Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Autoschlüssel: Volkswagen-Hack nach…

Kunden brauchen keine Details

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 07:51

    Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine Autos geklaut werden. Soweit in Ordnung und löblich.
    Das Problem ist nur, dass der Kunde keine expliziten Details braucht. Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.

    In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen müssen.

    Die Details an sich gehen primär die Forscher, den Hersteller der fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut haben, damit eine Lösung erarbeitet werden kann. Details kann man veröffentlichen, wenn das Problem gelöst wurde.

    Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und eine Veröffentlichung ohne Details sind wenig wert, da nicht verifizierbar.
    Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden anrichten könnte.
    Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil.

    Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld stehen, billigen Schrott verbaut zu haben.
    Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht bei der Sicherheit der Sicherheitskomponente sparen.
    Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

  2. Re: Kunden brauchen keine Details

    Autor: sotix 13.08.15 - 08:24

    +1

    Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die mit den alten Autos, bei denen es keine Änderung geben wird :/



    1 mal bearbeitet, zuletzt am 13.08.15 08:26 durch sotix.

  3. Re: Kunden brauchen keine Details

    Autor: zu Gast 13.08.15 - 08:31

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Nur bringen tut es rein gar nichts, da Fahrzeugdiebe ihre Elektronik einfach mitbringen.
    Ob sie jetzt den Funkverkehr erst mitschneiden, auswerten und einen entsprechenden Transponder codieren oder sich direkt anhängen, ist völlig unerheblich.
    Der hier gezeigte Weg, dauert je nach Model vergleichsweise lange - schneller geht es in dem sie sich direkt ins Bordnetz einklinken.

  4. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 08:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen und es völlig den Autodieben überlassen, die - nur mal so nebenbei - sowieso schon über höhere finanzielle und personelle Mittel verfügen als ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität verschwunden. Tolle Idee...

  5. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 09:00

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.
    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.
    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Du scheinst dich auszukennen. Wie viel billiger war denn dieser Chip als der der Konkurrenz und wer ist die Konkurrenz? Sind die anderen Komponenten sicherer?

  6. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:00

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen.
    > Und
    > > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > > verifizierbar.
    > > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich
    > ein
    > > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > > anrichten könnte.
    > Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen
    > und es völlig den Autodieben überlassen, die - nur mal so nebenbei -
    > sowieso schon über höhere finanzielle und personelle Mittel verfügen als
    > ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige
    > legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität
    > verschwunden. Tolle Idee...


    Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie ich zu dieser Aussage komme.
    Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.

  7. Re: Kunden brauchen keine Details

    Autor: muhzilla 13.08.15 - 09:08

    Du schiebst die Schuld von VW auf die Forscher. Das ist nicht in Ordnung. Diese haben sich sogar absolut vorbildlich verhalten und VW 9 Monate(!) vorher darüber informiert. Das paper ist auf der Usenix, also DER Flagship conference, angenommmen. Warum? Weil es eben Details liefert, weil es eben genau erklärt, was das Problem ist und wie es sich ausnutzen lässt. Auch wenn Endkunden nichts damit anfangen können, erstens kann man keine Behauptungen aufstellen ohne den detaillierten Beweis zu liefern, zweitens können so zukünftig theoretisch zumindest diese Probleme vermieden werden.

  8. Re: Kunden brauchen keine Details

    Autor: Xstream 13.08.15 - 09:24

    Wenn du keine Details veröffentlichst glaubt dir niemand und es interessiert niemanden

  9. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:32

    Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten benutzen das selbe Verfahren und ähnliche Keys!

  10. Re: Kunden brauchen keine Details

    Autor: M.P. 13.08.15 - 09:36

    Dagegen hilft eine Live Vorführung der Wissenschaftler in eine Beitrag z. B. im Fernsehmagazin "Monitor" o. Ä.

    Am Besten an einem zufällig ausgewählten Dienst-Volkswagen vom Parkplatz des Senders...

  11. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:48

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine
    > Autos geklaut werden. Soweit in Ordnung und löblich.
    > Das Problem ist nur, dass der Kunde keine expliziten Details braucht.
    > Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für
    > den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können
    > überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.
    >
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in
    > der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr
    > braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Die Hersteller werden dann diese Leute wieder hinauswerfen (lassen) - denn es ist schlicht nicht für den eigentlichen Zweck eines Fahrzeugs relevant und nur das wird garantiert.

    >
    > Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details
    > sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine
    > Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen
    > müssen.
    >
    > Die Details an sich gehen primär die Forscher, den Hersteller der
    > fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut
    > haben, damit eine Lösung erarbeitet werden kann. Details kann man
    > veröffentlichen, wenn das Problem gelöst wurde.

