Forum: Offtopic Das "Internet of shitty Things" und die Selbst­jus­tiz

Die Firma hat eine Rücknahme und Kostenerstattung angeboten.
Wo liegt das Problem?

Man merke: zum Streit gehören immer (mindestens) Zwei.

Das Konzept ist schon von Anfang an bescheuert. Wer laesst sowas ueber 
den Server des Herstellers laufen ? Der Kaeufer hat sich damit zu Begin 
als Depp positioniert.

Lothar M. schrieb:
> Wo liegt das Problem?
Vielleicht darin, dass man seine Meinung nicht mehr aeussern darf?
Auch eine schlechte Bewertung (wo gegen schon mehrfach auf den 
verschiedensten Platformen geklagt wurde) ist eine Meinung, mit der der 
Hersteller leben muss. (Alles unter der Annahme, dass die Bewertung 
gerechtfertigt ist!)
Auch Aerzte haben schon gegen schlechte Bewertungen geklagt.

Ebenso sehe ich das Problem darin, dass einem Kunden die Kontrolle ueber 
sein Eigentum (ob er damit zufrieden ist oder nicht spielt gar keine 
Rolle) entzogen wurde. Genau wie bei FTDI und Brickerbot, nur aus 
anderen Gruenden.

Auch wenn ich mit meinem Auto unzufrieden bin, und anderen Menschen von 
diesem KFZ-Hersteller bzw. von diesem konkreten Modell abrate, so gibt 
dies dem KFZ-Hersteller nicht das Recht mein Auto unbrauchbar zu machen.

Nur weil mir der Hersteller eine Ruecknahme anbietet, bin ich ja 
trotzdem noch unzufrieden mit dem Auto. Deswegen aendere ich ja nicht 
die Bewertung von einem Stern auf fuenf Sterne. Das Produkt bleibt das 
Produkt, und es bleibt so kacke, wie es eben ist.

Lothar M. schrieb:
> Man merke: zum Streit gehören immer (mindestens) Zwei.
Ja, und einer davon muss es zum eskalieren bringen. Hier sehe ich den 
Hersteller als Eskalateur (gibt es dieses Wort?), indem er dem Kunden 
die Kontrolle ueber sein Eigentum entzieht.

Lothar M. schrieb:
> Die Firma hat eine Rücknahme und Kostenerstattung angeboten.

1

“At this time your only option is return Garadget to Amazon for a

2

refund. Your unit ID 2f0036… will be denied server connection.”

Das liest sich fuer mich so:

1

Alles was du jetzt machen kannst, ist das Produkt zurueck geben.

2

Gleichzeitig deaktivieren wir dein Geraet.

Und das ist ein entscheidener Unterschied.
Der Hersteller bringt die Sache direkt zum eskalieren, indem er das 
Geraet direkt unbrauchbar macht.

1

...only demonstrates your poor impulse control.

Da ist der Hersteller kein bisschen besser.

Kaj G. schrieb:
> Lothar M. schrieb:
>> Wo liegt das Problem?
> Vielleicht darin, dass man seine Meinung nicht mehr aeussern darf?
Konnte er doch.

> Nur weil mir der Hersteller eine Ruecknahme anbietet, bin ich ja trotzdem
> noch unzufrieden mit dem Auto. Deswegen aendere ich ja nicht die Bewertung
> von einem Stern auf fuenf Sterne.
Das steht doch nirgends, dass er das hätte machen sollen.

> Hier sehe ich den Hersteller als Eskalateur (gibt es dieses Wort?),
> indem er dem Kunden die Kontrolle ueber sein Eigentum entzieht.
Ja, das kann man so sehen. Aber es ist eben so, dass manche 
zuallererst mal ihren Frust in alle Öffentlichkeit hinausposaunen (so 
wie sie es mit dem Foto vom Eis und dem Döner und sonst jedem Furz auch 
täglich, stündlich und minütlich tun). Und eben nicht zuerst mal den 
Anbieter kontaktieren, der da evtl. helfen könnte. Ich habe solche 
Zeitgenossen gefressen, die sich erst mal bei Allen beklagen, wie 
schlecht das und jenes doch ist, und auf die Frage "hast du da mal 
nachgefragt" ein "Nein, warum?" kommt.

> Das liest sich fuer mich so:
> Alles was du jetzt machen kannst, ist das Produkt zurueck geben.
Das ist doch eine klare Ansage.
> Gleichzeitig deaktivieren wir dein Geraet.
Ja, es funktioniert doch eh' nicht...
Was ist jetzt nochmal das Problem?

Naja, jetzt weiß man zumindest mit welchem Level an Professionalität man 
es hier zu tun hat, und kann entscheiden ob man ein Gerät so einer Firma 
in seit Netz lassen möchte.

Ich warte ja auf den Tag (im Sommer 2018), wo einer im Auto verreckt 
(gekocht wird), weil ein Hacker die Türverriegelung von "Always on"-Auto 
lahm legt..

der Hersteller vom Auto wird dann auch sage: ok ausnahmsweise können sie 
das Auto ja zurückgeben..

Lothar M. schrieb:
> Die Firma hat eine Rücknahme und Kostenerstattung angeboten.
> Wo liegt das Problem?
>
> Man merke: zum Streit gehören immer (mindestens) Zwei.

Jau, aber man muss diesen Mist immer noch selbst ein und ausbauen. Das 
macht es ja nicht von selbst.

Gruss
Axel

Die Firma hat hier klar die Grenze überschritten - sie hat nicht nur die 
Rücknahme angeboten (wie das in so einem Fall sein sollte), sondern das 
Gerät bereits präventiv deaktiviert!

Zu diesem Zeitpunkt war das Angebot auf Rücknahme noch nicht vom Kunden 
angenommen worden, soweit ich das aus dem Text lese - d.h. der Kunde hat 
ein Garagentor, dass er nicht mehr steuern kann - wenn es nun zufällig 
offen steht während der Hersteller die Verbindung kappt, wird das mit 
dem ordnungsgemäßen abbauen evt. schwierig...

---
edit: Typo

Lothar M. schrieb:
> Kaj G. schrieb:
>> Hier sehe ich den Hersteller als Eskalateur (gibt es dieses Wort?),
>> indem er dem Kunden die Kontrolle ueber sein Eigentum entzieht.
> Ja, das kann man so sehen. Aber es ist eben so, dass manche
> zuallererst mal ihren Frust in alle Öffentlichkeit hinausposaunen (so
> wie sie es mit dem Foto vom Eis und dem Döner und sonst jedem Furz auch
> täglich, stündlich und minütlich tun). Und eben nicht zuerst mal den
> Anbieter kontaktieren, der da evtl. helfen könnte. Ich habe solche
> Zeitgenossen gefressen, die sich erst mal bei Allen beklagen, wie
> schlecht das und jenes doch ist, und auf die Frage "hast du da mal
> nachgefragt" ein "Nein, warum?" kommt.
>

Warum sollte ich man tun ?

Ich habe die Erwartung, dass Serienprodukte bei mir funktionieren, ohne 
dass ich erst lange mit dem Hersteller reden muss. Ich habe schlicht 
keinen Bock drauf, irgendwelche Bananenprodukte ans Laufen zu bekommen.

Und wenn ein Garagentoröffner nur mit dem Server des Herstellers 
funktioniert, ist das Ding sowieso grundlegend Schrott, da hilft es auch 
nicht, wenn der jetzt mal nachbessert. Spätestens, wenn der Hersteller 
Pleite geht, ist das nur noch Altmetall.

Gruss
Axel

Axel L. schrieb:
> Und wenn ein Garagentoröffner nur mit dem Server des Herstellers
> funktioniert, ist das Ding sowieso grundlegend Schrott
Herzlich willkommen in der Cloud. Wo soll denn das Gerät sonst gehostet 
werden? Selber einen Server mieten, um im "Internet der Dinge" sein 
Garagentor abrufen zu können?

> Ich habe die Erwartung, dass Serienprodukte bei mir funktionieren, ohne
> dass ich erst lange mit dem Hersteller reden muss. Ich habe schlicht
> keinen Bock drauf, irgendwelche Bananenprodukte ans Laufen zu bekommen.
Bei solchen Early-Adopter-Gadgets von irgendwelchen kleinen Startups 
ohne Serienerfahrung wird das aber des Öfteren passieren.

Natürlich wird diese "Firma" mit ihrem Geschäftsgebaren so nicht lange 
am Markt bleiben. Und wenn ich mir das Layout (und das was ich vom 
Schaltplan sehe) dieses Geräts mal so ansehe, ist eine Fehlfunktion 
irgendwie naheliegend...

> Herzlich willkommen in der Cloud. Wo soll denn das Gerät sonst gehostet
werden? Selber einen Server mieten, um im "Internet der Dinge" sein
Garagentor abrufen zu können?

