Bwired Home Online home in the Netherlands

Zondag 20 Februari 2011 - 23:51:43

Visonic Powermax Powerlink2 Hacked

Door: , , Categorie: Bwired

Al heel wat jaren staat het aansturen van de Visonic Powermax Pro alarmcentrale hoog op het wensenlijstje van Bwired. Onlangs heeft Visonic de Powerlink2 uitgebracht, een ethernet module die in de Visonic Powermax Pro kan worden geplaatst. Met deze Visonic Powerlink2 is het mogelijk de Powermax Pro Alarm centrale via het Internet te bedienen. Je kunt dus Secure inloggen op de centrale, de status bekijken, het alarm aan of uit zetten en eventuele camera's bedienen. Het bedienen via de standaard HTML interface van Visonic boeide me natuurlijk niet, ik dacht direct; kan ik deze powerlink 2 hacken zodat ik de Powermax Pro vanuit mijn eigen domotica applicatie kan aansturen.

Bijvoorbeeld mijn elektronisch deurslot op de voordeur is de Radaris Evolution van Nemef die ik m.b.v. een RfID tag kan openen. Zodra ik de Tag aanbied gaat het gordijn (Harrison) achter de deur automatisch open. Als ik vervolgens binnen ben moet ik ook het alarm uitschakelen door een 4 cijferige code in te toetsen of weer een aparte afstandsbediening te gebruiken. De RfID tag geeft al aan dat ik het huis binnen mag en dus zou het alarm automatisch afgezet kunnen worden.
Om dit te bereiken moet ik de Powerlink2 direct kunnen aansturen vanuit mijn domotica applicatie. In mijn omgeving werd ik al gewaarschuwd dat dit niet mogelijk was en de Powerlink eigenlijk alleen gebruikt werd via alarmcentrales die op afstand secure konden inloggen en IP Notifications (IPMP) kregen.

Natuurlijk toch maar besteld en kijken waar het schip strand. Eerst moet ik nog even kwijt dat Visonic een super slechte service heeft, op emails reageren ze helemaal niet en producten zoals de Powerlink2 worden uitgeleverd zonder documentatie of wat dan ook! In mijn geval snap ik wel dat er geen documentatie bij wordt geleverd, Visonic is erg bang dat ze in een verkeerd daglicht komen te staan. Met de Powerlink creëren ze een opening op het alarmsysteem, aan het Internet dus een extra potentiele bedreiging.
Met een beetje technische kennis is het inbouwen van de Powerlink zonder handleiding wel mogelijk, echter heeft Visonic verschillende versies van de Powermax Pro op de markt dus het is niet gegarandeerd dat de Powerlink2 op alle Pro centrales werkt!

Na het inbouwen van de Powerlink heb ik de Powermax pro van de stroom gehaald en ook de batterij voor 10 seconden verwijderd.
Na het opnieuw opstarten van de Powermax zou de Powerlink automatisch een IP nummer in je lokale range moeten krijgen eindigend op 200, dus xxx.xxx.xxx.200. Na het starten van de webbrowser en ingeven van het IP nummer, gebruikers naam en wachtwoord kreeg ik netjes de Powermax webpagina, ik was binnen.

Tijd om Wireshark op te starten en te kijken wat voor pakketjes er allemaal van en richting de Powerlink gaan. Al vrij snel vond ik onderstaand pakketje waar ik het aan en uit zetten van de Powermax voorbij zag komen. Het kopiëren van de link in een browser zorgde er al voor dat ik het alarm al uit en aan kon schakelen! Ik moest wel eerst ingelogd zijn op de powerlink om dit voor elkaar te krijgen, dat was dus nog een probleem!

GET .../mobile/dam/arm/mode/disarm_state?JsHttpRequest=129823770199311-xml HTTP/1.1
Host: xxx.xxx.xxx.200
Connection: keep-alive
Referer: "http://xxx.xxx.xxx.200/mobile"
Content-Type: application/octet-stream
Accept: */*
User-Agent: blabla
Accept-Encoding: gzip,deflate,sdch
Accept-Language: nl-NL,nl;q=0.8,en-US;q=0.6,en;q=0.4
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
Cookie: PowerLink=85a0bab15d60db242cc73c717aa46f7c; mobile=636f92fd8f357d0b10a2f70a845e2305


Mijn vriend Robert Hekkers waar ik op Domoticagebied veel mee samen doe is toevalig een HTML expert. Onze families hadden ook een visite gepland staan dus het kwam mooi uit om hier samen eens naar te kijken. We kwamen al snel tot de conclusie dat dit niet moeilijk te kraken moest zijn. Later die avond is Robert natuurlijk zelf nog verder gegaan en kwam tot een best schokkende conclusie dat Visonic tijdens het inloggen op de Powermax via de Powerlink usernaam en password gewoon leesbaar verstuurt! Secure inloggen met bijvoorbeeld HTTPS is gelukkig wel mogelijk. We kunnen nu dus ook de Powermax aansturen inclusief de login!

POST .../mobile/login/index/?JsHttpRequest=12982287732070-xml HTTP/1.1
Accept: */*
Accept-Language: nl
Referer: "http://xxx.xxx.xxx.200/mobile/login/index/"
Content-Type: application/octet-stream
Accept-Encoding: gzip, deflate
User-Agent: blabla
Host: xxx.xxx.xxx.200
Content-Length: 42
Connection: Keep-Alive
Pragma: no-cache
Cookie: PowerLink=077d58c208ef9aaef1fe8d464015d929; mobile=e6efb2eae139ca6fe327b603d6c23e76
login=admin&password=admin&time=1298228773


Onvoorstelbaar dat een bedrijf als Visonic die wereldwijd veel alarmsystem verkopen dit zo onveilig doet. Je hoort ons natuurlijk niet klagen want dit maakt het koppelen met onze domoticasystemen alleen maar gemakkelijker. Maar als iemand kwaad wil kunnen ze met de juiste tools een Visonic alarmpaneel met een Powerlink aan Internet kraken!

Conclusie: De Powerlink2 (Ethernet) van Visonic is aanstuurbaar via meerdere wegen dan alleen de Visonic way! Aansturen via Telnet of Ftp is ook een van de mogelijkheden alleen zijn die voorzien van een password die we nog niet hebben. De komende tijd zullen we nog meer protocol informatie beschikbaar stellen en zal ik ook een driver maken voor mijn Bwired Domotica software. Aanzetten (Arm away & Home) en uitzetten (disarm) van het alarm zijn slechts de basis functies. De powerlink heeft veel meer mogelijkheden op het gebied van status van sensoren etc.
We Keep you posted

Zie hier de blog van Robert met zijn verhaal en nog meer gedetailleerde informatie.

Bwired Blog

Welkom op het Bwired Picture Weblog. Dit zelf ontwikkelde Weblog is gebaseerd op foto's en tekst die automatisch m.b.v. mijn Smartphone (GSM) naar mijn Weblog worden verzonden en hier ook direct worden getoond.
Ik schrijf voornamelijk over dingen die ik meemaak en waarvan ik een foto kan maken. Onderwerpen als Domotica (Home Automation), techniek, IT, hacks, DIY's, familie en fun stuff.
Tell me - Ask me!
Stuur me je bericht of link tip Bekijk ook eens mijn Domotica forum.