Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Autoschlüssel: Volkswagen-Hack nach…

Kunden brauchen keine Details

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 07:51

    Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine Autos geklaut werden. Soweit in Ordnung und löblich.
    Das Problem ist nur, dass der Kunde keine expliziten Details braucht. Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.

    In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen müssen.

    Die Details an sich gehen primär die Forscher, den Hersteller der fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut haben, damit eine Lösung erarbeitet werden kann. Details kann man veröffentlichen, wenn das Problem gelöst wurde.

    Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und eine Veröffentlichung ohne Details sind wenig wert, da nicht verifizierbar.
    Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden anrichten könnte.
    Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil.

    Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld stehen, billigen Schrott verbaut zu haben.
    Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht bei der Sicherheit der Sicherheitskomponente sparen.
    Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

  2. Re: Kunden brauchen keine Details

    Autor: sotix 13.08.15 - 08:24

    +1

    Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die mit den alten Autos, bei denen es keine Änderung geben wird :/



    1 mal bearbeitet, zuletzt am 13.08.15 08:26 durch sotix.

  3. Re: Kunden brauchen keine Details

    Autor: zu Gast 13.08.15 - 08:31

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Nur bringen tut es rein gar nichts, da Fahrzeugdiebe ihre Elektronik einfach mitbringen.
    Ob sie jetzt den Funkverkehr erst mitschneiden, auswerten und einen entsprechenden Transponder codieren oder sich direkt anhängen, ist völlig unerheblich.
    Der hier gezeigte Weg, dauert je nach Model vergleichsweise lange - schneller geht es in dem sie sich direkt ins Bordnetz einklinken.

  4. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 08:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen und es völlig den Autodieben überlassen, die - nur mal so nebenbei - sowieso schon über höhere finanzielle und personelle Mittel verfügen als ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität verschwunden. Tolle Idee...

  5. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 09:00

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.
    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.
    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Du scheinst dich auszukennen. Wie viel billiger war denn dieser Chip als der der Konkurrenz und wer ist die Konkurrenz? Sind die anderen Komponenten sicherer?

  6. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:00

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Sharra schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen.
    > Und
    > > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > > verifizierbar.
    > > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich
    > ein
    > > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > > anrichten könnte.
    > Das bedeutet im Klartext real, man soll nicht auf diesem Gebiet forschen
    > und es völlig den Autodieben überlassen, die - nur mal so nebenbei -
    > sowieso schon über höhere finanzielle und personelle Mittel verfügen als
    > ein echter Forscher. Folgt man deinem Ansatz, dann ist dieser winzige
    > legale Markt ganz schnell in der Dunkelheit der organisierten Kriminalität
    > verschwunden. Tolle Idee...


    Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren, erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie ich zu dieser Aussage komme.
    Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.

  7. Re: Kunden brauchen keine Details

    Autor: muhzilla 13.08.15 - 09:08

    Du schiebst die Schuld von VW auf die Forscher. Das ist nicht in Ordnung. Diese haben sich sogar absolut vorbildlich verhalten und VW 9 Monate(!) vorher darüber informiert. Das paper ist auf der Usenix, also DER Flagship conference, angenommmen. Warum? Weil es eben Details liefert, weil es eben genau erklärt, was das Problem ist und wie es sich ausnutzen lässt. Auch wenn Endkunden nichts damit anfangen können, erstens kann man keine Behauptungen aufstellen ohne den detaillierten Beweis zu liefern, zweitens können so zukünftig theoretisch zumindest diese Probleme vermieden werden.

  8. Re: Kunden brauchen keine Details

    Autor: Xstream 13.08.15 - 09:24

    Wenn du keine Details veröffentlichst glaubt dir niemand und es interessiert niemanden

  9. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:32

    Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten benutzen das selbe Verfahren und ähnliche Keys!

  10. Re: Kunden brauchen keine Details

    Autor: M.P. 13.08.15 - 09:36

    Dagegen hilft eine Live Vorführung der Wissenschaftler in eine Beitrag z. B. im Fernsehmagazin "Monitor" o. Ä.

    Am Besten an einem zufällig ausgewählten Dienst-Volkswagen vom Parkplatz des Senders...