Wozu einen Server ? Nee. Meine App spricht mit meinem Garagentor. Da 
gehoert nichts sonst dazu, und auch nichts dazwischen. Ausser dem 
Internet als Transportmedium. Und wenn ich da dann eben ein Kaestchen, 
heisst Homecontroller, als Server auf dem Router freischalten muss, dann 
so.

Ich habe so meine Zweifel, dass die Deaktivierung des Produktes aus der 
Ferne ohne triftigen Grund in Europa überhaupt rechtlich haltbar wäre...

Sapperlot W. schrieb:
> Meine App spricht mit meinem Garagentor. Da gehoert nichts sonst dazu,
> und auch nichts dazwischen. Ausser dem Internet als Transportmedium.
Du weißt, wie das Internet funktionert? Genau für diesen Tansport 
brauchst du einen Server.

Sapperlot W. schrieb:
>> Herzlich willkommen in der Cloud. Wo soll denn das Gerät sonst
> gehostet
> werden? Selber einen Server mieten, um im "Internet der Dinge" sein
> Garagentor abrufen zu können?
>
> Wozu einen Server ? Nee. Meine App spricht mit meinem Garagentor. Da
> gehoert nichts sonst dazu, und auch nichts dazwischen. Ausser dem
> Internet als Transportmedium. Und wenn ich da dann eben ein Kaestchen,
> heisst Homecontroller, als Server auf dem Router freischalten muss, dann
> so.

die Cloud-lösung ist 100mal einfacher, deshalb wird das auch so 
verkauft..
keine Probleme mit Port-Forward, VPN einrichten, dyndns, 
internetanschluss ohen eigen IPadresse. usw. usw.

als Hersteller ist man da sicher in der zwickmühle: macht manes 
"Kundenfreundlich" oder "Sicher"er ...

Lothar M. schrieb:
> um im "Internet der Dinge" sein Garagentor abrufen zu können?

Habe ich das richtig verstanden? Nur um das Tor mit einem Gugelfon 
bedienen zu können? Sind die Leute nur noch dämlich? Wie die mit den 
Glühbirnen.

Die Menschheit wird immer dümmer..

Der Fehler liegt hier doch schon im Prinzip. So etwas muß nicht über das 
aus verschiedenen Gründen problematische (Verfügbarkeit, Hacker...) 
Internet laufen, sondern lokal über Bluetooth. Natürlich ist es viel 
teurer, ein Bluetooth-Gerät für iPhone zu entwickeln (Lizenzkosten), 
aber am Ende ist die Lösung dann auch, was sie sein soll, und nicht das, 
was hier den Kunden geärgert hat.

Fra N. schrieb:
> Habe ich das richtig verstanden?
> Nur um das Tor mit einem Gugelfon bedienen zu können?
Um im Geschäft nachsehen zu können, ob man vergessen hat, sein Tor zu 
schließen...

Sebastian E. schrieb:
> So etwas muß nicht über das aus verschiedenen Gründen problematische
> (Verfügbarkeit, Hacker...) Internet laufen, sondern lokal über Bluetooth.
Genau damit kann ich aber nur die letzten 5 Meter vor dem Tor bedienen.

Robert L. schrieb:
> Ich warte ja auf den Tag (im Sommer 2018), wo einer im Auto verreckt
> (gekocht wird), weil ein Hacker die Türverriegelung von "Always on"-Auto
> lahm legt..

Ein "Notausstiegshammer" (wie in Bus oder Bahn)
ist auch im Auto nie verkehrt. In Kombination mit 'nem Gurtschneider

Aber lacht Euch man diesen ganzen IoT Quatschkram nur an,
das wird noch alles sehr interessant, mit viel Popcornpotential

Lothar M. schrieb:
> Herzlich willkommen in der Cloud. Wo soll denn das Gerät sonst gehostet
> werden? Selber einen Server mieten, um im "Internet der Dinge" sein
> Garagentor abrufen zu können?

Das Garagentor-Thing könnte seinen eigenen Server eingebaut haben. Da 
müsste gar keine dritte Komponente noch irgendwo anders gehostet werden. 
Es heißt doch Internet of Things (IoT) und nicht Internet of Clouds 
for Things (IoCfT).

So, das war einfach. Nächste Frage?

Lothar M. schrieb:
...
> Natürlich wird diese "Firma" mit ihrem Geschäftsgebaren so nicht lange
> am Markt bleiben. Und wenn ich mir das Layout (und das was ich vom
> Schaltplan sehe) dieses Geräts mal so ansehe, ist eine Fehlfunktion
> irgendwie naheliegend...

Lothar, wo hast Du denn den Schaltplan her?
Ich hab nach kurzer Suche nichts gefunden und garadget.com war down...

Marcus H. schrieb:
> Lothar, wo hast Du denn den Schaltplan her?
Irgend so ein Facebook-Dingens, wo ein paar Ausschnitte zu sehen sind.

Bernd K. schrieb:
> Das Garagentor-Thing könnte seinen eigenen Server eingebaut haben.
Dann darfst du aber nicht zwischendurch mal eine neue IP zugewiesen 
bekommen. Usw. Usf. Auf jeden Fall jede Menge Zinnober...

Und natürlich könnte man das auch mit einem GSM-Modem und einem 
Prepaid-Tarif machen...

Oder, oder, oder...

Aber das IoT funktioniert nun mal genau so wie dieser Toröffner: über 
die Daten-klaut!

Lothar M. schrieb:
> Marcus H. schrieb:
>> Lothar, wo hast Du denn den Schaltplan her?
> Irgend so ein Facebook-Dingens, wo ein paar Ausschnitte zu sehen sind.

Ah, Facebook. Davon hört man öfter mal was. Muss ich mir mal anschauen.
Mach ich, sobald ich auf EAGLE 8 aufgerüstet habe.

Achtung - Fangfrage:
Darf ich noch kurz fragen, was Dich an dem Schaltplanausschnitt stört?

Sapperlot W. schrieb:
>> Herzlich willkommen in der Cloud. Wo soll denn das Gerät sonst gehostet
> werden? Selber einen Server mieten, um im "Internet der Dinge" sein
> Garagentor abrufen zu können?
>
> Wozu einen Server ? Nee. Meine App spricht mit meinem Garagentor. Da
> gehoert nichts sonst dazu, und auch nichts dazwischen. Ausser dem
> Internet als Transportmedium. Und wenn ich da dann eben ein Kaestchen,
> heisst Homecontroller, als Server auf dem Router freischalten muss, dann
> so.

Viel Spaß mit Carrier-Grade-NAT ;)

Reinhard S. schrieb:
>> Wozu einen Server ? Nee. Meine App spricht mit meinem Garagentor. Da
>> gehoert nichts sonst dazu, und auch nichts dazwischen.
>
> Viel Spaß mit Carrier-Grade-NAT ;)

Willkommen bei IPv6.

Marcus H. schrieb:
> Darf ich noch kurz fragen, was Dich an dem Schaltplanausschnitt stört?
Er ist unscharf...  ;-)

Lothar M. schrieb:
> Marcus H. schrieb:
>> Darf ich noch kurz fragen, was Dich an dem Schaltplanausschnitt stört?
> Er ist unscharf...  ;-)

Ah, ich dachte Du störst Dich an der LED-Transistorschaltung ohne 
Vorwiderstand. Die "LED" ist ein 5V-Lasermodul, die Auslegung ist an 
dieser Stelle erstmal nicht falsch.

Das Layout allerdings ist auf maximale Induktivität auslegt. ;)

Sapperlot W. schrieb:
> Das Konzept ist schon von Anfang an bescheuert. Wer laesst sowas ueber
> den Server des Herstellers laufen ? Der Kaeufer hat sich damit zu Begin
> als Depp positioniert.

Häufig steht sowas auch unverblümt in den AGB mit denen sich die 
Benutzer einverstanden erklären. Warum auch immer sie dies tun. Falls 
es tatsächlich so dort geschrieben stand ist der Vorfall halt 
persönliches Pech möchte ich mal sagen. Selber Schuld. Wer sich selbst 
für dumm erklärt und dies quittiert wird eben auch so behandelt. Ist 'ne 
böse Welt, da draussen...

PS: Hat jemand einen Link zu den TOS von diesem Garage-IoT-Dingsbums bei 
der Hand? Ich habe sie ad hoc nicht gefunden, aber interessieren würde 
es mich jetzt schon. :/

Sapperlot W. schrieb:
> Das Konzept ist schon von Anfang an bescheuert. Wer laesst sowas ueber
> den Server des Herstellers laufen ? Der Kaeufer hat sich damit zu Begin
> als Depp positioniert.

Wie viele Kunden werden überhaupt annähernd eine Ahnung haben, wie so 
etwas funktioniert?

Ich denke viele kennen vielleicht noch das Garagentor mit Fernbedienung. 
Jetzt wird halt die Fernbedienung gegen das Handy ersetzt, das man 
sowieso schon hat. Eine aus Kundensicht lange überfällige technische 
Neuerung. Was da technisch passiert verstehen sicher nur die wenigsten.

