Warning: count(): Parameter must be an array or an object that implements Countable in /homepages/41/d576804768/htdocs/clickandbuilds/Joomla/KaeferliveCMS/components/com_easyblog/views/categories/view.html.php on line 159

Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Autobild und ADAC bestätigen: So einfach kann man Keyless Entry austricksen

Wir haben ja bereits im März 2016 in einem Blog-Beitrag davon berichtet: Keyless Entry beim Auto ist nicht sicher. Und wir wollten den Test-Aufbau mit Billig-Equipement nachbauen. Das haben wir uns zwischenzeitlich gespart, denn der ADAC und die Autobild waren schneller.

Nun hat zum Einen der ADAC in einem Test an aktuellen Modellen nachgewiesen, dass man Modelle verschiedener Hersteller mit einem Funkreichweitenverlängerer entwenden kann. Aber auch die Autobild war aktiv und zusammen mit dem CCC einen Bastelaufbau im Wert von 30,- € dazu benutzt, das Funksignal zwischen Schlüssel und Fahrzeug zu verlängern. Zugegeben: Sie haben in diesem Fall noch ein langes Kabel als Verlängerung benutzt und sich so den Nachbau der Funkstrecke gespart, aber der Aufbau aus Sender und Empfänger für die eigentliche Transpondertechnik ist keine Raketen-Wissenschaft. Jetzt das abgegriffenen Siganl per WLAN oder gar LTE bi-direktional weiter zu transportieren ist reine Fleißarbeit.

Ich bin froh, dass mein nächstes Auto diese Funktion nicht hat. Aber ich werde mich sicher ärgern, wenn die Teilkaskotraife aufgrund erhöhter Diebstahlzahlen steigen. Eine Differenzierung bei den Versicherern, ob man ein Auto mit oder ohne Keyless Entry hat, wäre wünschenswert und fair. Und noch besser: Die Auto-Industrie sollte sich mal ein paar Gedanken mehr machen, wie man so ein System sicher machen kann. Oder ist ein geklautes Auto auch ein verkauftes Auto? Ein Schelm, der Böses vermutet.

Bewerte diesen Beitrag:
Weiterlesen
9009 Aufrufe
0 Kommentare

Computervirus in Atomkraftwerk Gundremmingen entdeckt

Computervirus in Atomkraftwerk Gundremmingen entdeckt

Die dpa meldet am 25.04.2016: Im bayerischen Atomkraftwerk Gundremmingen ist ein Computervirus entdeckt worden. Die Schadsoftware sei bei der Vorbereitung der Revision in Block B aufgefallen, teilte das Kraftwerk mit. Eine Gefährdung des Personals oder der Bevölkerung habe es nicht gegeben, da alle sensiblen Bereiche des Kraftwerks entkoppelt und nicht mit dem Internet verbunden seien…

Liebe Leute, langsam heißt es aufwachen. Vor wenigen Tagen warnte der neue BSI-Präsident Arne Schönbohm vor Toten durch Hackerangriffe auf Autos. Jetzt ein Computer-Virus (wie immer) im nicht-nuklearen Teil eines Atomkraftwerks. Schon „visionär“, was ich seit gut zwei Jahren in zahlreichen Vorträgen (u.a. Car-Forensics) zum Thema IT-Sicherheit im Internet der Dinge erzähle… oder einfach nur offensichtlich? Bei allen Chancen der Digitalisierung der Vernetzung und Digitalisierung bitte die Sorgfalt bei der Daten- und IT-Sicherheit nicht vergessen. Das ist eine Top-Prio! Denn was nützt das tollste System, wenn es Ihnen nicht mehr gehört?

P.S. Und das Video, war eigentlich nur zur Einstimmung in das Thema IT-Sicherheit und nicht als Blaupause und Vorlage für einen Systementwurf gedacht…

Bewerte diesen Beitrag:
Weiterlesen
11115 Aufrufe
0 Kommentare

Digitale Forensik ist ein Thema im Innovationsreport der IHK NRW

Digitale Forensik ist ein Thema im Innovationsreport der IHK NRW

"Sicherheit im Netz: Von Malwareanalyse bis zur Kfz-Forensik" titel die IHK NRW im gerade erschienenen Innovationsreport Industrie 2015.

IT-Experte Thomas Käfer informiert über IT-Sicherheit und Digitale Forensik

Auch 2015 hat die IHK Bonn/Rhein-Sieg die Kooperation mit dem Horst-Görz-Institut fortgesetzt und das ITS-Breakfast insgesamt achtmal in den Räumen der IHK Bonn/Rhein-Sieg angeboten. Kooperationspartner sind die XING-Gruppen IT-Connection, IT-Stammtisch Köln, IT-Forum Bonn/Rhein-Sieg und ITS-Breakfast. Zu diesem Expertenforum wurde ausschließlich über das soziale Netzwerk XING eingeladen. Im Durchschnitt nahmen rund 40 Teilnehmer an den Veranstaltungen teil. Neben einem Impulsvortrag zu einem aktuellen IT-Sicherheitsthema bietet das Format vor allem die Möglichkeit der Netzwerkbildung unter Experten. Themen der zurückliegenden Veranstaltungen waren unter anderem das IT-Sicherheitsgesetz, Malwareanalyse, Digitale Kfz-Forensik, Notfallmanagement, Mobile Security und das Erstellen eines Berechtigungsmodells. Aufgrund der weiter großen Aktualität des Themas IT-Sicherheit wird diese Kooperation auch 2016 fortgesetzt.

