News nello one: Cloud-Türöffner öffnet nach Insolvenz Fremden die Tür

[bertlinger]

9 von 10 Einbrüche passieren durchs Fenster, da die weitaus weniger gesichert sind wie Türen.
Was bringt mir eine Tresortür wenn des Fenster in 5 sek. auf ist?

 

[mik_schreiber]

Mein Gott das Internet ist schon grossartig - hier schreiben viele die Nello nicht mal kennen.
Nello war zu dem Zeitpunkt wo es auf den Markt gekommen ist schon interessant weil das Handy den Schlüssel ersetzt hat. Eine lokale Lösung wäre mir lieber gewesen, gab es aber nicht.
Völlig egal ob cloud oder lokal, Softwarefehler gibt es überall bis hin zur Autoindustrie - die Frage ist wie man damit umgeht.
Nello hat auch gut funktioniert und Support war auch gut. Leider kam die Insolvenz und der neue italienische Besitzer hat an den servern geschraubt und damit den Mist reingebracht. Noch schlimmer, der Support ist mehr als mies. Wenn man so einen gravierenden Fehler erfährt oder bereits kennt, muss man sofort reagieren (Benutzer aktiv informieren, Sofortmassnahmen einleiten, die ältere funktionierende Server Software wieder aktivieren, sicherstellen dass zumindest Grundbetrieb funktioniert). In Italien ticken die Uhren anders.
Rechtlich sicher auch eine interessante Frage, wenn der Dienstleister die Türe einfach öffnet und ein Schaden entsteht.

 

[AlphaKaninchen]

Ich will übrigens gern mal sehen, wie du den Schlüssel für ein Schloss in irgendeinem Geschäft kopieren willst, wenn du nicht eben diesen Schlüssel mitbringst, damit er kopiert werden kann.
Ohne Vorlage kannst du nichts kopieren.

Genauso wie alles andere auch, Hacken
CCC 33c3 Hochsicherheits-Generalschüssel Marke Eigenbau
Ein Schlüssel ist ein Passwort, du brauchts den Schlüssel nicht, das Passwort reicht, außerdem gibt es auch sehr wenige varianten (Im Video die 3KS Schlüssel ließen sich mit 2 Byte darstellen)

 

[I'm unknown]

Mein Gott das Internet ist schon grossartig - hier schreiben viele die Nello nicht mal kennen.

Macht es einen unterschied wenn die Türe unberechtigt öffnet ob man Nello kennt oder nicht?

Und ja das Internet ist Großartig - weil z.B. genau solche Gegebenheiten damit nicht mehr unter den Teppich gekehrt werden können!

Völlig egal ob cloud oder lokal, Softwarefehler gibt es überall bis hin zur Autoindustrie - die Frage ist wie man damit umgeht.

Klar, nur ist es ein Unterschied ob es ein Bug oder systematisches Versagen ist. Besonders schlimm in der Luftfahrt weil dort bei einem einzigen Unfall direkt viele hart betroffen sein können: Designed by clowns and supervised by monkeys (Wobei hier viel mehr als nur die SW das Problem ist).

 

[XamBonX]

Ah was, Cloud Türöffner öffnet fremden die Tür? Mit sowas hat man nicht gerechnet...

 

[mik_schreiber]

Macht es einen unterschied wenn die Türe unberechtigt öffnet ob man Nello kennt oder nicht?

Hier wird aber mehr über das generelle Thema geschrieben, weniger über den Vorfall bei der Firma Sclak.

Besonders schlimm in der Luftfahrt weil dort bei einem einzigen Unfall direkt viele hart betroffen sein können:

Die Welt ist halt bunt und nicht schwarz weiss. Soll man deswegen nicht fliegen?
Also flieg ich nicht mehr mit der Maxx aber deswegen zu sagen, "fliegen geht nicht mehr" würde wohl keiner machen. Hier ist es ähnlich, der Eine möchte das und der Andere nicht. Trotzdem muss man erwarten dass der Hersteller einen vernünftigen Job macht.

Ergänzung (1. Februar 2020)

Der Hersteller ist Insolvent, da gibts keinen Hafter mehr.

