Advent, Advent ein Lichtlein brennt (2019)

Advent

Advent, Advent,
ein Lichtlein brennt.
Erst eins, dann zwei,
dann drei, dann vier,
dann steht das Christkind vor der Tür.

Wir, die wir alljährlich dem am christlichen Bedeutungsgehalt des Advents vorbeigelotst werden …

Wir, die wir alljährlich dem Konsumzwang unterworfen werden und letztlich dem Bedürfnis nach der Schnäppchenjagd unterliegen …

… werden sicherlich auch heuer ab dem 01. Dezember 2019 00:00:01 Uhr wieder nach Online-Adventkalendern -man beachte die in Österreich gebräuchliche  Schreibweise ohne „s“ in der Wortmitte – aller Art suchen. Ich möchte die Suche etwas abkürzen.

Adventkalender 2019

Ich fasse im Überblick  einmal zusammen, was es heuer so gibt – alle Angaben ohne Gewähr:

Kirche

Autofahrerclubs

  • ARBÖ Adventkalender
    Angekündigt sind 24 Türchen mit 25 Geschenken. Das 25. ist ein Gewinnspiel: „unter allen Teilnehmern wird ein entspannter Urlaub (2 Nächte) für bis zu 6 Personen von Alps Residence, Österreichs führendem Vermieter von Ferienanlagen verlost. Sie haben die Qual der Wahl: Luxuriöses Chalet mit Sauna und Jacuzzi, kuscheliges Ferienhaus direkt an der Piste oder modernes Appartement in bester Lage in der Steiermark, Kärnten, Tirol oder im Salzburger Land.“
  • ÖAMTC Adventkalender
    In den Vorjahren waren größtenteils Gewinnspiele von ÖAMTC-Parntern zu finden. Lassen wir uns überraschen. Unter „Gewinne“ gibt es einen Ausblick: Gmundner Keramik, Gutscheine für Bestsecret, Fahrtechnik-Angebote, ÖBB Rail&Drive, diverse Urlaube, Völkl Schuhe, Völkl Ski, ein Wochenende mit SUV von Hertz, u.a.

Lebensmittelhändler

  • Billa Adventkalender
    Gewinnspiele.
  • Hofer Adventkalender
    Der Lebensmittelsdiskonter Hofer keinen Adventkalender auf der Website, sieht man von den Tips hier ab: https://community.hofer.at/t5/Basteln-Tipps-DIY/Besonderer-Adventkalender-f%C3%BCr-Erwachsene/ba-p/22871.
    In den Vorjahren gab es vergünstigte Angebote oder Gewinnspiele und https://adventkalender.hofer.at/content – heuer nicht. Auf „Mein Hofer“ wird aber auf Instagram verwiesen.
  • Merkurmarkt Adventkalender
    Gewinnspiele.

Online-Shops

Ohne Überschrift

Zeitungen

  • Heise Download
    jeden Tag zwei Softwaredownloads
  • Krone Adventkalender
    Auf der Website der Tageszeitung „Die neue Krone“: Er enthielt in den Vorjahren üblicherweise eigene Angebote sowie Angebote Dritter oder Gewinnspiele , wobei auch Daten zu Marketingzwecken erfasst werden. Ach ja – 4 Wochen Gratis-Abonnement.
  • Vienna.at Adventkalender
    Das Nachrichtenportal Vienna.at: Es werden üblicherweise Angebote Dritter oder Gewinnspiele darin veröffentlicht, wobei auch Daten zu Marketingzwecken erfasst werden.

Heuer anscheinend nicht:

  • DiTech Adventkalender
    Wahrscheinlich gibt es auch dieses Jahr vergünstigte Tagesangebote. (Hier ist schon etwas online…). Und heute, am 30.11., nicht mehr…
  • e-tec.at Adventkalender
    Wahrscheinlich gibt es auch dieses Jahr verbilligte Tagesangebote. Da ist noch nichts online.

weitere Links?

Wenn Ihr weitere Tips habt, bitte postet sie als Kommentar. Die Liste wird ergänzt.

MultiSIM bei österreichischen Mobilfunkanbietern

NetzBetreibermax. Stückzahl SIMKosten brutto (netto) pro Monat
1./2./3. .. Zusatz-SIM
einmalige Zusatzentgelte:
Aktivierung [A]
Bedingungen,
Einschränkungen (funktioniert nicht), Besonderheiten, Quellenangabe
A1A13€ 6,90/€ 4,90€ 19,90 [A]Vertragstarife, keine Datentarife
Zusatz-SIM bei A1
DreiDrei5€ 5/€ 2€ 15 [A]Telefonievertrag
SmartSIM bei Drei
DreiDrei5€ 5 (4,17)/€ 2 (1,67)
€ 15 (12,50) [A]keine Wertkarte, keine Internettarife
Business SmartSIM bei Drei
DreiHELPmobile5€ 2Alle Tarife außer „HELP daten“

nicht zur Verfügung:
- Umleitungen / Rufweiterleitungen
- Mobilbox
- diverse Ansagen – bspw. bei Nichterreichbarkeit

Facebook-Ankündigung Help mobile
DreiSpusu (Mass Response)5€ 2-Nicht für Spusu Daten und nicht für Spusu Wertkarte
Facebook-Ankündigung Spusu

