Hagen Fritsch

3 Wege zum Funksteckdosen hacken

Steckdosen mit Funkfernbedienung sind super praktisch, wären aber noch praktischer wenn man nicht auf die Fernbedienung angewiesen wäre.
Vor einiger Zeit habe ich mir günstige ALDI Funksteckdosen (Tevion GT-9000) besorgt und gehofft, diese recht einfach mit einem Gerät wie der CUL ansteuern zu können. Leider Fehlanzeige, unbekanntes Protokoll, hat noch keiner vorher gemacht etc. Für die ebenfalls günstig zu erstehenden Intertechno (ELRO) Steckdosen gibt es genug Material im Internet, aber diese hier sind doch etwas hartnäckiger.

Die CUL erlaubt später Kommandos zu senden, kann bequem an den Router angeschlossen werden und über FHEM kann man dann über das Smartphone und Apps die Geräte steuern.

Funksteckdosen sind zumeist sehr einfach gestrickt. Sie senden recht kurze Datenpakete mittels einfachem ASK/OOK.

Methode 1: Timings und Daten via CUL auslesen

Die CUL hat einen Monitor Mode, der einem die Zeit seit der letzten rising/falling flank ausgibt. Die bisherige Version hatte ein paar Fehler was die Timings insbesondere am Anfang und Ende von Paketen betraf (siehe auch), aber in github:rumpeltux/culfw/tree/tevion gibt es eine verbesserte Version. Zunächst also die CUL anstecken und aktualisieren:

git clone https://github.com/rumpeltux/culfw.git
cd culfw
git checkout tevion
cd culfw/Devices/CUL
make TARGET=CUL_V3 MCU=atmega32u4 build size
echo 'B01' > /dev/ttyACM0 # Reboot the device for flashing
make usbprogram_v3

Meines Erachtens sehr hilfreich ist auch LONG_PULSE anzuschalten, damit werden auch Pakete > 4ms korrekt geloggt.
Dazu einfach: #define LONG_PULSE in die Datei board.h eintragen und mit obigen Schritten neu kompilieren und flashen.

Mit folgendem Befehl startet man den Monitor Mode:

echo X98 > /dev/ttyACM0

Allerdings ist die binäre Ausgabe davon zunächst vollkommen unbrauchbar. Zur Analyse kann das raw_analysis.py tool verwendet werden, das versucht aus einem raw dump die gesendeten Paketdaten und -parameter herauszufinden.

Als erstes werden einige Daten aufgezeichnet, die im Anschluss analysiert werden können (der Monitor Mode sollte schon eingeschaltet sein). Dazu benutze ich

cat /dev/ttyACM0 > logfile

Nun die gewünschte Taste auf der Fernbedienung drücken, ggf. gedrückt lassen damit mehr Pakete gesendet werden und dann Ctrl+C zum Abbrechen der Aufzeichnung drücken. Wenn man Probleme mit der Aufzeichnung auf der Kommandozeile hat, kann man auch ein Tool wie z.B. cutecom zur Aufzeichnung verwenden. Die Logdateien davon lassen sich ebenfalls mit dem raw_analysis tool verwenden.

Als erstes plotten wir mal die Daten um zu sehen was aufgezeichnet wurde:

python tools/raw_analysis.py --pause 4000 --plot logfile

Plot of Hightimes & Lowtimes of the received signal

Die Höhe der Ausschläge ist die Signalqualität, die Zeitachse ist in ms, wobei die Pause zwischen Paketen nicht angezeigt wird, aber ein Paketende durch eine Schräge angezeigt wird (z.B. ganz am Anfang im Bild). Auch das Kodierungsschema für Bits ist klar erkennbar: kurz-lang für eine 0, lang-kurz für eine 1.
Wenn wir den Plot schließen sehen wir auch eine Liste der erkannten Pakete. Manche sind 1 bit zu kurz, aber oft wurden sie richtig erkannt.
Hier stehen auch die erkannten Timings (in Einheiten zu je 16μs):

Global Timings: [28, 62, 56, 33] (hi0, lo0, hi1, lo1)

  • ‘0’ Hightime: 28 (=0.45ms)
  • ‘0’ Lowtime: 62 (=0.99ms)
  • ‘1’ Hightime: 56 (=0.90ms)
  • ‘1’ Lowtime: 33 (=0.53mμs)
Auch die eigentlichen Paketdaten werden gemessen. Hier haben wir es also mit Paketen bestehend aus je 24bit + 1 einem Sync-Bit zu tun. Pausezeiten wurden ebenfalls gemessen und das Tool spuckt einem einen CUL Befehl aus, der ein ähnliches Paket zu senden versucht.

Mit etwas Glück reicht es, diesen Befehl an die CUL zu schicken und die Steckdose schaltet. Leider sind die gemessenen Timings nicht immer 100% akkurat (bei mir habe ich z.B. einen leichten Bias bzgl. einer zu kurz gemessenen hightime festgestellt), es lohnt sich also die Werte ein bisschen zu variieren. Zum Bau der CUL Kommandos zum Senden der Pakete ist das tool in docs/rawcmd.html ebenfalls sehr hilfreich.

