Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Elektromobilität: So leicht lassen…

Wenn man Sicherheit nicht versteht sollte man es einfach lassen

  1. Thema

Neues Thema Ansicht wechseln


  1. Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 27.12.17 - 17:31

    Denn ein Verfahren darf ruhig unsicher sein, wenn das Risiko erwischt zu werden seht hoch ist.

    An jeder Tankstelle und an jedem Supermarkt und in jeder Tiefgarage sind Kameras. Sprich wenn eine Abrechnung nicht aufgeht, ( etwa weil der Betroffene dessen Abrechnungskarte man kopiert hat Veto einlegt) kann man anhand der Aufzeichnung schnell erkennen das a. der Betroffene es nicht war und b. wer stattdessen "getankt" hat.

    Und da es sich um Betrug handelt ist das Strafmaß (bis zu 5 Jahre) recht hoch.

    Kurzum das Entdeckungsrisiko ist sehr hoch, das Strafmaß ist ebenfalls sehr hoch, der erzielte Gewinn im Verhältnis zum Risiko extrem gering. Sprich wer das macht - ist bescheuert. Und ja das Kennzeichen kann man abkleben - das funktioniert aber nur ein oder zweimal. Danach warten die Freunde in Grün auf einem.

    Aus den genannten Gründen ist es also aus Risikobewertung vollkommen ausreichend eine billige Technik einzusetzen, da deren schwächen durch komplementäre Maßnahmen vollkommen kompensiert werden. Ein aufwendigerer Schutz kostet nur mehr Kohle ohne das sich an der Gefährdungslage etwas ändern würde (Schließlich gibt es noch andere Angriffsvektoren, wie das aufschrauben des Gehäuses, evtl. starke Neodymmagnete um Relais zu schalten und so weiter und so weiter).

    Mir gehen solche Kinderhacks damit man Aufmerksamkeit bekommt schon lange gehörig auf den Senkel. Denn nicht jeder Hack ist dann auch einer.

    Demnächst findet man auf einem Kongress vom CCC heraus das man ohne etwas hacken zu müssen, den Bauern die Kartoffeln vom Acker klauen kann. Aber hey Golem wird auch das posten - kommt ja von 3C.


    Gruß H.

  2. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: Myxin 27.12.17 - 18:20

    1+ Danke!

  3. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: AynRandHatteRecht 27.12.17 - 18:36

    Dem Stimme ich vollumfänglich zu. Ich habe noch ein paar weitere Bemerkungen:

    1. Ladesäulen im öffentlichen Raum sind nicht dazu geeignet in großem Stile Strom zu stehlen. Wenn ein Auto dort tagelang steht und "lädt", wird es auffallen und viele Stationen haben bereits ein Zeitlimit implementiert. Man kann nicht mit einem Tanklaster vorfahren und 2000l Diesel in ein paar Stunden klauen. Der Einzelschaden ist also gering und die Motivation daher auch.

    2. Der mögliche Schaden durch den RFID-Angriffsvektor betrifft primär die Ladesäulenbetreiber, die abgegebenen Strom dank "gefakter ID" nicht verrechnen können. Dass ein Betrüger während eines legitimen Ladevorganges die RFID-Karte cloned und damit dann aktiv einen anderen zahlenden Kunden schädigt, ist relativ unwahrscheinlich und sollte bald auffallen.

    3. Die gesamte EV-Branche inkl Ladesäulenbetreiber befindet sich in der Venture-Phase. Es geht darum, maximale Penetration durch Ladesäulen zu erreichen um dauerhaft Kunden an sich zu binden. Das direkte Verdienen an der Energieabgabe ist sekundär oder tlw. nicht einmal das Ziel, wie die Gratis-Lademöglichkeiten bei IKEA, Aldi Süd, Lidl und einigen anderen Filialisten beweisen. The New Motion wurde mit knapp 14mio ¤ Risikokapital ausgestattet um ein Netzwerk aufzubauen und wurde dann von Shell übernommen. Warum? Vermutlich weil Tankstellenbetreiber auch bei EV eine Rolle spielen wollen und sich Shell somit in den Markt einkaufen konnte. EVU wie EnBW und RWE sichern sich auch hier die Gebiete mit einem Netzausbau ab. Es geht schlicht und einfach darum, die Märkte zu entwickeln. Ob und wie dann später abgerechnet wird, ist offen. Vermutlich werden RFID-Karten dann nicht mehr zur Abrechnung verwendet sondern nur zum Verschluss des Sockets/Kabels (Damit Dritte während des Ladevorganges das Kabel nicht entwenden können) - alles weitere über eine Smartphone-App oder durch das Fahrzeug selbst (nicht über das CCS-Kabel aber zB über BT, Wifi oder per GPS+LTE). Tesla hat ein proprietäres System, andere RFID-basierte Netzbetreiber haben zumindest eine Information als App-Notification zur Missbrauchserkennung.