Lampen steuert man üblicherweise dort, wo sich die Lampen befinden, und 
da hat man WLAN. Nicht jeder aber liebt sein Auto so sehr, dass er es im 
Wohnzimmer parkt. Weshalb ein Garagentoröffner, der nur innerhalb der 
Wohnung reagiert, ein wenig seinen Sinn verfehlt. Eigens dafür in der 
Garage einen WLAN-AP/Repeater einbauen?

Timm T. schrieb:
> Dennoch schafft es jede Philips Hue anscheinend, sich mit der Hue Bridge
> als eigenem Server im Intranet steuern zu lassen, ohne dass das Handy
> dazu Daten in "die Cloud" schicken muss.

aha

Why can the Philips Hue app connect without port forwarding?
The Philips Hue app is able to use their private "portal" service. This 
portal service is able to communicate with any Hue bridge connected to 
the open internet. So the Philips Hue app communicates with their 
portal, then the portal delegates the message to your bridge. Currently 
third-party Hue apps (like Hue Pro) are not able to use this portal 
service. However, Philips says they will soon open the portal to other 
apps as well.

"irgenwas" geht da schon über "their portal" (was auch immer das ist)


selber einen (vielleicht noch ohen VPN) server aufstellen, und mittels 
dyndns/portforward zugäglich machen, vielleicht auch noch port 80

ist (in summe) sicher gefährlicher als diese cloud lösungen ..
(wenn FIrma Seriös, und nicht gerade ein China-Webcam)

weil der "unbedarfte" user, dass dann im schlimmsten fall  Admin/Admin 
als passort usw.  und 10 Jahre alter Server Software (weil keien 
Auto-updates) macht...

siehe https://www.shodan.io/

Bernd K. schrieb:
> Es heißt doch Internet of Things (IoT) und nicht Internet of Clouds for
> Things (IoCfT).
Im englischen IoT-Wiki-Artikel taucht aber trotzdem 12x der Begriff 
"cloud" auf. Einmal sogar als austauschbarer Begriff in "Internet/Cloud 
of Things":
https://en.wikipedia.org/wiki/Internet_of_things

Eines noch zu dem, was ich schrieb:
>>> Genau für diesen Tansport brauchst du einen Server.
Was ist an dieser Aussage falsch?
Kann das einer der Minus-Drücker besser erklären?

Lothar M. schrieb:
> Du weißt, wie das Internet funktionert? Genau für diesen Tansport
> brauchst du einen Server.

Wobei eine direkte UDP-Kommunikation zwischen Peers möglich ist, sobald 
beide Seiten die öffentliche IP-Adresse und den öffentlichen Port des 
Peers kennen. NAT und einfache Firewalls wie in Homeroutern stehen dem 
nicht im Weg. Im Grunde braucht man einen Server also nur, um für den 
Verbindungsaufbau ebendiese Kenntnis zu gewinnen. Für den Transport der 
Inhalte braucht man ihn dann nicht mehr.

A. K. schrieb:
> Für den Transport der Inhalte braucht man ihn dann nicht mehr.
Gut.

> Im Grunde braucht man einen Server also nur, um für den Verbindungsaufbau
> eben diese Kenntnis zu gewinnen.
Wie oft muss die Verbindung aufgebaut werden?

> einfache Firewalls wie in Homeroutern stehen dem nicht im Weg.
Das heißt aber auch, dass es bei einer "komplizierten" FW schon nicht 
geht. Also in 1 von 100 Fällen? Oder 1 von 10?

Lothar M. schrieb:
>> Im Grunde braucht man einen Server also nur, um für den Verbindungsaufbau
>> eben diese Kenntnis zu gewinnen.
> Wie oft muss die Verbindung aufgebaut werden?

Wenn sie durch die Peers offen gehalten wird, indem regelmässig Pakete 
gesendet werden, gibt es keine prinzipielle Obergrenze. Schläft ein Peer 
länger ein als die Firewall die Quasi-Verbindung hält, bricht sie 
zusammen.

>> einfache Firewalls wie in Homeroutern stehen dem nicht im Weg.
> Das heißt aber auch, dass es bei einer "komplizierten" FW schon nicht
> geht. Also in 1 von 100 Fällen? Oder 1 von 10?

Mit Wahrscheinlichkeiten kann ich nicht dienen. Diese Einschränkung 
schrieb ich schon deshalb rein, weil es zu den Aufgaben von 
Enterprise-Firewalls zählt, so etwas zu erkennen, sofern irgendwie 
möglich. Wie gut oder schlecht die dabei sind weiss ich nicht.

So erkennen einige Enterprise-Firewalls Daten am Inhalt, unabhängig vom 
Port. Da wird beispielsweise auf einem offenen Port nur dann RDP 
durchkommen, wenn das auch für diesen Inhalt geöffnet wurde. Und 
Web-Browsing kann scheitern, sobald z.B. JSON dabei ist.

Aber es reicht ganz offensichtlich aus, um beispielsweise bei Skype oft 
genug eine direkte Verbindung des Sprach/Videokanals zu ermöglichen.

Mit Einschränkungen gibt es das übrigens auch bei TCP.

https://en.wikipedia.org/wiki/UDP_hole_punching
https://en.wikipedia.org/wiki/TCP_hole_punching

Für die Praxis und das IoT bedeutet das also, dass der normale User die 
Kommunikation über die Cloud machen muss, weil der Hersteller des Geräts 
hier die einfachste und portierbarste Lösung für den Verbindungsaufbau 
und den Datentransfer hat. Besonders auch bei mobilen Geräten, die ja 
evtl. laufend in anderen Netzen unterwegs sind (mal GSM, mal WLAN...).

Lothar M. schrieb:
> weil der Hersteller des Geräts
> hier die einfachste und portierbarste Lösung für den Verbindungsaufbau
> und den Datentransfer hat. Besonders auch bei mobilen Geräten,

.... soweit so klar und richtig, aber es gibt ihm darüber hinaus das 
Nutzerverhalten zu studieren mittels konkreten und statistischer 
Analysemethoden und so seine Marktstellung auszubauen, was dann 
Begehrlichkeiten weckt .... und Nebengeschäfte, aber auch Missbrauch 
ermöglicht.

Namaste

Robert L. schrieb:
> keine Probleme mit Port-Forward, VPN einrichten, dyndns,
> internetanschluss ohen eigen IPadresse. usw. usw.

Um dem IoT Anwender derart Unbill vom Leib zu halten gibt es eine 
entsprechende Möglichkeit im Universal Plug and Pray, darin das IGP. 
Wenn es dem Anwender unzumutbar ist, seine Firewall kontrolliert zu 
öffnen, dann automatisiert man das Verfahren einfach, indem das Gerät im 
Netz die Firewall dazu auffordert.

https://avm.de/service/fritzbox/fritzbox-7270/wissensdatenbank/publication/show/894_Automatische-Portfreigaben-ueber-UPnP-einrichten/

Ähnlich das Port Control Protocol, das es von CG-NAT geplagten DS-Lite 
Kunden möglich macht, IPv4 Dienste anzubieten. Wenn die Provider das 
unterstützen.

>dann automatisiert man das Verfahren einfach, indem das Gerät im
>Netz die Firewall dazu auffordert.

und man vertraut damit dem Hersteller dass das Gerät ansich (der Server 
zuhause) dann sicher ist, alles schön verschlüsselt ist und er keine 
unsinn treibt und immer schön sicherheits-updated..

das ist natürlich VIEL besser als cloud ;-)

Robert L. schrieb:
> und man vertraut damit dem Hersteller dass das Gerät ansich (der Server
> zuhause) dann sicher ist, alles schön verschlüsselt ist und er keine
> unsinn treibt und immer schön sicherheits-updated..

Weshalb AVM das zwar anbietet, es aber erst eingeschaltet werden muss, 
und auch deutlich auf das Risiko hingewiesen wird.

Robert L. schrieb:
> das ist natürlich VIEL besser als cloud ;-)

Für Botnets ist das super. Hängst dir eine Steuerung ins Haus und denkst 
das sei ja intern im WLAN also kann nix passieren... Da ist die 
Cloud-Lösung allemal besser. Aber was tut man nicht alles, um es dem 
Anwender (und dem Bot) so einfach wie möglich zu machen.

Mensch, hab ich's gut! Meine Drahtlosen Lampensteuerungen verlassen 
sich, oh Graus, noch auf ungeschützte altmodische einfache festkodierte 
Datenradios die jeder Bösewicht in der Nachbarschaft hacken kann. Hat 
allerdings bis jetzt noch niemand vesucht. Ich habe ja alles nette 
Nachbarn.

Keine Konfigurierung und Anbindung ans Internet notwendig. Einstecken 
und es funktioniert. Wenn es zeitlich gesteuert werden soll, dann kommt 
noch eine Schaltuhr zum Einsatz.

