Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Berichterstattung im WDR Fernsehen am 08.05.2015

Berichterstattung im WDR Fernsehen am 08.05.2015

Am 08.05.2014 berichtete das WDR Fernsehen im Rahmen der Aktuellen Stunde in der Lokalzeit Aachen zwischen 19:30 Uhr und 20:00 Uhr über unser Forschungsprojekt Car-Forensics und die Zusammenarbeit mit der FH-Aachen.

Link...

Weiterlesen
  3103 Aufrufe
  0 Kommentare
3103 Aufrufe
0 Kommentare

eCall final verabschiedet

Nun hat das EU-Parlament die eCall-Richtlinie - wie erwartet - formal verabschiedet. Die Berichterstattung darüber zeugt von viel Unwissenheit (der Reporter) und schürt Ängste. Dies wiederum nicht ganz unbegründet, denn von offizieller Seite gibt es relativ wenig belastbare Informationen zu eCall und die Richtlinie lässt den Automobilherstellern relativ viel Freiheiten, wie man das eCall-System in eigene Telematikdienste integrieren kann. Vor allem dadurch eröffnen sich die Missbrauchsszenarien. eCall ist daher eines der nächsten Themen, die wir im Rahmen der Forschungsarbeit Car-Forensics näher beleuchtet werden.

Unterstützen Sie uns dazu auf https://www.sciencestarter.de/car-forensics

Weiterlesen
  3011 Aufrufe
  0 Kommentare
3011 Aufrufe
0 Kommentare

Veröffentlichung zum Thema Car-Forensics in der Zeitschrift Mobile Business 03-2015

In der Ausgabe 3.15 der Zeitschrift Mobile Business geht es unter anderem um das Thema Car-IT und das Versenden von Daten aus modernen Kfz. Ab Seite 28 gibt es dazu auch Statements und Einschätzungen aus der Forschungsarbeit Car-Forensics von Thomas Käfer.

Einen Online-Auszug und Infos zum Bezug gibt es hier:

http://www.it-zoom.de/mobile-business/e/sensorik-in-automobilen-sammelt-daten-10384/

Weiterlesen
  3346 Aufrufe
  0 Kommentare
3346 Aufrufe
0 Kommentare

Auto Motor Sport Kongress 2015

Am 09.04.2015 fand in Stuttgart der Auto Motor Sport Kongress "Mobilität der Zukunft" statt. Neben aktuellen Visionen, wie das Fahren in der Zukunft aussehen soll, wurde nun - wenn auch noch recht oberflächlich und im Detail verkürzt - über IT-Sicherheit im Automobil debattiert. Ein erster Ansatz, der grundsätzlich zu begrüßen ist. Über Inhalte müssen wir noch einmal reden...

Weiterlesen
  3173 Aufrufe
  0 Kommentare
3173 Aufrufe
0 Kommentare

Sicherheitspanne: Zwei namhafte Unternehmen patzen beim Speichern von Passwörtern

Die Verwunderung war groß, als ich vor einigen Tagen vom Veranstalter einer Messe per Briefpost angeschrieben wurde und ich mich für die Teilnahme an einer Eröffnungsfeier registrieren sollte. Auf dem Brief entdeckte ich das mir wohlbekannte und einige Tage zuvor online eingegebene Passwort im Klartext abgedruckt wieder.

Ich sollte mich nun mit der ebenfalls abgedruckten Kennung im Online-System des Messeveranstalters anmelden und meine Teilnahme bestätigen. Als besonderen Service bot man mir als Option an, das Schreiben einfach mit einem entsprechenden Kreuzchen versehen per FAX an den Messeveranstalter zurückzusenden. Damit nicht genug. Hatte man als Benutzer sein Passwort (und / oder seine Benutzerkennung) vergessen, so konnte man sich dieses über einen Klick im Anmeldeprozess des Online-Systems per E-Mail zusenden lassen. Auch hier wurden Kennung und Passwort zusammen und vollkommen unverschlüsselt übertragen.

Auch ein großer deutscher Technologie-Verein machte bis Ende 2014 einen vergleichbaren Fehler. Als ich mein Passwort für das Login der ePaper-Ausgabe der Mitgliederzeitung vergessen hatte, auf den Link "Passwort vergessen" klickte und ich ? so wie sich herausstellte ? per E-Mail um den Passwort-Rest bitten musste, sandte mir ein Sachbearbeiter Kennung und das von mir damals eingegebene Passwort im Klartext per E-Mail zu. Beide Verfahren entsprechen aus mehreren Gründen nicht dem Stand der Technik und sind aus IT-Sicherheitssicht vollkommen indiskutabel.