    Das einzige, dass nun getan werden könnte, ist ein Komplettaustausch des Systems! Also müssen die kompletten Startsysteme der Autos (also oft auch das komplette Bordcomputer-System mit einigen Subsystemen!) und alle Schlüssel ausgetauscht werden. Blos wer soll das alles machen? Bei vielen Fahrzeugen müsste der gesamte Wagen in Einzelteile zerlegt werden. Und niemand kann sagen, was für Teile als Ersatz benutzt werden sollen, denn alle anderen am Markt vorhandenen Chips arbeiten ähnlich!

    >
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    > Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön
    > profilieren, erreicht aber leider exakt das Gegenteil.
    >
    > Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details
    > direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    An sich ist das Ganze vollkommen egal - die meisten VWs werden von Dieben gestohlen die die Master-Schlüssel der Werkstätten nutzen! Und da ist es so was von egal, welches Verfahren der Schlüssel implementiert hat!

    >
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.

    Billig ist das Teil leider nicht - eher teuer! Und eigentlich ist VW usw. nicht schuld und in die Pflicht zu nehmen, sondern der Hersteller der Chips!

    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.

    Es dient aber nicht der für ein Auto wichtigen Sicherheit! Es ist blos ein Zutrittsmerkmal, ein System um Zugang zum Fahrzeug zu erhalten und an sich vollkommen irrelevant.

    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Es geht aber nicht um ein Schließsystem, es geht um die Blockiervorrichtung für das Starten mit dem Schlüssel! Also dem System, das verhindern soll, dass der Einbrecher zum Dieb des Fahrzeugs wird! Und dabei wird schlicht vergessen, dass das Ganze reine Augenauswischerei ist - die Fahrzeuge lassen sich auch ohne Schlüssel (egal ob mit oder ohne Chip) starten!

  12. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:49

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten
    > benutzen das selbe Verfahren und ähnliche Keys!

    Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu verbauen.

  13. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > bofhl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen
    > Konkurrenten
    > > benutzen das selbe Verfahren und ähnliche Keys!
    >
    > Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf
    > dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu
    > entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu
    > verbauen.

    Blos wem - die die derzeit diese Chips anbieten sind im Prinzip die Verursacher der Probleme!?!? Und an sich sind die Teile kein Schrott, sondern blos vom Rest der Technik überholt.

    Würde nun Chips&Techniken benutzt, die den derzeit höchsten/höheren Crypto-Standards entsprächen, gäbe es andere Probleme (Einfuhrverbote in bestimmte Länder, Verkaufsbeschränkungen bei Behörden, Werkstätten hätten Probleme an Masterkeys zu kommen, etc.)
    Und ganz abgesehen von den dadurch höheren Preisen für die Kunden (und den durch die Cryptoregelungen entstehenden Probleme für diese Kunden - Verkaufsverbot, Meldepflichten in einige Staaten,...)

  14. Re: Kunden brauchen keine Details

    Autor: Space3001 13.08.15 - 10:02

    ganz blöd grad..
    da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu sagen..

    zum einen ich kenne die Branche aus erster Hand..
    zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    die lassen entwickeln, bei einem der etablierten Hersteller.. z.b. Marquardt, Denso, Continental..
    und sie kaufen natürlich das billigste Produkt ein...

    aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher geht leider nicht...
    aber kein Autohersteller will diese Systeme bezahlen...

  15. Re: Kunden brauchen keine Details

    Autor: Flasher 13.08.15 - 10:03

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Welches Problem: man hat wahrscheinlich nun die Zeit ausgesessen und sie sind nicht mehr dazu verpflichtet sowas zu machen. Garantie ist auch schon abgelaufen

  16. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 10:04

    Space3001 schrieb:
    --------------------------------------------------------------------------------
    > ganz blöd grad..
    > da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu
    > sagen..
    >
    > zum einen ich kenne die Branche aus erster Hand..
    > zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    > die lassen entwickeln, bei einem der etablierten Hersteller.. z.b.
    > Marquardt, Denso, Continental..
    > und sie kaufen natürlich das billigste Produkt ein...
    >
    > aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher
    > geht leider nicht...
    > aber kein Autohersteller will diese Systeme bezahlen...

    Richtig. Absolute Sicherheit ist eine nicht erreichbare Utopie.
    Aber vorsätzlich unsichere Systeme einzubauen, weil sie billiger sind, ist meiner Meinung nach eine strafbare Handlung. Dem Kunden wird vorgegaukelt da wäre tolle Sicherheitstechnik verbaut, aber in Wahrheit ist es stümperhaft zusammengebastelt.