Und wenn ich wirklich was fernsteuern will wenn ich mal nicht daheim 
bin, mache ich es mit SMS. Auch Kommandozeile ist gut.

Aber dafür brauche ich mir um die besprochenen Probleme keine Gedanken 
machen. Keine Server. Keine monatliche Gebühren. Keine Abhängigkeit 
durch Dritte und global gesehen, viele, viele KWh an Infrastruktur 
Leistungsaufnahme nehme ich zumindest für mich nicht in Anspruch und 
brauche mich auch um eine funktionierende Internetverbindung nicht zu 
kümmern. Naja, jeder muß selber wissen inwieweit er sich durch Dritte 
und die Internetinfrastruktur abhängig machen will.


Low Tech ist tot. Es lebe Low Tech!

Volle Zustimmung, Gerhard. Und wenn man denn wirklich etwas aus der 
Ferne überwachen muss, dafür gibt es noch immer GSM-Modems. Das Beste 
daran: Um per SMS fernzusteuern, brauche ich noch nicht einmal ein 
Smartphone. Neu ist eben nicht immer besser.

Sebastian E. schrieb:
> Um per SMS fernzusteuern

brauchen andere dann wieder 'ne Kontrolle per Webcam,
ob das Schaltereignis auch korrekt war.

War das nicht eher "Dunkeldeutschland"? ;-)

Sebastian E. schrieb:
> Volle Zustimmung, Gerhard. Und wenn man denn wirklich etwas aus
> der
> Ferne überwachen muss, dafür gibt es noch immer GSM-Modems. Das Beste
> daran: Um per SMS fernzusteuern, brauche ich noch nicht einmal ein
> Smartphone. Neu ist eben nicht immer besser.

das wäre aber komplett unverschlüsselt
und von "jedem" abhörbar..?!

Robert L. schrieb:
> das wäre aber komplett unverschlüsselt
Nein, es kommt A5/1 zum einsatz:
https://de.wikipedia.org/wiki/A5_(Algorithmus)
(Die schliessende Klammer gehoert noch zum Link...)

Robert L. schrieb:
> und von "jedem" abhörbar..?!

1

Der britische Informatiker Ross Anderson vertrat 1994 die Meinung,

2

es sei absichtlich eine schwache Chiffre ausgewählt worden, um den

3

Nachrichtendiensten der NATO das Abhören von Gesprächen zu ermöglichen.

4

Dies wurde später bestätigt.

Sources: We were pressured to weaken the mobile security in the 80's
http://www.aftenposten.no/verden/Sources-We-were-pressured-to-weaken-the-mobile-security-in-the-80s-98459b.html#.UtBeNpD_sQs

Mittlerweile kann es wirklich "jeder", braucht gerade mal Hardware fuer 
unter 1.000 Euro.

Building a portable GSM BTS using the Nuand bladeRF, Raspberry Pi and 
YateBTS
https://blog.strcpy.info/2016/04/21/building-a-portable-gsm-bts-using-bladerf-raspberry-and-yatebts-the-definitive-guide/

Timm T. schrieb:
> Man fasst sich echt an den Kopp, wie Banken sowas wie SMS-Tan für sicher
> erklären können.

Es ist nicht sicher, aber es ist ein zweiter völlig getrennter Weg, auf 
(hoffentlich) separatem Gerät. Dadurch entsteht die relative 
Sicherheit. Beide Wege gleichzeitig zu knacken ist zwar möglich, aber 
wesentlich aufwändiger.

Eine Banking-App (oder Webseite), durch SMS-TAN auf dem gleichen 
Smartphone oder Tablet abgesichert, ist allerdings grober Unfug.

> Aber Banken verlangen ja auch, dass man Passwörter mit
> 5 Stellen verwendet.

Die erforderliche Länge eines Passwortes hängt extrem davon ab, wieviele 
Versuche man hat. Wird der Zugang nach dem zehnten Versuch bis zur 
Wiederfreischaltung gesperrt, dann sind keine 15 Zeichen notwendig.

Besteht aber die Möglichkeit, Passwörter automatisiert beliebig 
auszuprobieren, sind 5 Stellen ungeeignet.

Sebastian E. schrieb:
> Volle Zustimmung, Gerhard. Und wenn man denn wirklich etwas aus der
> Ferne überwachen muss, dafür gibt es noch immer GSM-Modems. Das Beste
> daran: Um per SMS fernzusteuern, brauche ich noch nicht einmal ein
> Smartphone. Neu ist eben nicht immer besser.

Die aktuellen Probleme rühren aber nicht daher dass "neu" per se 
schlecht ist sondern dass die Hersteller das Ganze sehr mangelhaft 
umsetzen.
Aber langsam findet wohl eine Sensibilisierung statt.

Ob der Client der die Anlage steuert nun ein Smartphone mit 
Internetzugang oder ein Nokia 3210 mit SMS ist spielt keine Rolle denn 
die Schwachstelle ist der Übertragungsweg.
Und der ist bei SMS genauso unsicher wie die meisten aktuellen 
internetbasierten Lösungen.
Bei letzteren gibts aber Möglichkeiten das ganze sauber zu kriegen (so 
denn bei den Herstellern mal ein Umdenken stattfindet).

Auch bei dem vielzitierten Garagentoröffner war die Schwachstelle der 
das ganze unbrauchbar macht das von grundauf verkorkste Konzept das eine 
dauerhafte Verbindung zum Server des Herstellers erfordert.

Timm T. schrieb:
> Es geht aber noch einfacher: Über das SS7-Protokoll kannst Du jede SMS
> abfangen, verändern, verschwinden lassen oder faken. Von überall auf der
> Welt. Siehe Youtube-Video "Tobias Engel: SS7: Locate. Track. Manipulate.
> (deutsche Übersetzung)"
>
> Man fasst sich echt an den Kopp, wie Banken sowas wie SMS-Tan für sicher
> erklären können. Aber Banken verlangen ja auch, dass man Passwörter mit
> 5 Stellen verwendet.

Das mit demm SS7-Exploit hatten wir nun schon mehrmals - sind 
mittlerweile
mal Fälle der Anwendung bekannt geworden? Ich hab' nur mitbekommen, das
ein israelisches Unternehmen SS7-Hacking-Dienste zahlungswilligen
Regierungsorganisationen anbietet (
https://www.forbes.com/sites/thomasbrewster/2016/0...
), aber von kriminellen Dienstleistern hört man bisher nix, oder?

Technisch machbar ist die Chose unzweifelhaft, aber recht aufwendig. Wo 
ordentliche Geldmengen als Beute locken, da könnte sich die Chose 
lohnen. Und das ist auch für professionelle Gauner interessant. 
Anscheinend gibt's aber immer noch einfachere Wege, anderen das Geld aus 
der Tasche zu ziehen.

Mal andersherum - welches Identifizierungs- und 
Authentifizierungs-Verfahren für Online-Banking hältst du denn für 
sicher? Gibt es "sicher" überhaupt?

Le X. schrieb:
> die Schwachstelle der das ganze unbrauchbar macht das von grundauf
> verkorkste Konzept das eine dauerhafte Verbindung zum Server des
> Herstellers erfordert.
Genau das ist das IoT: die Kommunikation läuft über das Internet und 
die Cloud. Und wer immer "die Cloud" hostet, der hat die Macht, dein IoT 
Device stillzulegen.

Lothar M. schrieb:
> Genau das ist das IoT: die Kommunikation läuft über das Internet und
> die Cloud. Und wer immer "die Cloud" hostet, der hat die Macht, dein IoT
> Device stillzulegen.

IoT ist erstmal ein Buzzword aus dem Marketing ohne konkrete Definition 
oder gar einem technischen Standard.
Die heutigen Umsetzungen sind fast alle mangelhaft, das heißt aber nicht 
dass es so bleiben muss.

Dass immer mehr Geräte vernetzt sein werden kann hier keiner ändern, das 
wird so kommen. Man kann dem bestenfalls aus dem Weg gehen (solange TVs 
z.B. ohne Netz noch hochfahren).
Mittelfristig sollte das Zeugs aber wenigstens sicher und sauber werden, 
auch wenn sich der konkrete Nutzen einer bestimmten Anwendung nicht 
erschließt.

Matthias L. schrieb:
> Mal andersherum - welches Identifizierungs- und
> Authentifizierungs-Verfahren für Online-Banking hältst du denn für
> sicher?


Ich benutze inzwischen für 4 von 5 Konten Card-Tan. weil ich dies für 
das relativ sicherste angebotenen verfahren halte.


"Mobile Tan" lehne ich aus generellen Erwägungen ab. Das Versenden von 
Schlüssel und Geheimtext über so relativ leicht abhörbare und 
miteinander verbundene Netzwerke ist imho so gut wie offen zu 
kommunizieren. Einem möglichen "man in the middle" near_realtime_hack 
ist man dadurch de fakto schutzlos und unbemerkbar ausgesetzt, auch wenn 
es nur selten auftritt.


