Warning: count(): Parameter must be an array or an object that implements Countable in /homepages/41/d576804768/htdocs/clickandbuilds/Joomla/KaeferliveCMS/components/com_easyblog/views/categories/view.html.php on line 159

Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Enzo gehackt und geschrottet

Enzo gehackt und geschrottet

Schöner Abschluss der Woche: Ferrari Enzo per App gehackt...

Unsere Bemühungen zum Aufdecken von IT-Sicherheitslücken wurden zum Wochenende mit dem Erfolg gekrönt, dass wir einen Ferrari Enzo erfolgreich "übernehmen" konnten. Okay: es ist kein echter Enzo, sondern nur ein Modell im Maßstab 1:16, der sich mit einem iPhone steuern lässt, aber der Angriffsmechanismus und die Sicherheitslücken sind die gleichen wie bei einem echten Auto. Okay: auch hier gibt es derzeit noch keine Autos, die man per Smartphone rangieren und steuern kann und schon gar nicht einen Ferrari, aber das kommt noch. Ich habe es auf der IAA selbst gesehen...

Es hat letztlich gut zwei Stunden gedauert, bis ich über ein kompromittiertes Smartphone nicht nur Hupe. Licht, Blinker und Motor ein- und ausschalten, sondern das Auto mit Vollgas gegen die Wand steuern konnte. Dabei haben die App-Programmierer ihre Sache gar nicht schlecht gemacht. Ich fand auf Anhieb keine Möglichkeit, den Wagen zu beschleunigen, aber dann... Zuerst habe ich einen Parameter "SetMaxRotorValue" auf 100 gesetzt und dann eine Methode "pause" aufgerufen und die Karre knallte mit Vollgas gegen die Wand. Klingt unlogisch, ist es auch, aber gleichzeitig ist das ein typischer Software-Fehler. Dass ich es nicht geschafft habe, das Auto auch noch zu lenken - Nebensache. Der destruktive Hacker gibt sich damit schon zufrieden.

Und wer sich jetzt beruhigt zurücklegt, weil es ja nur ein ferngesteuertes Modellauto war, dem sei erklärt, dass mit den gleichen Mechanismen auch Apps angegriffen werden können, die bald richtige Autos steuern. Und dass es bei diesen Apps nicht automatisch bessere Sicherheitsstandards gibt, habe nicht nur ich zwischenzeitlich bewiesen. Liebe Automobilindustrie - wir müssen reden!

Und Montag übernehme ich die Flugdrohne von meinem Angestellten...

Bewerte diesen Beitrag:
Weiterlesen
4470 Aufrufe
0 Kommentare

Car2X und die Angriffsmöglichkeiten

Car2X und die Angriffsmöglichkeiten

In diesem kurzen Video zeigen wird die Funktionsweise und Vernetzung im Bereich Car2X und sprechen die Verwundbarkeiten im Hinblick auf die IT Sicherheit an. Wer mehr über unsere Forschungsarbeit Car-Forensics, das Thema Digitale KFZ-Forensik und unsere Dienstleistungen im Bereich Pen-Testing erfahren möchte, dem sei unsere Website www.Car-Forensics.de empfohlen

Link zum Video: https://youtu.be/LHk3KIX4Q8E

 

Bewerte diesen Beitrag:
Weiterlesen
5197 Aufrufe
0 Kommentare
Empfohlen

Fersehberichterstattung über KaeferLive und Car-Forensics

Fersehberichterstattung über KaeferLive und Car-Forensics

Es ist schon ein toller Erfolg, wenn man sieht, wie wir mit unserem Thema Car-Forensics (Digitale KFZ-Forensik) in den letzten Monaten im Fernsehen angekommen sind. Alles hat im Mai 2015 mit einem Bericht in der WDR Lokalzeit Aachen von Bettina Staubitz angefangen. Dann kam Jens Eberl mit dem Bericht über den Jeep Cherokee und den BMW Hack in den tagesthemen am 23.07.2015. Mein O-Ton damals: Jetzt  fehlt nur noch die tagesschau um 20:15 Uhr. Nachdem dann Jens Eberl für ARD PlusMinus Extra am 21.09.2015 und Bettina Staubitz für die Aktuelle Stunde / Lokalzeit Aachen für Stellungnahmen zum VW Abgasskandal anklopften, landete der Beitrag dann final auch am 22.09.2015 in der tagesschau. Das nenne ich mal den finalen Ritterschlag. Like. Fast untergegangen ist dabei die Sendung "Fakt ist..." vom MDR Sachsen ebenfalls am 21.09.2015 22:15 Uhr, der zumindest ein paar Aspekte der IT-Sicherheit beim Autonomen Fahren aufgegriffen hat.

