 Sehr gut. Ist doch gut, dass wir das singeln. Aber wir könnten es auch multiach. Passt doch, oder? Da seht ihr, das ist wie Tetris. Man sieht, was als nächstes kommt. Da kann man sich schon mal auf weiteres präsentieren, wobei die Demonstration wird aus, weil ich dann Safe jetzt nicht da hab. Aber warum ich es hier erstmal generell ging, ist natürlich das Thema elektronische Schließsysteme, haben alle auch eine mechanische Komponente. In der Regel eine schlechte. Also wer die ganze Sache verfolgt hat mit elektronischen Schlössern, haben da gerade eben schon ein bisschen übergesprochen im kleinen Kreis, sehr viele elektronische Schlösser, die auf den Markt gekommen sind, hatten erstmal auch mechanische oder elektromechanische Defekte. Das liegt einfach daran, dass die Leute sich entweder vollständig auf die Elektronik konzentrieren, weil das ist das tolle Neue, was sie machen wollen, hat aber auch einfach damit zu tun, dass die Dinger von der Batterie betrieben werden müssten, also keine starken Motoren in der Regel drin. Sie soll sich gering abnutzen, soll lange leben. Sehr häufig sind eben irgendwelche Magnete, die was ziehen, was drücken. Ich habe aber nur einen Bildschirm. Ich habe es jetzt nicht als Dualhead geset up, das ist der Effekt. Sonst, ich sehe hier das gleiche in nur kleiner, sonst hätte ich das schon gemacht. Aber werkt, ist jetzt, glaube ich, in nur fünf Folien, dafür ist das nicht schlimm. Genau. Das ist eben das Problem, dass die eben alle relativ energieeffizient, klein, kostenoptimiert wie auch immer sein sollen. Das schönste Beispiel sehen wir eben hier auf der nächsten Folie, diesen tollen Tresor, den ich jetzt leider nicht dabei habe. Man kann aber aus der Bewegung schon erahnen, was da passiert. Man haut auf den Tresor drauf, dreht zeitgleich am Rad, im wahrsten Sinne des Wortes, und der Tür geht auf. Da ist es eher so ein 30-40 Euro-Tresor, aber dennoch man sieht, den hat elektronisches Keypad. In vielen Hotels sind ähnliche Tresore drin, soll auch schon erfolgreich ausprobiert worden sein. Und da, wenn man eben reinschaut, sieht man das genauso typisch. Kann ich die Maus hier benutzen? Sehr gut. Das ist, was ich meine, das ist eben ein Magnet, der etwas zieht und der ist auch noch sehr schwach. Das heißt, hier ist eine sehr schwache Feder und die hält diesen Stift hier oben. Und der blockiert hier die Verriegelung. Das heißt, wenn ich von oben drauf haue, geht der Stift gegen die Feder rein. Wenn ich Zeitgleich drehe, geht das auf. Wir haben das gesehen, haben uns gedacht, ja, wenn man das genau vom Timing her hinkriegt, dann ist es vielleicht möglich, das aufzumachen. Die Wahrheit ist, ein kurzer Schlag einmal drehen, im zweiten Versuch hat das geklappt. Und das ist also für jeden inhalb von Sekunden zu erlernen ein paar Versuche, das ist das offen. Weil es einfach so schwach gefedert ist, um Batterie zu sparen, dass das sehr einfach ist. Aber über Tresore wollten wir nicht sprechen, wir kommen zu Smartlocks. Oder eben erst mit elektronischen Schlössern. Das ist dieses Schloss, was ich euch gerade gezeigt habe, von Masterlock. Das ist eigentlich, soweit es erst mal ganz schick hat, vier Tasten. Eine fünfte Taste für irgendwie Sonderfunktionen, hat eine Batterie. Hat die clevere Methode, man kann den Batterieschacht im geschlossenen Zustand nicht ganz rausziehen, aber ein bisschen, um es von außen Not zu bestromen, indem man eine Batterie hoch kann, reinhängt. Also soweit erst mal mitgedacht, würde man sagen. Und wirkt als Schloss soweit erst mal nicht schlecht. Dann haben wir es natürlich zerlegt. Das erste, was man macht, wenn man so ein Schloss in die Finger kriegt, war hier leider nicht zerstörungsfrei möglich. Sprich, man muss hier hinten drei Nieten aufbohren, dann geht die Platte ab und man kann sich es anschauen. Die spannenden Elemente sind einmal der elektromechanische Teil. Er besteht aus diesem Motor hier. An dem Vorderst, glaube ich sieht man ja auch nicht besser in anderen Folien, ein kleines Rätchen dran ist. Das interagiert mit einem weiteren Rätchen, in das dann dieses Teil hier von oben hineinfahren kann, wenn ein Schlitz an der richtigen Stelle ist. Also ich kann man sich ungefähr vorstellen, jedenfalls, dass es jetzt nicht durch wegziehen oder drücken, sondern