Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!

Verzicht auf unsicheres Keyless Entry System beim Autoneukauf kostet Aufpreis

Verzicht auf unsicheres Keyless Entry System beim Autoneukauf kostet Aufpreis

Dass die so bequemen Keyless-Entry-Systeme moderner Fahrzeuge hochgradig unsicher sind, ist in Fachkreisen bereits seit einigen Jahren ein alter Hut - sollte man meinen. Bei einem Keyless-Entry-System kann der Autoschlüssel in der Hostentasche bleiben und der Wagen öffnet sich allein schon durch die Annäherung des legitimen Besitzers, der diesen Key mitführt (nicht zu verwechseln mit der normalen Fernbedienung am Schlüssel, bei der man immer noch eine Taste drücken muss, um den Wagen auf- oder abzuschließen). Und natürlich braucht man dann zum Starten des Autos auch keinen Zündschlüssel einstecken und drehen. Das ist ja so etwas von „Old School“!

Problem 1: Entfernt man sich nun vom Auto und schließt den Wagen per Knopfdruck ab und will dann durch einen Griff an der Fahrertür kontrollieren, ob der Wagen wirklich verschlossen ist, geht die Karre wieder auf. Also wieder abschließen und noch einmal versuchen. Damit kann man einen Doofen stundenlang beschäftigen: der kommt nicht von seinem Auto weg... Zu kontrollieren, ob der Wagen wirklich verschlossen ist, ist eine gute Idee, denn Kriminelle nutzen sogenannte Jammer, die das Funkspektrum im Umkreis blockieren und somit den Schließbefehl der Fernbedienung "übertönen". Die Kiste geht dann nicht zu.

Problem 2: Findige Autodiebe haben herausgefunden, dass man das Funksignal zwischen Schlüssel und Auto, welches nur in einem ganz definierten Nahbereich meist innerhalb von wenigen Meter funktioniert, mit einer sogenannten Relay-Station-Attacke praktisch beliebig verlängern kann. Dazu verfolgt Täter 2 den legitimen Autofahrer und greift mit einem Transponder und seiner Relay-Station das Signal des Schlüssels ab (der Täter muss dafür nur in der unmittelbaren Nähe des Opfers bleiben). Täter 1 geht derweil zum Auto und koppelt seinen Transponder mit dem Fahrzeug. Über seine Relaisfunkstelle, die z.B. via WLAN oder auch Mobilfunk mit der Relaisfunkstelle des 2. Täters verbunden ist, wird jetzt Auto und Schlüssel vorgegaukelt, dass sie sich in der Nähe zueinander befinden. Je nach Automodell funktioniert dass aufgrund nicht geprüfter Latenzzeiten über Kilometer. Das Auto öffnet sich und der Täter 1 kann die Zündung einschalten und den Wagen starten, da das Auto "denkt", der Schlüssel befände sich im Auto. Nun kann der Täter 1 solange mit dem Auto herumfahren, bis er es ausschaltet. Das macht er sinnigerweise erst dann, wenn er in einem sicheren Versteck angekommen ist und die Wegfahrsperre in Ruhe ausgebaut wird.

Zu diesem Problem gibt es bereits eine Reihe von wissenschaftlichen Veröffentlichungen (u.a. von der ETH Zürich aus 2010: http://www.ethlife.ethz.ch/archive_articles/100706_autoknacker_ch ) und gar einen eigenen Wikipedia-Artikel... https://de.wikipedia.org/wiki/Keyless_Go .

Erstaunlich, dass das bei den Autoherstellern noch nicht angekommen ist. Ich habe mir gerade einen neuen PKW bestellt und fand die Funktion, den Kofferraum mit einer Wischbewegung des Fußes unter der hinteren Stoßstange öffnen zu können, ja ganz nett. Dumm nur, dass das a) nicht stabil funktioniert und man dann auf dem Supermarktparkplatz Gefahr läuft, als Hampelmann verspottet zu werden und b) dass das nur in Verbindung mit einem solchen Keyless-Entry-Systems angeboten wird. Also Funktion, die in einem Technologie-Paket enthalten war, einfach abbestellen, denn der Verkäufer wusste gar nichts von den Keyless-Entry Angriffen und ob das Auto, um das es ging, dafür auch anfällig ist.