Wenn es interessiert: Unter https://youtu.be/dhK2LhIV3Uk haben wir eine Medienzusammenstellung hochgeladen. Vielen Dank an ARD, WDR und MDR für die tolle Berichterstattung.

Markiert in:
Bewerte diesen Beitrag:
Weiterlesen
7649 Aufrufe
0 Kommentare

Verschummelt und verschaukelt – oder: Wie Software richtig teuer wird.

Verschummelt und verschaukelt – oder: Wie Software richtig teuer wird.

VW hat gerade rd. 16 Milliarden Euro Kurswert verloren und es drohen durch die Strafzahlungen weitere Milliardenverluste, die nach Meinung von Finanzexperten existenzbedrohend sein könnten. Und das alles „nur“, weil ein Motorsteuerprogramm für die Einhaltung der strengen Emissionsgrenzwerte über einen Trick sorgte. Der Berichterstattung und dem Eingeständnis von VW-Chef Winterkorn ist zu entnehmen, dass die Software im Fahrzeug erkennt, wenn ein Prüflauf der Schadstoffe auf einem Rollenprüfstand stattfindet und dann die Abgasreinigung aktiviert bzw. den Motor in einem optimalen Bereich regelt. Für die normale Fahrt war die Motorkennlinie wohl nicht geeignet und das Auto zu träge.

Wie erkennt ein Automobil, ob es gerade geprüft wird?

Die Detektion, ob sich ein Fahrzeug auf einem Rollenprüfstand befindet, ist relativ einfach. Besitzt der Prüfstand nur zwei Rollen, dann drehen sich die Räder einen Achse und die der anderen nicht. So etwas kann man leicht durch Auswertung der ABS-Sensoren an jedem Rad ermitteln. Bei einem Allradprüfstand ist es etwas aufwendiger. Hier kann man z.B. feststellen, dass sich alle Räder einer Achse mit derselben Umdrehungsgeschwindigkeit drehen und das Fahrzeug also immer geradeaus fährt. Die Straße möchte ich sehen, auf der das von Fahrtbeginn bis Ende funktioniert. Und wenn das nicht reicht, gleicht man die angebliche Fahrbewegung mit GPS- und Bewegungssensordaten ab oder prüft Parameter wie z.B. die Geschwindigkeit der einströmenden Kühlerluft usw.. Aber auch das Fahrprofil ist auffällig. Da wird nach einem fest definierten Schema beschleunigt und abgebremst und bestimmte Geschwindigkeitsbereiche angefahren und für eine Zeit gehalten. Irgendwann hat man genug Indizien gesammelt und schaltet sicherheitshalber in den „Eco“-Modus.

Diese Entscheidungsweiche lässt sich leicht in das Motorensteuerprogramm einbauen. Sprechen genügend Indizien für einen Prüflauf, dann aktiviert man Motorenprogramm und Kennlinie A und ansonsten benutzt man Kennlinie B, die mehr Leistung und offenbar mehr Emissionen produziert. Das gleiche funktioniert auch mit dem Verbrauch.

Warum prüft man überhaupt auf dem Prüfstand und nicht im realen Fahrbetrieb?

Ein Prüfstand liefert reproduzierbare und vergleichbare Werte und ermöglicht einen objektiven Vergleich zwischen Fahrzeug A und Fahrzeug B auch über Herstellergrenzen hinweg. Umwelteinflüsse wie Temperatur, Wind und Luftfeuchtigkeit kann man ebenso eliminieren wie die Unterschiede durch den menschlichen Gasfuß und die ständig wechselnde Verkehrslage im Echtbetrieb. Und abgesehen davon benötigt man für genaue Tests auch Equipment, welches sich schwer in einem Kofferraum unterbringen lässt. Also sind Prüfstandtests gut.

Die Verbrauchs- und Emissionswerte dürfen nur in der Praxis nicht allzu sehr von den Prüfstandwerten und Werksangaben abweichen, sonst wird der Verbraucher sauer. Erstaunlicherweise klappt das bei Hersteller A manchmal besser als bei Hersteller B und wenn Realverbrauch (und die Emissionen) um 10-15 % über der Werksangabe liegen, dann ist das meist dem unsensiblen Gasfuß des Fahrers geschuldet und vollkommen in Ordnung.