- Umleitungen / Rufweiterleitungen
- Mobilbox
- diverse Ansagen – bspw. bei Nichterreichbarkeit
MagentaMagenta3€ 5 (6)/€ 2,5 (3)

€ 20 (16,67) [A]Business Mobile Gold & Business Mobile Platin: pro Zusatz-SIM je € 20 (16,67)
Business MultiSIM bei Magenta
Diese Tabelle beinhaltet Rechercheergebnisse mit Stand 27.11.2019 über die Möglichkeit, mehrere SIM-Karten unter einer Rufnummer erreichbar zu haben. Es handelt sich um allgemeine Informationen. Einzelne Tarife können abweichende Bedingungen und Entgelte aufweisen. Quellenangaben sind verlinkt. Wenn das Angebot einen Businesstarif betrifft, sind die Nettopreise in Klammern angegeben. Alle Angaben sind ohne Gewähr.

DNS Transfer Cheat Sheet

Erstentwurf – Review ausständig; Fehler möglich; Änderungen vorbehalten.

Hilfestellung beim DNS-Umzug

Beim Umzug von Domains gibt es ein paar Dinge zu beachten.

In diesem Artikel beschreibe ich stark vereinfacht und gekürzt ein paar Grundlagen des Domain Name Systems, die für Domaininhaber, die den Registrar wechseln möchten, von Relevanz sind. Immer wieder liest man in Support-Foren von verzweifelten Nutzern, denen offenbar nicht klar ist, dass ein Domain-Umzug nicht in Echtzeit abläuft, sondern, dass ein Domaintransfer ein paar Vorbereitungen und etwas Nachbearbeitung erfordert, damit die Ausfallzeiten möglichst gering ausfallen.

Wenn man sich vorher informiert, schont das die Nerven aller Beteiligten – vor allem aber die eigenen.

Wie funktioniert das Domain Name System?

Für Laien erklärt, ist das DNS am ehesten mit einem Telefonbuch für eine Region vergleichbar. Es übersetzt Namenseinträge (Domainnamen und Hostnamen) in Nummern (Internetprotokolladressen – kurz IP-Adressen). Die einfachste Art eines solchen Datensatzes ist ein sogenannter „A-Eintrag“ für das Internetprotokoll in der Version 4 (IPv4), dem heutzutage noch gängigen Protokoll, oder einem „AAAA-Eintrag“ für das Nachfolgeprotokoll IPv6.

Solche Einträge sehen in etwa so aus – im Beispiel sind die öffentlich abrufbaren Google-Nameserver:

dns.google.com. IN A 8.8.8.8
dns.google.com. IN AAAA 2001:4860:4860::8888

Dieses „Telefonbuch“ ist hierarchisch aufgebaut, d.h. es gibt einen Haupteintrag, unter dem dann weitere Einträge oder Verweise zu finden sind.

Organisatorisch läuft das wie folgt ab:

Ganz oben steht die  Top Level Domain („TLD“). Ein prominentes Beispiel für eine TLD ist „.com“. Für eine TLD zuständig ist eine Vergabestelle (Registry). Sie regelt, wer unter welchen Voraussetzungen einen Namen unterhalb der TLD registrieren darf. Wer eine Domain registriert, wird zum Domaininhaber (Registrant). Die Registry bedient sich meist mehrerer Vertragspartner (Registrare), um diese Domains zu verkaufen – sprich: Namensrechte auf Zeit zu lizenzieren. Die Registrare  sind die primären Vertragspartner der Registrants und vermitteln gegenüber der Registry – sie verrechnen dem Registrant auch die anfallenden Gebühren und rechnen sie mit der Registry ab.

Technisch funktioniert DNS so:

Die Registry betreibt sogenannte Root-Nameserver, die in aller Regel nur einen Verweis vom registrierten Namen vorhalten, der auf untergeordnete Nameserver (DNS-Server) zeigt. Haben diese DNS-Server einen Hostnamen, der innerhalb der Domain, um die es geht, liegen -es geht zum Beispiel um die Domain example.com, und der DNS-Server heißt ns1.example.com- ist zusätzlich ein sogenannter „Glue-Record“ vonnöten. Dabei handelt es sich schlicht um einen „A“ oder „AAAA“ -Eintrag, den allerdings der Registrar bei den Nameservern der Registry hinterlegen muss, damit er funktioniert.

Zusätzlich können die Rootserver auch noch kryptographische Schlüssel und Signaturen ausliefern, anhand derer man gefälschten Domaininformationen vorbeugen kann. Das gegenwärtig vorherrschende System dafür heißt DNSSEC.

Die Verweise vom Root-Nameserver zu den Servern des DNS-Providers (in der der Regel sind das zugleich die des Registrars) heissen „NS-Einträge“.

Im Falle dieses Blogs ist der Registrar der deutsche Hoster „netcup“ und die Einträge sehen so aus:

grundsoli.de. 120 IN NS root-dns.netcup.net.
grundsoli.de. 120 IN NS second-dns.netcup.net.
grundsoli.de. 120 IN NS third-dns.netcup.net.

Wir sehen also, dass für den Namen „grundsoli“ innerhalb der TLD „.de“ drei verschiedene Server zuständig („autoritativ“) sind.