    4. Die technischen Unzulänglichkeiten bzgl RFID und USB-Firmware-Port sind valide und die Hersteller sollten sich dafür schämen. Die Hersteller sind hier schuldig, ihren Kunden eine hingefrickelte unzureichende und ggf. nicht upgradefähige Lösung verkauft zu haben. Aber: Wer nichts liefert, hat auch keine Kunden.

    5. KEBA, der österreichische Hersteller mit einfach zugänglichem USB-Flash-Port, stellt primär Wallboxen für die heimische Garagen, Mehrfamilienhaus-Gargen/Anwendungen her. Also dort wo meist eine vorgelagerte Zutrittsüberprüfung stattfindet. Das ändert zwar am grundlegenden technischen Problem und zielgenauen Attacken nichts, relativiert aber weiter die allgemeine Schadenswahrscheinlichkeit



    1 mal bearbeitet, zuletzt am 27.12.17 18:38 durch AynRandHatteRecht.

  4. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: pointX 27.12.17 - 18:46

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Und da es sich um Betrug handelt ist das Strafmaß (bis zu 5 Jahre) recht
    > hoch.
    Es wird sich eher um "Erschleichen von Leistungen" handeln, betrug kommt dabei m.M.n. nicht in Frage. Da ist das Strafmaß schon nicht mehr so hoch.

    > An jeder Tankstelle (...) sind Kameras.
    Das will ich direkt mal bezweifeln. Bei Privatparkplätzen evtl. machbar, aber spätestens bei Ladesäulen am Straßenrand geht das mit der Überwachung von öffentlichem Raum nicht so einfach.
    Abgesehen davon wird im Vortrag erwähnt, dass die Abrechnung erst 4 Wochen später erfolgt - ich glaube kaum, dass die Videoaufnahmen über mehrere Wochen lang speichern (dürfen).

    Aber mir ist es eigentlich auch egal, ob die Täter erwischt werden, und ob den Anbietern der Ladestation ein Schaden entsteht. Die wichtige Frage für mich ist: wie groß ist die Gefahr, das meine Daten ausgelesen & missbraucht werden. Und zu dieser Frage liefert der Vortrag einen guten Einblick, wie es um die Sicherheit der Systeme bestellt ist.

  5. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: My1 28.12.17 - 00:13

    Man sollte schauen wie teuer eine Absicherung wäre. Die rfid Karte mit nem crypto Prozessor auszustatten sollte nicht der tod sein und https für die Übertragung zu verwenden kostet dank freier CAs wie le schonmal gar nix. Das Erstellen und prüfen von signaturen der smartcards sollte dann auch kein Problem sein denn das passiert bei https auch ständig und bringt keinen um.

    Und auch wenn es entdeckt werden kann, wie bereits von anderen erwähnt kann es ne Weile dauern und es nervt erstmal den Kunden denn der muss sich wehren.

    Asperger inside(tm)

  6. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: Anonymer Nutzer 28.12.17 - 08:24

    Grundsätzlich stimme ich dir zwar zu, allerdings sollten Grundlegende Sicherheitsfeatures schon implementiert werden.

    Nicht jede Ladestation wird kameratechnisch überwacht und selbst ohne kriminelle Energie kann ja auch schonmal eine Datenübertragung per RFID falsche Daten verschicken.

    Eine einfache PIN-Abfrage würde ja schon reichen um die Warscheinlichkeit, dass der originale Besitzer davor steht, extrem zu erhöhen.

  7. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: nicoledos 28.12.17 - 10:05

    Genau diese Mentalität macht die schöne neue IoT-Welt zur Zeitbombe.

    Natürlich müssen die Maßnahmen angemessen sein, jedoch sollte schon der aktuelle technische Stand genutzt werden.

    Selbst Videoüberwachung hilft nichts. Man könnte die Karte auch einer anderen Person geliehen haben. Wie soll ein offline-System auch ein ungültige, gesperrte Karte erkennen. Wenn es überhaupt möglich ist ein gültige Karte auf deren Gültigkeit zu prüfen.

