1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Autoeinbruch: BMW Connecteddrive…

Steuerbefehle über HTTP

  1. Thema

Neues Thema Ansicht wechseln


  1. Steuerbefehle über HTTP

    Autor: tingelchen 30.01.15 - 14:06

    Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt auch nicht wirklich besser ist, hab ich irgendwie Bauchschmerzen, wenn der Hersteller Steuerbefehle an das Fahrzeug senden kann.

    Alleine das die Zentrale den Wagen aufschließen kann, ist rechtlich doch schon ein Problem? Dank GPS Daten wissen die Hersteller immer wo sich das Fahrzeug gerade aufhält und können so mit einem einfachen Befehl den Wagen aufschließen. Das lädt doch gerade dazu ein, als Mitarbeiter von BMW, da ein paar Fahrzeuge zu krallen.

    Es geht zudem ja noch mehr als nur auf- / abschließen. Die Motorsteuerung sowie Bremsanlage sind schon seit Jahren rein elektrisch. Die Lenkung folgt auf dem fuße. Kann man die auch Fernsteuern? Da Blinker am Bus hängen, sowie auch die Assistenten, Bremse und Motor, muss diese Box ebenfalls am Bus hängen. Damit sind sie technisch mit allen Boardsystemen verbunden.

    Gruselige Vorstellung

  2. Re: Steuerbefehle über HTTP

    Autor: katzenpisse 30.01.15 - 14:50

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt auch
    > nicht wirklich besser ist

    Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende Verschlüsselungsmethoden.

  3. Re: Steuerbefehle über HTTP

    Autor: Nullmodem 30.01.15 - 15:09

    katzenpisse schrieb:
    --------------------------------------------------------------------------------
    > tingelchen schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt
    > auch
    > > nicht wirklich besser ist
    >
    > Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur
    > seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende
    > Verschlüsselungsmethoden.

    Wenn man wirklich diesen ganzen Aufwand getrieben hätte, dann hätte man das sicher nicht mit https gemacht, sondern das gleich solide aufgesetzt (IPSec vielleicht oder ein richtiges SSH oder ein VPN).
    Wenn hier von https die Rede ist, dann kann man wohl leicht davon ausgehen, das da ein Apache mit ssl Modul drauf ist, halt das was den wenigsten Aufwand macht. Und wenig Aufwand bedeutet normalerweise Standardkonfiguration. Bestimmt die OpenSSL mit dem Heartbleed Bug :)

    NB:
    - Man in the Middle Attacke? (i.S.v. Zertifikat durchreichen und schlechten Streamcipher aushandeln)
    - "vertauensvolle CA"? Wer hat denn den Schlüssel herausgegeben und wie will man das kontrollieren? Die Box aufschrauben und den EPROM anglotzen? *)


    nm

    *) i.S.v. kommt der BND zum BMW und sagt: "Schauen Sie bitte mal im XKeyscore nach, welches Auto zum Golembenutzer "katzenpisse" gehört und spielen Sie da mal eben eine Firmware ein die folgendes kann ...


    nm

  4. Re: Steuerbefehle über HTTP

    Autor: RaZZE 30.01.15 - 20:09

    Nullmodem schrieb:
    --------------------------------------------------------------------------------
    > katzenpisse schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > tingelchen schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Mal abgesehen das man schon kräftig auf den Kopf gefallen sein muss um
    > > > heute noch sensible Daten über HTTP zu verschicken, wobei HTTPS jetzt
    > > auch
    > > > nicht wirklich besser ist
    > >
    > > Warum sollte HTTPS nicht wirklich sicherer sein? Man vertraut eben nur
    > > seiner eigenen CA und erlaubt nur bestimmte, als sicher geltende
    > > Verschlüsselungsmethoden.
    >
    > Wenn man wirklich diesen ganzen Aufwand getrieben hätte, dann hätte man das
    > sicher nicht mit https gemacht, sondern das gleich solide aufgesetzt (IPSec
    > vielleicht oder ein richtiges SSH oder ein VPN).
    > Wenn hier von https die Rede ist, dann kann man wohl leicht davon ausgehen,
    > das da ein Apache mit ssl Modul drauf ist, halt das was den wenigsten
    > Aufwand macht. Und wenig Aufwand bedeutet normalerweise
    > Standardkonfiguration. Bestimmt die OpenSSL mit dem Heartbleed Bug :)
    >
    > NB:
    > - Man in the Middle Attacke? (i.S.v. Zertifikat durchreichen und schlechten
    > Streamcipher aushandeln)
    > - "vertauensvolle CA"? Wer hat denn den Schlüssel herausgegeben und wie
    > will man das kontrollieren? Die Box aufschrauben und den EPROM anglotzen?
    > *)
    >
    > nm
    >
    > *) i.S.v. kommt der BND zum BMW und sagt: "Schauen Sie bitte mal im
    > XKeyscore nach, welches Auto zum Golembenutzer "katzenpisse" gehört und
    > spielen Sie da mal eben eine Firmware ein die folgendes kann ...
    >
    >

