1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Autoeinbruch: BMW Connecteddrive…

Steuerbefehle über HTTP

  1. Thema

Neues Thema Ansicht wechseln


  1. Steuerbefehle über HTTP

    Autor: tingelchen 30.01.15 - 14:06

    Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt auch nicht wirklich besser ist, hab ich irgendwie Bauchschmerzen, wenn der Hersteller Steuerbefehle an das Fahrzeug senden kann.

    Alleine das die Zentrale den Wagen aufschließen kann, ist rechtlich doch schon ein Problem? Dank GPS Daten wissen die Hersteller immer wo sich das Fahrzeug gerade aufhält und können so mit einem einfachen Befehl den Wagen aufschließen. Das lädt doch gerade dazu ein, als Mitarbeiter von BMW, da ein paar Fahrzeuge zu krallen.

    Es geht zudem ja noch mehr als nur auf- / abschließen. Die Motorsteuerung sowie Bremsanlage sind schon seit Jahren rein elektrisch. Die Lenkung folgt auf dem fuße. Kann man die auch Fernsteuern? Da Blinker am Bus hängen, sowie auch die Assistenten, Bremse und Motor, muss diese Box ebenfalls am Bus hängen. Damit sind sie technisch mit allen Boardsystemen verbunden.

    Gruselige Vorstellung

  2. Re: Steuerbefehle über HTTP

    Autor: katzenpisse 30.01.15 - 14:50

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt auch
    > nicht wirklich besser ist

    Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende Verschlüsselungsmethoden.

  3. Re: Steuerbefehle über HTTP

    Autor: Nullmodem 30.01.15 - 15:09

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > tingelchen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt
    > auch
    > > nicht wirklich besser ist
    >
    > Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur
    > seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende
    > Verschlüsselungsmethoden.

    Wenn man wirklich diesen ganzen Aufwand getrieben hätte, dann hätte man das sicher nicht mit https gemacht, sondern das gleich solide aufgesetzt (IPSec vielleicht oder ein richtiges SSH oder ein VPN).
    Wenn hier von https die Rede ist, dann kann man wohl leicht davon ausgehen, das da ein Apache mit ssl Modul drauf ist, halt das was den wenigsten Aufwand macht. Und wenig Aufwand bedeutet normalerweise Standardkonfiguration. Bestimmt die OpenSSL mit dem Heartbleed Bug :)

    NB:
    - Man in the Middle Attacke? (i.S.v. Zertifikat durchreichen und schlechten Streamcipher aushandeln)
    - "vertauensvolle CA"? Wer hat denn den Schlüssel herausgegeben und wie will man das kontrollieren? Die Box aufschrauben und den EPROM anglotzen? *)


    nm

    *) i.S.v. kommt der BND zum BMW und sagt: "Schauen Sie bitte mal im XKeyscore nach, welches Auto zum Golembenutzer "katzenpisse" gehört und spielen Sie da mal eben eine Firmware ein die folgendes kann ...


    nm

  4. Re: Steuerbefehle über HTTP

    Autor: RaZZE 30.01.15 - 20:09

    Nullmodem schrieb:
    --------------------------------------------------------------------------------
    > katzenpisse schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > tingelchen schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > > > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt
    > > auch
    > > > nicht wirklich besser ist
    > >
    > > Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur
    > > seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende
    > > Verschlüsselungsmethoden.
    >
    > Wenn man wirklich diesen ganzen Aufwand getrieben hätte, dann hätte man das
    > sicher nicht mit https gemacht, sondern das gleich solide aufgesetzt (IPSec
    > vielleicht oder ein richtiges SSH oder ein VPN).
    > Wenn hier von https die Rede ist, dann kann man wohl leicht davon ausgehen,
    > das da ein Apache mit ssl Modul drauf ist, halt das was den wenigsten
    > Aufwand macht. Und wenig Aufwand bedeutet normalerweise
    > Standardkonfiguration. Bestimmt die OpenSSL mit dem Heartbleed Bug :)
    >
    > NB:
    > - Man in the Middle Attacke? (i.S.v. Zertifikat durchreichen und schlechten
    > Streamcipher aushandeln)
    > - "vertauensvolle CA"? Wer hat denn den Schlüssel herausgegeben und wie
    > will man das kontrollieren? Die Box aufschrauben und den EPROM anglotzen?
    > *)
    >
    > nm
    >
    > *) i.S.v. kommt der BND zum BMW und sagt: "Schauen Sie bitte mal im
    > XKeyscore nach, welches Auto zum Golembenutzer "katzenpisse" gehört und
    > spielen Sie da mal eben eine Firmware ein die folgendes kann ...
    >
    >

    Apache auf einem kleinen soc?
    Da gibs weitaus klügere Lösungen .
    Mal ganz davon abgesehen das bei dieser Lösung Quellcode offenlegen pflicht wäre

  5. Re: Steuerbefehle über HTTP

    Autor: burzum 31.01.15 - 04:01

    RaZZE schrieb:
    --------------------------------------------------------------------------------
    > Apache auf einem kleinen soc?
    > Da gibs weitaus klügere Lösungen .
    > Mal ganz davon abgesehen das bei dieser Lösung Quellcode offenlegen pflicht
    > wäre

    Hätte, wäre, wenn...

    Wenn der Apache selbst nicht modifiziert wurde dürfte das egal sein und selbst wenn sie denn den Code liefern müßten, wäre es auch egal da sie nichts geändert haben an dem Server selbst. Und ich bezweifel das sie den Rest der Software mit in den Apache gesteckt haben. ;)

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadtverwaltung Kaiserslautern, Kaiserslautern
  2. Hays AG, Lohmar
  3. Universität Stuttgart, Stuttgart
  4. ACP IT Solutions AG Nord, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 350,10€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  2. 749€ (mit Rabattcode "PERFECTEBAY10" - Bestpreis!)
  3. 599€
  4. 599€ (mit Rabattcode "PRIMA10" - Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de