Mahlzeit,
das kenne ich schon, aber ich werde das selbst programmieren, ist ja keine Hexerei. Tasmota habe ich auf meinen sonoff-Schaltern/-Leistungsmessern 🙂
Gruß
Jürgen
Also da braucht man schon ein bisschen das richtige Feeling in Sachen Lichtimpulse bis das klappt mit der PIN Eingabe, schrecklich….
Also ich habe meine Versuche nicht gezählt, gesperrt wurde da aber nix.
Jetzt habe ich Zweirichtungszähler bekommen den EMH mMe4.0.
[...]
Leider ist das bei dem Zähler so das man durch das Script die ganzen Pin Nummern durchprobieren kann. Jedoch sich an der Datenmenge an der Optischen Schnittstelle wieder nichts ändert. Die Pin muss eingegeben werden, anschließend muss man den Punkt suchen und den erweiterten Datensatz aktivieren.
[...]
Daher hätte ich so nicht dokumentieren können welche Pin es war. Und das erraten hat mit dem Script nicht funktioniert. Ich glaube der Zähler sperrt sich nach einiger Zeit wieder.
Ganz genau, beim EMH mMe4.0 klappt die Methode des Hackens rein mit der blinkenden LED nicht. Dass man auf genau diese Problematik würde stoßen können (also sich die Datenmenge nach Eingabe der richtigen PIN erst mal nicht ändert), darauf hatte ich schon mal in einem älteren Beitrag hingewiesen:
https://www.akkudoktor.net/forum/postid/154163/
Beim EMH mMe4.0 ist es so, dass man nach richtiger PIN-Eingabe in einem Menü landet. Mit kurzen Blinkpulsen schaltet man von Menüpunkt zu Menüpunkt, durch langes Anleuchten (mehrere Sekunden) kann man bei manchen Menüpunkten etwas verstellen (Historie löschen, PIN deaktivieren, erweiterten Datensatz einschalten etc.). Hat man sich durch alle Menüpunkte durchgeblinkt, verlässt man das Menü und der Zähler ist wieder im gesperrten Zustand, in dem er vor der PIN-Eingabe war. Bei einer Brute-Force-Attacke folgen nach der richtigen PIN naturgemäß weitere PIN-Eingabeversuche. Diese bestehen aus kurzen Blinkpulsen. Die Folge ist, dass man sich extrem schnell durch das Menu durchklickt und der Zähler schon nach wenigen Sekunden wieder gesperrt ist. Allerdings gibt es einen Effekt: Nachdem das Durchblinken durch die Menüpunkte einige Blink-Pulse "absorbiert", verliert man nach der richtigen PIN im Allgemeinen erst mal die Synchronisation. Wenn 3764 die richtige PIN ist, folgt danach 3765, 3766 usw. Absorbiert das Menü nun 10 Pulse, dann gibt man danach ungewollt z.B. 6537 ein, danach 6637, usw. Man beobachtet also einen plötzlichen Sprung in den eingegebenen PINs, bis es sich nach genügend Nullern irgendwann wieder einpendelt.
Folglich hackt man den EMH mMe4.0 am besten mit einer Zeitraffer-Kamera vor dem Display. Nach Eingabe aller PINs von 0000 bis 9999 wird man den Zähler in unverändertem Zustand vorfinden. Die Auswertung des Videos wird aber auf den o.g. Sprung in den eingegebenen Zahlen führen und damit die richtige PIN bis auf wenige Werte eingrenzen lassen.
Ja genau Alexx hast du sehr schön beschrieben.
Noch ein Hinweis, das Wort „sperren“ meine ich im Sinne (so wie du es auch gesagt hast) das die Anzeige wieder aus ist.
Sperre im Sinne der Zähler nimmt keine PIN mehr an gab es nicht. Beim Iska stand sogar in der Bedienungsanleitung das man unendlich oft versuchen darf die richtige PIN einzugeben. Und der EMH mMe4.0 hat auch keine Anstalten gemacht obwohl ich alle 9999 durchprobiert habe. Die Zeit habe ich geloggt.