durch Drehen von einem Motor verriegelt. Das ist schon mal eine Stufe besser. Und wenn dieses Teil, was man hier sieht, dann nach unten rutscht, können Kugeln von hier nach innen laufen. Der Bügel geht raus. Das ist der elektromechanische Teil. Der elektronische Teil ist diese Platine hier unten. Da kann man schon erkennen, hier ist die Batterie. Hier nach unten ist der Batterieslot dann orientiert, den man hier auch so sieht. Eine Plastikschublade. Und ja, eigentlich relativ logisch, einfach im Prinzip ein Microcontrollerboard, an dem der Motor angeschlossen ist. Wenn man das genauer anschaut, sieht man, das ist ein MSP430 Prozessor. Das ist ein Standard Low Energy Prozessor von Texas Instruments. Wer kennt den? Wenige. Also ich kannte ihn nicht. Wobei doch, ich hatte ihn schon mal bei uns im Club gesehen im Rahmen von einem kleinen Roboterprojekt, und man mich nie mit beschäftigt. Aber es ist im Prinzip nichts Kompliziertes. Man bekommt bei Texas Instruments für inzwischen 9 Dollar Defboards geschickt. Ich habe auch ein paar davon dabei. Also das ist relativ einfach zugängliche Technologie. Und das Schöne war, der ist nicht readprotected. Das heißt also, wenn man an die Kontakte drankommt und seine Flash-Adapter damit verbindet, konnte man ihn einfach auslesen. Und was wir da auch schon geahnt haben ist, wenn man auf die Folie zurückschaut, die Flash-Kontakte sind das hier. Die befinden sich direkt neben dieser Batterie. Da ist jetzt auch nichts irgendwie dazwischen. Das heißt, wenn dieser Batterieslot offen ist, was im offenen Zustand des Schlosses möglich ist, kommt man dadurch rein an die Batterie-Kontakte. Hieße, wenn ich ein Schloss offen habe, kann ich da potenziell auch dran, ohne es zerlegen zu müssen. Das andere ist, was uns ein bisschen bedenklich vorkommt, der Motor ist hier drüben. An den kommt man auch dran. Das eventuell kann man einfach direkt Strom auf den Motor geben. Haben wir nicht weiter verfolgt wegen anderen Sachen, die gleich kommen. Aber wäre wohl möglich, um es zu öffnen. Ja, genau, hier ist das mal schön. Ja, genau, also hier hatten wir die elektronischen Varianten. Hier sehen wir die Platine nochmal. Also hier sind die Flash-Kontakte. Das ist relativ praktisch. Also nachdem ich gesehen habe, ich kann das auslesen, ich kann das umprogrammieren ohne jeden Schutz, habe ich da doch mal versucht, ich würde gerne durch diesen Batterieslot dran und habe festgestellt, ich kann diese Plastik-Schublade mit einem Schraubenzieher da auch rausbringen, wenn das Schloss offen ist, geschlossen ist. Weil es eben Plastik, der Rest ist Metall, das ist eine ganz kleine Nase, das hindert im geschlossenen Zustand, also mit einem Schraubenzieher kriegt man das raus. Damit war natürlich der Ehrgeiz geweckt, ich will dann die Flash-Kontakte dran, auch ohne dass das Schloss offen ist. Man sieht auf der nächsten Folie schon, ich habe den Laser-Cutter zur Hilfe genommen und habe mir diese schöne Form ausgeschnitten. Wenn ich in diese schöne Form ein paar Löcher hineinbore, so, bekomme ich dieses schöne Gerät. Das hat hier die 4 für MSP430 notwendigen Flash-Kontakte, das ist Ground- und Spannung und zwei Datenleitungen, ich gebe Clock und Data einfach. Und hier unten eine schöne Aussparung, die genau auf einen der Pfosten in dem Schloss-Design passt. Das heißt, wenn man das Ding durch den Batterieslot hinein führt, wie man es hier sieht, dann rastet es sehr schön ein, man kann es mit dem Dev-Board verbinden und kann anfangen das Schloss auszulesen. Gut, damit wäre das Schloss schon offen, weil ich kann einfach eine neue Firmware hineinladen, die auf Tastendruck-Open macht von dem Motor. Das wäre da relativ langweilig. Von daher habe ich mir gedacht, schaue ich mal die Software an. Die drin ist, wenn man die rausdammt, wie gesagt, nicht re-protected, bekommt man schönes MSP430 Hex raus. Wir haben das mal disassimpliert. Danke an, ich glaube, war gar nicht, möchte ich jetzt nicht nennen. Jedenfalls habe ich mir geholfen, mit Ida Pro zu disassimplieren, kenne ich mich nicht mit aus. Wir haben das Windows-Software, haben ein bisschen Funktionen gesucht. Diese Funktion haben wir einfach dadurch identifiziert, dass wir wissen, an welchen Pins vor dem Controller der Motor hängt. Das kann man sich quasi