Hat man weiterhin keinen Erfolg, kann man mit folgenden Mitteln nochmal genauere Daten bekommen, die dann hoffentlich ausreichen, um die entsprechenden Kommandos zu konstruieren.

Methode 2: Timings mit der Soundkarte analysieren

Diese absolute low-cost Variante reicht zumindest zum Sniffen der Daten vollkommen aus. Zum Senden benötigt man dann wieder Hardware wie z.B. die CUL oder günstig erhältliche 433 Mhz Sender, die man dann z.B. mit einem Arduino oder Raspberry Pi steuern kann. Zur Analyse nehme ich Baudline, aber eigentlich tut auch jeder andere Audioeditor in dem man die Waveform des Signals sehen kann.

Ich habe ein Cinch-Kabel genommen in den Mikrofoneingang gesteckt und das andere Ende des Kabels auf verschiedene Pins der Fernbedienung gehalten in der Hoffnung, dass auf einem der Pins ein Signal wahrnehmbar sein wird, das etwas mit dem gesendeten Funksignal zu tun hat. In der Tat, ist das fast auf jeder Pin der Fall und das Signal sieht dann z.B. wie folgt aus:
Baudline: Headphone Jack

Man sieht zwar nur die Übergänge, aber das reicht um das Signal rekonstruieren zu können schon aus.
Die Timings können wir diesmal ganz exakt ablesen:
Kurz ist 0.5ms und lang 1ms. Ein Bit also immer 1.5ms. Nach jedem Paket folgt ein syncbit mit einer hightime von 2.8ms und einer lowtime (Pause) von 6.7ms.

Die Daten könnte man demnach hier auch manuell dekodieren, aber das hat das raw_analysis Tool in Methode 1 bereits für uns getan. Auch hier hilft letztendlich wieder  docs/rawcmd.html beim Erstellen eines Pakets mit den gemessenen Daten/Timings.

Methode 3: RTLSDR

Statt der Soundkarte, kann man auch ein Software Radio zur Aufzeichnung benutzen und muss nun die Fernbedienung nicht einmal mehr aufmachen bzw. könnte z.B. auch nach Signalen der Nachbarn suchen. Dank eines DVB-T Sticks der sich als Software Defined Radio missbrauchen lässt (siehe RTLSDR), gibt es kompatible Hardware zur Aufzeichnung bereits unter 15€.

Nun einfach auf die gewünschte Frequenz tunen und die Aufzeichnung starten:

rtl_sdr logfile.raw -s 2e6 -f 433.92e6

Anschließen kann man sich die Daten z.B. wieder mit Baudline ansehen:
baudline -reset -basefrequency 433920000 -samplerate 2000000 -channels 2 -format u8 -quadrature -stdin < logfile.raw
Baudline Graph showing the recorded waveform

Auch hier kann man die Timings wieder exakt ablesen. Man sieht auch, dass das lange Sync Bit und die anschließende Pause, die am Ende von jedem Paket kommt, eigentlich den Beginn eines Pakets signalisiert, aber da man beim Senden die Pakete eh ein paar Mal wiederholt, ist das zu vernachlässigen.

Zu guter Letzt: Benutzung der Befehle in FHEM

Die raw Pakete, die man mit der CUL sendet, kann man auch zur Steuerung in FHEM einsetzen. Mit andFHEM lassen sie sich dann auch per App steuern. Hier eine Beispielkonfiguration:

define Stehlampe dummy
attr Stehlampe onOffDevice false
attr Stehlampe room Wohnzimmer
attr Stehlampe setList on off
define taste_1_1_An notify Stehlampe:on set CUL raw G0030751f3e3e1fb6012345
define taste_1_1_Aus notify Stehlampe:off set CUL raw G0030751f3e3e1fb6abcdef

Ich hoffe mit den Tools und Methoden lassen sich weitere Geräte und Protokolle noch schneller untersuchen und dann auch leicht in die Heimautomatisierung einbinden.

Update (Nov 2014):
The new version on their website doesn’t require silverlight anymore. I’ll not update the map again and probably turn it down completely at some point.


Ryainair Flightmap JS-Version ScreenshotI’m not sure why they made this stupid mistake of providing their map data in silverlight only. However, here is a javascript-only version of the ryan air flight map data based on Google maps, which I made quickly and will hopefully benefit others as well.

Ein paar Formatänderungen und viele neue Samples. Was hat sich seit dem letzten Mal getan?

  • EC/Kreditkartennummern werden nun auch im Ticket mit *** maskiert (seit 02/2012). Ausnahme: Personalausweisnummern, die ja u.a. das Geburtsdatum enthält.
    Witziges Detail: Die EC-Kartennummer wird auf 2 Stellen am Ende maskiert: ******78, aber im 0080ID-Block stehen weiterhin die letzten 4 Ziffern im Klartext.
  • Seit 04/2012 gibt es ein zusätzliches Feld mit maschinenlesbarer Trennung aus Vorname und Name.
  • Einige (sehr wenige) Tickets haben einen 0080VU Block mit 39-40 Byte Binärdaten und bisher weiß anscheinend noch keiner was so drin ist.