  8. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 28.12.17 - 11:00

    Aktuell kann man in jeder Stadt irgendwo kostenlos laden - warum sollte also jemand eine Ladestation Hacken? Und wenn das jemand macht - wer will 3h illegal laden ohne das er "kalte Füße" bekommt?

  9. Re: Wenn man Sicherheit nicht versteht sollte man es einfach lassen

    Autor: derdiedas 28.12.17 - 11:10

    Das eine hat mit dem anderem nichts zu tun.

    IoT ich kann schnell unentdeckt viele Menschen hacken.
    =
    1. Geringes Risiko entdeckt zu werden
    2. Hohen Nutzen weil ich Millionen Geräte Zweckentfremden kann

    Ergebnis - geringer Aufwand, geringes Risiko mit hohem Nutzen


    Ladestation - ich muss Stunden investieren um ein paar Euro illegal zu laden.
    =
    1. Extrem hohes Risiko entdeckt zu werden (ich muss ja mind. 1h Laden)
    2. Geringer Nutzen - aktuell dank hunderter kostenloser Ladestationen sogar NULL Nutzen.

    Ergebnis - geringer Aufwand, extrem hohes Risiko bei so gut wie nicht vorhandenem Nutzen.

    Aktuell sollen Ladestationen am besten nichts Kosten, damit man den Markt aufbauen kann. Deshalb wird auch Strom oft kostenlos angeboten, oder maximal zum Selbstkostenpreis. Und daran wird sich auch so schnell nichts ändern, denn Besitzer von Stromern sind attraktive Kunden für Einkaufspassagen, Hotels und Läden. Und somit werden die auch noch in den nächsten 10 Jahren dort kostenlos Strom beziehen können.

    Glaubst Du ernsthaft das es irgendeinen Anbieter juckt wenn ein zwei Nasen dort umsonst laden?

    Nochmal langsam - was der CCC moniert ist das Bauern keine Zäune um Ihre Äcker bauen, da man ja potentiell Kartoffeln einfach klauen könnte.

    Gruß ddd

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Behörde für Inneres und Sport, Landesamt für Verfassungsschutz, Hamburg
  2. Vorwerk Services GmbH, Wuppertal
  3. Deloitte, verschiedene Standorte
  4. Kassenärztliche Bundesvereinigung (KBV), Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 39,99€ (Release am 3. Dezember)
  2. (-55%) 44,99€
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Gemini Man: Überflüssiges Klonexperiment
Gemini Man
Überflüssiges Klonexperiment

Am 3. Oktober kommt mit Gemini Man ein ambitioniertes Projekt in die deutschen Kinos: Mit HFR-Projektion in 60 Bildern pro Sekunde und Will Smith, der gegen sein digital verjüngtes Ebenbild kämpft, betreibt der Actionfilm technisch viel Aufwand. Das Seherlebnis ist jedoch bestenfalls komisch.
Von Daniel Pook

  1. Filmkritik Apollo 11 Echte Mondlandung als packende Kinozeitreise

  1. NTT Docomo: Erstes 5G-Netz benötigt mehr Millimeterwellen-Spektrum
    NTT Docomo
    Erstes 5G-Netz benötigt mehr Millimeterwellen-Spektrum

    NTT Docomo hat mit öffentlichen Testläufen zu 5G in Japan schon einige Erfahrungen gesammelt. Der Netzbetreiber zieht erste Schlussfolgerungen für den Ausbau.

  2. DSGVO: Ist Datenwucher okay?
    DSGVO
    Ist Datenwucher okay?

    Auch nach über einem Jahr DSGVO sammeln Facebook und Google munter weiter Daten, ebenso Nachrichtenportale und viele Blogseiten. Die Datenschutz-Aufsichtsbehörden sehen sich im Moment nicht imstande, dem einen Riegel vorzuschieben.

  3. Samsung: Fingerabdrucksensor des Galaxy S10 durch Folie überlistet
    Samsung
    Fingerabdrucksensor des Galaxy S10 durch Folie überlistet

    Der neue Fingerabdrucksensor des Galaxy S10 lässt sich offenbar umgehen, wenn ein Displayschutz von einem Dritthersteller genutzt wird. Der Hersteller arbeitet an einem Update.


  1. 14:37

  2. 14:07

  3. 13:24

  4. 13:04

  5. 12:00

  6. 11:58

  7. 11:47

  8. 11:15