an der Platine einfach diversingenieren, sowas. Und dann kann man nach Datenblatt gucken, da muss an diese Adresse geschrieben werden, dann suche ich im Code und habe tatsächlich relativ schnell die Stelle gefunden, die das hier macht. Wir hatten dann die Hoffnung, wenn wir jetzt die Stellen im Code suchen, die diese Funktion aufrufen, kann man eventuell feststellen, ob sich Backdoors in der Firmenwerfer befinden. Es war aber relativ unübersichtlich, diesen Fahrt haben wir nicht weiter verfolgt. Ich kann also nicht sagen, ob sich Backdoors in der Firmenwerfer befinden, ist für uns im Moment aber auch relativ irrelevant wegen anderen Dingen. Das erste davon ist, es ist eine Backdoor bereits im Prinzip des Schlosses drin. Und das liegt am Userflash, der da drin ist. Das ist so ein Bereich, der gedacht ist, um Benutzerdaten zu speichern. Da werden also die Codes gespeichert, die man als Nutzer in dem Schloss vergeben kann. Es gibt 4 Codes eingeben. Das liegt einfach daran, dass die Codes über die Richtungstasten angesprochen werden. Wenn man sie wieder löschen möchte, das sind 4 sinnvoll. Das sind hier bei 10, 20, 30 und 40. Man sieht, es ist ein Code hier bei 40 eingespeichert. Und diese Bytes hier sind einfach der Zustand des Input-Registers, also die Bits, wie dem Input-Register gedrückt sind, wenn die Taste gedrückt wird. Dass hier immer nur ein Bit gesetzt ist, zeigt, dass immer nur eine Taste gleichzeitig gedrückt ist. Das ist irgendwie oben, unten, unten, unten, links oder sowas. Kennt die Zürde und die Bits jetzt gar nicht auswendig. Den Original Master Code, den das Schloss hat. Und das ist eine Funktion, die hat Masterlock da eingebaut. Das hat einen Code, den man nicht ändern kann. Der ist fest, das ist aus der Erfahrung mit einem mechanischen Schloss, dass sie vorher hatten, wo man sich sehr leicht aussperren konnte. Ich denke, sie hatten sehr viele Reklamationen von Leuten, die den Code verändert haben und nicht mehr reinkamen. Da haben sie hier jetzt einen sehr langen Code eingebaut, wo man sich über die Webseite Masterlock immer wieder runterladen kann, wenn man die Originalverpackung noch hat. Dieser Code ist auch hier gespeichert. Man gibt den einen, den man die mittlere Taste und eine Richtungstaste zeitgleich drückt und dann einen Code eingibt. Und jetzt sehen wir hier oben einen neuen. Das sind nur zwei Bits, könnte sein mittlere Taste und eine Richtungstaste. Und tatsächlich, das ist eben dieser Mastercode, den der Nutzer nicht ändern kann. Das heißt, sobald ich einmal mit meinem Flash-Adapter in dem Schloss drin war, kann ich diesen Code auslesen, ein Backdoor zu dem Schloss. Von daher brauche ich auch keine wirkliche Backdoor in der Firmware mehr, wenn ich da den Zugriff haben möchte. Nein, der ist natürlich, die Frage war, ob der für alle gleich ist, der ist für jedes Schloss ein eigener. Sonst wäre die ganze Sache natürlich fatal. Aber Masterlock kennt den für jedes Schloss, wobei die Dinger keine Seriennummer erkennbar haben. Es ist jetzt nicht wirklich eine Verschwörungstheorie, Government Backdoor oder sowas. Also so was scheint es mir ungeeilt, aber wenn ich so ein Schloss irgendwo hängen sehe, dass ich Masterlock geben kann, damit sie mir den Code rausrücken, weil wir ja keine Seriennummer ähnliches drauf. Das ist wirklich für den Nutzer, der einen Zettel mit dem Schloss gekriegt hat, sich auf der Masterlockseite einlockt und seinen Code wieder runterladen kann. Aber dadurch, dass er eben nicht ändern kann, der Benutzer wäre das relativ unfreundlich, wenn man den ausgelesen hat. Gut, jetzt kommen wir doch zurück zu dem, was ich am Anfang gesagt habe, billige Akteuren, schlechte Mechanik usw. Da hatten wir diese Idee. Und darüber kann ich jetzt auf den anderen Laptop zurückgehen, weil das müsste ich drüben auch funktionieren, außer ich habe es hier auch drauf. Ich wollte ja nachher in das andere Laptop weiter verwenden. Da wir VGA verwenden, müsste es einfach weiterklappen. Bildschimpfe, das war sehr schön. Haben wir noch Bild? Nein. Ja, also die Idee des Ganzen wäre gewesen, der Magnet könnte irgendwie das Schloss im Inneren drehen, weil, ja, der hat ja auch Magnete drin. Man sieht, man sieht auf einem Kongress aufgenommen. Und nach einiger Zeit kamen wir auf diese schöne