Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Elektromobilität: So leicht lassen…

Wenn man Sicherheit nicht versteht sollte man es einfach lassen

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 27.12.17 - 17:31

    Denn ein Verfahren darf ruhig unsicher sein, wenn das Risiko erwischt zu werden seht hoch ist.

    An jeder Tankstelle und an jedem Supermarkt und in jeder Tiefgarage sind Kameras. Sprich wenn eine Abrechnung nicht aufgeht, ( etwa weil der Betroffene dessen Abrechnungskarte man kopiert hat Veto einlegt) kann man anhand der Aufzeichnung schnell erkennen das a. der Betroffene es nicht war und b. wer stattdessen "getankt" hat.

    Und da es sich um Betrug handelt ist das Strafmaß (bis zu 5 Jahre) recht hoch.

    Kurzum das Entdeckungsrisiko ist sehr hoch, das Strafmaß ist ebenfalls sehr hoch, der erzielte Gewinn im Verhältnis zum Risiko extrem gering. Sprich wer das macht - ist bescheuert. Und ja das Kennzeichen kann man abkleben - das funktioniert aber nur ein oder zweimal. Danach warten die Freunde in Grün auf einem.

    Aus den genannten Gründen ist es also aus Risikobewertung vollkommen ausreichend eine billige Technik einzusetzen, da deren schwächen durch komplementäre Maßnahmen vollkommen kompensiert werden. Ein aufwendigerer Schutz kostet nur mehr Kohle ohne das sich an der Gefährdungslage etwas ändern würde (Schließlich gibt es noch andere Angriffsvektoren, wie das aufschrauben des Gehäuses, evtl. starke Neodymmagnete um Relais zu schalten und so weiter und so weiter).

    Mir gehen solche Kinderhacks damit man Aufmerksamkeit bekommt schon lange gehörig auf den Senkel. Denn nicht jeder Hack ist dann auch einer.

    Demnächst findet man auf einem Kongress vom CCC heraus das man ohne etwas hacken zu müssen, den Bauern die Kartoffeln vom Acker klauen kann. Aber hey Golem wird auch das posten - kommt ja von 3C.


    Gruß H.

  2. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: Myxin 27.12.17 - 18:20

    1+ Danke!

  3. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: AynRandHatteRecht 27.12.17 - 18:36

    Dem Stimme ich vollumfänglich zu. Ich habe noch ein paar weitere Bemerkungen:

    1. Ladesäulen im öffentlichen Raum sind nicht dazu geeignet in großem Stile Strom zu stehlen. Wenn ein Auto dort tagelang steht und "lädt", wird es auffallen und viele Stationen haben bereits ein Zeitlimit implementiert. Man kann nicht mit einem Tanklaster vorfahren und 2000l Diesel in ein paar Stunden klauen. Der Einzelschaden ist also gering und die Motivation daher auch.

    2. Der mögliche Schaden durch den RFID-Angriffsvektor betrifft primär die Ladesäulenbetreiber, die abgegebenen Strom dank "gefakter ID" nicht verrechnen können. Dass ein Betrüger während eines legitimen Ladevorganges die RFID-Karte cloned und damit dann aktiv einen anderen zahlenden Kunden schädigt, ist relativ unwahrscheinlich und sollte bald auffallen.

    3. Die gesamte EV-Branche inkl Ladesäulenbetreiber befindet sich in der Venture-Phase. Es geht darum, maximale Penetration durch Ladesäulen zu erreichen um dauerhaft Kunden an sich zu binden. Das direkte Verdienen an der Energieabgabe ist sekundär oder tlw. nicht einmal das Ziel, wie die Gratis-Lademöglichkeiten bei IKEA, Aldi Süd, Lidl und einigen anderen Filialisten beweisen. The New Motion wurde mit knapp 14mio ¤ Risikokapital ausgestattet um ein Netzwerk aufzubauen und wurde dann von Shell übernommen. Warum? Vermutlich weil Tankstellenbetreiber auch bei EV eine Rolle spielen wollen und sich Shell somit in den Markt einkaufen konnte. EVU wie EnBW und RWE sichern sich auch hier die Gebiete mit einem Netzausbau ab. Es geht schlicht und einfach darum, die Märkte zu entwickeln. Ob und wie dann später abgerechnet wird, ist offen. Vermutlich werden RFID-Karten dann nicht mehr zur Abrechnung verwendet sondern nur zum Verschluss des Sockets/Kabels (Damit Dritte während des Ladevorganges das Kabel nicht entwenden können) - alles weitere über eine Smartphone-App oder durch das Fahrzeug selbst (nicht über das CCS-Kabel aber zB über BT, Wifi oder per GPS+LTE). Tesla hat ein proprietäres System, andere RFID-basierte Netzbetreiber haben zumindest eine Information als App-Notification zur Missbrauchserkennung.