> Gibt es "sicher" überhaupt?

Sicherheit ist relativ. Die Kunst ist den Aufwand für den Angreifer 
höher zu halten als dessen Nutzen, wodurch der Angriff obsolet wird.

Namaste

Winfried J. schrieb:
> Sicherheit ist relativ. Die Kunst ist den Aufwand für den Angreifer
> höher zu halten als dessen Nutzen, wodurch der Angriff obsolet wird.

Oder, aus Sicht der Banken: Der Aufwand für höhere Sicherheit ist erst 
dann gerechtfertigt, wenn die Kosten für Einführung und Betrieb nicht 
höher sind, als das, was die Banken bei der schlechteren Lösung für den 
Ausgleich von Missbrauch aus deren eigener Tasche berappen müssen.

Das muss sich nicht mit den Interessen der Kunden decken, wenn es den 
Banken statt dessen gelingt, nicht ausreichende Sicherheit auf den 
Kunden abzuwälzen. Ein bisweilen etwas umstrittenes Thema.

Timm T. schrieb:
> Im Konto findest Du dann idealerweise die Mobilnummer unter den
> Kundenkontaktdaten eingetragen.

Bei meinen Banken sind die allerdings nicht sichtbar.

> Für diese Mobilnummer leitest Du SMS auf
> Dein eigenes Handy um. Jetzt kannst Du fröhlich Überweisungen ausführen,
> Du brauchst dazu weder Zugang zum Rechner noch zum Handy des Opfers, Du
> brauchst keinen Banking-Trojaner.

Jepp. Daher liegt hier auch ein alter Knochen, den ich nur für's Banking 
verwende und auch nur dann einschalte. Die Nummer wurde der Bank nur 
schriftlich mitgeteilt und taucht sonst nirgendwo auf. Sollte also 
halbwegs sicher sein.

Letztendlich ist Sicherheit eben immer eine Frage des Aufwands.

Halbwegs sicher dürften wohl nur Verfahren sein, bei denen die 
Überweisungsdaten durch ein Extragerät aufgenommen (z.B. QR-Code), zur 
Prüfung angezeigt und mit dem nur dort und in der Bank vorhandenen 
Schlüssel verschlüsselt werden. Und den Code tippt man dann ein.

A. K. schrieb:
> Winfried J. schrieb:
>> Sicherheit ist relativ. Die Kunst ist den Aufwand für den Angreifer
>> höher zu halten als dessen Nutzen, wodurch der Angriff obsolet wird.
>
> Oder, aus Sicht der Banken: Der Aufwand für höhere Sicherheit ist erst
> dann gerechtfertigt, wenn die Kosten für Einführung und Betrieb nicht
> höher sind, als das, was die Banken bei der schlechteren Lösung für den
> Ausgleich von Missbrauch aus deren eigener Tasche berappen müssen.
>
> Das muss sich nicht mit den Interessen der Kunden decken, wenn es den
> Banken statt dessen gelingt, nicht ausreichende Sicherheit auf den
> Kunden abzuwälzen. Ein bisweilen etwas umstrittenes Thema.

... was beweist, dass Ökonomie die Triebkraft aller Sicherheitskonzepte 
ist und das Moral an sich keinen ökonomischen Wert besitzt, sondern nur 
soviel als notwendig ist die schwächere Partei (Kundschaft etc.) in 
einem ökonomischen Verhältnis(ganz allgemein) bei Laune(von einer 
Aufkündigung diese Verhältnisses ab zu) halten.

Namaste

Timm T. schrieb:
> Nun wende diese Erkenntnis auf das IoT an.

Wie man sieht, konnte das Studium von Marx&Co auch zu IoT erfolgreich 
beitragen. Zumindest rhetorisch. Fehlt jetzt noch die analog formulierte 
Theorie dazu, wie man es besser macht. ;-)

Timm T. schrieb:
>> Anscheinend gibt's aber immer noch einfachere Wege, anderen das Geld aus
>> der Tasche zu ziehen.
>
> Scheint so, aber hältst Du "Es reicht, meine Haustür zuzuklinken,
> solange der Nachbar seine Haustür offenstehen lässt." für ein
> brauchbares Sicherheitskonzept. Spätestens wenn der Nachbar beschließt
> seine Haustür abzuschließen, wandert das Problem zu Dir.

Nein, das halte ich natürlich nicht für ein funktionierendes 
Sicherheitskonzept - wo soll ich ich das denn geschrieben haben??

Ich stelle lediglich fest, dass das von dir gerne beschriebene 
Schreckensszenario der SS7-Manipulation offenbar von den Kriminellen 
(noch) gar nichts genutzt wird - jedenfalls ist davon nichts bekannt 
geworden.

Und ich habe gefragt, was du denn für ein sicheres Konzept hältst.

Vielleicht sollte man bei der Konzeption eigener Heimsteuerungssysteme 
zuerst über praktisch vernünftige wirklich notwendige 
Sicherheitsanforderungen nachdenken. Nicht alles muss wie Fort Knox 
gesichert sein.

Überwachung und Steuerung über Internet:
- Höchste Anforderungen notwendig weil der "Feind" die ganze Welt ist.
- AES oder besser Verschlüsselung empfehlenswert.
- Rolling code Verschlüsselung
- UDP mit ungewöhnlichen Protokollen
- Die eigentliche Steuerung über einfache Serial Schnittstelle so dass 
Hausinterne Steuerungs TCP/IP Geräte nicht sabotiert und übernommen 
werden können. Internet Schnittstelle muss in FLASH laufen und kann 
deshalb nicht fern programmiert werden. Das dürfte dem Problem von 
Sabotage (Bots, etz) endgültig ein Ende bereiten.

(Das Problem mit Herstellerlösungen ist immer das gleiche: nämlich das 
fanatische Verlangen seitens der Hersteller Fern Software Updates machen 
zu wollen und totale Kontrolle über das System haben zu wollen. Wenn das 
nicht notwendig ist, kann man sich viel besser schützen und Sabotage 
unmöglich machen)

SMS Steuerung:
- Für normale Bürger ist das Risiko gering und kann mit eigenen 
Sicherheitsvorkehrungen genügend geschützt werden.
- Rolling Code Verschlüsselung ist eine mögliche Lösung
- Andere einfachere Schutzmethoden sind ausreichend
- Bei Eigenbaulösungen kann man sich gegen unbefugte Übernahme leicht 
sichern.

Drahtlose Kurzstreckensteuerung mittels üblicher Datenradios:
- Wahrscheinlichkeit von "Feind Übernahme" relativ unwahrscheinlich
- Auswirkung von unbefugter Übernahme meist kein großes Problem
- Falls doch wichtig, verwende rolling Code Verschlüsselung
- Jamming ist natuerlich sehr leicht möglich

Steuerung sollten immer Plausibilität Vorkehrungen haben so dass 
gefährliche Steuerungsbefehle erst nach Rückfrage aktuell gemacht 
werden.
Z.B. Garagentür Öffnungsbefehle müssen durch entsprechendes Design 100% 
"Feind" sicher gemacht werden.

mein Garagentor hatte kürzlich einen kleinen Stein im Rahmen.
lag plötzlich zwischen Schwelle und Tor.
Wie immer der da auch zwischen geraten konnte...

Ergebnis:
da das Tor nicht richtig schloss,
fuhr es durch diese Fehlererkennung wieder auf.

und das regel jetzt mal aus Übersee.
mal so als Gedankenstütze, ob man sowas auch übers Web steuern muss.

● J-A V. schrieb:
> mal so als Gedankenstütze, ob man sowas auch übers Web steuern muss.

Wo ist das das Problem, nachdem das Garagentor die peinliche Situation 
ja offenbar erkannt hat? Komplett ohne Internet: Garagentor schickt SMS 
an an dich oder auch gleich an alle Nachbarn. Noch low-techier: Es hupt 
solange bis die Nachbarn ...

Aber ... Moment mal Leute, Auszeit. Mal davon ganz abgesehen: Der 
Türöffner lief über den Server des Herstellers? Also hatte der 
Hersteller de facto ständig die Option das Tor nach Belieben auf und zu 
zu machen?

Ganz abgesehen von allen anderen Dingen ist DAS bereits idiotisch zum 
Quadrat. Wer ist bitte so blöd und gibt einem Wildfremden den Öffner für 
die eigene Garage in die Hand?

Heinz L. schrieb:
> Ganz abgesehen von allen anderen Dingen ist DAS bereits idiotisch zum
> Quadrat. Wer ist bitte so blöd und gibt einem Wildfremden den Öffner für
> die eigene Garage in die Hand?

Das das Konzept des Garagentoröffners völlig vermurkst ist hat hier dnek 
ich niemand bestritten...