Die gesamte Broschüre können Sie hier herunterladen: http://www.essen.ihk24.de/blob/eihk24/Innovation/downloads/3183454/2c6842d7ed572bfe7eb5e245c71486e1/Industrie--und-Innovationsreport-2015_2016-data.pdf

 

 

Bewerte diesen Beitrag:
Weiterlesen
8312 Aufrufe
0 Kommentare

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

ESG und Thomas Käfer veranstalten Halbtagesseminar zum Thema Automotive Security – Grundlagen für Führungskräfte am 08.04.2016 in München/Fürstenfeldbruck

In Kooperation mit dem CYBER TRAINING CENTER der ESG hält Dipl.-Ing. Thomas Käfer am 08.04.2016 ein Grundlagenseminar zum Thema Automotive Security in München/Fürstenfeldbruck

Das halbtägige Seminar vermittelt in kompakter Form die IT-Sicherheitsgrundlagen, die spezifisch für den Automotive-Bereich relevant sind. Zu den Inhalten gehören insbesondere:

  • Automotive-Innovationen wie Car2X und autonomes Fahren und damit verbundene IT-Sicherheitsrisiken und Schutzmaßnahmen
  • Zusammenhang von Security und Safety
  • Haftungs-, Datenschutz- und Privacy-Aspekte
  • Bedeutung von Automotive-Forensic
  • Top 10 Code of Conduct-Empfehlungen zu Datensicherheit, -hoheit und -zugriff

Mehr Infos und Anmeldung...

Weitere Termine:

Bewerte diesen Beitrag:
Weiterlesen
9779 Aufrufe
0 Kommentare
Empfohlen

Hacker übernimmt Nissan-Klimaanlage aus tausenden Kilometern Entfernung

Hacker übernimmt Nissan-Klimaanlage aus tausenden Kilometern Entfernung

Wie die Süddeutsche am 25.02.2016 vermeldet, ist mal wieder ein Auto über das Internet gehackt worden. Diesmal hat es Nissan mit dem Modell Leaf erwischt. Über eine ungesicherte Verbindung offenbar ohne jegliche Autorisierungsprüfung (Passwort o.ä.) gelang es dem Sicherheitsforscher Troy Hunt die Klimaanlage eines tausende Kilometer entfernt befindlichen Nissan Leaf ein- und auszuschalten und sensible Fahrbewegungsdaten auszulesen. Dazu reichte nach seinem Reverse-Engineering das Kopieren einer präparierten URL in den Webbrowser. Die Schwachstelle ist offenbar eine unzureichend abgesicherte App, mit der auf das Fahrzeug zugegriffen werden kann.

Das deckt sich mit den Forschungsergebnissen aus meinem Forschungsprojekt Car-Forensics. Auch hier war eine der gefundenen Angriffsvektoren die Kompromittierung der mit dem Fahrzeug gekoppelter Smartphone-Apps (in diesem Fall BMW). Im oben genannten Bericht wird bemängelt, dass der Hersteller mehr als vier Wochen gebraucht hat, um die Lücke vorübergehend zu schließen. Ich finde das noch schnell, denn viele der von mir bei BMW gefundenen Lücken funktionieren nach über einem Jahr immer noch und das, obwohl BMW eine detaillierte Schwachstellenanalyse aus September 2014 vorliegt (kostenfrei geliefert).

Besonders brisant an dem Nissan-Hack ist, dass dieser möglicherweise nicht einmal strafbar ist. In Deutschland wäre z.B. § 202a StGB anwendbar:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft (...)

Das blöde daran ist, dass der Zugang ja offensichtlich nicht besonders gesichert ist. Damit könnte (!) gelten: Feuer frei liebe Hacker! Und das ist für den Besitzer doppelt blöd, denn damit fällt nicht nur eine Hürde für den Hacker, sondern man kann ihn (je nach nationaler Gesetzeslage) möglicherweise nicht einmal dafür belangen (bitte jetzt trotzdem nicht nachmachen). Nur den Hersteller könnte man jetzt zivilrechtlich angreifen, da er ganz offenbar seinen Sorgfaltspflichten nicht nachkommt und in Bezug auf die IT-Sicherheit gängige Regeln der Technik missachtet (Verschlüsselung, Authentifizierung etc.).

Besonders ärgerlich ist, dass man solch einen Fehler leicht durch Penetration-Tests vor Inbetriebnahme eines solchen Systems durch Sicherheitsfachleute hätte aufdecken können. Ein solcher Implementierungsfehler wäre mit ziemlicher Sicherheit schon bei der Prüfung des Systemdesigns aufgefallen.

Man müsste dazu nur mal jemanden beauftragen, der sich damit auskennt. Der eine oder andere Hersteller hat das schon erkannt. Andere lernen noch. Hoffentlich rechtzeitig, bis die ersten Autos vollautomatisch fahren und Hacker dann hoffentlich vergeblich versuchen, die Autos fernzusteuern. Das sind dann Spielzeugautos im Maßstab 1:1… Böse!

Mehr Infos: http://www.sueddeutsche.de/auto/auto-sicherheitsluecke-hacker-uebernimmt-nissan-klimaanlage-aus-tausenden-kilometern-entfernung-1.2880424

Und wie der Hack im Detail funktioniert, steht hier: http://www.troyhunt.com/2016/02/controlling-vehicle-features-of-nissan.html

 

Bewerte diesen Beitrag:
Weiterlesen
10863 Aufrufe
0 Kommentare