Jeder dieser drei Server hält die sogenannte „Zone“ vor. Die Zone kann im einfachsten Fall eine Textdatei sein, oder die in ihr enthaltenen Informationen liegen in einer Datenbank.

Die Zone im Detail beschrieben:

Eine Zone setzt sich aus mehreren Resource Records („RR“) zusammen. Zu diesen RRs gehören auch die zuvor genannten NS, A und AAAA-Einträge.

Resource Records setzen sich zusammen wie folgt:

  • dem Zonennamen = Domain. Mancherorts wird auch vom „Origin“ gesprochen. Dieser Zonenname kann stets mit dem Platzhalter „@“ abgekürzt werden.
  • der TTL (Time to Live). Dieser Wert bestimmt, wieviele Sekunden der SOA-Eintrag in einem Cache gültig bleibt.
  • dem Schlüsselwort „IN“ für die Zonenklasse „Internet“. Einen anderen Wert wird man in der Praxis kaum je irgendwo sehen.
  • dem Typ – ich nenne hier nur die häufigsten – wer mehr wissen möchte, kann im RFC 1035 nachlesen.
    • A für einen Hostnamen
    • NS für einen autoritativen Name Server
    • CNAME für einen kanonischen Namen (in aller Regel also ein Verweis auf A oder AAAA)
    • SOA für den Beginn einer Autoritätszone („start of a zone of authority“)
    • PTR für einen „Domain Name Pointer“ – dieser Typ ist nur für die umgekehrte Namensauflösung von einer IP-Nummer in einen Domain-/Hostnamen erforderlich, aber für unsere Thema hier nicht relevant
    • MX für den Mail exchange. Dieser Eintrag bestimmt, an welchen Mailserver E-Mails gesendet werden sollen.
    • TXT für Texteinträge. Diese Eintragsart ist vor allem für Verifikationsdienste (Bestätigung der Inhaberschaft gegenüber bestimmten Anbietern) von zunehmender Bedeutung.
  • einem Wert oder mehreren Werten für den jeweiligen Typ.

Am Beginn der Zone steht stets ein Eintrag vom Typ SOA. Kehren wir zum Beispiel mit example.com zurück:

@ 3600 IN SOA dns1.example.com. hostmaster.example.com. (
2019090900 ; serial
3600 ; refresh
1800 ; retry
604800 ; expire
600 ; nc-ttl
);

Wir haben also die Variable für den Domainnamen „@“, die Gültigkeitsdauer des SOA-Eintrag in Caches „3600“, die Klasse Internet „IN“, die Art des Eintrags „SOA“ den primären Nameserver, das ist jener autoritative Nameserver, von dem aus die Zone vervielfältigt wird „dns1.example.com“ und eine E-Mailadresse in besonderer Schreibweise „hostmaster.example.com“ für hostmaster@example.com. Die Punkte am Ende von dns1.example.com. und hostmaster.example.com. sind extrem wichtig, da sie das Ende des Werts markieren. Fehlt der Punkt am Ende wird der Domainname an den Wert erneut angehängt. Aus „dns1.example.com“ würde dann „dns1.example.com.example.com“ – ein von Anfängern häufig gemachter Fehler. Die in Klammern folgenden Zahlenwerte schlüsseln sich wie folgt auf:

  • serial: die Versionsnummer -also fortlaufende Nummern- der Zone. Es hat sich eingebürgert, hier einen Datumsstempel der Art [vierstellige Jahreszahl, zweistellige Monatsnummer, zweistellige Tageszahl und zweistellige fortlaufende Nummer] zu verwenden. „2019090900“ steht also für die erste Version der Zone, die am 9. September 2019 erstellt worden ist. Siehe auch RFC 1912.
  • refresh: Ein Intervall in Sekunden, nach dessen Ablauf sekundäre Nameserver die Seriennummer vom primären Master erneut abfragen sollen. Empfohlen wird von RIPE NCC 86400 ≙ 24 Stunden¹.
  • retry: Ein Sekundenintervallwert, der zum Tragen kommt, um einen Refresh zu wiederholen, der fehlgeschlagen ist. RIPE-Empfehlung: 7200 ≙ 2 Stunden¹.
  • expire: Wenn diese Zeitspanne in Sekunden verstrichen ist, ohne, dass ein Refresh funktioniert hat, verwirft der sekundäre Nameserver seine zuletzt  erhaltene Zone. RIPE-Empfehlung: 3600000 ≙ 1000 Stunden¹
  • nc-ttl: Time to Live für Negatives Caching – seit RFC 2308. Zuvor: Minimale Lebensdauer für alle Resource Records, wenn diese nicht explizit angegeben waren. Negatives Caching bedeutet, dass ein cachender DNS-Server mit „NXDOMAIN“ antwortet, wenn ihm der abgefragte Eintrag nicht bekannt ist.
    RIPE-Empfehlung: 3600 ≙ 1 Stunde¹.

1: Die RIPE-Empfehlungen gelten stets für „für kleine und stabile Zonen“.

Der Wert für Retry muss kleiner sein, als der für Refresh. Der Wert für expire darf nicht kleiner sein als die Summe von Refresh und Retry.

Und damit haben wir die technischen Grundlagen für beeinflussbare Verzögerungen beim Domaintransfer im Grunde vollständig besprochen.