Bewegungssequenz. Man sieht, alle paar Bewegungen wird der Magnet umgedreht. Das liegt daran, dass man an irgendeinem Todpunkt kommt. Also das ist eben die Sache mit den mechanischen und den elektromechanischen Komponenten. Wir haben das damals, das haben wir, glaube ich, auf dem Kongress gezeigt vor drei Jahren oder sowas. Wir hatten da vorher die Firma Masterlog informiert, hatten die angeschrieben, also wir haben da was bemerkt, das ist nicht so gut. Die haben dann erst zurückgeschrieben, kann gar nicht sein, Magnete haben wir ausprobiert. Ich denke, ich bin ja gut, ja, haben sie, aber wir machen hier keinen Spaß, wenn wir dann das Video geschickt. Wir hatten den ersten nur eine E-Mail geschickt. Das ist dann natürlich nicht so beeindruckend. Wir haben dann dieses Video am Kongress aufgenommen und ihn das geschickt. Jedenfalls, ich denke, die haben halt aufgrund der vielen existierenden Beschreibungen im Internet von wegen Schlagen ziehen. Wir haben dieses Winkhausschloss, auch wenn man vorne einen fetten Magneten dran gehalten hat, der diesen Aktor gezogen hat, haben die sowas probiert, aber die haben nicht systematisch probiert, ihr Schloss zu überwinden. Wir hatten dafür so einen Schloss aufgesägt und können das Guckloch rein gemacht, der MH aus unserem Münchner Sportgruppe hat das gemacht. Dadurch konnte man einfach beobachten, wie sich im Inneren der Motor bewegt, wenn man draußen mit dem Magneten vorbeifährt. Und dann war es eigentlich eine Sache von Minuten, bis wir diesen Move hatten, um das zu öffnen. Ja, umso erfreulicher waren wir dann, muss ich mal gerade gucken, muss ich hier die Kickstarter-Kampagne aufmachen. Als auf Kickstarter ein elektronisches Vorhänge-Schloss mit Bluetooth angekündigt wurde, mir hilft schnell genug, Internet haben doch, genau, also dieses schöne Schloss wurde hier angekündigt und die hatten auch, glaube ich, ich hoffe, die haben sie noch da, genau, eine schöne Darstellung des Innenlebens. Nicht zu früh lachen, aber man sieht relativ deutlich, das ist von der Idee her genau das gleiche Verfahren, das wir auch in diesem Schloss hier haben. Da wir nette Menschen sind, haben wir die angeschrieben und ihnen gesagt, ihr baut da etwas, das kennen wir so ähnlich schon, nur ohne Bluetooth, habt ihr euch das mal angeschaut, hatten sie nicht so wirklich, aber fand das ganz interessant. Es hat relativ lange gedauert, sie zu überzeugen und doch mal so ein Prototyp rüber zu schicken. Hat dann auch nie wirklich geklappt. Ich habe sie dann auf der C-Bit, wo sie irgendwie über ein Kickstarter-Funding irgendwas Projekt an Stand hatten besucht und ihnen eines aus dem Kreuz geleiert, weil da konnten sie sich quasi nicht mehr wehren und nach der Messe waren sie bereit, einen ihrer Prototypen rauszurücken. Wir haben den angeschaut und haben es dabei tatsächlich nicht so leicht geschafft, den Motor im Inneren zu bewegen. Inzwischen wissen wir ein bisschen besser, warum. Das liegt daran, dass mehr Teile in dem Floss magnetisch sind als in diesem Schloss hier. Wir haben noch ein bisschen gerade am Untersuchen, ob man es nicht doch irgendwie hinkriegt, aber der Punkt ist, dieses Schloss geht jedenfalls nicht ganz so leicht mit mal drüberziehen und Ähnliches auf. Was wir dabei festgestellt haben, beim Spiel mit dem Prototypen insbesondere, ist, dass solche Schlösser und Magneten, das verträgt sich nicht zwingend sehr gut. Wir haben den Prototyp relativ schnell zerstört. Das liegt aber daran, nachdem wir unseren Standard-Magnet nicht geklappt haben, wir haben etwas größeren Magnet genommen. Nachdem es mit dem nicht geklappt hat, haben wir noch größere Magnet genommen. Irgendwann haben wir den Magnet genommen, ich werde die Website jetzt nicht extra aufrufen, wir sind ja keine Website-Veranstaltung, wo dabei steht, ich habe keine Idee, was man mit diesem Magnet machen soll, meine Empfehlung kauft einen kleineren. Ich kann euch sagen, was man damit machen kann, man kann damit Magneten, man kann damit Motoren im Inneren von Schlössern ummagnetisieren. Weil diese Motoren sind ja relativ kleine Kinamotoren, die haben eine Komponente mit statischen Magneten, die haben einen Anker im Inneren, ein Metall, nachher ist er aus magnetischem Metall. Und dann hat er Todpunkte. Das heißt, es gibt Positionen, in