muss.

Der Nachteil eines VPNs ist,d ass man die VPN-Verbindung erst aufbauen muss. Mit Technologien wie L2TP ist das zwar sehr einfach, allerdings gibt es doch ein paar Anwendungsfälle, wo es nicht perfekt passt. Wenn z.B. eine Drittsoftware auf dem Smartphone regelmässig Daten aktualisieren soll, muss das VPN immer eingeschaltet sein, was sich negativ auf die Akkulaufzeit auswirkt. Und wenn man vergisst, das VPN einzuschalten, funktioniert die Anwendung auf einmal nicht mehr.

HTTPS

Ein direkter Zugriff auf die Home Assistant Installation mittels HTTPS ist nicht die allersicherste Lösung, aber in der Regel doch ausreichend sicher. Es ist aber wichtig, sich regelmässig zu informieren, ob irgendwelche Sicherheitslücken bekannt sind und regelmässig Updates einzuspielen.

letsencryptFür HTTPS werden Zertifikate benötigt. Eine kostenlose und einfache Lösung hierfür ist Let’s encrypt. Es gibt bereits eine (englischsprachige) Anleitung auf der Home Assistant Webseite die die Konfiguration Schritt-für-Schritt beschreibt.

Zusätzliche Sicherheit kann eine Web-Applikations-Firewall bieten. Ein entsprechendes System kann man zwar selbst aufsetzen, dies ist allerdings relativ komplex. Eine andere Möglichkeit ist die Nutzung von Cloudflare.  Das sit sicher nicht die ultimative Sicherheitslösung, dafür aber gratis und einfach zu konfigurieren. Etwas zusätzliche Sicherheit ist besser als gar keine. In der Gratisversion kann man keine eigenen Regels definieren, aber ein Basisschutz gegen übliche Angriffe (nicht Home Assistant-spezifisch) ist vorhanden.

Vergleich beider Varianten

VPN HTTPS
Sicherheit Höchste Sicherheit, schützt auch vor Sicherheitslücken in Home Assistant. Ok, aber unbedingt regelmässige Sicherheitsupdates einspielen
Installation Relativ einfach,w enn der Internetprovider VPN-Dienste anbietet, sonst recht aufwändig. Schwieriger, allerdings sind viele Anleitungen verfügbar
Benutzung VPN muss immer erst aktiviert werden Sehr einfach, Home Assistant kann direkt aus dem Webbrowser bedient werden.

Home Security with Raspberry Pi and a Webcam

Home security has never been easier. Though the terms “front end development” and “open source” may be daunting to some, Raspberry Pi hardware is a cost-effective and efficient solution that makes Home Automation a DIY commodity.

For $39.99, Raspberry Pi, is paired with a Mirco SD card (at least 2GB), USB Hub and a compatible webcam, to create a simple means of home security.

The Raspberry Pi is a self-powered motherboard, that either remotely or connected to a monitor and keyboard via its own USB ports. Having inserted a formatted SD card into the slot of the Motherboard, you can begin set up your Home Automation system. Your Webcam needs to be connected to a USB hub which is then connected to the motherboard in order to supply power to your camera.

First, Raspberry Pi needs to install an operating system to its motherboard. Whereas you can access your OS’s terminal directly, use of NOOBS’ Raspbian integrated OS, is the most convenient set up for beginners. Note that this option can be booted directly onto your Raspberry Pi, through a preloaded SD card.

Having inserted your SD card into your computer’s card reader, you will first need to format it to FAT-32. Following this, you can then download NOOBS and its integrated Raspbian software. Upon installing Raspbian on your computer, Windows Clients will need to download Win32 in order to burn this OS to an SD card, whereas Mac and Linux clients can do so by opening the Disk Utility and Terminal.

Once this is done, your SD card can be inserted into the Raspberry Pi.

For the convenience of simply controlling your electronics; such as a webcam, Raspberry Pi can then be controlled remotely from another device over a local network using a Secure Shell (SSH).

For remote access, you will need to download a free IP Scanner client and an SSH client such as Putty.  This will identify your Raspberry Pi from your OS. Taking note of your hardware’s IP address in the scan, you can remotely configure your Pi through the SSH client.

To install the camera connected to your USB hub, you will need to configure your Raspberry Pi’s terminal to enable it, and create a webcam server. Over a remote control server, the webcam can then be accessed from using the Pi’s IP address. There is also configuration available online to access your webcam stream from an internet browser. Alternatively, you can connect a camera module to Raspberry Pi’s CSI port, enabling your Raspberry Pi to become its own IP webcam.

Sicherheit in IoT-Lösungen

Wer sich mit Eigenbau-Hausautomatisierung beschäftigt, sollte dem Thema Sicherheit von Anfang an genügend Beachtung schenken. Das letzte,w as man möchte ist es, aus dem Skiurlaub zurückzukommen und festzustellen, dass die Heizung trotz -20°C seit einer Woche abgeschaltet ist. Es ist auch nicht besonders lustig, wenn man nachts geweckt wird, weil jemand aus der Ferne das Licht im Schlafzimmer einschaltet.

Joshua Corman zeigt im verlinkten Video Sicherheitsrisiken von IoT-Lösungen auf (aus meiner Sicht sind Hausautomatisierungen eine Art IoT-Lösung). Gleichzeitig gibt er Tips, was man tun sollte um sichere Lösungen zu bauen.
Mit einem Klick auf das Bild geht es zu seiner Keynote der IoT Konferenz 2016 (Vortrag in Englisch).
Screenshot 2016-05-17 09.31.54

Wie sicher ist KNX?