Heinz L. schrieb:
> Wer ist bitte so blöd und gibt einem Wildfremden den Öffner für
> die eigene Garage in die Hand?

Ist dein Wohnungstürschloss Teil einer Schliessanlage?

Timm T. schrieb:
> Winfried J. schrieb:
>> was beweist, dass Ökonomie die Triebkraft aller Sicherheitskonzepte
>> ist und das Moral an sich keinen ökonomischen Wert besitzt, sondern nur
>> soviel als notwendig ist die schwächere Partei ... bei Laune... halten.
>
> Nun wende diese Erkenntnis auf das IoT an.

Falls du damit meintest, Das täglich mehr als nur Ein dummer sich 
findet, diese Hürde zu unterlaufen, so spricht bei objektiver 
Betrachtung der bekannten und nur schwer zu bezweifelnden Faktelage, 
einiges für diese flache These. Dafür bedarf es nur wenig 
übermenschlicher Intelligenz,das zu erkennen.

 Namaste

A. K. schrieb:
> Timm T. schrieb:
>> Nun wende diese Erkenntnis auf das IoT an.
>
> Wie man sieht, konnte das Studium von Marx&Co auch zu IoT erfolgreich
> beitragen. Zumindest rhetorisch. Fehlt jetzt noch die analog formulierte
> Theorie dazu, wie man es besser macht. ;-)

Hehe, das werde ich fein lassen. Mit solchen steilen Anläufen haben sich 
bereits Andere zur Genüge verrannt. ;))))
Ich begnüge mich, damit mein Kenntniss auf ein übersschaubares Mass, 
meiner Geschäftstätigkeit anzuwenedn. Das Weltverbessern funktioniert 
erfahrungsbasierten Erkenntnissen nach eher nicht. Als mögliche Ursachen 
kann mann wohl o.g. Zeitgenossen annehmen welche zu logikwidriegen 
Verhalten neigen, von welchen ich niemanden, auch mich selbst nicht 
100%ig auszunehmen vermag. Anders formuliert Einsteins verbleibende 
Sicherheit, die Unendlichkeit betreffend, vereitelt jede 
Weltverbesserei.

Namaste ?

p.S. Bestünde die Menschheit ausschließlich aus Spocks Vaters Klonen, 
sie hätte sich längst der Erkenntnis gebeugt und kollektiven Suizid 
begangen.

Da ist es gut, dass diese Erkenntnis nicht Vielen möglich ist.

Ausgehend, von der Annahme es gäbe keine höhere Entinität, welche mit 
diesem irdischen Spektakel einen wie auch immer gearteten Zweck 
verfolge, so hat eben Jenes bei aller Sinnentbehrung, den Charme, dass 
wir daran vorzüglich unsere ebenso sinnlose Emotionsfähigkeit auszuleben 
vermögen.

Fatalismus, Zynismus, Sarkasmus? Sicher, aber vor allem 
unerschütterlicher Optimismus(s) ;)))

Namaste ?

Timm T. schrieb:
> Wähle Deine bevorzugte Variante.

Garagentorsicherung raus :-)

So wie übrigens auch alle anderen nicht unbedingt benötigten (hier außer 
Kühlschrank, Gefriertruhe, Heizung) Sicherungen, wenn man weg ist.

Spart Strom und ist absolut trojanersicher.

Und nicht vergessen: Wasser abdrehen :-)

Aber ja, es ist ätzend: irgendwie hat man bei den Funkfernbedienungen 
zum Garagentor immer ein ungutes Gefühl, gerade wenn der Code nicht 
offen liegt.

Gibt es eigentlich niemanden (z.B. hier), der sich ein wirklich 
sicheres, offenes System ausgedacht und inkl. Platine und Sendern 
realisiert hat? Das kann ich kaum glauben.

Chris D. schrieb:
> Aber ja, es ist ätzend: irgendwie hat man bei den Funkfernbedienungen
> zum Garagentor immer ein ungutes Gefühl, gerade wenn der Code nicht
> offen liegt.
>
> Gibt es eigentlich niemanden (z.B. hier), der sich ein wirklich
> sicheres, offenes System ausgedacht und inkl. Platine und Sendern
> realisiert hat? Das kann ich kaum glauben.

Wenn die Garagentor-Fernbedienung absolut sicher und für Fort 
Knox-geeignet ist, dann kommt für die Garagen-Öffnung durch Fachkräfte 
für Eigentumstransfer wieder die gute alte Brechstange zum Einsatz...

Natürlich sollte JEDE Komponente einer Zutrittssicherung so sicher wie 
sinnvoll machbar sein - aber es bleibt dabei, dass man nur den zu 
betreibenden Aufwand für einen Einbruch erhöhen kann, die absolute 
Sicherheit lässt sich nicht erreichen.

Chris D. schrieb:
> Gibt es eigentlich niemanden (z.B. hier), der sich ein wirklich
> sicheres, offenes System ausgedacht und inkl. Platine und Sendern
> realisiert hat? Das kann ich kaum glauben.

wozu?
die Lösung mit Heimserver + VPN
oder WPA2 ins eigene WLAN einwählen
gilt gemeinhin als (verdammt) Sicher..

es ist nur nicht idio...  benutzerfreundlich dass man es auf Kickstarter 
stellen kann..

Matthias L. schrieb:
> Chris D. schrieb:
>> Aber ja, es ist ätzend: irgendwie hat man bei den Funkfernbedienungen
>> zum Garagentor immer ein ungutes Gefühl, gerade wenn der Code nicht
>> offen liegt.
>>
>> Gibt es eigentlich niemanden (z.B. hier), der sich ein wirklich
>> sicheres, offenes System ausgedacht und inkl. Platine und Sendern
>> realisiert hat? Das kann ich kaum glauben.
>
> Wenn die Garagentor-Fernbedienung absolut sicher und für Fort
> Knox-geeignet ist, dann kommt für die Garagen-Öffnung durch Fachkräfte
> für Eigentumstransfer wieder die gute alte Brechstange zum Einsatz...

Das ist klar, allerdings riefe das unsere gegenüberliegenden 
pensionierten Nachbarn auf den Plan ;-)

Funk lässt sich eben deutlich leichter abfangen und manipulieren, im 
Prinzip fast ganz ohne Risiko. Und bei den doch vielen Lücken, die in 
der Vergangenheit in solchen Zugangssystemen auftraten, fehlt mir etwas 
das Vertrauen in selbige.

Letztendlich ist es ja elektronisch kein Hexenwerk, daher meine Frage 
danach, ob das schon ein ambitionierter Hobbyelektroniker für sich 
umgesetzt hat.

> Natürlich sollte JEDE Komponente einer Zutrittssicherung so sicher wie
> sinnvoll machbar sein - aber es bleibt dabei, dass man nur den zu
> betreibenden Aufwand für einen Einbruch erhöhen kann, die absolute
> Sicherheit lässt sich nicht erreichen.

Natürlich.

Aber bisher ist es hier so, dass ich nicht einmal weiss, ob das Tor 
gerade öffnet oder schließt, da ich nur einen Knopf (an einem 
zigarettenschachtelgroßen Trümmer!) habe :-/

Robert L. schrieb:
> Chris D. schrieb:
>> Gibt es eigentlich niemanden (z.B. hier), der sich ein wirklich
>> sicheres, offenes System ausgedacht und inkl. Platine und Sendern
>> realisiert hat? Das kann ich kaum glauben.
>
> wozu?
> die Lösung mit Heimserver + VPN
> oder WPA2 ins eigene WLAN einwählen
> gilt gemeinhin als (verdammt) Sicher..

Sicherheitstechnische Dinge hänge ich mit Sicherheit nicht ans Internet, 
wenn es nicht unbedingt sein muss. Da gibt es viel zu viele Unbekannte 
(hackbare Router usw.). Außerdem möchte ich das alles auch noch dann 
benutzen können, wenn mein Heimserver/Router/WLAN/VPN spinnt.

Ich möchte einfach nur sicher per Schlüsselbundfunkschalter (nicht 
Tablet, nicht PC, nicht Smartphone) mein Tor öffnen und schließen.

> es ist nur nicht idio...  benutzerfreundlich dass man es auf Kickstarter
> stellen kann..

Eben - es ist mMn unnötig komplex und angreifbar.

A. K. schrieb:
> Heinz L. schrieb:
>> Wer ist bitte so blöd und gibt einem Wildfremden den Öffner für
>> die eigene Garage in die Hand?
>
> Ist dein Wohnungstürschloss Teil einer Schliessanlage?

Mein Wohnungstürschloss hat einen ganz "einfachen" Schlüssel. So einfach 
wie Magnetschlüssel halt werden. ;)

Das ist nicht Teil von irgendwas. Zusätzlich gibt's 'n Riegel, ebenfalls 
mittels Zylinderschloss zu schließen.