Tja und da kommt der Hammer: Der Wagen sollte jetzt rund 630,- € teurer werden. Ich fragte nach: Ich soll für den Verzicht auf eine nicht stabil funktionierende und zudem höchst unsichere Funktion Geld bezahlen? Ja, sollte ich, denn virtuelles Cockpit, Navigation und Smartphone Interface kosten einzeln rund 630 € mehr als im Paket mit dem unsicheren Keyless Entry… Ich habe mich mit meinem Händler einigen könne, dass ich auf die Keyless Entry-Funktion ohne Mehrpreis verzichten darf. Daran wäre sonst beinahe der Deal gescheitert…

Jetzt freue ich mich auf den neuen (sicheren) Wagen. Wobei: Eigentlich blöd. Ich hätte ihn doch mit dem Keyless Entry bestellen und dann mal den Test machen sollen, ob er auch mit diesem Relaisstations-Trick angreifbar ist. Dann hätte ich ihn immer noch mit einem Produktmangel zurückgeben können…

Zurück zum eigentlich Problem: Abhilfe gegen Attacken Krimineller auf den Schlüssel in der Hosentasche kann der stolze Besitzer eines Keyless Entry-Systems übrigens dadurch abwehren, dass er seinen Schlüssel in Alupapier oder eine Metalldose verpackt. Okay, dann muss er zum Öffnen nicht nur in die Hosentasche greifen, sondern den Schlüssel auch noch auspacken. Das ist Old School! Ach ja: Und die Schlüssel auch zuhause nicht in der Nähe der Haustür ablegen, wenn das Auto auf der Straße steht… Es sind schon Autos geklaut worden, bei denen die Täter den Trick durch die geschlossene Haustür angewendet haben.

Und wer glaubt, dass so eine Relaisstation etwas Magisches ist: Die ersten Versionen kosteten angeblich rd. 20.000 €. Wir probieren mal, ob man das nicht auch – wie an der einen oder anderen Stelle zu lesen – vielleicht auch mit 100,- € Equipment hinbekommt… Stay tuned. Auf Car-Forensics.de berichten wir über den Fortschritt…

Bewerte diesen Beitrag:
Weiterlesen
13439 Aufrufe
0 Kommentare

IHK Aachen - Veranstaltung "Flüchtlinge in Ausbildung integrieren – gewusst wie!"

IHK Aachen - Veranstaltung "Flüchtlinge in Ausbildung integrieren – gewusst wie!"

Am 28.01.2016 hat in der IHK Aachen eine tolle Informationsveranstaltung zum Thema "Flüchtlinge in Ausbildung integrieren – gewusst wie!" stattgefunden, die Mut macht. Neben handfesten Informationen, wie man ganz konkret junge Flüchtlinge für die Ausbildung fit machen und ins eigene Unternehmen integrieren kann, gab es auch sehr positive und leidenschaftliche Plädoyers von Unternehmern, es einfach zu tun: Flüchtlinge in den Betrieb zu integrieren, scheint gar nicht so schwer zu sein, wie man angesichts der manchmal überbordenden Bürokratie vermuten mag. Schon rund 130 Betriebe im Kammerbezirk haben ihre Bereitschaft erklärt und wollen Praktikums- und Ausbildungsplätze für Flüchtlinge bereitstellen (natürlich ist Käfer auch dabei). Jetzt fehlen "nur" noch die passenden Bewerber.

Bewerte diesen Beitrag:
Weiterlesen
5708 Aufrufe
0 Kommentare

Halbzeitbilanz der IHK Aachen - Legislaturperiode 2014-2018

Halbzeitbilanz der IHK Aachen - Legislaturperiode 2014-2018

Die IHK Aachen hat die Halbzeitbilanz für die Legislaturperiode 2014-2018 veröffentlicht. "Vieles erreicht, manches auf dem Wege" lautet der Untertitel. Ich war ja immer skeptisch, ob die IHK überhaupt eine Daseinsberechtigung hat und wollte sie früher sogar abschaffen. Jetzt bin ich Teil der Vollversammlung und beobachte als Ehrenamtler aufmerksam, was das Hauptamt so treibt. Manches durfte ich mit beeinflussen und werde das auch in der zweiten Hälfte der Legislaturperiode aktiv und kritisch begleiten. Bis jetzt sieht das sehr ordentlich aus. Weiter so!

