Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Autoschlüssel: Volkswagen-Hack nach…

Kunden brauchen keine Details

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 07:51

    Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine Autos geklaut werden. Soweit in Ordnung und löblich.
    Das Problem ist nur, dass der Kunde keine expliziten Details braucht. Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.

    In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen müssen.

    Die Details an sich gehen primär die Forscher, den Hersteller der fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut haben, damit eine Lösung erarbeitet werden kann. Details kann man veröffentlichen, wenn das Problem gelöst wurde.

    Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und eine Veröffentlichung ohne Details sind wenig wert, da nicht verifizierbar.
    Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden anrichten könnte.
    Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil.

    Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld stehen, billigen Schrott verbaut zu haben.
    Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht bei der Sicherheit der Sicherheitskomponente sparen.
    Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

  2. Re: Kunden brauchen keine Details

    Autor: sotix 13.08.15 - 08:24

    +1

    Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die mit den alten Autos, bei denen es keine Änderung geben wird :/



    1 mal bearbeitet, zuletzt am 13.08.15 08:26 durch sotix.

  3. Re: Kunden brauchen keine Details

    Autor: zu Gast 13.08.15 - 08:31

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Nur bringen tut es rein gar nichts, da Fahrzeugdiebe ihre Elektronik einfach mitbringen.
    Ob sie jetzt den Funkverkehr erst mitschneiden, auswerten und einen entsprechenden Transponder codieren oder sich direkt anhängen, ist völlig unerheblich.
    Der hier gezeigte Weg, dauert je nach Model vergleichsweise lange - schneller geht es in dem sie sich direkt ins Bordnetz einklinken.

  4. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 08:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen und es völlig den Autodieben überlassen, die - nur mal so nebenbei - sowieso schon über höhere finanzielle und personelle Mittel verfügen als ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität verschwunden. Tolle Idee...

  5. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 09:00

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.
    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.
    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Du scheinst dich auszukennen. Wie viel billiger war denn dieser Chip als der der Konkurrenz und wer ist die Konkurrenz? Sind die anderen Komponenten sicherer?

  6. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:00

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen.
    > Und
    > > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > > verifizierbar.
    > > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich
    > ein
    > > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > > anrichten könnte.
    > Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen
    > und es völlig den Autodieben überlassen, die - nur mal so nebenbei -
    > sowieso schon über höhere finanzielle und personelle Mittel verfügen als
    > ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige
    > legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität
    > verschwunden. Tolle Idee...


    Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie ich zu dieser Aussage komme.
    Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.

  7. Re: Kunden brauchen keine Details

    Autor: muhzilla 13.08.15 - 09:08

    Du schiebst die Schuld von VW auf die Forscher. Das ist nicht in Ordnung. Diese haben sich sogar absolut vorbildlich verhalten und VW 9 Monate(!) vorher darüber informiert. Das paper ist auf der Usenix, also DER Flagship conference, angenommmen. Warum? Weil es eben Details liefert, weil es eben genau erklärt, was das Problem ist und wie es sich ausnutzen lässt. Auch wenn Endkunden nichts damit anfangen können, erstens kann man keine Behauptungen aufstellen ohne den detaillierten Beweis zu liefern, zweitens können so zukünftig theoretisch zumindest diese Probleme vermieden werden.

  8. Re: Kunden brauchen keine Details

    Autor: Xstream 13.08.15 - 09:24

    Wenn du keine Details veröffentlichst glaubt dir niemand und es interessiert niemanden

  9. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:32

    Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten benutzen das selbe Verfahren und ähnliche Keys!

  10. Re: Kunden brauchen keine Details

    Autor: M.P. 13.08.15 - 09:36

    Dagegen hilft eine Live Vorführung der Wissenschaftler in eine Beitrag z. B. im Fernsehmagazin "Monitor" o. Ä.

    Am Besten an einem zufällig ausgewählten Dienst-Volkswagen vom Parkplatz des Senders...

  11. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:48

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine
    > Autos geklaut werden. Soweit in Ordnung und löblich.
    > Das Problem ist nur, dass der Kunde keine expliziten Details braucht.
    > Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für
    > den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können
    > überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.
    >
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in
    > der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr
    > braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Die Hersteller werden dann diese Leute wieder hinauswerfen (lassen) - denn es ist schlicht nicht für den eigentlichen Zweck eines Fahrzeugs relevant und nur das wird garantiert.

    >
    > Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details
    > sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine
    > Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen
    > müssen.
    >
    > Die Details an sich gehen primär die Forscher, den Hersteller der
    > fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut
    > haben, damit eine Lösung erarbeitet werden kann. Details kann man
    > veröffentlichen, wenn das Problem gelöst wurde.