  11. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:48

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Den Forschern gehe es um die Sicherheit für die Kunden, dass denen keine
    > Autos geklaut werden. Soweit in Ordnung und löblich.
    > Das Problem ist nur, dass der Kunde keine expliziten Details braucht.
    > Angriffsvektoren, technische Mängel etc, sind allesamt uninteressant für
    > den 0815-Autobesitzer. Allenfalls Techfreaks und artverwandte können
    > überhaupt nachvollziehen, was die Forscher überhaupt gemacht haben.
    >
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können. Weiter noch, dass die Hersteller nicht in
    > der Lage sind, das Problem mal eben mit einem Softwarefix zu beheben. Mehr
    > braucht der Kunde nicht, um dem Hersteller die Bude einzurennen.

    Die Hersteller werden dann diese Leute wieder hinauswerfen (lassen) - denn es ist schlicht nicht für den eigentlichen Zweck eines Fahrzeugs relevant und nur das wird garantiert.

    >
    > Gleichzeitig verhindert man mit dieser Aussage, dass Verbrecher die Details
    > sofort erfahren, und sich die Grundlagenforschung sparen, und sofort eine
    > Einbruchslösung entwickeln können, da sie ja schon wissen, wo sie ansetzen
    > müssen.
    >
    > Die Details an sich gehen primär die Forscher, den Hersteller der
    > fehlerhaften Komponente, und die Firmen etwas an, die das Ding verbaut
    > haben, damit eine Lösung erarbeitet werden kann. Details kann man
    > veröffentlichen, wenn das Problem gelöst wurde.

    Das einzige, dass nun getan werden könnte, ist ein Komplettaustausch des Systems! Also müssen die kompletten Startsysteme der Autos (also oft auch das komplette Bordcomputer-System mit einigen Subsystemen!) und alle Schlüssel ausgetauscht werden. Blos wer soll das alles machen? Bei vielen Fahrzeugen müsste der gesamte Wagen in Einzelteile zerlegt werden. Und niemand kann sagen, was für Teile als Ersatz benutzt werden sollen, denn alle anderen am Markt vorhandenen Chips arbeiten ähnlich!

    >
    > Mir ist durchaus klar, dass Forscher von Veröffentlichungen abhängen. Und
    > eine Veröffentlichung ohne Details sind wenig wert, da nicht
    > verifizierbar.
    > Aber entweder, man veröffentlicht dann eben später, oder man sucht sich ein
    > Gebiet, auf dem eine Veröffentlichung nicht gleich Millionenschäden
    > anrichten könnte.
    > Ansonsten kann man sich zwar mit dem Argument der Sicherheitserhöhung schön
    > profilieren, erreicht aber leider exakt das Gegenteil.
    >
    > Ich kann VW und Co da durchaus verstehen. Hätten die Forscher die Details
    > direkt veröffentlicht, wären wohl sehr viele Fahrzeuge geklaut worden.

    An sich ist das Ganze vollkommen egal - die meisten VWs werden von Dieben gestohlen die die Master-Schlüssel der Werkstätten nutzen! Und da ist es so was von egal, welches Verfahren der Schlüssel implementiert hat!

    >
    > Es ändert natürlich nichts daran, dass die KFZ-Hersteller in der Schuld
    > stehen, billigen Schrott verbaut zu haben.

    Billig ist das Teil leider nicht - eher teuer! Und eigentlich ist VW usw. nicht schuld und in die Pflicht zu nehmen, sondern der Hersteller der Chips!

    > Wenn etwas der Sicherheit dienen soll, dann sollte man ums verrecken nicht
    > bei der Sicherheit der Sicherheitskomponente sparen.

    Es dient aber nicht der für ein Auto wichtigen Sicherheit! Es ist blos ein Zutrittsmerkmal, ein System um Zugang zum Fahrzeug zu erhalten und an sich vollkommen irrelevant.

    > Man kann ein noch so sicheres Schließsystem verbauen, wenn man dann den
    > Code fürs Tastenfeld in die Tür ritzt, bringt das nichts.

    Es geht aber nicht um ein Schließsystem, es geht um die Blockiervorrichtung für das Starten mit dem Schlüssel! Also dem System, das verhindern soll, dass der Einbrecher zum Dieb des Fahrzeugs wird! Und dabei wird schlicht vergessen, dass das Ganze reine Augenauswischerei ist - die Fahrzeuge lassen sich auch ohne Schlüssel (egal ob mit oder ohne Chip) starten!