    4. Die technischen Unzulänglichkeiten bzgl RFID und USB-Firmware-Port sind valide und die Hersteller sollten sich dafür schämen. Die Hersteller sind hier schuldig, ihren Kunden eine hingefrickelte unzureichende und ggf. nicht upgradefähige Lösung verkauft zu haben. Aber: Wer nichts liefert, hat auch keine Kunden.

    5. KEBA, der österreichische Hersteller mit einfach zugänglichem USB-Flash-Port, stellt primär Wallboxen für die heimische Garagen, Mehrfamilienhaus-Gargen/Anwendungen her. Also dort wo meist eine vorgelagerte Zutrittsüberprüfung stattfindet. Das ändert zwar am grundlegenden technischen Problem und zielgenauen Attacken nichts, relativiert aber weiter die allgemeine Schadenswahrscheinlichkeit



    1 mal bearbeitet, zuletzt am 27.12.17 18:38 durch AynRandHatteRecht.

  4. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: pointX 27.12.17 - 18:46

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Und da es sich um Betrug handelt ist das Strafmaß (bis zu 5 Jahre) recht
    > hoch.
    Es wird sich eher um "Erschleichen von Leistungen" handeln, betrug kommt dabei m.M.n. nicht in Frage. Da ist das Strafmaß schon nicht mehr so hoch.

    > An jeder Tankstelle (...) sind Kameras.
    Das will ich direkt mal bezweifeln. Bei Privatparkplätzen evtl. machbar, aber spätestens bei Ladesäulen am Straßenrand geht das mit der Überwachung von öffentlichem Raum nicht so einfach.
    Abgesehen davon wird im Vortrag erwähnt, dass die Abrechnung erst 4 Wochen später erfolgt - ich glaube kaum, dass die Videoaufnahmen über mehrere Wochen lang speichern (dürfen).

    Aber mir ist es eigentlich auch egal, ob die Täter erwischt werden, und ob den Anbietern der Ladestation ein Schaden entsteht. Die wichtige Frage für mich ist: wie groß ist die Gefahr, das meine Daten ausgelesen & missbraucht werden. Und zu dieser Frage liefert der Vortrag einen guten Einblick, wie es um die Sicherheit der Systeme bestellt ist.

  5. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: My1 28.12.17 - 00:13

    Man sollte schauen wie teuer eine Absicherung wäre. Die rfid Karte mit nem crypto Prozessor auszustatten sollte nicht der tod sein und https für die Übertragung zu verwenden kostet dank freier CAs wie le schonmal gar nix. Das Erstellen und prüfen von signaturen der smartcards sollte dann auch kein Problem sein denn das passiert bei https auch ständig und bringt keinen um.

    Und auch wenn es entdeckt werden kann, wie bereits von anderen erwähnt kann es ne Weile dauern und es nervt erstmal den Kunden denn der muss sich wehren.

    Asperger inside(tm)

  6. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: Anonymer Nutzer 28.12.17 - 08:24

    Grundsätzlich stimme ich dir zwar zu, allerdings sollten Grundlegende Sicherheitsfeatures schon implementiert werden.

    Nicht jede Ladestation wird kameratechnisch überwacht und selbst ohne kriminelle Energie kann ja auch schonmal eine Datenübertragung per RFID falsche Daten verschicken.

    Eine einfache PIN-Abfrage würde ja schon reichen um die Warscheinlichkeit, dass der originale Besitzer davor steht, extrem zu erhöhen.

  7. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: nicoledos 28.12.17 - 10:05

    Genau diese Mentalität macht die schöne neue IoT-Welt zur Zeitbombe.

    Natürlich müssen die Maßnahmen angemessen sein, jedoch sollte schon der aktuelle technische Stand genutzt werden.

    Selbst Videoüberwachung hilft nichts. Man könnte die Karte auch einer anderen Person geliehen haben. Wie soll ein offline-System auch ein ungültige, gesperrte Karte erkennen. Wenn es überhaupt möglich ist ein gültige Karte auf deren Gültigkeit zu prüfen.