Spielen mit den Tickets macht jetzt mehr Spaß, denn zxing kann nun Aztek-Barcodes in den meisten Fällen decodieren, folglich gibt’s das kurze Script parsepdfs.sh, das aus einem Verzeichnis voller Onlineticket-PDFs lauter Dateien mit den Binärinhalten der Barcodes erstellen kann, die sich dann mit onlineticket.py ansehen lassen.
Außerdem habe ich das Programm ein wenig überarbeitet, sodass es nun deutlich robuster ist.

Aus den öffentlich zugänglichen Onlinetickets habe ich dann mal die Seriennummern extrahiert und gegen die Zeitachse aufgetragen.
Jetzt wissen wir also wieviel Onlinetickets die Bahn so verkauft. In 2010 hat der Zähler 100 Millionen erreicht und wurden dann wohl zurückgesetzt (roter Graph), wär das nicht passiert wäre der blaue Graph bei rausgekommen.


Hagen Fritsch

Announcing Osmatravel

Illustration of a map created using osmatravel

Update: This project is obsolete now. Use the {{mapframe}} with PoiMap2 in Wikivoyage instead.

Quite frequently I refer to WikitravelWikivoyage for information on places which are not covered by my guidebook, but a key-element that is pretty much always missing is: maps. Of course there is OpenStreetMap, but when I see a listing in a Wikitravel article, I also want to know where it is.
So someone else came up with a great idea, based on two facts:

  1. The listings in Wikitravel articles are mostly in a xml-format, i.e. machine-readable.
  2. Most names of these objects are also found as entries in OSM data.

Thus, he created a set of scripts and magic that is able to semiautomatically generate a map to a wikitravel article and put all the listings there, so that these can be easily located. The project is based on osmarender for rendering of raw osm-data into an image, thus the name osmatravel. Unfortunately there are some issues and the project did not receive any attention since 2009 making it practically unusable.

Illustration of a map created using osmatravelHowever, I invested some time, did a fork (github:osmatravel) and a lot of changes and adjustments, allowing anyone to create cool maps again (instructions).

See also:

What’s next?
During my time working on the project I discovered some limitations. The main one is that osmarender just uses xslt and maps don’t look as nice as mapnik ones. However, mapnik requires a database to work, which is a drawback concerning easy setup and usability.
Another main problem is data quality since some articles don’t use the xml-listings yet or the names don’t quite match the OSM ones, thus before being able to actually produce maps, cleanup needs to be done.
I imaging though that the ideas could be used to implement a webservice that automatically generates the svg-files for articles. This would make it much easier for people to actually make use of this project.

Hagen Fritsch

Dropbox Bytecode Decryption Tool

Dropbox is actually just a python application, so it is shipping the bytecode of its modules which one could theoretically use in other applications. Also building a more lightweight dropbox-client, that does not come with its own interpreter, might be a goal. Apparently though, dropbox does not want this and makes it slightly harder to get to the bytecode.
So here is a project I’ve been working on quite some time ago, which converts the encrypted python modules of dropbox to real python-2.5 modules usable in a normal interpreter. This works just fine, but as I don’t have the time to pursue this any further I’ll just provide the results (or the source) and hope that others use this as a base to continue.

Background
The encryption scheme is actually quite simple. It uses the TEA cipher along with an RNG seeded by some values in the code object of each python module. They adjusted the interpreter accordingly so that it a) decrypts the modules and b) prevents access to the decrypted code-objects. This would have been the straightforward path just letting dropbox decrypt everything and dump the modules using the builtin marshaller.
Another trick used is the manual scrambling of the opcodes. Unfortunately this could only be fixed semiautomatically thus their monoalphabetic substitution cipher proved quite effective in terms of winning some time.

Usage
You’ll find the source at github/dropboxdec

Grab and unpack the prerequisites::

wget -nv https://github.com/rumpeltux/dropboxdec/tarball/master -O - | tar xzv
wget -nv http://dl-web.dropbox.com/u/17/dropbox-lnx.x86-1.1.45.tar.gz -O - | tar xzv
# use dropbox-lnx.x86_64-1.1.45.tar.gz if you're running a 64bit os
cd .dropbox-dist; unzip library.zip; chmod a+rw -R .; cd ..

Run the decryption tool::

python dropboxdec*/dec.py .dropbox-dist

From here
The decrypted modules are python-2.5 bytecode, thus will only work in a 2.5 bytecode interpreter. There are some decompilers for other python-versions which will need some adjustments to be able to decompile the code, if anyone wants to dive deeper into the protocol.
The decryption also only works for the 1.1.45 version of dropbox. In the 1.2 branch the simple RNG was exchanged to the Mersenne Twister, so the decryption program would need to be adjusted accordingly.

If you do anything cool with it, I’d very much appreciate if you’d drop me a line and let me know :) Other than that, have fun hacking!

Nächste Einträge »