Заметки злого админа

Что-то давненько я не ковырял разные необычные железки. На днях мне снова пришлось вернуться к теме умных домов, протестировать вот такой набор железа.

1. Контроллер Z-Wave.Me Hub
2. Датчик затопления
3. Датчик открытия двери, движения, температуры
4. Реле с сухим контактом
5. Реле с измерением мощности нагрузки

Z-Wave.Me Hub

Датчики

Реле

Что интересно, на контроллере написано, что это российская разработка. А на самом деле в веб-интерфейсе имеется логотип европейской компании POPP, которая выпускает точно такой же девайс. Если это действительно наши для немцев придумали, то мое глубочайшее уважение разработчикам. Но если честно, верится с трудом.

Неужели правда спроектировано в России?

Дизайн аккуратный, со всех сторон мигают и переливаются лампочки. Правда, не совсем ясно, как и куда его крепить. Скорее всего, к стене, но никакого крепежа в комплекте не было, даже отверстий подходящих на корпусе нет. Контроллер нормально запустился, все датчики и реле без проблем подключились. Управлять умным домом можно через локальную сеть, Wi-Fi или сайт find.z-wave.me.

Передо мной стояла задача выяснить, можно ли организовать удаленное управление контроллером через собственный сайт. Собственно, именно эта модель была выбрана, потому что ее использует Ростелеком в своем умном доме, а у него есть собственный личный кабинет.

Первым делом я попробовал попасть в контроллер через сеть. Он отвечал по ssh, но ни один из указанных на корпусе паролей не подходил. Пришлось аккуратно расколупать корпус в поисках консоли. К счастью, разработчики не стали сильно огораживать устройство, даже нормально распаяли на плате UART. На обратной стороне платы я обнаружил флешку MicroSD, на которой хранятся настройки и логи. Этих логов пишется достаточно много, а кроме того, используется журналируемая файловая система ext4. Неизвестно, сколько проживет флешка в таком режиме.

Плата контроллера

Первым делом я вошел в failsafe режим OpenWrt и поменял пароль root. Но после перезагрузки войти в систему не получилось. Сравнив хеш пароля до и после перезагрузки, я понял, что пароль кто-то меняет. Пришлось скопировать корневую файловую систему на флешку и тщательно изучить ее.

Обнаружился скрипт /etc/init.d/set_default_password, который делал следующее:

ROOT_PASSWORD=`dd if=/dev/mtd3 bs=1 skip=$((0x100)) count=10` && echo -e “$ROOT_PASSWORD\n$ROOT_PASSWORD” | passwd
WIFI_PASSWORD=`dd if=/dev/mtd3 bs=1 skip=$((0x110)) count=10` && sed -i ‘s/\(option key \).*$/\1″‘$WIFI_PASSWORD'”/’ /etc/config/wireless

Пароли хранились в особом месте внутренней памяти и устанавливались при каждой загрузке контроллера. Можно было бы перезаписать их, но я пока не стал это делать и входил в систему, используя прошитый рутовый пароль. Интересно, уникален ли этот пароль для каждого устройства и хранит ли изготовитель базу паролей всех изготовленных контроллеров для нужд техподдержки. При этом он попадает в локальную сеть дома, а там всякое возможно…

Исследуя систему, можно найти много интересного. Не обошлось и без костылей.

sleep 10 # if we don’t wait, it hangs on something.

Весь основной функционал выполняет один монолитный процесс z-way-server, который содержит в себе и работу с периферией, и веб-интерфейс, написанный на богомерзком яваскрипте, и хост для выполнения плагинов, написанных на нем же. Z-Way API открыто и позволяет выполнять все необходимые действия.

А теперь о самом главном. Я таки нашел, как сделано в этой системе удаленное управление. Это скрипт /etc/init.d/zbw_connect. Он устанавливает SSH туннель до сервера find.z-wave.me и пробрасывает на него порты веб-интерфейса (8083) и ssh (22). Скрипт содержит в себе логин и приватный ключ для соединения с сервером, а также передает через переменные окружения другие данные, необходимые для доступа. Отредактировав этот скрипт, я перенаправил туннель на свой сервер и смог управлять контроллером через Z-Way API. Скорее всего, Ростелеком сделал то же самое, особо не изменяя прошивку контроллера.

На очереди создание личного кабинета пользователя и организация передачи запросов из него через API. Фактически, полная реализация серверной части. А это значит, много интересной работы.