Chris D. schrieb:
> Ich möchte einfach nur sicher per Schlüsselbundfunkschalter (nicht
> Tablet, nicht PC, nicht Smartphone) mein Tor öffnen und schließen.
>
>> es ist nur nicht idio...  benutzerfreundlich dass man es auf Kickstarter
>> stellen kann..
>
> Eben - es ist mMn unnötig komplex und angreifbar.

Meine Rede!

Wenn alles übers Internet zugänglich ist, dann ist die ganze "Welt" der 
potenzielle Feind. Mit lokaler Steuerung ist die Anzahl potenzieller 
"Feinde" um viele Größenordnungen kleiner und geographisch begrenzt.

Was ich übrigens bei Smartphonesteuerung auch etwas blöd finde, ist, 
wenn ich nicht gerade das SF im Auto griffbereit rumliegen habe und ich 
möglicherweise um meine Garagentüre aufmachen zu können erst in die 
Hosentasche langen muss, Sitzgurt abmachen, dass das eigentlich viel 
unbequemer ist. Der herkömmliche Öffner ist normalerweise viel leichter 
erreichbar. Dann stelle ich mir vor, bis ich die App zum laufen habe und 
mögliche Sicherheitscodes eingetippt habe, viel mehr Zeit verschwendet 
wird. Ganz abgesehen davon, wie viel Zeit mit Server Transaktionen 
notwendig ist.

Irgendwie finde ich das ganze Konzept von Internet abhängiger Operation 
ausgesprochen "Hahnebuechen". Das Nutzen zu Aufwand Verhältnis bei 
Internet abhängigen Systemen scheint sehr ungünstig zu liegen und ist 
mit hohem Wartezeit Energieaufwand verbunden. Um eine 1s Arbeitszeit 
über 24/7 zu ermöglichen müssen 86399s pro Tag an kWh in der 
Infrastruktur verschwendet werden. Darin liegt m.M.n. der Un- und 
Wahnsinn der modernen digitalen Welt. Man denkt sich alle möglichen 
Lösungen aus ohne den Gesamtaufwand ehrlich zu berücksichtigen. Lieber 
ohne mich! Vielfach werden übertriebene Wünsche realisiert.

Man vergisst, dass das ursprüngliche Internet für militärische Zwecke 
mit verhältnismäßig wenigen Teilnehmern realisiert worden ist, wo 
Energieverbrauch und Komplexität keine Rolle gespielt haben und im 
Vergleich zu heute nur einen Bruchteil an Aufwand erforderte. 
Heutzutage, wo das Internet kommerziell nach allen Regeln der Kunst 
ausgebeutet worden ist, hat sich alle dies um Größenordnungen 
multipliziert.

Wenn alle in eine Richtung rennen, dann gehe ich gemütlich in die 
entgegengesetzte Richtung und sehe zu;-)

A Grumpy Old Man!

Gerhard O. schrieb:
> Irgendwie finde ich das ganze Konzept von Internet abhängiger Operation
> ausgesprochen "Hahnebuechen". Das Nutzen zu Aufwand Verhältnis bei
> Internet abhängigen Systemen scheint sehr ungünstig zu liegen und ist
> mit hohem Wartezeit Energieaufwand verbunden.

Siehs mal so:
Hollywood-Action-Filme wollen uns seit Jahrzehnten glauben machen dass 
tolle Hacker übers Netz alles steuern können.
Ampel schalten, Strom in Gebäuden abdrehen, Zugriff auf 
Überwachungskamers etc. pp.

In Zukunft wird niemand mehr nörgeln können dass diese Filme 
unrealistisch wären...

Le X. schrieb:
> In Zukunft wird niemand mehr nörgeln können dass diese Filme
> unrealistisch wären...

Da ist was Wahres dran.

Naja, die Sicherheitsvorkehrungen solcher Anlagen in der realen Welt 
werden das sicherlich im Griff haben.

Gerhard O. schrieb:
> Naja, die Sicherheitsvorkehrungen solcher Anlagen in der realen Welt
> werden das sicherlich im Griff haben.

Vor 1-2 Jahren hat die c't mal einen Test gemacht, und, mit 
ensprechendem Fachwissen, ein Bisschen im Netz rumgestöbert. Ihr Fazit: 
Sie hätten etliche Heizungen sobotieren können, Fischteiche leerlaufen 
lassen können, und als Krönung ein Heizkraftwerk im Megawatt-Bereich 
durch Überhitzung hochjagen können, aus der Ferne, per Internet.

P.S.: Gute Beiträge, Gerhard!

Mit freundlichen Grüßen - Martin

Naja - es war nicht vor 1-2 und auch nicht vor 20-30 sondern vor 3 
Jahren. Und es war schon die ct und nicht der NDR. Und es war auch ein 
Heizkraftwerk und kein AKW. Allerdings keines im Megawatt-Bereich, 
obwohl auch ein paar große Industrieanlagen mit der selben Steuerung 
betrieben wurden:

https://www.bhkw-infothek.de/nachrichten/18813/2013-05-06-gefahr-im-kraftwerk-auch-bhkw-sind-betroffen/
https://www.heise.de/ct/ausgabe/2013-11-Industrieanlagen-schutzlos-im-Internet-2322223.html

Vor etwa einem Jahr hat auch die c't wieder Sicherheitslücken gefunden, 
aber diesmal bei Wasserwerken:

https://www.heise.de/security/meldung/Nicht-abgesichert-Steuerungen-deutscher-Wasserwerke-ueber-das-Internet-manipulierbar-3268693.html

Martin S. schrieb:
> und als Krönung ein Heizkraftwerk im Megawatt-Bereich
> durch Überhitzung hochjagen können, aus der Ferne, per Internet.

es hat mir noch keiner plausibel erklären können, warum 
"Schlüsseltechnologie" überhaupt im Internet rumgurkt.

● J-A V. schrieb:
> Martin S. schrieb:
>> und als Krönung ein Heizkraftwerk im Megawatt-Bereich
>> durch Überhitzung hochjagen können, aus der Ferne, per Internet.
>
> es hat mir noch keiner plausibel erklären können, warum
> "Schlüsseltechnologie" überhaupt im Internet rumgurkt.

Damit der Servicetechniker bequem von zuhause oder unterwegs aus, die 
Anlage warten kann.

● J-A V. schrieb:

> es hat mir noch keiner plausibel erklären können, warum
> "Schlüsseltechnologie" überhaupt im Internet rumgurkt.

Weil es geht. Das ist das aktuelle 42.

Michael X. schrieb:
> Weil es geht.

joah - genau wie der Hund.
weil er es kann...

● J-A V. schrieb:
> Michael X. schrieb:
>> Weil es geht.
>
> joah - genau wie der Hund.

So hab ichs auch gemeint ;-))

Es geht gerade darum in einen gesättigten Markt noch einen Umsatz zu 
generieren. Die Zuwachsraten in der Elektronik sind seit Jahren nur beim 
Geflitter hoch. Da ist nichts dabei was so richtig weltbewegend wäre.

Michael X. schrieb:
> Da ist nichts dabei was so richtig weltbewegend wäre.

Das erinnert mich wieder an den "Designer-Wasserkocher Thread" von 
neulich.

Rick M. schrieb:
>> es hat mir noch keiner plausibel erklären können, warum
>> "Schlüsseltechnologie" überhaupt im Internet rumgurkt.
>
> Damit der Servicetechniker bequem von zuhause oder unterwegs aus, die
> Anlage warten kann.

Was ja prinzipiell Richtig und Gut ist, aber man sollte das ganze halt 
auch entsprechend Sicher umsetzen. Wenn für solche Dinge aber 
nichteinmal ein VPN zum Einsatz kommt...

Hier ist ein Vorschlag für einfache und ausreichend sichere Home 
Fernsteuerung und Überwachung von mir:

Selber eine SMS App fürs SF. zu entwickeln mit integraler AES 
Verschlüsselung wo für jede Transaktion ein neuer AES 256 bit 
Zufallsschlüssel nach dem Rolling Code Verfahren verwendet wird. Da bei 
jeder Transaktion sich der Schlüssel und Länge des Telegramms ändert hat 
ein potenzieller Feind nur eine einziges vergleichbares Beispiel von 
kurzer Länge. Wenn der Rolling Code eine ausreichende Periode hat und 
wenn die Payload nur aus Nicht-ASCII Zeichen besteht, schafft das 
wahrscheinlich nicht mal die NSA ohne besonderen Aufwand und hohen 
Kosten da Klartext niemals vorhanden ist. Das sollte für die meisten von 
uns ausreichen. Da kein Telegramm den selben AES Schlüssl verwendet und 
nur einmal verwendet wird, sollte die praktisch erhaltene Sicherheit 
völlig ausreichend sein und ist ausser dem Telecom Network von niemandem 
abhängig. Und billig ist es auch weil nur ein GSM Modem notwendig ist 
und niedrige monatliche Gebühren. Extrem wichtig ist, den Zeitaufwand 
zur Entschlüsselung maximal zu gestalten um die Kosten und Zeitaufwand 
eines unerwünschten Entschlüsselungversuchs so hoch wie möglich zu 
treiben. Da es kein kommerzielles Produkt zur Reverse Engineering auf 
dem Markt gibt, erschwert eine versuchte Entschlüsselung weiter.