    Apache auf einem kleinen soc?
    Da gibs weitaus klügere Lösungen .
    Mal ganz davon abgesehen das bei dieser Lösung Quellcode offenlegen pflicht wäre

  5. Re: Steuerbefehle über HTTP

    Autor: burzum 31.01.15 - 04:01

    RaZZE schrieb:
    --------------------------------------------------------------------------------
    > Apache auf einem kleinen soc?
    > Da gibs weitaus klügere Lösungen .
    > Mal ganz davon abgesehen das bei dieser Lösung Quellcode offenlegen pflicht
    > wäre

    Hätte, wäre, wenn...

    Wenn der Apache selbst nicht modifiziert wurde dürfte das egal sein und selbst wenn sie denn den Code liefern müßten, wäre es auch egal da sie nichts geändert haben an dem Server selbst. Und ich bezweifel das sie den Rest der Software mit in den Apache gesteckt haben. ;)

    Ash nazg durbatulûk, ash nazg gimbatul, ash nazg thrakatulûk agh burzum-ishi krimpatul.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vitakraft pet care GmbH & Co. KG, Bremen
  2. TGW Software Services GmbH, Teunz
  3. ALDI International Services GmbH & Co. oHG, Mülheim
  4. i-SOLUTIONS Health GmbH, Bochum, Mannheim, Düsseldorf, Magdeburg, Chemnitz (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Apple iPad Pro 2020 12,9-Zoll-Retina für 975,33€, WLAN-Glühbirnen Set 5er-Pack für 47...
  2. (u. a. Dualshock 4 für 39,96€, PS4 Pro 1TB für 329,52€, PlayStation VR + Camera + VR Worlds...
  3. (u. a. HyperX DIMM 32 GB DDR4-3200 Kit für 99,90€, AMD Ryzen 9 3900XT für 419€, MSI B450...
  4. 17€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


AVM Fritzdect Smarthome im Test: Nicht smart kann auch smarter sein
AVM Fritzdect Smarthome im Test
Nicht smart kann auch smarter sein

AVMs Fritz Smarthome nutzt den Dect-Standard, um Lampen und Schalter miteinander zu verbinden. Das geht auch offline im eigenen LAN.
Ein Test von Oliver Nickel

  1. Konkurrenz zu Philips Hue Signify bringt WLAN-Lampen von Wiz auf den Markt
  2. Smarte Kühlschränke Hersteller verschweigen Kundschaft Support-Dauer
  3. Magenta Smart Home Telekom bietet mehr für das kostenlose Angebot

Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

iPhone 12 Pro Max im Test: Das Display macht den Hauptunterschied
iPhone 12 Pro Max im Test
Das Display macht den Hauptunterschied

Das iPhone 12 Pro Max ist größer als das 12 Pro und hat eine etwas bessere Kamera - grundsätzlich liegen die beiden Topmodelle von Apple aber nah beieinander, wie unser Test zeigt. Käufer des iPhone 12 Pro müssen keine Angst haben, etwas zu verpassen.
Ein Test von Tobias Költzsch

  1. Apple Bauteile des iPhone 12 kosten 313 Euro
  2. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler
  3. iPhone Magsafe ist nicht gleich Magsafe

  1. EU warnt: Phishing mit Coronahilfen trifft vor allem T-Online-Nutzer
    EU warnt
    Phishing mit Coronahilfen trifft vor allem T-Online-Nutzer

    Die Betrüger fälschen die E-Mail-Absender und geben sich als EU-Mitarbeiter aus. Die EU-Kommission kritisiert mangelnden Schutz bei der Telekom.

  2. Konsole: Sony verbaut in PS5 mindestens drei Lüftermodelle
    Konsole
    Sony verbaut in PS5 mindestens drei Lüftermodelle

    Die eigene Playstation 5 ist flüsterleise - und trotzdem gibt's im Netz das Gejammer über den Geräuschpegel? Dafür könnte es Gründe geben.

  3. Großbritannien: Huawei-Bann kostet Steuerzahler 280 Millionen Euro
    Großbritannien
    Huawei-Bann kostet Steuerzahler 280 Millionen Euro

    Die britische Regierung will nach dem Ausschluss von Huawei ab 2027 den Wettbewerb wiederherstellen. Die Kosten der Netzbetreiber sind erheblich höher als 280 Millionen Euro.


  1. 18:50

  2. 18:38

  3. 17:55

  4. 17:00

  5. 16:38

  6. 16:12

  7. 15:53

  8. 15:31