denen nicht mehr anläuft, wenn Strom draufgegeben wird. Das haben wir quasi beim ausgebauten Zustand geprüft, nachdem wir das Schloss nicht mehr aufkriegten. Und ja, dann ist der Motor halt kaputt. Aber das Schloss ist nicht offen. Es gab im Internet jemanden, der sich dieses Schloss relativ verbreitet, diese Kickstarter-Kampagne war relativ erfolgreich, hat viel Artikel auf. Ich glaube, oben hatten Sie eine tolle, wir sind stolz auf alles Liste. Hier wurde relativ viel auf den üblichen Medien verbreitet. Deswegen haben auch viele Amerikaner beschäftigt. Einer davon hatte getwittert. Er hätte es mit dem Magneten aufgemacht. Er hat das dann später ein bisschen revidiert. Wir glauben inzwischen, er hat es mit einem Magneten kaputt gemacht. Es hat daraufhin nicht mehr korrekt verriegeln können, weil der Motor eben nicht immer zuverlässig anließ. Er hat es einfach nicht aufgekriegt. Oder war es einfach noch offen? Er hat dann nachgemacht, jetzt geht es auch nicht mehr zu und so was. Wir sind momentan in der Meinung, so leicht geht es mit Magneten nicht. Was der Grund ist, warum man sich dann weiter damit beschäftigt hat. Ich möchte an der Stelle, kurz bevor wir tief auf dieses Schloss eingehen, noch auf andere Schlösser ein, weil das ist natürlich kein Einzelfall geblieben. Sie haben, ich glaube, als Claim haben Sie das neue, ursprünglich stand das World's First Bluetooth Padlock. Das war ein bisschen blöd, nachdem man chinesisch ist, dann eher auf dem Markt war als Sie. Das müsste ich hier gerade auch irgendwo noch greifbar haben. Das von der Firma Evation. Das ist das Schloss, bei dem wir leider erst wirklich verstanden haben, wie das mit dem Zerstören der Motoren durch die Magnete funktioniert. Deswegen ist das leider, noch nicht so im Camp. Da haben wir den Motor eben dann auch kaputt magnetisiert. Da habe ich davon gerade kein funktionierendes da. Ich habe mich mit der App auch noch nicht näher beschäftigt. Das wäre jetzt ein weiterer Schritt. Das könnte ich wieder zusammenbauen mit einem anderen Motor, wo, wenn jemand Lust hat, man noch quasi unerforschtes Gebiet betreten könnte. Und dann kam noch ein weiterer Schloss von der Firma Masterlock. Das sieht so aus, ist von der Idee her der Nachfolger von dem hier. Hat also auch vier Richtungstasten, weil man ist jetzt smart, man macht jetzt alles vernetzt. Und ja, wie ich vorhin schon angegriffen hatte, hatte Wuste von unseren Magnetattacken. Hatte damals auch irgendwann vorgeschlagen, sie bauen irgendeinen Schirmblech ein. Das heißt, sie wollten über den Motor noch ein weiteres Blech bauen. Das haben sie hier jetzt gemacht. Ergebnisse davon, nach dem Recording. Wie gut das funktioniert. Genau, jedenfalls im Moment betrachte ich diese beiden Schlösser hier, das Note und das Masterlock und habt ihr dann eben ein bisschen auf weiteren Ebenen außer der magnetischen angeschaut, weil eigentlich wollte ich das Smartlock hacken und nicht mechatronik überwinden. Die beiden Schlösser haben verschiedene Mikrocontroller drin. Die Masterlock sind geblieben. Ich glaube, ich sollte mal den Schirm hier einfach mal doch ent schären, sonst drehe ich mir mal den Kopf hier herum. Klappt das relativ gut, dass mein Browser sonst wo ist, oder? Wir können mit dem Note anfangen, ich muss mich irgendwie nicht hier kleiner sind. Da muss die Auflösung auch noch gleich schalten, damit das funktioniert. Was hat denn dieser Beamer hier, wisst ihr das? Full HD, sehr gut. Jetzt sehe ich ja auch nichts mehr gut. Also wir haben das Note zerlegt, das sieht dann so aus. Man sieht eben hier wieder ein Aktor. Das ist also ein drehbares Element. Was die Note-Leute gemacht haben, was ich nicht für irgend geschickt halte, ist, man sieht hier, der Bügel hat hier keine Einkerbung. Das heißt, der verriegelt nur einseitig. Das ist einfach gegen sehr brutale Gewalt instabil. Ich nehme an, mit einfach sehr viel Kraft könnte man es aufbiegen. Was auf der einen Seite aber nicht verriegelt, das macht heutzutage kein ernstendes Vorhänge-Schloss mehr. Die verriegeln alle auf beiden Seiten. Gut, die verriegeln nur auf einer Seite mit dieser Kugel hier. Diese Kugel kann in eine Mulde diesem Aktor laufen, wenn es gedreht ist. Hier wäre der Motor, der hier sich gerade an der Platine befindet. Ansonsten