Falsch, richtig lesen.
Der ursprüngliche Hersteller Lumi Lab war insolvent. Der neue Eigentümer ist Sclac und betreibt die Platform bzw. verkauft die Geräte weiter. Verantwortlich für den Fehler ist Sclak, weil die an der Software geschraubt und den Fehler produziert haben. Das zu klären liegt nicht in meinem Bereich, bin kein Rechtsanwalt

Ergänzung (1. Februar 2020)

Denn, und nun kommen wir zu dem Problem, was viele Leute hier sicherlich sehen (es aber nicht ausdrücken können): Wenn so etwas bei einem WOHNUNGSTÜR-Öffner passiert, DAS wäre relevant.

Nello ist aber nicht ausschliesslich in Mehrfamilienhäusern, bei einem Einfamilienhaus hat man genau den Fall.

Ergänzung (1. Februar 2020)

@engineer123

Hätte ich bei den aktuellen Problemen meinen Nello One noch und würde er ansonsten so wie ursprünglich angedacht funktionieren, dann hätte ich ihn einfach vorübergehend aus dem System genommen.
Eines der beiden Kabel die In den Nello gehen raus und gut ist.
Zudem wird ja auch gesagt das ein neu einrichten was in unter 5 min zu schaffen ist das Problem behebt.

Das mit 5 min stimmt so nicht. Sprechstelle aufschrauben ...den ganzen Mist mit blinken usw. Abgesehen davon ist das eine Behauptung von Sclab welche nicht stimmt. Statt neu eunrichten kann man auch die Homezone in der Grösse verändern. Dann geht es wieder kurzzeitig -> Richtig Kabel raus und abwarten.

 

[beercarrier]

Also schön aufpassen, was man sich ins Haus bzw. Wohnung einbaut.
Muss nicht immer alles Smart sein.

Kopfschüttel, natürlich muss es smart sein. Alles andere macht überhaupt keinen Sinn, die Vernetzung schafft genauso viele Probleme wie sie löst, nur die Nachteile lassen sich alle leichter kompensieren. Vorteil der Vernetzung ist ein besseres Ressourcenmanagment was bei der Überbevölkerung zwingend notwendig ist, gerade in Ballungszentren, Nachteil wäre die höhere Komplexität, man müsste eben mal wissen was man tut, nur um mal exemplarisch zwei Beispiele zu nennen.

Was natürlich voll doof ist wenn man den "glaube mir, vertraue mir" Aussagen der Hersteller traut. Selbst denen mit nicht grenzwertigen Umsetzungen und Moralvorstellungen kann man mit finanziellen Anreizen, bzw Strafen, schnell die InTegrität versauen.

Lokal, bzw im LAN, oder mit Benutzerkontrolle im Web, sind solche Systeme die Zukunft. Nur das Einstecken, Anschalten, Geht funktioniert für den Konsumenten nicht mehr. Es gibt jetzt schon etliche OpenSource Lösungen, und der mündige Bürger wird sich bewegen und zumindest ein Grundverständnis erwerben müssen oder er wird eben gnadenlos über den Tisch gezogen.
Zu Recht meiner Meinung nach. Wer meint Verantwortung gegen Geld abgeben zu können hat am Ende weder Kontrolle noch Geld. Wer die Entscheidung über die Öffnung seiner Wohnungstür einer Firma anvertraut die dafür einen öffentlich zugänglichen Server irgendwo auf der großen weiten Welt aufstellt und glaubt das war eine gute Entscheidung wurde von der natürlichen Selektion schon so oft bewahrt das auch irgendwo Schluss sein muss.

 

[wolve666]

Dinge, die die welt nicht braucht Der gute alte analoge Schlüssel und das entsprechende Schloß reichen vollkommen aus,. Da braucht mir keiner mit seiner pseudoaussage kommen, bessere Ressourcen nutzung etc.

 

[beercarrier]

Dinge, die die welt nicht braucht Der gute alte analoge Schlüssel und das entsprechende Schloß reichen vollkommen aus,. Da braucht mir keiner mit seiner pseudoaussage kommen, bessere Ressourcen nutzung etc.

Doch schon. Ein analoges Schloss ist an physische Schlüssel gebunden, digitale Schlüssel haben nicht nur den Vorteil das sie beliebig reproduzierbar sind sondern auch das ein "Schlosswechsel" physisch nicht mehr notwenig ist. Die alten Schlüssel werden einfach für ungültig erklärt.
Ein analoges Schloss ist auch nicht sicher. Mit wenig Wissen und etwas Werkzeug ist das sehr schnell geöffnet, genauso schnell wie digitales. Nur das digitale muss nicht mehr gewechselt werden, neue Software drauf - fertig.

