Hi!
Ansatzweise kommen wir ja so langsam auf einen Nenner.
Schön!
Deine Sicherheitsbedenken kann ich allerdings nur bedingt teilen. Zum Einen hat niemand Interesse daran die Temperaturen irgendeinen zu
verstellen und per GSM muss er ja nicht nur die Nummer haben, sondern auch noch die Login Daten. Von daher ist das schon sehr sicher. Beim
Internet bin ich geteilter Meinung. Das ist schon recht aufwendig die Übertragung, als auch die Login Daten relativ unknackbar zu machen.
Würde ich selbst auch nicht machen.
Träum mal schön weiter...
Ich habe schon in meiner Verwandschaft 2 Scriptkiddies/whiteHacker, und in der Klasse meines Sohnes gibt es auch einen der
mit 13 schon besser coded als ich es je lernen werde... und die Jungs bzw. Mädels hacken solche Steuerungen nur so zum Spass... eben weil sie es können,
bzw. so lange austesten was geht bis es klappt. GSM-Hacking ist mittlerweile schon mit wenig Aufwand zu machen, ein Mittelklassesmartphone reicht.
Die Nummer gibt es quasi "nebenbei" aus den Loggdaten, und solange die Zugangsdaten diverser Steuerungen aus Kostengründen oder Unfähigkeit des
Steuerungsprogrammierers im Klartext zum Anfragenden gesendet werden und erst dort im Browser/Einloggfenster ( verdammt oft in offenem Java gelöst )
verifiziert werden (so macht es z.b. Honywell ), ist es mit der "unknackbarkeit" nicht weit her. Dazu braucht es keine Serverfarm, nur ein bisschen Grips und
ein paar Freewaretools.
Beim Internet bin ich geteilter Meinung. Das ist schon recht aufwendig die Übertragung, als auch die Login Daten relativ unknackbar zu machen.
Nö, eine gescheit implementierte 256bit AES-verschlüsselung verdirbt einem den Spass, das zu knacken ist zu aufwändig. Wird aber aus warum-auch-immer Gründen kaum gemacht.
An der Hardware kanns nicht mehr liegen, die 8-bit Controllerzeiten in den Steuerungen sind Imho vorbei... und bei den Gerätepreisen sollte auch ein performanter Chip drin sein...
Auch die oft immer gleichen Masterschlüssel der Hersteller könnte man mittels Zertifikation validieren, aber das kostet eben Geld... und man muss das wollen...
Zu deinen anderen Sicherheitsbedenken: Selbst wenn jemand die Login Daten knacken sollte, was könnte er denn im schlimmsten Fall für Schaden
anrichten? Wärmer oder kälter! Mehr könnte er nicht anrichten. Bemerkt man dies, kann man die Nummer abrufen und weis, wer sich eingeloggt hat.
Im schlimmsten Fall hole ich mir halt eine neue SIM Karte.
Im einfachsten Fall... Du bist im Winterurlaub und jemand stellt Deine Heizung ab. Schön, oder? Anderes Beispiel... man stellt die Brauchwassertemperatur auf maximum, die Anlage fährt
in den Begrenzer und lässt schön heisses Wasser in den Gulli... wie lange macht die das? Imho verbrät das dann ne Menge Energie und Frischwasser...
Die Nummer abrufen? Warum sollte der die mitsenden? Und wenn doch, was fängst Du mit einer falsch zugeordneten Prepaidnummer an? Neue Karte ist gut, dann kann man bei Bedarf das Spielchen wiederholen..
Und wenn ich dann sehe das als besonders Einbruchsicher beworbene elektronische Türschlösser den Mastercode OHNE Verschlüsselung broadcasten und der Hersteller von Journalisten auf die Firmwarebugs hingewiesen wird...
naja, da baut sich bei mir nicht gerade eine vertrauensvolle Sicht auf die Zukunft des Internet-of-things auf.
Grüße,
Klaus