  12. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 09:49

    bofhl schrieb:
    --------------------------------------------------------------------------------
    > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen Konkurrenten
    > benutzen das selbe Verfahren und ähnliche Keys!

    Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu verbauen.

  13. Re: Kunden brauchen keine Details

    Autor: bofhl 13.08.15 - 09:58

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > bofhl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Blöd nur, dass es eigentlich nichts anderes gibt! Die wenigen
    > Konkurrenten
    > > benutzen das selbe Verfahren und ähnliche Keys!
    >
    > Sorry, aber das ist eine billige Ausrede. Wenn es nichts ordentliches auf
    > dem Markt gibt, dann beauftragt man jemanden damit etwas ordentliches zu
    > entwickeln, oder macht es selbst. Das ist keine Entschuldigung Schrott zu
    > verbauen.

    Blos wem - die die derzeit diese Chips anbieten sind im Prinzip die Verursacher der Probleme!?!? Und an sich sind die Teile kein Schrott, sondern blos vom Rest der Technik überholt.

    Würde nun Chips&Techniken benutzt, die den derzeit höchsten/höheren Crypto-Standards entsprächen, gäbe es andere Probleme (Einfuhrverbote in bestimmte Länder, Verkaufsbeschränkungen bei Behörden, Werkstätten hätten Probleme an Masterkeys zu kommen, etc.)
    Und ganz abgesehen von den dadurch höheren Preisen für die Kunden (und den durch die Cryptoregelungen entstehenden Probleme für diese Kunden - Verkaufsverbot, Meldepflichten in einige Staaten,...)

  14. Re: Kunden brauchen keine Details

    Autor: Space3001 13.08.15 - 10:02

    ganz blöd grad..
    da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu sagen..

    zum einen ich kenne die Branche aus erster Hand..
    zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    die lassen entwickeln, bei einem der etablierten Hersteller.. z.b. Marquardt, Denso, Continental..
    und sie kaufen natürlich das billigste Produkt ein...

    aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher geht leider nicht...
    aber kein Autohersteller will diese Systeme bezahlen...

  15. Re: Kunden brauchen keine Details

    Autor: Flasher 13.08.15 - 10:03

    sotix schrieb:
    --------------------------------------------------------------------------------
    > +1
    >
    > Dennoch zwingt das die Hersteller nun zum Handeln. Das Problem haben die
    > mit den alten Autos, bei denen es keine Änderung geben wird :/

    Welches Problem: man hat wahrscheinlich nun die Zeit ausgesessen und sie sind nicht mehr dazu verpflichtet sowas zu machen. Garantie ist auch schon abgelaufen

  16. Re: Kunden brauchen keine Details

    Autor: Sharra 13.08.15 - 10:04

    Space3001 schrieb:
    --------------------------------------------------------------------------------
    > ganz blöd grad..
    > da muss man sich ordentlich auf die Zunge beissen, um grad nicht zu viel zu
    > sagen..
    >
    > zum einen ich kenne die Branche aus erster Hand..
    > zum anderen.. VW entwickelt in der Hinsicht gar nichts..
    > die lassen entwickeln, bei einem der etablierten Hersteller.. z.b.
    > Marquardt, Denso, Continental..
    > und sie kaufen natürlich das billigste Produkt ein...
    >
    > aber Ja, es gibt systeme die nahe zu 100% sicher sind... absolut sicher
    > geht leider nicht...
    > aber kein Autohersteller will diese Systeme bezahlen...

    Richtig. Absolute Sicherheit ist eine nicht erreichbare Utopie.
    Aber vorsätzlich unsichere Systeme einzubauen, weil sie billiger sind, ist meiner Meinung nach eine strafbare Handlung. Dem Kunden wird vorgegaukelt da wäre tolle Sicherheitstechnik verbaut, aber in Wahrheit ist es stümperhaft zusammengebastelt.