ist es von der Idee her, sag ich mal, ziemlich genau das Gleiche, was das Master-Lock hatte, nur eben reduziert auf eine Seite. Das haben wir reingeschaut. Das hat ein NRF1822 von der Firma Nordic. Das ist ein Arm-Mikro-Kontroller mit eingebauten Bluetooth-Komponenten. Ansonsten ist der Platine nicht viel drauf. Man kann das hier eigentlich schon erkennen. Das ist eine Harbrücke aus 4 Ransestoren. Ich weiß nicht, ich sage jemanden, der eine Harbrücke nichts, vieles gefragt. Aber das ist eine Möglichkeit, wenn man mit zwei Output-Pins eine Polarität in die eine oder andere Richtung schalten kann. Das wird benutzt, um den Motor in die eine oder andere Richtung zu drehen, je nachdem, wie rum ich es mit dem Mikro-Kontroller ansteuere. Und dann ist, glaube ich, nur noch hier eine LED drauf. Das ist eine RGB-LED. Die geht hier über links, kann ich sogar erkennen, welche Pins. Das ist ein Schaltplan, kann man sich eigentlich sehen. Das ist noch eine Taste, die, glaube ich, sieht man auf einem, hier sieht man die, den Endanschlag. Damit kann er erkennen, ob der Bügel reingedrückt wird. Weil die haben auch eine Funktion eingebaut. Da sind wir bei der ersten Software-Analyse, sage ich mal. Man kann über Button, über Bügel drücken, einen Code eingeben. Das heißt, man hat, wenn man das Handy verschmissen hat, die App tot ist, der Strom weg, wie auch immer. Hier noch die Möglichkeit, sich einen Clickcode aufzunehmen. Haben sie sogar einigermaßen clever gelöst. Wir haben bei uns im Hackerspace auch lange und kurze Codes. Das ist mal die Frage, lange und kurze Codes, was ist lang, was ist kurz. Hier ist eine LED drauf. Und immer wenn ich einen langen Code eingebe, wird die weiß. Wenn ich einen kurzen Code eingebe, bleibt sie blau. Das heißt, da kann ich erkennen, was ich eingegeben habe. Das ist schon daher schon mal nicht schlecht. Was ein bisschen schlecht ist, und das ist jetzt der erste Punkt, dass wir noch aufnehmen, weil es kein so großer Angriffsektor ist, aber ungeschickt gelöst ist, dass die keinen Start an der Sequenz haben. Das heißt, meine Sequenz muss irgendwo in der eingegebenen Folge vorkommen, aber ich muss nicht am Anfang irgendwas drücken. Das heißt, ich kann meine Sequenz bauen. Da gibt es von Herrn De Bruens eine Beschreibung, eine holländische Mathematiker, in der alle möglichen Kombinationen bestimmten Länge vorkommen, die aber viel kürzer ist, das ist aus zwei Gründen nicht so schlimm. Ich habe erst gedacht, oh mein Gott, wie doof sind die. Zum einen erzwingen sie einen Code der Länge 8. Das heißt, das ist schon ein sehr langer Code. Die Bruinssequenz, die kürzest mögliche dafür war, nee, müsste ich jetzt lügen, aber irgendwas ein paar, es ist schon über 1.000 deutlich, ein paar 1.000, denke ich, Länge war das, wo alle drin vorkommen. Das ist viel, viel weniger als alle 8-Stellen nacheinander, aber immer noch sehr, sehr viel. Ich habe den Code ermittelt für einen, was die übliche Variante ist, die die meisten machen werden, ist der 12 oder länger. Eine Frage kommt da. Wie stark wächst, die weiß ich gar nicht. Weißt das hier jemand? Sack. Aber irgendwas wahrscheinlich, so was wie, weiß ich nicht, logaritmisch oder Wurzel, das wird nicht so viel länger. Normalerweise verdoppel ich mit jeder Stelle meine Anzahl, ob ich das, oder noch mehr. Auf jeden Fall, es ist nicht so viel Menge, aber ich würde sagen, doch, man könnte sagen, sie verdoppelt sich in ihrer Länge ungefähr, so war das, glaube ich, sie verdoppelt sich in ihrer Länge ungefähr mit jeder Stelle mehr. Was immer noch viel weniger ist, als wenn ich alle Möglichkeiten in einer Stelle mehr habe. Ich denke sonst, na ja, egal, es bleibt lang, aber nicht mehr so lang. Aber das Bessere, warum es eben nicht so schlimm ist, ist, dass sie doch ein Timeout drin haben. Ich habe es jetzt nicht nachgezählt, aber sowas 100 oder 200 Klicks in der Kotzeit. Wo es dann wartet, muss man von vorne anfangen. Also es ist doch ein sehr langwieriger Prozess. Man könnte das auf Dauer machen, wenn man quasi immer wieder Zugang zu einem Schloss in der Highschool hat oder sowas, aber das ist bei jedem Kombinationsschloss jetzt endlich so. Wer da vor Angst hat, muss den Code einfach lange genug wählen. Dann ist er dagegen, weil das ist der Vorteil gegen meinen