• Willkommen im Geoclub - dem größten deutschsprachigen Geocaching-Forum. Registriere dich kostenlos, um alle Inhalte zu sehen und neue Beiträge zu erstellen.

SECURITYBOX Hacking

fogg

Geomaster
Die SECURITYBOX ist eine Stahlblech-Dokumentenkassette mit elektronischem Schloss, die man von HMF oder Pearl kaufen kann. Der reguläre Preis liegt so zwischen 26 und 34 Euro. Manchmal gibt es bei eBay günstigere Angebote. Die Kassette schreckt keinen Dieb mit ein bisschen Ehrgefühl ab, da der gesamte Bereich um das elektronische Schloss aus Plastik ist. Also einmal kräftig mit dem Hammer drauf ...
box.jpg

Aber als Rätselbox ist das natürlich eine Option. Man kann da eine 8-stellige Zahl als Passwort einstellen. Aber da geht auch mehr. Öffnet man die Box, gibt es einen Plastikkasten, in dem die "Sicherheit" versteckt ist.
deckel.jpg

Schraubt man die beiden Schrauben auf, entdeckt man dahinter ein bisschen Plastik, das elektrische "Schloss" und eine Platine, die sicherlich aus dem letzten Jahrhundert stammt. Alles THT und einseitig! Und das wird immer noch gebaut (wahrscheinlich handverlötet) und verkauft. Den Anschlüssen nach ist die MCU auf der Platine u.U. eine Billig-MCU der chinesischen Firma ELAN. Das kann man aber wohl mit einer Adapterplatine durch einen ATtinyX4 ersetzen. Ich habe mal die Leiterbahnen nachverfolgt und eingezeichnet:
BoardWithConnections.png

Von links nach rechts sind die Stecker: Versorgungsspannung, Schloss, Keypad, Taster.

Ich denke, da kann man z.B. so etwas wie Einmalpassworte realisieren, was tatsächlich mein Plan ist.
 

chrysophylax

Geomaster
Ich hab so ein ähnliches Modell (allerdings komplett aus Stahlblech) mal für jemanden "internet-steuerbar" gemacht... Durch eines der Befestigungslöcher auf der Rückseite ein PoE-Kabel für Versorgung und Netzwerk durchgeführt, und innen an die Stahltür dann eine Mini-SPS geschraubt. Die nichts anderes macht als die rote und grüne LED vorne anzusteuern und den Hubmagnet, der die Entriegelung per Drehknopf ermöglicht. Der Hubmagnet ist eigentlich für 6V Batteriespannung gedacht, tut aber auch super aus 5V von einem 7805. Energiesparen lohnt da wirklich nicht für die paar Sekunden die der ziehen muss.

Funktioniert relativ gut - allerdings kursieren diverse Videos im Internet wie man bei diesem Tresortyp mit einem gezielten Schlag auf das Gehäuse an der richtigen Stelle wenn der Tresor nicht festgeschraubt ist den Hubmagneten zum Entriegeln
durch Trägheit bringen kann - egal ob er zieht oder nicht.

Es ist und bleibt halt Sicherheit für 19,95€.

Aber für einen geocache - warum nicht. Wenn das Ding halbwegs trocken steht...
 

chrysophylax

Geomaster
Das hier war der Tresor, den ich damals verwurstet hatte. Hat damals noch 19,95€ gekostet. Tut bis heute sehr dankbar.

Diese Platinen aus phenolharzgetränkter Presspappe (!) sind übrigens in Fernost einfach noch deutlich günstiger als klassisches FR4. Und wenn man keinerlei Lebensdauer- oder Brandeigenschaften einhalten muss... Die werden auch hemmungslos vom Automaten bestückt (deswegen die gigantischen Bohrlöcher für die Mini-Widerstandsanschlussdrähte - dann muss der Automat nicht so genau zielen) und hinterher "von unten die überstehenden Drahtenden abgefräst" und das Ganze über die Lötwelle gejagt. Mit etwas Liebe beim Design kann man Leiterbahnen und Lötaugen auch so weit voneinander weghalten dass man sich sogar eventuell den Stoplack sparen kann - was nochmal einen halben Cent Preisvorteil pro Stück ergibt.