  17. Re: Kunden brauchen keine Details

    Autor: Clown 13.08.15 - 10:07

    Das Problem daran ist ja die Beweisbarkeit: VW hätte seinerseits selbst Experten einstellen müssen, um die Sicherheit verifizieren zu können. Stattdessen finde ich ebenfalls, dass man sich eher an den Hersteller des Systems wenden sollte, denn der hat das "zu unsichere" System wider besseren Wissens (weil sein täglich Brot) auf den Markt gebracht.

    Blizzard: "You guys don't have phones?" ~ Bethesda: "You guys don't have friends?" ~ EA: "You guys don't have wallets?"

  18. Re: Kunden brauchen keine Details

    Autor: holminger 13.08.15 - 10:09

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > In so einem Fall reicht es völlig, wenn sie veröffentliche, DASS ein
    > Problem besteht, dass es sich recht einfach ausnutzen lässt, und welche
    > Modelle betroffen sein können.
    Den Ganoven ist damit schon geholfen.

    Aber wie schon der Forscher sagte. Bis auf den Kunden kennen alle die Schwachstellen, der Hersteller, die Ganoven und die Forscher. Nur der Kunde, oder besser Käufer des Autos, ist der Dumme.

  19. Re: Kunden brauchen keine Details

    Autor: Argbeil 13.08.15 - 10:11

    Ich weiß nicht wo da der Skandal ist. Wenn man sich darüber moniert müsste man bei den klassischen Schlüsseln anfangen.. Mit einem Lockpicker oder einem Polenschlüssel bekomme ich auch jedes Schloss auf, die Hersteller von Schlössern wissen das, verbauen trotzdem weiter Std. Schließzylinder und werden auch nicht verklagt.

  20. Re: Kunden brauchen keine Details

    Autor: Bouncy 13.08.15 - 10:13

    Sharra schrieb:
    --------------------------------------------------------------------------------
    > Eine "Tolle Idee" war es von DIR, meinen letzten Satz "Ansonsten kann man
    > sich zwar mit dem Argument der Sicherheitserhöhung schön profilieren,
    > erreicht aber leider exakt das Gegenteil. " wegzulassen, der erklärt, wie
    > ich zu dieser Aussage komme.
    > Sorry, aber ich lasse mir nicht das Wort im Mund rumdrehen.
    Was willst du? Du hast eine blöde Idee gepostet und ich habe erklärt, warum das so ist. Jetzt ist deine Reaktion ein inhaltsleeres Herumgerede, sehr beeindruckend...

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Haufe Group, Bielefeld
  2. ABSOLUTWEB GmbH, Köln
  3. DEKRA Digital GmbH, Stuttgart
  4. Goodwheel GmbH, Soest

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ für PC/69,99€ für PS4, Xbox (Release am 4. Oktober)
  2. (-76%) 8,99€
  3. (PC-Spiele bis zu 85% reduziert)
  4. 2,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

  1. Apple: Macbook Pro 15 hat acht Kerne und verbesserte Tastatur
    Apple
    Macbook Pro 15 hat acht Kerne und verbesserte Tastatur

    Das Macbook Pro 15 gibt es nun auch mit Octacore-Prozessoren, Apple spricht von bis zu 40 Prozent mehr Leistung. Obendrein soll das Material der Tastatur verändert worden sein und die Garantie wurde erweitert.

  2. Kreis Kleve: Deutsche Glasfaser versorgt weitere 13.000 Haushalte
    Kreis Kleve
    Deutsche Glasfaser versorgt weitere 13.000 Haushalte

    Im nordrhein-westfälischen Kreis Kleve hat Deutsche Glasfaser schon 40.000 Glasfaseranschlüsse verlegt. Jetzt kommen 13.000 geförderte Anschlüsse hinzu.

  3. Codemasters: Grid bietet Wettrennen mit Endgegner Alonso
    Codemasters
    Grid bietet Wettrennen mit Endgegner Alonso

    Die eigentlich fällige "3" lässt Codemasters hinter seinem Rennspiel Grid weg, dafür verspricht das Entwicklerstudio Massen an Sportautos in mehreren Klassen, vielfältige Wettbewerbe - und als Krönung ein Duell mit Fernando Alonso.


  1. 21:33

  2. 18:48

  3. 17:42

  4. 17:28

  5. 17:08

  6. 16:36

  7. 16:34

  8. 16:03