Wahrscheinlich ist das Obige sowieso massiver Overkill weil die 
wenigsten von uns wirklich Wichtiges beschützen müssen. Aber wer ko, der 
ko!

Gerhard O. schrieb:
> Hier ist ein Vorschlag für einfache und ausreichend sichere Home
> Fernsteuerung und Überwachung von mir:

Die kostet aber Geld und Entwicklungsaufwand, außerdem tritt sie 
gewissen Kreisen auf die Füße und ist daher nur peripher erwünscht.

Schau dir doch mal an, was für Bugs in den üblichen Mobil-Apps stecken, 
selbst wenn es um Banking und ähnliches geht.

Apropos "Internet of Shitty Things":

Monit’s smart diaper sensor lets parents avoid the sniff test:
https://techcrunch.com/2017/04/30/monit/

A. K. schrieb:
> Apropos "Internet of Shitty Things":

Das ist mein Favorit:

https://www.juicero.com/

ein Entsafter für 400 dollares americanos?

lass mich raten, das Ding so wundervoll designed,
 dass das Reinigen danach eine Tagesaufgabe wird.

● J-A V. schrieb:
> ein Entsafter für 400 dollares americanos?

Juicero: Investoren zweifeln am Sinn der 400-Dollar-Saftpresse
https://www.golem.de/news/juicero-investoren-zweifeln-am-sinn-der-400-dollar-saftpresse-1704-127398.html


WTF "Lügenpresse": Teure Saftpresse Juicero kann durch bloße Hände 
ersetzt werden
https://www.heise.de/newsticker/meldung/Luegenpresse-Teure-Saftpresse-Juicero-kann-durch-blosse-Haende-ersetzt-werden-3689399.html



Immerhin zweifeln die Investoren am Sinn dieser Saftpresse... nachdem 
sie investiert haben...

Kaj G. schrieb:
> WTF "Lügenpresse": Teure Saftpresse Juicero kann durch bloße Hände
> ersetzt werden
> 
https://www.heise.de/newsticker/meldung/Luegenpresse-Teure-Saftpresse-Juicero-kann-durch-blosse-Haende-ersetzt-werden-3689399.html

Die Schwachstelle im Geschäftsmodell ist also die zu leicht zu öffnende 
Safttüte.
Diese müsste stärker verdongelt und versiegelt sein so dass die Presse 
zwingend notwendig ist.

Timm T. schrieb:
> Und plopp:
> 
http://www.spiegel.de/netzwelt/web/online-banking-kriminelle-stehlen-geld-von-mtan-nutzern-a-1145843.html
>
> "Um auch noch auf die für Überweisungen benötigte TAN aufs Handy zu
> kommen, nutzten die Angreifer offenbar eine Schwachstelle im weltweiten
> Roaming-Netzwerk. So schafften sie es, eine entsprechende
> Rufnummernumleitung einzurichten und schließlich die entsprechende SMS
> abzufangen."
>
> Klingt arg nach SS7.

Klingt so, stimmt - wobei, wenn Spiegel Online etwas von "offenbar" 
schreibt, dann ist das für dortige Verhältnisse schon ein ziemlicher 
Weichmacher. Aber es klingt schon arg nach einem Zeichengabe-Problem, 
einverstanden.

> Aber ja, man kann Sicherheitslücken auch jahrelang ignorieren in der
> Hoffnung, dass sie schon keiner ausnutzen wird.

Nochmal die Frage: Welches Verfahren hältst du denn für sicher?

Matthias L. schrieb:
> Welches Verfahren hältst du denn für sicher?

Gedruckte TAN Liste ist m.M.n. noch das sicherste Verfahren, solange man 
den Jungs vom gelben Riesen nach trauen kann.

Matthias S. schrieb:
> solange man
> den Jungs vom gelben Riesen nach trauen kann.

Das war auch schon des Öfteren ein Problem,

Card TAN ist die einzige sinnvolle Lösung.

Namaste

>Sammelüberweisungen

warum nicht?

Robert L. schrieb:
>>Sammelüberweisungen
> warum nicht?

Weil du die gesamte Sammelüberweisung abzeichnest, aber die Einzelposten 
nicht prüfen kannst. Wenn dir jemand an dritter Stelle eine unerwünschte 
Überweisung reinhackt, dann hast du keine Möglichkeit, das vorher 
festzustellen.

S. R. schrieb:
> Robert L. schrieb:
>>>Sammelüberweisungen
>> warum nicht?
>
> Weil du die gesamte Sammelüberweisung abzeichnest, aber die Einzelposten
> nicht prüfen kannst. Wenn dir jemand an dritter Stelle eine unerwünschte
> Überweisung reinhackt, dann hast du keine Möglichkeit, das vorher
> festzustellen.

Ich kenne kein einziges Elektronic Banking Programm, weder webbasiert 
noch Windows-Programm wo man bei einer Sammelüberweisung nicht vorher 
die einzelnen Überweisungen Prüfen kann..

schaut ja dann meistens so aus:

https://hilfe.hypovbg.at/de/unterschriftenmappe/zu-zeichnen/

wenn dir HIER jemand etwas "rein hacken" kann, könnte er das bei einer 
Einzelüberweisung ja auch

woher bekommt der TAN Generator die IBAN die er anzeigt
da kann man sich sicher auch rein hacken
du bist noch zu wenig paranoid

Off Topic:

Gu. F. schrieb:
> Das ist mein Favorit:
>
> https://www.juicero.com/

● J-A V. schrieb:
> ein Entsafter für 400 dollares americanos?
>
> lass mich raten, das Ding so wundervoll designed,

Entsafter?
für mich sieht es aus, als muss man für das Ding komische Plastikbeutel 
kaufen, die angeblich gesundes Zeug enthalten.

Oder verstehe ich die Webseite falsch?

Edit:
Ich glaube nicht.

Einfach nur krank...

nee das hab ich dann falsch gesehen.

wie auch immer...

-ein Gerät um Saft zu haben?
400$ ?

da kann ich jeden Tag in einem "Saftladen" ein Getränk ordern
und treffe da auch noch Leute.
Saft kost da ca. 4$, das gerät hält eh nur 100Säfte durch,
-so wie heute alles auf Kante gestrickt ist.

● J-A V. schrieb:
> da kann ich jeden Tag in einem "Saftladen" ein Getränk ordern
> und treffe da auch noch Leute.
> Saft kost da ca. 4$, das gerät hält eh nur 100Säfte durch,
> -so wie heute alles auf Kante gestrickt ist.

jepp.
Das is so krank, Anstelle eines Tetrapacks, braucht man also so einen 
teuren komischen Beutel mit ~250ml.
Und anstelle ihn direkt in sein Glas zu schütten, braucht man eine 
Maschine, die auf den Beutel drückt.

Ich frag mich echt, was für Leute das kaufen. Oder was für Investoren so 
einen Scheiß finanzieren.


> Packs: Starting at $29.99 per weekly 5-Pack bundle

Also min. 6$ für ein Getränk + komische Maschine, die man aber 
eigentlich gar nicht braucht.

mich kriegt auch keiner zu 'ner Kapsel-Kaffeemaschine,
wo ein Pfund Kaffe zig EUR kostet.

Ich brüh mir auch hier in der Firma Kaffe mit 'nem Handfilter.
Alle jammern immer über den Geschmack
und die Warteschlage zur Pause am "Digital-Kaffe" (Vollautomat).
darüber könnt ich mich am meisten beömmeln.

>komische Maschine, die man aber
>eigentlich gar nicht braucht.

na schon..
es meldet an die Cloud, was man wann gedrunken  hat
damit man dann eine e-mail bekommt, falls man es mal vergessen hat

außerdem werden abgelaufene/zurückgerufene Säckchen nicht gequetscht..

ob einem das "Wert" ist, darf dann jeder selber entscheiden..

ps. drinke gerade Smothie vom Hofer (=Aldi) kostet 250ml glaub 1€ oder 
so..

Timm T. schrieb:
> Matthias S. schrieb:
>> solange man
>> den Jungs vom gelben Riesen nach trauen kann.
>
> Warum? Wenn sie die Liste klauen, können sie damit nichts anfangen. Du
> musst sie erst mit einer Tan der alten Liste aktivieren.

Sag ich doch. Deswegen mach ich ja gedruckte TAN - so wenig Wireless wie 
möglich. Ich traue den gelben Jungs eben.
Das bescheuerte bei allen Banken ist mWn die Beschränkung der PIN auf 5 
Zeichen - das ist heutzutage einfach nicht mehr zeitgemäß.