    Das einzige, dass nun getan werden könnte, ist ein Komplettaustausch des Systems! Also müssen die kompletten Startsysteme der Autos (also oft auch das komplette Bordcomputer-System mit einigen Subsystemen!) und alle Schlüssel ausgetauscht werden. Blos wer soll das alles machen? Bei vielen Fahrzeugen müsste der gesamte Wagen in Einzelteile zerlegt werden. Und niemand kann sagen, was für Teile als Ersatz benutzt werden sollen, denn alle anderen am Markt vorhandenen Chips arbeiten ähnlich!

    >
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    > Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön
    > profilieren, erreicht aber leider exakt das Gegenteil.
    >
    > Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details
    > direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    An sich ist das Ganze vollkommen egal - die meisten VWs werden von Dieben gestohlen die die Master-Schlüssel der Werkstätten nutzen! Und da ist es so was von egal, welches Verfahren der Schlüssel implementiert hat!

    >
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.

    Billig ist das Teil leider nicht - eher teuer! Und eigentlich ist VW usw. nicht schuld und in die Pflicht zu nehmen, sondern der Hersteller der Chips!

    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.

    Es dient aber nicht der für ein Auto wichtigen Sicherheit! Es ist blos ein Zutrittsmerkmal, ein System um Zugang zum Fahrzeug zu erhalten und an sich vollkommen irrelevant.

    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Es geht aber nicht um ein Schließsystem, es geht um die Blockiervorrichtung für das Starten mit dem Schlüssel! Also dem System, das verhindern soll, dass der Einbrecher zum Dieb des Fahrzeugs wird! Und dabei wird schlicht vergessen, dass das Ganze reine Augenauswischerei ist - die Fahrzeuge lassen sich auch ohne Schlüssel (egal ob mit oder ohne Chip) starten!

  12. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:49

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten
    > benutzen das selbe Verfahren und ähnliche Keys!

    Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu verbauen.

  13. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > bofhl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen
    > Konkurrenten
    > > benutzen das selbe Verfahren und ähnliche Keys!
    >
    > Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf
    > dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu
    > entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu
    > verbauen.

    Blos wem - die die derzeit diese Chips anbieten sind im Prinzip die Verursacher der Probleme!?!? Und an sich sind die Teile kein Schrott, sondern blos vom Rest der Technik überholt.

    Würde nun Chips&Techniken benutzt, die den derzeit höchsten/höheren Crypto-Standards entsprächen, gäbe es andere Probleme (Einfuhrverbote in bestimmte Länder, Verkaufsbeschränkungen bei Behörden, Werkstätten hätten Probleme an Masterkeys zu kommen, etc.)
    Und ganz abgesehen von den dadurch höheren Preisen für die Kunden (und den durch die Cryptoregelungen entstehenden Probleme für diese Kunden - Verkaufsverbot, Meldepflichten in einige Staaten,...)

  14. Re: Kunden brauchen keine Details

    Autor: Space3001 13.08.15 - 10:02

    ganz blöd grad..
    da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu sagen..

    zum einen ich kenne die Branche aus erster Hand..
    zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    die lassen entwickeln, bei einem der etablierten Hersteller.. z.b. Marquardt, Denso, Continental..
    und sie kaufen natürlich das billigste Produkt ein...

    aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher geht leider nicht...
    aber kein Autohersteller will diese Systeme bezahlen...

  15. Re: Kunden brauchen keine Details

    Autor: Flasher 13.08.15 - 10:03

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Welches Problem: man hat wahrscheinlich nun die Zeit ausgesessen und sie sind nicht mehr dazu verpflichtet sowas zu machen. Garantie ist auch schon abgelaufen

  16. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 10:04

    Space3001 schrieb:
    --------------------------------------------------------------------------------
    > ganz blöd grad..
    > da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu
    > sagen..
    >
    > zum einen ich kenne die Branche aus erster Hand..
    > zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    > die lassen entwickeln, bei einem der etablierten Hersteller.. z.b.
    > Marquardt, Denso, Continental..
    > und sie kaufen natürlich das billigste Produkt ein...
    >
    > aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher
    > geht leider nicht...
    > aber kein Autohersteller will diese Systeme bezahlen...

    Richtig. Absolute Sicherheit ist eine nicht erreichbare Utopie.
    Aber vorsätzlich unsichere Systeme einzubauen, weil sie billiger sind, ist meiner Meinung nach eine strafbare Handlung. Dem Kunden wird vorgegaukelt da wäre tolle Sicherheitstechnik verbaut, aber in Wahrheit ist es stümperhaft zusammengebastelt.

  17. Re: Kunden brauchen keine Details

    Autor: Clown 13.08.15 - 10:07

    Das Problem daran ist ja die Beweisbarkeit: VW hätte seinerseits selbst Experten einstellen müssen, um die Sicherheit verifizieren zu können. Stattdessen finde ich ebenfalls, dass man sich eher an den Hersteller des Systems wenden sollte, denn der hat das "zu unsichere" System wider besseren Wissens (weil sein täglich Brot) auf den Markt gebracht.