Die nicht beeinflussbaren Faktoren liegen bei der Registry, die etwa Widerspruchsfristen für einen Transfer definieren kann. Sie ist es auch, die festlegt, zu welchen Tageszeiten die Root-Nameserver eine neue Information, die von einem ihrer Registrare eingemeldet worden ist – wir reden da von neuen Nameserver-Einträgen – verarbeitet wird.

Um also einen Transfer so durchzuführen, dass er möglichst schnell über die Bühne geht, sollte man Tage oder Wochen vor dem Transfer die Werte für TTL, Refresh und NC-TTL verringern, wodurch in aller Regel auch der Wert für Retry verringert werden wird müssen. Dadurch setzt man sich vorübergehend zwar einem erhöhten Risiko aus, dass die Zone im Fehlerfall des Primärservers auch auf den Sekundärservern schneller mit ausfällt, umgekehrt müssen aber auch DNS-Resolver Dritter, auf die wir im Normalfall keinen Einfluss nehmen können, sofern sie standardkonform arbeiten, die vorgehaltenen Informationen schneller verwerfen.

Wenn man sich nun noch informiert, wann die Registry die Daten neu laden lässt, kann man den  Umzug auch dahingehend zeitlich koordinieren.

Laden beispielsweise etwa die Root-Nameserver laut Registry um 13 und um 16 Uhr die Daten neu, und der Registrar aktualisiert alle 15 Minuten, so kann man nach 13 Uhr die Änderungen machen. Die anderen Kunden des Registrars hätten die neuen Informationen so – sofern sie nicht in einem Cache liegen, um 13.15 Uhr, weltweit würde der Verweis auf die neuen Server erst um 16 Uhr aktiv. Um also Gleichzeitigkeit zu erwirken, wären die Änderungen nach 15.45 Uhr, aber vor 16.00 in Auftrag zu geben. Caching Server würden die alte Information aber zumindest noch für die in TTL definierte Zeit ausliefern, wenn sie die Standards einhalten – sonst länger.

Da sich heutzutage aber auch sogenannte Public-DNS-Resolver-Dienste großer Beliebtheit erfreuen – gemeint sind damit Google DNS, Cloudflare, OpenDNS und dergleichen, und diese oft eine Möglichkeit bieten, die Cache-Information über ein Webinterface neu zu laden, also den „Cache“zu „flushen“, kann man auch hier mit globaler Wirkung für alle Nutzer dieses Dienstes Einfluss auf die Erneuerung der Information nehmen. In der Linksammlung stehen einige Dienste gelistet.

 

Linksammlung:

How to Clear DNS Cache on Chrome, Firefox and Safari

Links – meine kleine Landingpage

Blogs

Open Source Software:

  • Webanalyse:
    • Matomo (former name: piwik) – Web analytics, alternative to Google Analytics

Search engines and web directories:

Andere Websites

Zugangsanbieter in Österreich:

Praktische Links:

Hosting-Anbieter

Monitoring, Graphing, Analyzer:

Validierungs-Websites

Telnet auf der Videotürklingel

 

Kürzlich habe ich mir gedacht, eine WLAN-Türklingel wäre eine sinnvolle Investition, etwa schon allein deshalb, weil sich manchen Zustelldienste gerne in meiner Gegend verirren. Als Sparfuchs, der ich ja bin, wurde es auf Amazon eine [externer Link zu Amazon:  Generic TS-IWP708 Wifi Digital Wireless Video Tür Bell]. Zum Zeitpunkt des Erwerbs lag der Preis bei etwa 30 Euro. Es f olgt eine

Analyse:

Paket und Inhalt

Die weiße Schachtel war relativ neutral. Ein Produktbild und der Name des Produkts auf der Oberseite, seitlich rechts noch ein paar Bildchen, Strichcode-Aufkleber, einer davon mit dem Aufdruck „TS-IWP708“ unter dem Code. Keine Herstellerangaben in irgendeiner Form.

Inhalt der Schachtel

  1. User’s Manual (20 Seiten mit farbigen Illustrationen und Screenshots)
  2. Die Haupteinheit im wiederverschließbaren Plastiksack.
  3. Ein Montagerahmen, der zugleich als Wetterschutz oder Regenblende dient.
  4. Ein Stromadapter 230V zu 5V 1A mit einem 2-Pin Stecker. CE-Loge auf dem Adapter.
  5. LAN-Adapter (8x17cm ungeschirmte Kabel mit acht-pinnigem, einreihigem Stecker auf einer Seite, auf der anderen ist ein RJ45-„Weiberl“ .
  6. Ein Adapter mit drei Kabeln, die jeweils ca. 10,50 cm lang sind und offene Enden haben.
  7. Zwei Stück gepolstertes Teppichband.
  8. Ein Sackerl mit vier billigen Schrauben und ebensolchen Dübeln. Eine weitere, winzige Schraube mit Metallgewinde. [Werbung: Wenn Du an Webhosting, VPS und RootServern interessiert bist, kannst Du gerne meine Liste von Gutscheinen für netcup durchschauen. Es gibt Rabatte oder eine Neukundengutschrift. netcup – german quality webhosting.]