Schaut man sich moderne Hausautomatisierungslösungen wie Z-Wave oder Zigbee an, tauchen auch immer wieder Sicherheitsprobleme auf. Einige davon wurden oder werden noch behoben, andere vielleicht nicht. Wenn schon diese modernen Technologien gewisse Probleme aufweisen, wie sieht es dann erst mit einem “Oldie” wie KNX aus?

Kurz gesagt: KNX ist das schlimmste, was man sich aus Sicherheitssicht vorstellen kann. Alle Geräte kommunizieren auf einem gemeinsamen Medium, es gibt weder Verschlüsselung noch Authentisierung oder Authorisierung. Wer Zugriff zum KNX-bus hat, kann praktisch alles tun.

Glücklicherweise gibt es aber einen positiven Punkt: Man braucht physischen Zugriff zum KNX-Bus. Zwar kann jemand, der Zugriff zur persönlichen KNX-Installation hat, alle möglichen bösartigen Dinge tun, allerdings ist diese Person dann schon in der Wohnung und könnte auch ohne Hausautomatisierung ziemlich fiese Sachen tun. Das Licht ein- oder auszuschalten dürfte da wohl das kleinste Problem sein. Das heisst, für Installationen in Wohnräumen, bei denen der KNX-Bus nicht mit anderen Netzen verbunden ist, ist KNX immer noch eine sichere Lösung. Allerdings: Welche Automatisierungslösung ist heute nicht mit anderen Netzen verbunden? Viele Intelligenz wird heute nicht direkt auf dem KNX-Bus abgebildet, sondern durch externe Geräte, die oft auch noch mit dem Internet verbunden sind.

Geht es trotzdem sicher? Im Prinzip schon, wenn man einige Dinge beachtet:

  1. Der KNX-Bus sollte nicht einfach direkt mit dem Heimnetz verbunden werden, besonders nicht, wenn evtl. noch ein WLAN-Gastzugang eingerichtet ist.
    KNX/IP Schnittstellen sind sinnvolle Geräte, man sollte aber überlegen, wie man den Zugriff darauf einschränken kann. Idealerweise setzt man ein Gateway ein, welches Benutzer authentifizieren kann und Zugriffsrechte verwalten kann.
  2. Benutzt man ein beliebiges kommerzielles Produkt mit Internetzugriff zum Zugriff auf KNX-Komponenten, sollte geprüft werden, ob der Hersteller regelmässige Sicherheitsupdates zur Verfügung stellt. Wenn der letzte Software-Release 18 Monate alt ist, ist das wohl kaum der Fall.
  3. Wer selbst ein Gateway oder eine Haussteuerung entwickelt, sollte von Anfang an überlegen, wie die Architektur aussehen muss, um eine möglichst hohe Sicherheit zu erreichen.

Bemerkung  1: Die physische Sicherheit kann ein Problem sein, wenn eine KNX-Installation z.B. ein gesamtes Haus mit mehreren Wohnungen steuert. Wenn die Wohnung also irgendeine “intelligente” Steuerung bietet, sollte man sich nochmals anschauen, was dort umgesetzt wurde und ob sich jemand Gedanken darüber gemacht hat, verschiedene Wohnungen voneinander zu trennen.

Bemerkung 2: Mit ETS 5.5 gibt es von der KNX Assoziation nun “Secure KNX”. Ich habe mir das noch nicht im Detail angeschaut. Warum? In erster Linie, weil die existierenden älteren Geräte, die bereits verbaut wurden, keine Security-Erweiterung unterstützen. Evtl. wird KNX Security in Zukunft an Bedeutung gewinnen, im Moment wird es von praktisch keinen Geräten unterstützt, die in bestehenden KNX-Installationen zu finden sind.

Z-Wave goodbye? Not yet

If you are interested in security, you might already know Steve Gibson’s podcast “Security now”. You might not agree with all of his opinions, but he collects quite a lot of information what’s happening in computer security. Make sure you understand what part of the podcast is advertisement and what is real information – as it is not always obvious.

At the latest episode, Steve has a look at an attack to Z-Wave that had been shown recently. As the podcast is always long, you should skip to 1:41 (minute 101).

goodbye-zwave

Steve has some valid points against Z-Wave. Especially the fact that most of the standard isn’t publicly available means that there can be flaws in the design or the system that can’t be easily corrected. However, if you look at the presentation the podcast if referring to, you will see that the guys did not break the Z-Wave encryption. It just wasn’t available in the network they hacked into as it isn’t widely used today.

Does this mean Z-Wave is secure? Not really, but it also doesn’t mean that Z-Wave is insecure in general. We just don’t know yet how secure it is. Would I use it for a door lock? Most likely not. But it might be still a relatively inexpensive choice for some non-critical functionalities.

References

Is wireless the future?

Looking at new companies in the home automation industry it looks like many of them prefer some kind of radio frequency data transmission. This makes sense as customers don’t want to have additional cables in their home. But is this really the future of home automation? I’m not sure. Here are some arguments against wireless control:

  1. Reliability: with more and more devices communicating wireless, interoperability problems can become more and more problematic.
  2. Power supply: with some exceptions (e.g. EnOcean), even wireless devices need a power supply. This mean either cabling or batteries that need to be changed regularly
  3. Security: Wireless devices are easier to attack than wired devices (at least if these are not connected to a public network).

Especially the security aspect is important in my point of view. Many home automation devices will be used for 10-50 years. While it might be reasonable to buy a new music player every 5 years, you don’t want to change your wall switches every 10 years. The development of encryption algorithms has shown that no algorithm is secure forever. This means the software has to be updated from time to time. Newer encryption algorithms might even need more powerful hardware. Do you believe your supplier will provide software updates for the devices during the next 20 years?