 

[I'm unknown]

Die Welt ist halt bunt und nicht schwarz weiss. Soll man deswegen nicht fliegen?
Also flieg ich nicht mehr mit der Maxx

Nun ja, sagen wir es so: Ich würde nicht mehr mit Boeing fliegen. Vor allem wenn dir z.B. jemand der in dieser Branche einen tiefen Einblick in die Entwicklung besitzt sagt er handhabt das seit vielen Jahren so...

Hier wird aber mehr über das generelle Thema geschrieben, weniger über den Vorfall bei der Firma Sclak.

Was auch passt. Bei Serverlösungen vom Hersteller ("Cloud") gibt man das Vertrauen voll in die Hände des Herstellers. Früher musste man sich Vertrauen verdienen und an solchen Vorfällen sieht man warum.

Trotzdem muss man erwarten dass der Hersteller einen vernünftigen Job macht.

Klar. Haben sie aber nicht (und das ist kein Einzelfall), warum soll ich also blind vertrauen und die Kontrolle selbst zur Wohnungstüre abgeben? Kann jeder für sich selbst entscheiden, aber im Schadenfall zu sagen "Hätte ich doch nur gewusst" funktioniert nicht.

 

[new Account()]

Bei Serverlösungen vom Hersteller ("Cloud") gibt man das Vertrauen voll in die Hände des Herstellers. Früher musste man sich Vertrauen verdienen und an solchen Vorfällen sieht man warum.

Nein, das kann man nicht generalisieren. Es gibt durchaus Lösungen, bei welchem beim Hersteller kein Vertrauen notwendig sein muss.
Die einzige Macht, die der Hersteller dann hätte ist, dass der Dienst ausfällt (was aber bei bei weitem nicht dazu führen muss, dass das Gerät überhaupt nicht mehr funktioniert).
Ggf. kann man den Dienst dann einfach bei einem anderen Dienstleister verwenden (den man nur dafür bezahlen würde, dass du den Server bei denen nutzt).

Und damit Leien, welche keine Ahnung haben, kein Security-Studium brauchen, könnte man solche Dienste auch entsprechend zertifizieren lassen, damit man weiß woran man ist.

Beim Flugzeug, Auto etc. musst du ja auch blind darauf vertrauen können.

 

[I'm unknown]

Nein, das kann man nicht generalisieren. Es gibt durchaus Lösungen, bei welchem beim Hersteller kein Vertrauen notwendig sein muss.

Kennst du eine Türöffnungslösung bei der das so ist? Also alle Berechnungen für die Verschlüsselung offline und von unabhängiger Seite durch Code-Reviews geprüft?

 

[n8mahr]

Lokal, bzw im LAN, oder mit Benutzerkontrolle im Web, sind solche Systeme die Zukunft. Nur das Einstecken, Anschalten, Geht funktioniert für den Konsumenten nicht mehr. Es gibt jetzt schon etliche OpenSource Lösungen, und der mündige Bürger wird sich bewegen und zumindest ein Grundverständnis erwerben müssen oder er wird eben gnadenlos über den Tisch gezogen.
Zu Recht meiner Meinung nach. Wer meint Verantwortung gegen Geld abgeben zu können hat am Ende weder Kontrolle noch Geld. Wer die Entscheidung über die Öffnung seiner Wohnungstür einer Firma anvertraut die dafür einen öffentlich zugänglichen Server irgendwo auf der großen weiten Welt aufstellt und glaubt das war eine gute Entscheidung wurde von der natürlichen Selektion schon so oft bewahrt das auch irgendwo Schluss sein muss.

Uh, wo fange ich an?
Gute Technik funktioniert eigentlich genau so. An, Aus, fertig. Kein Gefrickel.

Grundsätzlich hast du recht. Selber machen ist besser, da oft billiger und "da weiß man, was man hat". Aber: Überlege mal, wieviel "Verantwortung" du in der vernetzten Welt schon abgegeben hast. Baust du dein Auto selbst? Hast du dein Geld unter deinem Kopfkissen oder gar ein alternatives Währungs- oder Tauschsystem aufgebaut? Hast du ein eigenes Telefonnetz? Baust du deine Nahrung selbst an?
Prepper und Reichsbürger werden vielleicht die Hälfte mit "Ja" beantworten, Du wirst die meisten Sachen mit "Nein" beantworten, schätze ich.
So verhält es sich nunmal in der Welt. Man gibt Verantwortung ab um an anderen Stellen mehr zu haben.
Wenn jemand eben dumm, faul oder mit anderen Dingen voll ist, dass keine Zeit für die Erstellung einer "Open Source Heimvernetzung" besteht, dann ist es doch sein gutes Recht, auf einen Dienstleister (!) zu vertrauen, der ihm die Arbeit abnimmt.
Aber: Jedem seine Meinung

 

[beercarrier]

Kennst du eine Türöffnungslösung bei der das so ist? Also alle Berechnungen für die Verschlüsselung offline und von unabhängiger Seite durch Code-Reviews geprüft?