Anmerkungen:

  1. Die Bedienungsanleitung hat keine Lizenzinformation oder gar ein Impressum angefügt.
  2. Die Haupteinheit im Klavierglanzlook, die eine helle, blaue LED unter dem Klingelknopf hat, wirkt sauber verarbeitet. Links und rechts des Knopfes sind je eine weitere LED angebracht.  Im oberen Bereich sitzt der Kamerasensor mit einer Auflösung von 640×480, umgeben von je drei IR-LEDs links und rechts von ihm. Für den Lautsprecher und das Mikrophon gibt es Vertiefungen. Auf der Rückseite ist der abgesenkte Reset-Knopf zu finden. Ein „QC passed“ und das Produktionsdatum sind auf je einem Aufkleber zu sehen.
  3. Das Wetterschutzgehäuse, wenn man die Blende so nennen möchte, hat auf der Unterseite ein Loch, durch das die winzige Metallschraube aus 1.1.1.8 passt. Damit wird die Haupteinheit mit der Blende fixiert. Deshalb würde ein Einbrecher oder Dieb, der die Klingel haben wollte, ein leichtes Spiel haben. Es wäre sinnvoll die Schraubschlitze mit Epoxidharz zu verschließen, wenn man die Klingel nach Lektüre dieses Artikels noch behalten möchte. Aber wie kommt man dann an den Reset-Knopf, wenn man ihn braucht? Aufgrund dessen kommt mir das Konzept in diesem Punkt nicht ganz schlüssig vor.
  4. Das Stromkabel des Netzadapters ist, gemessen daran, dass wir hier eine Außeneinheit vorliegen haben, mit 80cm lächerlich kurz. Ich werde deswegen wohl einen selbstgebastelten PoE-Adapter verwenden müssen.
  5. Der ungeschirmte LAN-Adapter mit seinen ungeschirmten, nicht verdrillten könnte Funkstörungen bewirken. Ich würde ihn mit Alufolie umwicklen, bevor ich ihn letztlich montiere.
  6. Das dreipolige Kabel dient zum Anschluss an einen elektrischen Türöffner. Wie das geht siehst Du in 3.2.

Einrichtung

Vorbereitungen

  1. Auf Seite 7 der Bedienungsanleitung findet man QR-Codes, die auf eine App in entweder dem Google Play Store oder dem iOS App Store verweisen sollten. Nun, sollten, denn der Link für die in einem der Screenshots als  „Door Phone 4.1“ bezeichneten Apps war tot. Ich habe stattdessen mit dem Suchterm „doorphone“ eine andere app gefunden „Door Phone 4.4“, Herausgeber ist „ShenZhen Gogo Link Tech.limited“, die bei mir funktioniert hat.
  2. Fallstrick: Bevor man versucht, eine Verbindung mit der App herzustellen, sollte man jedenfalls das „Mobile Internet“, die „Mobile Datennutzung“, etc. deaktivieren. In meinem Fall hat die App das Gerät nicht detektieren können, solange LTE aktiv war.  (Es könnte sich um einen länderspezifischen Effekt handeln, wenn die privaten IP-Adressbereiche des 4g/3g/2g – Netzes vorrangig behandelt werden und der Broadcast fehladressiert wird.).
  3. Schließen wir also den zweipoligen Stromadapter an der Rückseite der Türklingel an und geben ihr Strom.
  4. Warten wir einen Moment, während die Türklingel bootet. Sie begrüßt und mit „welcome to smart home“ über den Lautsprecher. Nach weiteren 30 Sekunden dürfen wir den blauen Touchbutton für ca. fünf Sekunden drücken. Nach dem Loslassen sagt die Türklingel: „Network configuration mode, please set it down in five minutes“.
  5. Sowie man dies hört, ist auch schon eine WIFI Access Point mit der SSID „GBELL-{Teile der MAC Adresse}“ auf dem Handy sichtbar. Verbinde Dich damit. Das Einrichtungspasswort ist „123456789“.
  6. Sowie das WLAN verbunden ist, öffne die App „Door Phone“ und folge den Anweisungen auf Seite 9 der Antleitung: „Please click here to add bell“, dann „Search“. Und dann tippt man auf den Text „GBELL …“.
  7. Man kann jetzt das Zahnradsymbol in der Übersicht der App antippen, um das lokale WLAN zu konfigurieren.
  8. Man sollte an dieser Stelle nicht vergessen, nach Abschluss der Einrichtung zurück ins heimische WLAN zu wechseln. [Werbung: Puh, nach dem das geschafft ist, möchtest Du vielleicht einen Blick auf meine netcup-Gutscheine werfen? netcup – german quality webhosting.]

Abschluss

  1. Nun, nachdem die Klingel grob eingerichtet ist, kann man ans Feintuning gehen. Als erstes sollte man den Alarmton abstellen, sonst wird man während der nächsten Schritte noch irr …
  2. In den „User settings“ kann man weitere Benutzer anlegen. Bedenke, dass die App Passwörter abverlangt, die zwar länger als sechs Zeichen sein sollen, aber keine Sonderzeichen beinhalten dürfen. Man kann sie zwar eingeben, aber die App lässt sie beim Speichern unter den Tisch fallen.
  3. Bei der Wahl des Passworts bitte auf den vorhergehenden Punkt genau achten. Ansonsten kann man sich mit der App nicht wieder einloggen. Die Reset-Prozedur über den Knopf auf der Rückseite- ist mühsam, man muss von Vorne beginnen. [Werbung: Wie wäre es zur Entspannung mit etwas völlig anderem:  FreeTime Unlimited von Amazon – kindgerechte Inhalte von Amazon?]