Bei VW war das jetzt wohl etwas anders und nach jüngsten Berichten sind möglicherweise rd. 11 Mio. Fahrzeuge weltweit betroffen.

Besonders ärgerlich und letztlich weit schlimmer ist, dass nun auch andere Autobauer unter Verdacht geraten. Wer sagt denn, dass die nicht geschummelt haben? Ohne Zweifel sind die neuen Abgasnormen (hier Euro 6) eine enorme ingenieurmäßige Herausforderung. Hat nur VW das nicht hinbekommen oder sind auch Motoren anderer Hersteller prüfstandoptimiert?

Die Lösung: Flucht nach vorn!

Die Ehrlichen sind jetzt auch die Dummen, weil ihnen unterstellt wird, auch geschummelt zu haben. Jetzt hilft nur eins: Nachweisen, dass die Unterstellungen haltlos sind! Da hilft kein nemo tenetur-Grundsatz oder Beweislastgebot. Nur wenn die Autohersteller nachweisen, dass ihre Autos und die Software tatsächlich sauber sind, kehrt das Vertrauen in die deutsche Ingenieurkunst wieder zurück.

Wie gelingt der Nachweis?

Es gibt einen einfachen und einen beschwerlichen Weg.

Der einfache Weg: Die Autoindustrie lässt ihre Fahrzeuge von unabhängigen Sachverständigen untersuchen und unterstützt diese bei deren Arbeit durch Offenlegung der zu begutachtenden Systeme. Das funktioniert auch mit Geheimhaltung von markenspezifischen Knowhows.

Der beschwerliche Weg: Forensiker und Sachverständige prüfen ohne Herstellerunterstützung die Fahrzeuge und die in den Motorsteuergeräten enthaltene Software. Das bedeutet für jedes Fahrzeug einen nicht unerheblichen Reverse-Engineering-Aufwand mit großem Zeit- und Kostenaufwand.

Und einer muss die Zeche zahlen: Umweltverbände und die Politik tuen sich leicht damit, jetzt eine Überprüfung aller Fahrzeuge in Deutschland, der EU oder weltweit zu fordern. Nur wer bezahlt den Aufwand? Darauf hoffen, dass es – wie bei den IT-Sicherheitsvorfällen rund um das Automobil – immer wieder Enthusiasten gibt, die das kostenlos machen, sollte man nicht.

Also: Wer macht mit und wer bezahlt?

Zwei einfache Fragen, mit deren Antwort man die Kuh zügig vom Eis bekommt. Und das ist wichtig für den Wirtschaftsstandort Deutschland.

Falls Forensik-Knowhow benötigt wird: Ich weiß, wer sich damit auskennt und noch ein paar andere kennt, die sich damit auskennen… Tel. 02405/47949-0. Ich bin mal gespannt, wer gleich anruft…

http://www.ardmediathek.de/tv/Tagesschau/tagesschau-20-00-Uhr/Das-Erste/Video?documentId=30717036&bcastId=4326

Berichterstattung in den Medien mit Beteiligung von Thomas Käfer

Übrigens, wenn es interessiert, wie das ganze in Bildern aussieht, der kann das hier in der ARD tagesschau, dem ARD PlusMinus-Extra und der Aktuellen Stunde des WDR anschauen:

http://www.ardmediathek.de/tv/Tagesschau/tagesschau-20-00-Uhr/Das-Erste/Video?documentId=30717036&bcastId=4326

http://www.ardmediathek.de/tv/Lokalzeit-aus-Aachen/Lokalzeit-aus-Aachen/WDR-Fernsehen/Video?documentId=30715644&bcastId=7293556
 

Bewerte diesen Beitrag:
Weiterlesen
5083 Aufrufe
0 Kommentare

Impressionen vom KaeferLive Oktoberfest

Impressionen vom KaeferLive Oktoberfest

Das war ein tolles Fest! Vielen Dank an alle, die dazu beigetragen haben, unser 25-jähriges Firmenjubiläum und die Party zu meinem Master-Titel zu einem unvergesslichen Abend zu machen!

Bewerte diesen Beitrag:
Weiterlesen
3570 Aufrufe
0 Kommentare