Genau das wird doch von einigen Anbietern für Hochsicherheitsbereiche angeboten, nur privat entstehen da irrsinnige Kosten.

@n8mahr
Es gibt gesetzliche Standards, in den Fällen die du da aufzählst, bei denen die Haftung ins Detail geklärt ist. Bei den Smart Home Gerätschaften herrscht aber noch der Wilde Westen. Und weil das so ist wäre es klug sich damit zumindest ansatzweise auseinanderzusetzen und ein popeliges Grundverständnis für die Technologie dahinter zu entwickeln.
Sowas wie, ich drücke auf meinen Handy auf Licht an, der Befehl geht ins Internet, irgendwo dort ist eine Verarbeitungsstelle, kommt übers Internet zurück und sagt dem Schalter mach an. Was kann denn passieren? Es gibt eine Liste wie wann ich mein Licht anmache, fremde können mein Licht anmachen, und wenn die Verarbeitungsstelle hinüber ist kann ich mein Licht gar nicht mehr an machen.
Will ich den möglichen Schwierigkeiten aus dem Weg gehen muss ich das lokal machen.
Kann ich das? Wenn ja alles gut. Wenn nein, ist es wirklich so clever das auch für z.B. das Schloss zu machen? Gibt es eine verbindliche Regelung was passiert wenn es zu Problemen?
Aber natürlich kann man sich einfach auch einen Amazon Echo aufstellen, als Sozialpartner ausbilden, und sich dann darüber echauffieren das die Lebensversicherung immer teurer wird.

 

[I'm unknown]

nur privat entstehen da irrsinnige Kosten.

Und genau deshalb wird der private Einsatz davon eben auch schnell pauschalisiert. Ansonsten driften wir in die selbe Liga von Insellösungen wie selbst gebaute Öffner mit (Open)VPN-Anbindung ab...

 

[beercarrier]

Lösungen mit RFID Chips, also NFC gibt es schon Jahrzehnte, z.B. im Hotelgewerbe. Nur langsam wird das auch privat bezahlbar. Nur eine Internetanbindung braucht es halt nicht, außer man kennt sich aus.

 

[I'm unknown]

Nur eine Internetanbindung braucht es halt nicht, außer man kennt sich aus.

Und ohne ist es von der Funktion (bis auf die Sperrung und Freischaltung von Karten) gleich. Allerdings geht das dann nur noch offline und der große Komfortgewinn ist wieder weg.

 

[beercarrier]

Welchen Komfortgewinn hast du wenn du die Haustür über das Internet öffnen kannst wenn du nicht davor stehst?

 

[I'm unknown]

Jetzt drehen wir uns im Kreis. Der Anbieter verkauft sowas, manche finden es geil und andere sagen Security Alptraum.

Nochmal: Eine gute Lösung für den Otto-Normalverbraucher der das alles gut macht kenne ich nicht. @new Account() scheint da gute Lösungen zu kennen (oder ist nur die Theorie gemeint, denn die geht natürlich - hilft aber dem der so etwas kaufen möchte nichts).

 

[Ernie75]

Hätte uns doch nur jemand gewarnt, dass es eine dumme Idee ist, sich (auch noch proprietäre) Cloud-Lösungen ins Haus zu holen für so essentielle Dinge wie die Haustür!

Ich hätte anstatt des "Gefällt mir" bitte auch einen Lach-Button.
Es wird aber trotzdem genügend Menschen geben, die die "Verwolkung" und "Drahtlosisierung" aller Lebensbereiche bis aufs Blut verteidigen.
Ich gehöre aus ebensolchen Gründen nicht dazu. Man verliert am Ende zuviel Kontrolle über die Dinge, welche einen umgeben.

Ich frag mich wie man bei so extrem Sicherheitskritischen Bereichen auf Cloud gesetzt wird, bei Beleuchtung und Heizung kann man das noch nachvollziehen.

What the hell haben meine Licht- und meine Heizungssteuerung in der Cloud zu suchen?