  8. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 28.12.17 - 11:00

    Aktuell kann man in jeder Stadt irgendwo kostenlos laden - warum sollte also jemand eine Ladestation Hacken? Und wenn das jemand macht - wer will 3h illegal laden ohne das er "kalte Füße" bekommt?

  9. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 28.12.17 - 11:10

    Das eine hat mit dem anderem nichts zu tun.

    IoT ich kann schnell unentdeckt viele Menschen hacken.
    =
    1. Geringes Risiko entdeckt zu werden
    2. Hohen Nutzen weil ich Millionen Geräte Zweckentfremden kann

    Ergebnis - geringer Aufwand, geringes Risiko mit hohem Nutzen


    Ladestation - ich muss Stunden investieren um ein paar Euro illegal zu laden.
    =
    1. Extrem hohes Risiko entdeckt zu werden (ich muss ja mind. 1h Laden)
    2. Geringer Nutzen - aktuell dank hunderter kostenloser Ladestationen sogar NULL Nutzen.

    Ergebnis - geringer Aufwand, extrem hohes Risiko bei so gut wie nicht vorhandenem Nutzen.

    Aktuell sollen Ladestationen am besten nichts Kosten, damit man den Markt aufbauen kann. Deshalb wird auch Strom oft kostenlos angeboten, oder maximal zum Selbstkostenpreis. Und daran wird sich auch so schnell nichts ändern, denn Besitzer von Stromern sind attraktive Kunden für Einkaufspassagen, Hotels und Läden. Und somit werden die auch noch in den nächsten 10 Jahren dort kostenlos Strom beziehen können.

    Glaubst Du ernsthaft das es irgendeinen Anbieter juckt wenn ein zwei Nasen dort umsonst laden?

    Nochmal langsam - was der CCC moniert ist das Bauern keine Zäune um Ihre Äcker bauen, da man ja potentiell Kartoffeln einfach klauen könnte.

    Gruß ddd

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bausch & Lomb GmbH, Heidelberg
  2. Dataport, verschiedene Standorte
  3. über duerenhoff GmbH, Raum Kiel, Weimar
  4. TGW Software Services GmbH, Regensburg,Teunz

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 36,99€
  3. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

Sicherheitslücken: Zombieload in Intel-Prozessoren
Sicherheitslücken
Zombieload in Intel-Prozessoren

Forscher haben weitere Seitenkanalangriffe auf Intel-Prozessoren entdeckt, die sie Microarchitectural Data Sampling alias Zombieload nennen. Der Hersteller wusste davon und reagiert mit CPU-Revisionen. Apple rät dazu, Hyperthreading abzuschalten - was 40 Prozent Performance kosten kann.
Ein Bericht von Marc Sauter und Sebastian Grüner

  1. Open-Source Technology Summit Intel will moderne Firmware und Rust-VMM für Server
  2. Ice Lake plus Xe-GPGPU Intel erläutert 10-nm- und 7-nm-Zukunft
  3. GPU-Architektur Intels Xe beschleunigt Raytracing in Hardware

  1. Werbenetzwerke: Erste DSGVO-Untersuchung gegen Google gestartet
    Werbenetzwerke
    Erste DSGVO-Untersuchung gegen Google gestartet

    Ein Jahr nach Inkrafttreten der DSGVO wird die irische Datenschutzbehörde gegen Google tätig. Dabei geht es um die Kategorisierung von Nutzern in Werbenetzwerken.

  2. Google Cloud: Media Markt/Saturn will Preise von Amazon voraussehen
    Google Cloud
    Media Markt/Saturn will Preise von Amazon voraussehen

    Das Predictive Pricing von Media Markt basiert auf einer eigenentwickelten Software, die Rechenleistung der Google Cloud nutzt. Preisanpassungen, auch online, erfolgen außerhalb der Ladenöffnungszeiten der Märkte.

  3. US-Boykott: Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an
    US-Boykott
    Deutsche Netzbetreiber bieten weiter Huawei-Smartphones an

    Während im Ausland Vorbestellungen schon ausgesetzt sind, bieten alle drei Mobilfunkbetreiber weiterhin Huawei-Smartphones an. Dabei stehen alle mit Google und Huawei in Kontakt.


  1. 16:27

  2. 15:30

  3. 13:21

  4. 13:02

  5. 12:45

  6. 12:26

  7. 12:00

  8. 11:39