"Als ich noch jung war" hab ich mal einen älteren Kollegen gefragt "Wenn man heutzutage alle Leiterplatten aus FR4 macht - hat eigentlich schonmal irgendjemand was von FR1 bis FR3 gehört?". Der Kollege drückte mir "damals" genau so eine Platine in die Hand.

chrysophylax.
 
OP
fogg

fogg

Geomaster
Wenn man die Preise von solchen "einfachen" Stahlsafes mit Plastikspielzeugsafes vergleicht, ist man schon verblüfft.

Das war mir gar nicht klar, dass es auch THT-Bestückungsmaschinen gibt. Ich hatte mir schon Armeen von Kindern mit Lötkolben vorgestellt, die die Platinen bestücken und löten. Aber klar, es gab eine Zeit vor SMT. Und auch klar: Wenn etwas funktioniert, dann muss man das Produkt ja nicht ändern. Macht ja auch keinen Sinn, die Platine um den Faktor 5 zu miniaturisieren, wenn das Schloss und die Batterien den meisten Platz einnehmen. Hier nochmal ein Bild von der Rückseite (mit Lötstoplack):

IMG_8075.JPG

Biegen die Bestückungsautomaten auch die Drähte um? Vorstellen kann ich mir das schon.

Abgesehen von dem Aufbau: Die Geschichte, dass die Batteriespannung um 0,7 Volt durch eine Diode abgesenkt wird, damit man unter die kritische Schranke von 5,5 Volt kommt, finde ich schon gewagt. Wenn man Lithium-Batterien mit einer Anfangsspannung von 1,7 Volt in das das Batteriefach einlegt, dann funktioniert vermutlich nichts mehr. Aber das machen vermutlich bei so einem billigen Safe nur ganz wenige Leute.
 

chrysophylax

Geomaster
Das ist definitiv vom Automaten bestückt - die machen auch das Kürzen der Anschlussbeine und das umknicken. Sehr schön übrigens auch dass alle Widerstände in Leserichtung bestückt sind, das machen auch nur sehr wenige menschliche Bestücker (ok, außer Nerds wie mir mit Monk-ähnlichen Zügen).

Ich kann mir übrigens durchaus vorstellen dass dieses IC da mehr als 5V abkann und die Diode samt dickem Pufferelko dahinter eher dafür da ist dass wenn bei ziemlich leeren Batterien jemand den Türöffner-Magneten ansteuert und dadurch schlagartig die Betriebsspannung komplett zusammenbricht dieses IC aus dem Pufferelko weiterlebt und seinen gespeicherten Code nicht vergisst...

Das würde auch das Q1-Q2-Konstrukt erklären, das könnte eine Betriebsspannungsüberwachung sein über die das IC mitbekommt wenn die Batteriespannung kleiner als seine eigene Versorgung ist. Das Ding hängt nämlich mit seinem einen Ende VOR der Diode....

Ich würde nichtmal Körperteile verwetten dass es sich um einen Microcontroller handelt, könnte mir auch vorstellen dass sich da jemand einen ASIC in CMOS gegossen hat vor x Jahren für die Standard-Anwendung "Billich-Tresor", andererseits hätte ich dann noch irgendwas kapazitives das schwingt auf der Platine erwartet für egal welche Form von Betriebstakt.... Das spricht doch wieder für irgendeinen Microcontroller. Sowas will man nicht in einen ASIC gießen. Man weiß es nicht.

chrysophylax
 
OP
fogg

fogg

Geomaster
Ja, Q1-Q2 ist definitiv für die Betriebsspannungsüberwachung. Das IC ist vermutlich ein EM78P153A. Das hat jedenfalls jemand anderes bei microcontroller.net auf einer anderen Billig-Tresor-Platine entziffern können. Pinout passt (Vcc 4, GND 11). Auch die Tatsache, dass kein EEPROM und kein A/D-Wandler auf dem Chip sitzt passt. Das stärkste Indiz ist aber der 50k Pullup an Pin 7. Das ist bei dem Mikrocontroller entweder der Reset-Eingang oder aber ein Input-only-Pin (bei dem kein Pullup konfigurierbar ist). Pins 6 und 5 haben konfigurierbare Pullups. Und die 3 Pins gehen an die Spalten der Keypad-Matrix.