    Blizzard: "You guys don't have phones?" ~ Bethesda: "You guys don't have friends?" ~ EA: "You guys don't have wallets?"

  18. Re: Kunden brauchen keine Details

    Autor: holminger 13.08.15 - 10:09

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können.
    Den Ganoven ist damit schon geholfen.

    Aber wie schon der Forscher sagte. Bis auf den Kunden kennen alle die Schwachstellen, der Hersteller, die Ganoven und die Forscher. Nur der Kunde, oder besser Käufer des Autos, ist der Dumme.

  19. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 10:11

    Ich weiß nicht wo da der Skandal ist. Wenn man sich darüber moniert müsste man bei den klassischen Schlüsseln anfangen.. Mit einem Lockpicker oder einem Polenschlüssel bekomme ich auch jedes Schloss auf, die Hersteller von Schlössern wissen das, verbauen trotzdem weiter Std. Schließzylinder und werden auch nicht verklagt.

  20. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 10:13

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man
    > sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren,
    > erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie
    > ich zu dieser Aussage komme.
    > Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.
    Was willst du? Du hast eine blöde Idee gepostet und ich habe erklärt, warum das so ist. Jetzt ist deine Reaktion ein inhaltsleeres Herumgerede, sehr beeindruckend...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. über experteer GmbH, Köln, Düsseldorf, Hannover, Frankfurt, München
  2. Fresenius Medical Care Deutschland GmbH, Sankt Wendel
  3. Landesamt für Steuern Niedersachsen, Hannover
  4. BfS Bundesamt für Strahlenschutz, Oberschleißheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 51,95€
  2. (-80%) 6,99€
  3. (-40%) 29,99€
  4. 3,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


MINT: Werden Frauen überfördert?
MINT
Werden Frauen überfördert?

Es gibt hierzulande einige Förderprogramme, die mehr Frauen für MINT begeistern und in IT-Berufe bringen möchten. Werden Männer dadurch benachteiligt?
Von Valerie Lux

  1. Recruiting Wenn das eigene Wachstum zur Herausforderung wird
  2. Recruiting Alle Einstellungsprozesse sind fehlerhaft
  3. LoL Was ein E-Sport-Trainer können muss

Dick Pics: Penis oder kein Penis?
Dick Pics
Penis oder kein Penis?

Eine Studentin arbeitet an einer Software, die automatisch Bilder von Penissen aus Direktnachrichten filtert. Wer mithelfen will, kann ihr Testobjekte schicken.
Ein Bericht von Fabian A. Scherschel

  1. Medienbericht US-Regierung will soziale Netzwerke stärker überwachen
  2. Soziales Netzwerk Openbook heißt jetzt Okuna
  3. EU-Wahl Spitzenkandidat Manfred Weber für Klarnamenpflicht im Netz

Elektrautos auf der IAA: Die Gezeigtwagen-Messe
Elektrautos auf der IAA
Die Gezeigtwagen-Messe

IAA 2019 Viele klassische Hersteller fehlen bei der IAA oder zeigen Autos, die man längst gesehen hat. Bei den Elektroautos bekommen alltagstaugliche Modelle wie VW ID.3, Opel Corsa E und Honda E viel Aufmerksamkeit.
Ein Bericht von Dirk Kunde

  1. Elektromobilität Stromwirtschaft will keine Million öffentlicher Ladesäulen
  2. Umfrage Kunden fühlen sich vor Elektroautokauf schlecht beraten
  3. Batterieprobleme Auslieferung des e.Go verzögert sich

  1. Raumfahrt: Weltraum-Pionier Sigmund Jähn gestorben
    Raumfahrt
    Weltraum-Pionier Sigmund Jähn gestorben

    Der Kosmonaut Sigmund Jähn ist im Alter von 82 Jahren gestorben. Er war als DDR-Bürger der erste Deutsche im All.

  2. Beatbox: Das Pappmischpult zum Selberbauen
    Beatbox
    Das Pappmischpult zum Selberbauen

    Kickstarter ist auch eine Plattform für sonderbare Produkte. Die Beatbox ist beispielsweise ein programmierbares MIDI-Mischpult, das von Nutzern zusammengebaut wird. Das Chassis ist aus Pappe konstruiert. Die Buttons stammen von Arcade-Automaten.

  3. iPhone 11 Pro Max: Das neue iPhone hat 4 GByte RAM und wesentlich mehr Akku
    iPhone 11 Pro Max
    Das neue iPhone hat 4 GByte RAM und wesentlich mehr Akku

    Auch beim iPhone 11 Pro Max lässt sich iFixit eine komplette Demontage nicht entgehen: Das Gerät nutzt wohl tatsächlich 4 GByte RAM. Außerdem waren die Bastler vom wesentlich größeren Akku und gleich zwei Ladekabeln überrascht.


  1. 22:07

  2. 13:29

  3. 13:01

  4. 12:08

  5. 11:06

  6. 08:01

  7. 12:30

  8. 11:51