Man vertraut als User darauf, dass Passwörter nicht ausgelesen werden können, denn sie sind nach herrschender Meinung grundsätzlich gehashed/verschlüsselt abzuspeichern. Hierbei wird durch ein Verfahren (Falltüralgorithmus) das Passwort bei der Eingabe so zerhackt (Hash), dass man den Hash-Wert nicht mit verhältnismäßigem Aufwand auf das eigentliche Klartext-Passwort zurückführen kann. In der Datenbank wird dann nur der Hash-Wert gespeichert. Bei einem erneuten Login wird das Passwort wieder mit demselben Algorithmus zerhackt und dessen Hash-Wert mit dem gespeicherten verglichen. Stimmen beide Hash-Werte überein, weiß das System, dass das eingegebene Passwort richtig ist. Damit wird verhindert, dass ein Angreifer, der sich unberechtigt Zugang zur Datenbank verschafft hat, die Passwörter im Klartext auslesen und für andere Zwecke missbrauchen kann. Zudem wird sichergestellt, dass auch berechtigte Benutzer ein Passwort nicht auslesen und damit Missbrauch betreiben könnte.

Und dann versendet man nicht gehashte Passwörter auch nicht unverschlüsselt per E-Mail. Um ein solches Passwort im Datenstrom im Internet mitlesen zu können, braucht man nicht bei der NSA angestellt zu sein. Das kann jeder, der kurzfristig Zugriff auf die unverschlüsselt übertragenen  bzw. abgelegten Nachrichten bekommt.

Beide Unternehmen haben u.a. auf meine Intervention die Verfahren zwischenzeitlich deaktiviert bzw. umgestellt. Eine Hinweispflicht (nach BDSG oder TMG) gegenüber den Betroffenen bzw. der Datenschutzaufsichtsbehörde darüber, dass sie die Passwörter kennen und zumindest zeitweise unverschlüsselt gespeichert und auf Anforderung auch unverschlüsselt verschickt haben, sehen beide Institutionen nicht. Das mag bei gemäß der Gesetzestexte rechtskonform sein ? mit der Einhaltung von IT-Sicherheitsgrundregeln sowie einem kundenorientierten und verantwortungsvollen Umgang mit sensiblen personenbezogenen bzw. Zugangs-Daten hat das m.E. jedoch wenig bis gar nichts zu tun.

Dislike.

Weiterlesen
  2931 Aufrufe
  0 Kommentare
2931 Aufrufe
0 Kommentare

CeBIT: Neues Forum für die Sicherheit - Business Security Forum in Halle 6/K02

CeBIT: Neues Forum für die Sicherheit - Business Security Forum in Halle 6/K02

Vom 16. - 20. März 2015 organisiert der SecuMedia Verlag auf der CeBIT in Halle 6 ein attraktives Vortragsprogramm im neuen Business Security Forum. Das Forum ist für jeden CeBIT-Besucher offen und ohne Registrierung zugänglich.

Angesichts häufiger Datenpannen und vermehrter Angriffe auf Office- wie auch auf die Industrie-IT müssen sich Unternehmen und Behörden verstärkt um den Schutz von Daten und um die Sicherheit ihrer Systeme kümmern.

Eine gute Gelegenheit bietet sich hierzu auf der CeBIT 2015. Im Umfeld des Security-Ausstellungsbereichs in Halle 6 finden auf dem neuen Business Security Forum ganztägig Fachvorträge und Diskussionen zum Thema Cyber-Sicherheit statt. Sowohl für die Unternehmensleitung als auch für Security-Spezialisten liefert das Programm spannende und praxisnahe Informationen.

Experten informieren in 20-minütigen Kurzvorträgen über aktuelle IT-Sicherheitsthemen wie Apps, Internet of Things, Verschlüsselung, Netzwerke, Datenschutz, SIEM, Industrial IT-Security, Patchmanagement, BYOD, Cloud, Car-Forensic, Firewalls.

Ein Highlight am Montag ist die Vortragsreihe des Cyber-Sicherheitsrates zu den Gefahren im Automotive-Bereich. Das Mercator Institute for China Studies gibt im Anschluss einen Einblick in Chinas IT-Security-Strategie. Außerdem zeigt White-Hat-Hacker Sebastian Schreiber täglich Live-Hacking-Demos mit Angriffen auf Webapps, mobile Endgeräte, Kryptosysteme und iOS-Apps. Am Donnerstag startet das Programm mit Marco Di Filippo und Hacking ?am Fließband?  - Angriffe auf Industrial Control Systems (ICS) und am Freitag endet der Tag mit Kfz-Forensik von Thomas Käfer inklusive einer Hacking-Session.