Preis bei größeren Stückzahlen 10-20 US-Cents. Oh, und dieser Mikrocontroller will tatsächlich nicht mehr als 5,5 Volt. Überlebt aber bis 6,0 Volt.
 

Geomane

Geocacher
Schön gemacht. Welchen Controller setzt du jetzt ein? Ist das einer aus der ATmegaXX8-Reihe (ATmega88, ATmega168 oder so)?
 

schatzi-s

Geowizard
Lustig. Ich habe parallel etwas Aehnliches gemacht und auch bei einem 30 Euro Tresor den Prozessor ausgetauscht und mit einem Mastermind aehnlichem Spiel versehen :)

Soweit ich mich erinnere, hatte ich damals einen ATTiny84 genutzt, da der auch 14 Pins hat und die fuer Tastatur, Spule, LEDs und Sound reichten. Der interne Quarz reicht in der langsamsten Stufe und Speicher braucht mein Programm eh nicht viel.

Da er nicht pinkompatibel war, musste ich ein paar Leiterbahnen veraendern und er erwacht auch nur dann aus dem Schlafmodus, wenn man eine bestimmte Taste drueckt, aber das reicht mir :)
 
OP
fogg

fogg

Geomaster
Soweit ich mich erinnere, hatte ich damals einen ATTiny84 genutzt, da der auch 14 Pins hat und die fuer Tastatur, Spule, LEDs und Sound reichten. Der interne Quarz reicht in der langsamsten Stufe und Speicher braucht mein Programm eh nicht viel.

Da er nicht pinkompatibel war, musste ich ein paar Leiterbahnen veraendern und er erwacht auch nur dann aus dem Schlafmodus, wenn man eine bestimmte Taste drueckt, aber das reicht mir :)
Das war auch mein erster Plan. Da aber dann noch das I2C-Gedöns für Display und RTC dazu kamen, haben weder Pins noch Speicher gereicht. Da war dann eine neue Platine fällig.
 

schatzi-s

Geowizard
Ich habe gerade mal alte Fotos angeguckt. Zumindest bei einem Prototyp hatte ich auch einen AtMega im Einsatz?!
Keine Ahnung, was es am Ende wurde ...

Auf alle Faelle gucke ich sehr neidisch auf Deine Platine. Leider konnte ich mich mit der Platinenerstellung noch immer nicht anfreunden (auch wenn es hier in diesem Forum dazu viele gute Tipps gibt). Das sieht schon professionell aus! Neulich habe ich einen kleinen 1-Wire-Emulator auf ATTiny Basis gekauft. Schon toll, wie etwas aussehen kann, wenn man es nicht auf Lochplatinen zusammenbaut ;-)
 
OP
fogg

fogg

Geomaster
Platinen designen ist nicht so schwer. Und Target 3001 (kostenlose Discover-Version) ist ein guter Einstieg. Leider kann man da nicht wirklich aufrüsten, wenn man mal viel mehr braucht. Deshalb bin ich dann bei Eagle gelandet. Wenn mal fertig ist und den Entwurf zum Platinenhersteller schickt, dauert es aber nicht zu lange: 1-1,5 Wochen. Und die Platinen für die Box haben mich dann 18 Euro für 3 Exemplare gekostet (inkl. Porto).
 
Zuletzt bearbeitet:
OP
fogg

fogg

Geomaster
Puh, 2 Jahre nach dem Post ist es jetzt endlich vollbracht! Es gibt jetzt ein Paar von Synchroncaches: https://coord.info/GCA3X19 und https://coord.info/GCA3X12 . Hier müssen 2 Geocacher an weit entfernten Orten gleichzeitig eine Taste drücken, damit sie ihre Boxen öffnen können. Zum Hintergrund hab ich einen Blog-Artikel geschrieben. Kurz gesagt: Das Ganze nutzt hochgenaue Uhren und zeitbasierte Einmalpassworte.
 

Herados84

Geomaster
Spannende Idee fogg! Habe vor einiger Zeit im Urlaub in Freiburg so schöne Caches von dir gemacht z.B. den Andorra Skandal oder die Wein und Spiele Serie und freue mich, dass jetzt auch gar nicht so weit weg ein Cache von dir zu finden ist. Mal schauen ob sich ein anderer Cacher findet.
 
Oben