Tiefere Einblicke

Dienste

  1. Ein Portscan auf die nun zugewiesene IP der Klingel offenbart folgende drei TCP-Dienste: PORT STATE SERVICE 23/tcp open telnet 81/tcp open hosts2-ns 8600/tcp open asterix
    1. Auf den Telnet-Dienst – oder sollen wir ihn Backdoor nennen? – kann über folgende Nutzerdaten zugegriffen werden User: „root“ Passwort: „123456“
    2. Auf Port 81, kann man ein Webinterface erreichen, auf das nach einem Reboot mit dem selbstgewählten Benutzer zugegriffen werden kann. Bedenke, dass etwaige Sonderzeichen schlicht weggelassen worden sind. Die Schnittstelle wirkt unfertig und kaputt. Sie bietet fünf Funktionen:
      1. Ein Fenster für den Videostream – es ist immer schwarz und funktioniert augenscheinlich nicht.
      2. WLAN scan – man sieht die erreichbaren Netze, kann aber nicht mit ihnen verbinden.
      3. Ein Auslöser für den Türöffner – eigentlich sinnloss, wenn Audio und Video nicht funktionieren…
      4. Audio in – (Gegensprechfunktion) ohne Funktion
      5. Audio out – (Gegensprechfunktion) ohne Funktion
    3. Der Zweck von Port 8600 war mir an dieser Stelle unklar. Es ist kein Asterisk, sondern scheint vom Dienst „go-service“ auszugehen, das ist jene Schnittstelle, die mit der App kommuniziert. Ich konnte das noch nicht tiefer analysieren, aber dahinter steckt anscheinend eine monolithische  Binärdatei, die die ganze Klingel kontrolliert.
  2. Ein genauerer Blick in die Firmware wird durch den zuvor genannten Root-Telnetzugang ermöglicht. Jetzt wird es spannend:
    1. Das Gerät meldet auf Linux und Busybox zu laufen, u.z. konkret auf einem Realtek-SDK mit  Linux 2.6. Nirgendwo auf der Packung oder den Beilagen konnte ich eine Kopie der GPL Lizenz finden. Es gibt keine Hinweise auf wiederverwendeten Code aus unter der GPL lizenzierten Projekten. Aus diesem Grund habe ich den von Amazon genannten Hersteller „Sawful“ und Amazon darüber in Kenntnis gesetzt. Bisher wurde nur meine Rezension auf Amazon wieder gelöscht: Sie enthalte unzulässige URLs. Ich warte auf eine Antwort. #cat /proc/version Linux version 2.6.21 (root@mailzxh-desktop) (gcc version 3.4.2) #655 Wed Nov 21 22:21:46 CST 2012
      # busybox BusyBox v1.12.1 (2012-11-21 22:17:05 CST) multi-call binaryCopyright (C) 1998-2008 Erik Andersen, Rob Landley, Denys Vlasenkoand others. Licensed under GPLv2.See source distribution for full notice.
    2. Zur Hardware:
      1. SoC: Realtek MIPS24K with rt5350 WIFI. # cat /proc/cpuinfo system type : Ralink SoC processor : 0
        cpu model : MIPS 24K V4.12 BogoMIPS : 239.10
        wait instruction : yes
        microsecond timers : yes
        tlb_entries : 32
        extra interrupt vector : yes
        hardware watchpoint : yes
        ASEs implemented : mips16 dsp
        VCED exceptions : not available
        VCEI exceptions : not available

        # ls /proc/rt5350 gmac skb_free tx_ring rx_ring cp0 esw_cnt
      2. RAM: 32MB # cat /proc/meminfo | grep MemTotalMemTotal: 29336 kB
      3. Flash
        1. Konfiguration/Partitionierung # cat /proc/mtd dev: size erasesize name
          mtd0: 00800000 00010000 "ALL"
          mtd1: 00030000 00010000 "Bootloader" mtd2: 00010000 00010000 "Config"
          mtd3: 00010000 00010000 "Factory"
          mtd4: 00100000 00010000 "Kernel"
          mtd5: 00330000 00010000 "RootFS"
          mtd6: 00300000 00010000 "sys"
          mtd7: 00080000 00010000 "param"