  17. Re: Kunden brauchen keine Details

    Autor: Clown 13.08.15 - 10:07

    Das Problem daran ist ja die Beweisbarkeit: VW hätte seinerseits selbst Experten einstellen müssen, um die Sicherheit verifizieren zu können. Stattdessen finde ich ebenfalls, dass man sich eher an den Hersteller des Systems wenden sollte, denn der hat das "zu unsichere" System wider besseren Wissens (weil sein täglich Brot) auf den Markt gebracht.

    Blizzard: "You guys don't have phones?" ~ Bethesda: "You guys don't have friends?" ~ EA: "You guys don't have wallets?"

  18. Re: Kunden brauchen keine Details

    Autor: holminger 13.08.15 - 10:09

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können.
    Den Ganoven ist damit schon geholfen.

    Aber wie schon der Forscher sagte. Bis auf den Kunden kennen alle die Schwachstellen, der Hersteller, die Ganoven und die Forscher. Nur der Kunde, oder besser Käufer des Autos, ist der Dumme.

  19. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 10:11

    Ich weiß nicht wo da der Skandal ist. Wenn man sich darüber moniert müsste man bei den klassischen Schlüsseln anfangen.. Mit einem Lockpicker oder einem Polenschlüssel bekomme ich auch jedes Schloss auf, die Hersteller von Schlössern wissen das, verbauen trotzdem weiter Std. Schließzylinder und werden auch nicht verklagt.

  20. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 10:13

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man
    > sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren,
    > erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie
    > ich zu dieser Aussage komme.
    > Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.
    Was willst du? Du hast eine blöde Idee gepostet und ich habe erklärt, warum das so ist. Jetzt ist deine Reaktion ein inhaltsleeres Herumgerede, sehr beeindruckend...

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, München, Rheinbach, Leipzig
  2. über duerenhoff GmbH, Raum Offenburg
  3. EWM AG, Mündersbach
  4. INCENT Corporate Services GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 18,99€
  2. 34,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch


    Mobile Bezahldienste: Wie sicher sind Apple Pay und Google Pay?
    Mobile Bezahldienste
    Wie sicher sind Apple Pay und Google Pay?

    Die Zahlungsdienste Apple Pay und Google Pay sind nach Ansicht von Experten sicherer als klassische Kreditkarten. In der täglichen Praxis schneidet ein Dienst etwas besser ab. Einige Haftungsfragen sind aber noch juristisch ungeklärt.
    Von Andreas Maisch

    1. Anzeige Was Drittanbieter beim Open Banking beachten müssen
    2. Finanzdienstleister Wirecard sieht kein Fehlverhalten
    3. Fintech Wirecard wird zur Smartphone-Bank

    Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
    Tom Clancy's The Division 2 im Test
    Richtig guter Loot-Shooter

    Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
    Von Jan Bojaryn

    1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
    2. Netztest Chip verteilt viel Lob trotz Funklöchern

    1. Quake 2 RTX: Nvidia entwickelt überarbeitetes Quake
      Quake 2 RTX
      Nvidia entwickelt überarbeitetes Quake

      GTC 2019 In wenigen Wochen von Pathtracing zu RTX: Nvidia hat basierend auf der Quake-2-Version eines deutschen Studenten eine neue erstellt, welche HDR sowie God Rays und gläserne Oberflächen in den Shooter integriert.

    2. Boundless XR: Qualcomms Headset funktioniert mit und ohne PC
      Boundless XR
      Qualcomms Headset funktioniert mit und ohne PC

      GDC 2019 Die Kombination aus 60-GHz-WLAN und Snapdragon-basiertem Headset soll für eine drahtlose VR-Erfahrung sorgen: Qualcomm nennt das Boundless XR, erste Hersteller wie Pico arbeiten bereits mit der Technik.

    3. Ice Lake U: Intel erläutert Architektur der Gen11-Grafik
      Ice Lake U
      Intel erläutert Architektur der Gen11-Grafik

      Ende 2019 erscheinen die Ice Lake genannten Intel-Chips für Ultrabooks. Deren Gen11-Grafikeinheit weist viele Neuerungen auf, etwa bei den Shadern, beim L3-Cache oder beim Speicherinterface.


    1. 14:53

    2. 13:44

    3. 13:20

    4. 12:51

    5. 00:00

    6. 18:05

    7. 16:39

    8. 13:45