VW-Sicherheitslücke darf nicht veröffentlicht werden

Christoph · 29.07.2013, 21:02

Zitat:

Flavio Garcia, der nach eigenen Angaben das Sicherheitssystem Megamos Crypto von VW zum Absichern von Luxuskarossen geknackt hat, darf sein Wissen nicht publizieren. Ein britisches Gericht untersagte die Veröffentlichung.

Ein britischer Informatiker darf sein wissenschaftliches Papier, in dem die Umgehung des Sicherheitssystems Megamos Crypto von Volkswagen geschildert wird, nicht veröffentlichen oder auf einem Kongress vorstellen. Das hat ein britisches Gericht auf Antrag von VW entschieden.

Flavio Garcia von der Uni Birmingham darf nicht darüber schreiben, wie das Verschlüsselungssystem Megamos Crypto von Volkswagen umgangen werden kann. Es verhindert den unautorisierten Start von Modellen des Volkswagenkonzerns, darunter Porsche, Audi, Bentley und Lamborghini. Das System überprüft, ob der Schlüssel, mit dem das Auto gestartet werden soll, ein Original ist. Das Gericht verbot auch zwei niederländischen Kollegen des Forschers, in Großbritannien die Informationen zu publizieren.

Volkswagen begründete laut dem britischen Guardian den Antrag damit, dass es die Veröffentlichung jedem und "besonders einer technisch raffiniert vorgehenden Bande ermöglicht, mit den passenden Werkzeugen die Sicherheitsbarriere zu überwinden und ein Auto zu stehlen".

........

Quelle und ganzer Artikel: http://www.golem.de/news/sicherheits...07-100655.html

Das ist ein einmal sinnvolles Urteil.

Lowrider20 · 29.07.2013, 21:07

Finde ich auch. In Ordnung, daß man damit an die Öffentlichkeit geht, aber Details sollten zwischen Entdecker und Unternehmen bleiben. Und weitere Schritte des Unternehmens zur Vermeidung wären interessant und nicht einfach nur totschweigen.

mankra · 30.07.2013, 00:43

Genau um das geht es.
Wird's (zu) öffentlich, dann müßtens eine Rückrufaktion starten und die Schwachstelle ausbessern. Wenn dies nicht nur Softwaremäßig möglich ist......

Die wirklich prof. Autodiebe, haben aber sowieso die Wegfahrsperren offen.
Abundzu gibt's Reportagen, wie schnell (unter eine Minute) die Wegfahrsperren zu knacken sind, bzw. um Haftungsfragen, bei Diebställen.

fredf · 30.07.2013, 10:52

Dem einen Entdecker von Sicherheitslücken wird vom Gericht die Veröffentlichung verboten,
den anderen Entdecker hindert sein plötzlicher, unvermuteter Tod im Alter von 35 Jahren 7 Tage vor seinem Auftritt an der Veröffentlichung.
http://www.heise.de/newsticker/meldu...t-1925016.html

Lowrider20 · 30.07.2013, 18:27

Das können sie aber nicht behaupten, wenn genau solche Fälle veröffentlicht werden. Die Prozedur muß jedoch nicht für jedermann offengelegt werden. Immerhin will man vielleicht das Auto noch bis zur Nachbesserung haben.

ZombyKillah · 30.07.2013, 20:19

Der Hersteller wird von einen System nicht weg gehen nur weil es unsicher ist ...
Das haben uns die Banken schon bewiesen ...
Wenn ein System unsicher ist, wird einfach dessen Sicherheit propagiert und das Wissen wie man den Schutz umgeht für Verboten erklärt...

Der Pin der Bankomatkarten ist schon seit zig Jahren von den Daten am Magnetstreifen zurückrechenbar.
Nein ... der PIN ist völlig sicher ... die tausenden Fälle sind alle Verschulden der User weil sich diese auf die Finger schauen lassen ...

... und Blue-Rays haben eine sichere Verschlüsselung ... naja zumindest der Otto-Normal-Verbraucher muss sich über die Ländercodes und nötigen Schlüsselupdates ärgern ...

Christoph · 30.07.2013, 20:23

Zitat:

Vollbremsung über ein Macbook

Zwei Hacker haben anschaulich demonstriert, wie sich Autos weitgehend über einen gehackten CAN-Bus steuern lassen. Sie deaktivierten über einen Laptop die Bremse und ließen das Auto hupen.

Ausgestattet mit einem Laptop, der mit dem CAN-Bus eines Automobils verbunden war, haben sich zwei Hacker Zutritt zu den Steuerungsfunktionen verschafft. Damit konnten sie nicht nur die automatischen Fenster herauf- und herunterfahren, sondern auch die Hupe betätigen und die Bremse, obwohl sie auf dem Rücksitz des Autos saßen. Die Demonstration sollte die Gefahren eines Hacks eines Autos demonstrieren.

Die Hacker Charlie Miller und Chris Valasek haben ihren Angriff in dem SUV Ford Escape demonstriert. Sie hatten ihren Laptop über ein Kabel mit dem CAN-Bus des Fahrzeugs verbunden und nutzen von ihnen entdeckte Schwachstellen, um das Auto zu manipulieren. Beide werden dafür bezahlt, solche Schwachstellen zu finden. Sie werden ihre Ergebnisse nächsten Monat auf der Defcon präsentieren.
Bremsblockade von der Rückbank aus

Mit dem Forbes-Redakteur Andy Greenberg fuhren sie zu einem abgelegenen Parkplatz, um den Hack zu demonstrieren. Bei weniger als 8 km/h schalteten sie die Bremse aus, während Greenberg versuchte, das Fahrzeug anzuhalten. Bei diesem Versuch landete das Auto in meterhohem Gestrüpp. Bei seinem ersten Versuch hatte Miller noch die Rückwand seiner Garage und einen Rasenmäher mit dem gehackten Auto zerstört.