          Ok, ein anscheinend acht MB großer Flash mit sieben Partitionen. Die Firmware kann man mittels TFTP-Client aus Busybox’s wegsichern. Dazu setzt man einen TFTP-Server auf einer Maschine innerhalb der eigenen Broadcast Domain auf. Mit „tftp -l [lokale Datei] -r [entfernt gelegene Datei ] -p [IP Adresse des Servers]“ kann man die Inhalte von /proc/mtdblock* auf den Server kopieren.
        2. Partitionen sind wie folgt eingebunden:
          # mount rootfs on / type rootfs (rw) /dev/root on / type squashfs (ro) proc on /proc type proc (rw) none on /var type ramfs (rw) none on /etc type ramfs (rw) none on /tmp type ramfs (rw) none on /media type ramfs (rw) none on /sys type sysfs (rw) none on /dev/pts type devpts (rw) /dev/mtdblock6 on /system type jffs2 (rw) /dev/mtdblock7 on /param type jffs2 (rw
      4. WIFI iwconfig zeigt einen ra0 RTWIFI SoftAP und einige   wds-Interfaces. wds0 hat die SSID mit GBELL… – es scheint, dass der GBELL-AP also weiterhin konfiguriert ist, aber ich konnte nun nicht mehr damit verbinden. Vermutlich also nicht bloß eine versteckte SSID, sondern mit geänderten Einstellungen. apcli0 zeigt die Klingel als Klient am heimischen AP. Ich konnte bisher keine Einstellung zur Regulationsdomäne (Ländereinstellung) finden. Wahrscheinlich hat sie die Weltdomain eingestellt, in der Kanal 12 und 13 (und 14) nicht funktionieren.
      5. Aktive Netzwerkdienste # netstat -aWp Active Internet connections (servers and established)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:81 0.0.0.0:* LISTEN 133/encoder tcp 0 0 0.0.0.0:23 0.0.0.0:* LISTEN 28/telnetd tcp 0 0 0.0.0.0:8600 0.0.0.0:* LISTEN 31/go-daemon tcp 0 213 192.168.246.1:23 192.168.246.2:32798 ESTABLISHED 28/telnetd udp 0 0 127.0.0.1:8832 0.0.0.0:* 133/encoder udp 0 0 0.0.0.0:3073 0.0.0.0:* 133/encoder udp 0 0 0.0.0.0:3074 0.0.0.0:* 133/encoder
      6. udp 0 0 0.0.0.0:3075 0.0.0.0:* 133/encoder udp 0 0 127.0.0.1:6666 0.0.0.0:* 133/encoder
      7. udp 0 0 0.0.0.0:8600 0.0.0.0:* 31/go-daemon udp 0 0 0.0.0.0:9632 0.0.0.0:* 133/encoder udp 0 0 127.0.0.1:9123 0.0.0.0:* 31/go-daemon udp 0 0 127.0.0.1:9124 0.0.0.0:* 133/encoder udp 0 0 0.0.0.0:67 0.0.0.0:* 102/udhcpd udp 0 0 0.0.0.0:32108 0.0.0.0:* 133/encoder udp 0 0 127.0.0.1:8813 0.0.0.0:* 133/encoder udp 0 0 0.0.0.0:15733 0.0.0.0:* 133/encoder udp 0 0 127.0.0.1:8822 0.0.0.0:* 133/encoder udp 0 0 127.0.0.1:8831 0.0.0.0:* 30/cmd_threadActive UNIX domain sockets (servers and established)Proto RefCnt Flags Type State I-Node PID/Program name Pat
      8. Binäre Dateiorte: /system/system/bin: # ls -la /system/system/bin-rwxr-xr-x 1 0 0 156768 go-daemon-rwxr-xr-x 1 0 0 8260 cmd_thread-rwxr-xr-x 1 0 0 877540 encoder drwxrwxrwx 5 0 0 0 ..drwxrwxrwx 2 0 0 0 .
      9. Kamera: Ein Schnappschuss von der Kamera ist mit den selbstgewählten Benutzerdaten zu bekommen – hier im Beispiel mit der Defaultadresse des WLANs im Einrichtungsmodus: http://192.168.246.1:81/snapshot.cgi Es sollte eigentlich auch -so flüstert es mir der Befehl „strings encoder“ auf dem lokalen PC, eine videostream.cgi geben, die mjpg-Streaming macht. Sie funktioniert aber nicht. Warum, das weiß ich noch nicht

Sicherheitslücken

  1. Telnet mit Trivialpasswort, über das man Root-Berechtigungen erhält.
  2. WDS ist möglicher weise für WPA-KRACK anfällig, was noch getestet werden muss. Wenn das Programm go-service Programmcode des alten hostapd beinhaltet, dann ist es wahrscheinlich. Abwehrmaßnahmen gegen KRACK, also Key Replay Attacken sind nicht nur einseitig am Access Point vorzunehmen.  Es ist anzunehmen, dass viele  Smart Home Gadgets auch weiterhin kein Update erhalten haben.

Zusammenfassung.