Kombinationsschloss, wo ich jetzt vier Rädchen habe, hier kann ich dann eben 15 oder 16 oder sowas als Länge machen. Und dann wird das doch also sehr unrealistisch. Von daher ist dieser Angriff aus meiner Sicht irrelevant. Wir können zusammen mit ein paar anderen Findings machen, dass es geschickt wäre, dort einen Anfang zu definieren. Dass ich am Anfang einmal ganz lange drücke oder irgend sowas. Dass es einfach klar ist, das ist jetzt der Code. Und das würde auch ein Durchprobieren nochmal deutlich erschweren, während es die Notöffnung nicht wirklich verlangsamt. Also es wäre für mich als Nutzer okay, wenn ich einmal lange drücken muss, dann meinen Code eingeben. Dann weiß ich auch, dass ich angefangen habe. Aber genau. Aber weg dafür ist der Taster da, sonst für nix. Wenn man eigene Software entwickelt, dann könnte man damit irgendwelche Sachen machen. Ja, hier nochmal das Layout, wenn man für immer die Pins nachvollziehen möchte. Genau, das ist das Note. Ebenfalls zerlegt haben wir das Masterlock. Wer klackst hier? Die Katze schlägt dem wogegen oder macht die das elektrisch? Über Funkstellungen. Also hier sieht man, wie man es erwarten würde aus, hat hier vier Buttons für die vier Tasten. Anders als das alte Masterlock hat das keine Mitteltasse und die Katze mal töten. Was man hier sieht, sind zwei Prozessoren. Während der Nordic NRF ein Prozessor hat einen Armcore und einen Bluetooth-Funkchip gleich mit drin, ist hier ein MSP430 Prozessor drauf. Nicht der gleiche wie im Alten, sondern wesentlich neuerer mit einem F-Ram. Und daneben ist ebenfalls von Texas Instruments ein Bluetooth LE-Chip. Die beiden Chips haben mich noch nicht näher angeschaut. Ich gehe aber davon aus, dass ich jetzt mit denen ich auch das andere auslesen kann, an diesen Chip dran komme. Das wäre auch was, was ich auf dem Lauf dieser Easterheck, wenn sich jemand dafür interessiert, wenn man Lust hat, mit MSP430 zu spielen, mal ausprobieren würde. Ob ich hier die Firmware dampen kann und wenn ja, was da so drinsteht. Ich weiß nicht, wie ich es einschätzen soll. Wir haben Masterlock, denk ich, damals gesagt, dass wir die Firmware dampen konnten. Wir haben es im Vortrag veröffentlicht in New York. Sie könnten es mitbekommen haben. Ich weiß auch nicht, ob ich das im Normalfall als Sicherheitslücke bezeichne würde. Die Sicherheitslücke, hier war eigentlich, dass ich über den Batterie-Schach an die Flash-Kontakte komme. Dass ich die Firmware dampen kann, finde ich als Besitzer einer Hardware eigentlich gut. Das ist der Grund, warum wir es Ihnen das nicht explizit geschrieben haben. Weil das ist ja nicht die Schwäche, sondern die Schwäche, dass ich in die Kontakte komme. Das ist hier nicht mehr so der Fall. Wir haben es hier noch nicht so leicht geschafft, die Schublau daraus zu reißen und die Flash-Kontakte, dass wir sagen, quasi völlig identisch zu dem alten Schloss. Nur dass eben hier dieses Abschirmblech ist, was die magnetische Beeinflussung unterbindet. Ein bisschen. Genau, hier sind Federn drin, der Aktor, die Sachen kommen in die Mitte, so schaut das aus. Dann hoffentlich platzieren von der Rückseite noch ab, habe ich aber nicht mehr noch eines zerlegen nochmal. Genau, aber jedenfalls, das ist hier noch nicht so wirklich weiter in dem Bereich analysiert. Beim NOG, denke ich, kann ich auch schon sagen, weil das im Prinzip für den Hersteller nicht schlecht ist, wir haben versucht, die Firmware zu dampen, sie ist hier leider lesegeschützt. Wir können die Firmware aus dem NOG momentan nicht extrahieren, wobei die Analyse bei dem anderen Schloss da auch nicht viel gebracht hat. Deswegen ist die Frage, wie macht man dann weiter? Da gibt es verschiedene Varianten. Ich habe mich entschieden, ich hatte eigentlich vorgehabt, die Kommunikation, die Kommunikation zwischen der App und dem Servern von NOG mal zu belauschen. Dies ist SSL verschlüsselt. Das heißt, mit einfach TCP-Damp auf dem WLAN funktioniert das nicht. Als erstes habe ich dafür die App mal dekompiliert. Das ist, was man mit jeder solchen App relativ gut machen kann auf Android. Das sind irgendwie so eine Java-Technologie verwandte Sache. Und da gibt es Decompiler für JADX, ist das zum Beispiel einer, der installiert, das gibt es auch als Das Decompilation as a Service im Web. Und ich