Für ihren Hack haben sie das Betriebssystem des Fahrzeugs analysiert und rekonstruiert. Ihr Nachbau lief auf dem Laptop, den sie mit dem Auto verbunden hatten. Sie konnten damit das Steuerrad bedienen, GPS-Angaben fälschen oder eine Bremsung bei Vollgas machen.

Für ihre Forschung haben Miller, der als Sicherheitsexperte bei Twitter arbeitet, und Valasek, ebenfalls Sicherheitsexperte bei der Beratungsfirma IOActive, 80.000 US-Dollar der Defense Advanced Research Projects Agency erhalten, einer Abteilung des Pentagons.
Größere Angriffsfläche durch Vernetzung

Während Autohersteller abwiegeln, der Hack benötige einen physischen Zugriff auf das Fahrzeug, weisen die beiden Hacker darauf hin, dass mit zunehmender Vernetzung auch die Angriffsfläche auf Fahrzeuge größer wird.

Ähnlich argumentiert auch der Sicherheitsexperte Karsten Nohl, der kürzlich über Schwachstellen bei Wegfahrsperren referierte. Auch er befürchtet, dass über drahtlose Kommunikation wie WLAN oder GSM Angreifer auch leichter auf Schwachstellen im CAN-Bus zugreifen können. Und die gibt es offensichtlich.

Quelle: http://www.golem.de/news/autohacking...07-100691.html

Ein Beispiel zu Autohacking.

mankra · 30.07.2013, 20:44

Zitat:

Zitat von Christoph

Ein Beispiel zu Autohacking.

Da gibt es etliche Foren dazu, im Motortalk Forum gibt's da einige Freaks:
http://www.motor-talk.de/blogs/passa...-t2403288.html

http://www.dailymotion.com/video/xaf...e-fahrass_auto

Lowrider20 · 30.07.2013, 20:23

Du vergißt, daß es hier Leute betrifft, die Geld haben! Nicht den kleinen Hackler, der ein Auto um 25k€ kauft.

Mobiletester · 30.07.2013, 23:34

Zitat:

Zitat von Lowrider20

Du vergißt, daß es hier Leute betrifft, die Geld haben! Nicht den kleinen Hackler, der ein Auto um 25k€ kauft.

Es ist egal welches Auto du heute kaufst. Da steckt überall die gleiche Basistechnologie dahinter. ABS, ESP sind ab nächsten Jahr in der EU Pflicht. elektrische Türöffner standard. Und jetzt das Ganzenoch per Internet gekoppelt. Die Geheimdienste Autoschieber wissen schon mit den Daten umzugehen!

30.07.2013, 00:43	#3
mankra Schon länger dabei Registriert seit: 19.08.2000 Ort: Steiermark Alter: 50 Beiträge: 3.117 Mein Computer	Genau um das geht es. Wird's (zu) öffentlich, dann müßtens eine Rückrufaktion starten und die Schwachstelle ausbessern. Wenn dies nicht nur Softwaremäßig möglich ist...... Die wirklich prof. Autodiebe, haben aber sowieso die Wegfahrsperren offen. Abundzu gibt's Reportagen, wie schnell (unter eine Minute) die Wegfahrsperren zu knacken sind, bzw. um Haftungsfragen, bei Diebställen. ____________________________________ www.mankra.com Meine private Site

30.07.2013, 20:19	#6
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Der Hersteller wird von einen System nicht weg gehen nur weil es unsicher ist ... Das haben uns die Banken schon bewiesen ... Wenn ein System unsicher ist, wird einfach dessen Sicherheit propagiert und das Wissen wie man den Schutz umgeht für Verboten erklärt... Der Pin der Bankomatkarten ist schon seit zig Jahren von den Daten am Magnetstreifen zurückrechenbar. Nein ... der PIN ist völlig sicher ... die tausenden Fälle sind alle Verschulden der User weil sich diese auf die Finger schauen lassen ... ... und Blue-Rays haben eine sichere Verschlüsselung ... naja zumindest der Otto-Normal-Verbraucher muss sich über die Ländercodes und nötigen Schlüsselupdates ärgern ... ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

29.07.2013, 21:07	#2
Lowrider20 Gesperrter Benutzer Registriert seit: 11.08.2002 Beiträge: 5.485	Finde ich auch. In Ordnung, daß man damit an die Öffentlichkeit geht, aber Details sollten zwischen Entdecker und Unternehmen bleiben. Und weitere Schritte des Unternehmens zur Vermeidung wären interessant und nicht einfach nur totschweigen.

30.07.2013, 10:52	#4
fredf Inventar Registriert seit: 01.11.2002 Beiträge: 4.023	Dem einen Entdecker von Sicherheitslücken wird vom Gericht die Veröffentlichung verboten, den anderen Entdecker hindert sein plötzlicher, unvermuteter Tod im Alter von 35 Jahren 7 Tage vor seinem Auftritt an der Veröffentlichung. http://www.heise.de/newsticker/meldu...t-1925016.html

30.07.2013, 18:27	#5
Lowrider20 Gesperrter Benutzer Registriert seit: 11.08.2002 Beiträge: 5.485	Das können sie aber nicht behaupten, wenn genau solche Fälle veröffentlicht werden. Die Prozedur muß jedoch nicht für jedermann offengelegt werden. Immerhin will man vielleicht das Auto noch bis zur Nachbesserung haben.

30.07.2013, 20:23	#9
Lowrider20 Gesperrter Benutzer Registriert seit: 11.08.2002 Beiträge: 5.485	Du vergißt, daß es hier Leute betrifft, die Geld haben! Nicht den kleinen Hackler, der ein Auto um 25k€ kauft.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)