  1. Qualität: Das ist einer der billigsten WIFI-Videotürklingeln, die ich finden konnte. Während die Haupteinheit auf den ersten Blick einen überraschend grundsoliden Eindruck in Relation zum Preis erweckt, ist das Zubehör von entsprechend schlechter Qualität. Etwa die Schrauben, die nicht sauber gefräst waren und der LAN-Anschluss. Die Bedienungsanleitung ist überaltert und stimmt so nicht mehr.
  2. Lizenzfragen. Verstörend wirkt auf mich, dass der Hersteller es verabsäumt hat, die paar Cent, die eine GPL-konforme Erklärung kosten, zumindest für Linux und Busybox zu investieren. Wir werden ja sehen, wie der Hersteller und Amazon mit der mutmaßlichen Lizenzverletzung umgehend werden. Für beide gilt die Unschuldsvermutung.
  3. Sicherheit: Aus sicherheitstechnischer Sicht sind Root-Zugänge heute, wie auch vor 15 Jahren und länger eigentlich ein absolutes No-Go. Ich habe in einem Artikel von Pentest Partners aber ähnliches gefunden. (Danke!) Die Autoren haben damals eine Maginon IPC-20C analysiert, die offenbar dasselbe SDK/Framework verwendet – wer Interesse hat, sei auf die anregende Lektüre verwiesen: [Externer Link See: Hacking the IP camera (part 1)].
  4. Allgemein Die Türklingel könnte soviel bequemer zu bedienen sein, wenn es eine durchgehende deutsche Übersetzung in der Gogo-Link Door Phone App gäbe. Ich bin etwa in einer Fehlermeldung auch auf chinesische Schriftzeichen gestoßen. Dass die Kamera kein vollwertiges Webinterface bietet, sodass man lokal auch vom PC und ohne die APP auskäme, ist störend. Auch, dass die vom Hersteller empfohlene App, bereits einmal aus dem Goolge Play Store verschwunden ist, aber für’s Konfigurieren zwingend erforderlich wäre, verunsichert mich. Aus Entwicklersicht ist das Gerät dennoch attraktiv, etwa, wenn man eigene  Firmware schreiben wollte oder, wenn man Alternativen zum vermeintlichen Asterisk-Dienst, der in Wahrheit ein proprietärer Dienst für die Ansteuerung sein dürfte, entwickeln wollte. Es wäre spannend OpenIPCam auf dieses Gerät zu übertragen.

[Werbung: Nach einem so langen Text hast Du Dir etwas verdient. Wie wäre es mit etwas Musik von Amazon Music Unlimited?]

Advent, Advent ein Lichtlein brennt (2018)

Advent

Advent, Advent,
ein Lichtlein brennt.
Erst eins, dann zwei,
dann drei, dann vier,
dann steht das Christkind vor der Tür.

Wir, die wir alljährlich dem am christlichen Bedeutungsgehalt des Advents vorbeigelotst werden …

Wir, die wir alljährlich dem Konsumzwang unterworfen werden und letztlich dem Bedürfnis nach der Schnäppchenjagd unterliegen …

… werden sicherlich auch heuer ab dem 01. Dezember 2018 00:00:01 Uhr wieder nach Online-Adventkalendern -man beachte die in Österreich gebräuchliche  Schreibweise ohne „s“ in der Wortmitte – aller Art suchen. Ich möchte die Suche etwas abkürzen.

Adventkalender 2018

Ich fasse im Überblick  einmal zusammen, was es heuer so gibt – alle Angaben ohne Gewähr:

Kirche

Autofahrerclubs

Lebensmittelhändler

Online-Shops

  • DiTech Adventkalender
    Wahrscheinlich gibt es auch dieses Jahr vergünstigte Tagesangebote.
  • e-tec.at Adventkalender
    Wahrscheinlich gibt es auch dieses Jahr verbilligte Tagesangebote.
  • Netcup Adventskalender
    Hier finden sich immer wieder Schnäppchen  unterschiedlicher Art. Regenschirme, Kaffeehäferl und Einkaufswagerlöffner gab es in den Vorjahren als Gimmicks. Ansonsten gibt es Domains, Webhosting, Groupware , Rootserver, Virtuelle Private Server, Storageserver. Aber wer weiß das schon so genau.
    Hinweis auf Werbung: Dieser Link enthält einen Referrer mit dem dieser Blog unterstützt wird. Wer lieber einen Neukunden-Gutschein oder einen netcup-Gutschein für reguläre Produkte hätte, findet sie unter dem nachfolgenden Link:

    Netcup-Groupie Gutscheine
  • Pagro Adventkalender
    https://www.pagro.at/index.php/services/adventkalender-2018:
    In § 7 der Teilnahmebedingungen steht: „Gewinn (1) Weihnachtsdekoset, SILVA HOMELINE Wasserkocher, CANON Drucker PIXMA TS5150, Bau- und Puzzleset, NIKE Sporttasche, Backset, Nähset, GRÜNDL Strickset, HP Drucker Officejet 3833, Einmachset, Kreativset, PILOT Pintor DIY-Set, Wellness Card, UHU Klebeset, CLATRONIC Mixerset, Bastelpapierset, LEITZ My Box gefüllt mit Büromaterialien, HP Drucker Officejet 3833, SAMSUNG GALAXY S8+, TRUST Gaming-Sessel GXT 707R, HP Notebook 15-db0818ng.“
    Alle Angaben ohne Gewähr.

Ohne Überschrift

Zeitungen

  • Krone Adventkalender
    Auf der Website der Tageszeitung „Die neue Krone“: Er enthielt in den Vorjahren üblicherweise eigene Angebote sowie Angebote Dritter oder Gewinnspiele , wobei auch Daten zu Marketingzwecken erfasst werden. Ach ja – 4 Wochen Gratis-Abonnement.
  • Vienna.at Adventkalender
    Das Nachrichtenportal Vienna.at: Es werden üblicherweise Angebote Dritter oder Gewinnspiele darin veröffentlicht, wobei auch Daten zu Marketingzwecken erfasst werden.

Heuer leider nicht:

  • Der Mariaunnaud-Kalender war ein Relikt des Vorjahres. Leider nicht nutzbar.
  • Auch der UPC-Kalender ist ein Relikt aus 2017. Heuer leider nicht…

weitere Links?

Wenn Ihr weitere Tips habt, bitte postet sie als Kommentar. Die Liste wird ergänzt.