glaube, das war so relativ intuitiv zu finden. Kann ich mal mal probieren, wenn ich hier einfach irgendwo das war, ich glaube, JADX. Warum gehe ich Google ein? JADX, genau. Ich denke, die Seite hier hatte ich ausprobiert. Das funktioniert relativ gut. Fragt nicht, warum ich die T-Shirt-Werbung bekomme, der Abgestepp-Pofil ist neu. Aber gut. Da lädt man so ein Applikar hoch, das bekommt man mit einem ADB-Shel von seinem Handy runtergeladen, muss das nicht mehr geroutet für sein. Und dann hat man eine Art Java-Source natürlich nicht besonders lesbar, allerdings überraschend gut lesbar. Im Vergleich zu dem, was man aus einer dekompilierten Firma herausbekommt, sehr, sehr gut lesbar. Darin hatte ich also gesehen, er kommuniziert die ganze Zeit mit so einer App-Spot. Das ist, glaube ich, ein Google-basierter Dienst, und das ist so gut. Da wird die ganze Zeit hin und her geschickt. Meine erste Idee war also aufgrund eines alten Blockeintrags von SEK. Darf ich doch mir zeigen, SEK, oder? Werbung für dein Block. Und das SEK-Blockmal hat das SEK mal beschrieben, wie eine App in ein anderes Binärformat dekompiliert. Das ist quasi nur bytecode dekompiliert. Dadurch kann man es wieder gut rekompilieren. Also so ein Java-Code wieder zu einer APK zusammenbauen ist relativ umständlich. Wenn man es nur in bytecode zerlegt, dann kann man den Ändern und wieder zu einem APK zusammenbauen. Das hat das SEK mit einer App gemacht, also mein Plan wäre gewesen das mal zu machen. Und dann wird die Uhr zu verändern, mit der das spricht auf HTTP. War ich aber dann zu faul zu, weil ich fand eine andere Lösung, nämlich den mitten Proxy. Das ist ein Python-Tool. Das macht einen Proxy auf. Er stellt sich eine root-CA und tut dann alle Request, die dadurch durchlaufen und verschlüsselt sind, das bietet mit dem Server für ein Zertifikat, erzeugt ein Fake-Zertifikat für diesen Server, signiert es mit seiner root-CA und liefert das an den Client aus. Das heißt, man muss auf dem Client nur diese root-CA von diesem Manage-Mittel-Proxy installieren. Und das Schöne ist, unter anderem, funktioniert das dann, die Applikation benutzen den auch. Ich habe das gemacht. Ich habe meinem Handy gesagt, das ist eine neue root-CA, der kannst du trauen. Ich habe es hier geleitet und dann sieht man sehr schön die ganzen Request, die zwischen der Node-App und der Node-Cloud hin- und herlaufen und kann da eben sehen, der lockt sich ein, der kriegt Sachen zurück und kann das belauschen und da ein bisschen gucken, was läuft. Andere Ansätze, die man noch hätte, wäre natürlich die Bluetooth-Schnittstelle anzugreifen. Bluetooth-LE, also Leute würden sagen, Bluetooth-Funk, das gilt als mittelmäßig sicher, wenn das Pairing gut läuft und es ist sniffbar, aber wirklich crackbar in der Regel, nur wenn es mit schlechter Pin gepaert wurde. Bei Bluetooth-LE ist das alles ähnlich und komplett anders. Es gibt so ein paar Vorträge, die mal Bluetooth-LE Sniffing, die weisen darauf hin, dass das Pairing in der Regel sehr schwach ist. Viele Devices unterstützen gar kein Krypto auf Bluetooth-LE. Bei diesen Mikro-Kontrollern könnte es in Software implementiert sein. Weiß ich nicht, habe ich noch nicht ausprobiert, aber bei uns im Club gefunden. Was ich gefunden habe, ist, dass es von Adafruit ein gibt. Habe ich leider auch nicht gefunden, aber der basiert auf einem Nordic Bluetooth-Sniffer und der wiederum basiert auf dem NF51822 Chip, den wir im Note haben. Man könnte versuchen, aus einem Note ein Bluetooth-Sniffer zu bauen. Da das aber umständig ist, so ein Note zu zerlegen, habe ich mir einfach noch ein paar NF51822 Devboards besorgt. Das heißt, ich habe hier einfach solche Nordic Chips auf einem Breakout-Bord, wo man direkt mit einem Flascher kontaktieren und programmieren kann. Wäre also eine der weiteren Dinge, die wenn jemand Interesse hätte, ansonsten mache ich es mal alleine. Aber wo man in Bereich mal weiter experimentieren könnte, aus so einem Nordic Chip ein Bluetooth-LE Sniffer zu machen. Die Überlegung da wäre eben zu gucken, verschlüsselnd überhaupt die Kommunikation. Und wenn sie es machen, was übertragen sie da, wenn sie es nicht machen, was übertragen sie usw. Genau. Und jetzt, glaube ich, bin ich in dem Punkt, wo ich die Aufzeichnung gerne abschalten würde.