Wobei ich bei dem EMH gelesen habe das theoretisch eine „Zeitsperre“ was die Eingabe einer neuen PIN angeht möglich wäre. Nur mal so als Hinweis.
An eine Kamera habe ich auch schon gedacht. ESP32Cam oder falls der von der Leistung nicht ausreicht, es gibt ja auch den Raspberry mit Kamera. Mit dem Pi haben auch einige KI im Sinne vom „neuronalen Netz“ realisiert. Wäre auch mal interessant.
Mein Zähler (Modell: Apator Picus) ist seit gestern früh erfolgreich entsperrt. Als ich ins Bett ging war er bei ~6000, am nächsten Morgen dann hochgerechnet bei 7650, irgendwo dazwischen lag dann meine PIN. Mein Modell sperrt sich glücklicherweise nach korrekter PIN Eingabe nicht mehr. Weitere Blinkimpulse lassen den Zähler nur noch durchs Menü springen.
Ich hätte noch eine Idee zur Erkennung, ob die richtige Pin eingegeben wurde:
Einige (zB @Desi) haben geschrieben, dass sich bei ihrem Modell an der Datenmenge an der optischen Schnittstelle nach erfolgreicher Eingabe leider nichts ändert. Was ist aber mit den Daten selbst? Die Leistung Momentan (obis Kennzahl 1-0:16.7.0*255) wird ja z.B. bei gesperrtem Zähler nicht (oder als 0) gesendet. Diese sollte doch nach erfolgreicher Pin-Eingabe plötzlich irgendwas ungleich 0 sein. Dafür braucht es natürlich die Möglichkeit überhaupt Daten zurück zu lesen, ich hatte ja ganz simpel nur eine blinkende LED am Arduino/ESP hängen.
oh ja super Idee!
Das habe ich total übersehen. Das könnte der esp8266 sogar machen.
Ich habe ja mehrere Zähler im Keller ich mach mal einen dump. In beiden „Varianten“
keine PIN eingegeben
PIN eingeben aber „inf“ nicht einschalten
Wobei ich bei dem EMH gelesen habe das theoretisch eine „Zeitsperre“ was die Eingabe einer neuen PIN angeht möglich wäre. Nur mal so als Hinweis.
Ganz richtig, so steht das beim mMe4.0 in der Anleitung. Auf Wunsch kann der Netzbetreiber die Stromzähler mit diesem Anti-Hacking-Feature von EMH bekommen, es ist prinzipiell in der Firmware implementiert. Allerdings habe ich bislang noch nicht gehört, dass diese Funktion bei irgendeinem Zähler, der in freier Wildbahn verbaut wurde, auch wirklich aktiv wäre. Vielleicht meldet sich hier im Forum aber noch jemand, der auf selbiges stößt.
Einige (zB @Desi) haben geschrieben, dass sich bei ihrem Modell an der Datenmenge an der optischen Schnittstelle nach erfolgreicher Eingabe leider nichts ändert. Was ist aber mit den Daten selbst? Die Leistung Momentan (obis Kennzahl
1-0:16.7.0*255) wird ja z.B. bei gesperrtem Zähler nicht (oder als 0) gesendet. Diese sollte doch nach erfolgreicher Pin-Eingabe plötzlich irgendwas ungleich 0 sein.
Mutmaßlich wird die 16.7.0 beim EMH mMe4.0 gar nicht gesendet, solange der erweiterte Datensatz nicht aktiviert wurde (also nach PIN-Eingabe im Menü "INF OFF" auf "INF ON" umgeschaltet wurde). Aber vielleicht mag das mal jemand gegenchecken.
Es gibt noch einen anderen Ansatz: Man könnte nach JEDER PIN-Eingabe die nötige Blinksequenz senden, um von INF OFF auf INF ON umzuschalten. Dazu braucht man mehrere kurze und einen langen Blinkpuls. Dann würde man die richtige PIN an der optischen Schnittstelle erkennen. Nachteil: Die Eingabezeit pro PIN wird sich mindestens verdoppeln, weil man die Sequenz jedesmal senden muss. Und man gibt im Fall einer falschen PIN dann natürlich ziemlichen Unsinn ein und muss eine Weile warten, bis der Zähler wieder bereit für die nächste PIN ist.