Weiterlesen
  2917 Aufrufe
  0 Kommentare
2917 Aufrufe
0 Kommentare

Messenachlese NRW Sicherheitstag 03.12.2014 in Hagen

Messenachlese NRW Sicherheitstag 03.12.2014 in Hagen

Am 03.12.2014 hat der alljährliche NRW Sicherheitstag - diesmal in Hagen - stattgefunden. Wir waren mit von der Partie und Thomas Käfer hat über das Thema IT-Sicherheit und im Besonderen über Digitale Forensik referiert. Der Vortragsraum war bis auf den letzten Platz gefüllt und anschließend gab es am Messestand reges Interesse für das Forschungsprojekt Car-Forensics. Die zeitweise Größe der Warteschlange bestätigte, dass sich das Thema IT-Sicherheit auch im Automotive und Car2X-Umfeld wachsender Bedeutung erfreut. Uns hat erfreut, dass wir so viele Besucher und gute Gespräche hatten.

Weiterlesen
  2946 Aufrufe
  0 Kommentare
2946 Aufrufe
0 Kommentare

Vortrag Digitale Forensik auf dem IT-Cologne-Summit am 24.11.2014 in Köln

Vortrag Digitale Forensik auf dem IT-Cologne-Summit am 24.11.2014 in Köln

Dipl.-Ing. Thomas Käfer referiert am 24.11.2014 in Köln zum Thema Digitale Forensik.

Angriffsszenarien auf IT-Infrastrukturen am Beispiel von Apps, Netzwerk-Spoofing und Infiltration von Bus-Kommunikationen

Abstract

Angesprochen und gezeigt werden verschiedene Angriffsszenarien, wie Infrastrukturen im industriellen Umfeld durch unsichere Systeme (Beispiel Smartphone-Apps), Mithören und Umleiten des Netzwerk-Datenverkehrs (ARP-Spoofing bzw. Man-in-the middle-Attacken) und Einschleusen von Datenloggern (CAN-Bus-Interface als Hardware-Spion) kompromittiert werden können. Als roter Faden und Anschauungsobjekt, welches sich einfach auf verschiedenste Anwendungsgebiete im Bereich Industrieautomatisation oder M2M-Kommunikation transferieren lässt, dient ein Angriff auf eine Infrastruktur im Automotivsektor. Nach dem Motto ?Gefahr erkannt ? Gefahr gebannt" werden zu den jeweiligen Angriffsvektoren sinnvolle vorbeugende Gegenmaßnahmen angesprochen. Am Messestand in der begleitenden Ausstellung wird das Angriffsszenario durch eine plastische Visualisierung und entsprechende Exponate vertiefend gezeigt.

 

Weitere Infos und Anmeldung unter: http://www.cologne-it-summit.de/

Weiterlesen
  3084 Aufrufe
  0 Kommentare
3084 Aufrufe
0 Kommentare

Impressionen von der 30. VDI/VW-Fachtagung in Wolfburg

Impressionen von der 30. VDI/VW-Fachtagung in Wolfburg zum Thema Fahrerassistenzsysteme und Integrierte Sicherheit

Am 14.10. und 15.10.2014 fand im Forum Autovision die 30. Gemeinschaftstageung des VDI und VW diesmal mit dem Thema "Fahrerassistenzsysteme und Integrierte Sicherheit" statt. Geschätzt 200 Experten lauschten den interesanten Vorträgen rund um das Thema Automobil mit Schwerpunkten rund um das autonome Fahren und der IT-Integration (Car2X). Spannende Gespräche und eine sehr schöne Abendveranstaltung im VW-Museum machten den Besuch in Wolfsburg zu einem vollen Erfolg. Viele Erkenntnisse werden in die Forschungsarbeit "Car-Forensics" einfließen.

Weiterlesen
  3211 Aufrufe
  0 Kommentare
3211 Aufrufe
0 Kommentare

Messenachlese 9. Dortmunder Autotag

Messenachlese zum 9. Dortmunder Autotag am 16.09.2014

Um es mit den Worten des Veranstalters und Moderators des 9. Dortmunder Autotag Prof. Dr. Bertram von der TU Dortmund zu formulieren: "Herr Käfer hat uns nachdenklich gemacht."...

Thomas Käfer präsentierte mit seinem Team auf dem 9. Dortmunder Autotag in der IHK zu Dortmund am 16.09.2014 das Thema „Digitale KFZ-Forensik" und gab erste Einblicke in die Zwischenergebnisse seiner Forschungsarbeit „Car-Forensics". Dem interessierten Fachpublikum präsentierte er anhand einer Multimedia-Animation mit der von KäferLive vertriebenen LCD-Transparent-Stehle und mit seinem Vortrag im Plenum das Thema "Digitale Forensik" im Kontext von Automotiv-Anwendungen. Am Beispiel von Apps aus dem Automobilbereich zeigte er die bei seinen Untersuchungen gefundenen Schwachstellen und Sicherheitslücken und die nötigen Gegenmaßnahmen auf. Thomas Käfer konnte seinerseits viele interessante Kontakte zur Szene knüpfen und freut sich auf die kommenden Zusammenarbeit und den weiteren fachlichen Austausch.

Weiterlesen
  3056 Aufrufe
  0 Kommentare
3056 Aufrufe
0 Kommentare