Und wer der IHK und der Kammerarbeit auch kritisch gegenübersteht, der ist eingeladen, sich über die konkrete Angebote zu informieren, sie zu nutzen und mitzudiskutieren.

Weitere Infos: https://www.aachen.ihk.de/standortpolitik/Nachrichten/Halbzeit-Bilanz_IHK-Legislaturprogramm/3106610

Bewerte diesen Beitrag:
Weiterlesen
6031 Aufrufe
0 Kommentare

Seminar Grundlagen der Forensik am 19.02.2016 von 13:30 bis 17:30 Uhr

Seminar Grundlagen der Forensik am 19.02.2016 von 13:30 bis 17:30 Uhr

Am 19.02.2016 von 13:30 bis 17:30 Uhr referiert Dipl.-Ing. Thomas Käfer, M.Sc. im Euregionalen Jugendgästehaus Colynshof, Maria-Theresia-Allee 260, Aachen zum Thema

Strafrecht/IT-Recht - Grundlagen der digitalen Forensik

im Rahmen den Seminarreihe des Aachener Anwalt Vereins.

Kostenbeitrag:
für Mitglieder des AAV - BAV - KAV 100,00 € zzgl. 19 % MwSt. = 119,00 €
für Nichtmitglieder 110,00 € zzgl. 19 % MwSt. = 130,90 €

Fortbildungsbescheinigung gem. § 15 FAO: 3,5 Zeitstunden
Anmeldung (obligatorisch) und weitere Infos: http://www.aachener-anwaltverein.de/go/seminare.html

Zielgruppe


Dieses Seminar richtet sich gleichermaßen an Juristen als auch an Ermittler und bietet auch für die eigene tägliche Praxis im Umgang mit DV-Systemen anwendbare Sicher-heitshinweise und empfohlene Richtlinien, um Schwachstellen in Systemen oder bei der Handhabung zu schließen bzw. erst gar nicht entstehen zu lassen.

Schwerpunkte


•    IT-Sicherheit, Datenschutz und Datensicherung
•    Verschlüsselung und digitale Signaturen
•    Grundlagen der Digitalen Forensik
•    Cyberkriminalität und Computerstrafrecht aus sachverständiger Sicht
•    Reverse Engineering und Schwachstellenanalyse
•    Browser- und Anwendungsforensik
•    Digitale Kfz-Forensik

Fragestellungen
•    Wie funktioniert Phishing?
•    Wie funktioniert Verschlüsselung und Hashen (von Passwörtern)?
•    Gute und schlechte Passwörter
•    Incident Response – Maßnahmen im Schadensfall (Chain-of-Custody)
•    Technische Fallstricke beim Löschen und Sperren von Kundendaten (Daten-schutz)
•    Private Internet- und E-Mail-Nutzung am Arbeitsplatz (Zugriff und SPAM-Filter)
•    Probleme und Fallstricke beim Prinzip „Bring Your Own Device“
•    Auswertung von Smart-Phones (am Beispiel von Apple IOS-Apps)


 

 

Bewerte diesen Beitrag:
Weiterlesen
12457 Aufrufe
0 Kommentare

2016 wird das Jahre der Ransom-Ware

2016 wird das Jahre der Ransom-Ware

Was ist Ransom-Ware? Unter diesem Begriff versteht man Schad-Software, mit dem der Nutzer (das Opfer) erpresst wird, eine bestimmte Summe Lösegeld für die Entschlüsselung seiner privaten Dateien zu zahlen. Findige Kriminelle haben hier eine neue Einnahmequelle entdeckt. Sie verschicken Schad-Software, die zunächst unbemerkt Nutzdaten des angegriffenen Computers so verschlüsseln, dass diese ohne das entsprechende Passwort nicht mehr lesbar sind. Der Computer wird hierbei durch präparierte Anhänge (z.B. als Word- oder PDF-Dokument getarnt) oder Downloads auf Webseiten infiziert. Dann beginnt die Ransom-Ware im Hintergrund systematisch Dateien wie z.B. Bilder und Office-Dokumente zu verschlüsseln. Nach einiger Zeit erscheint dann eine entsprechende Mitteilung auf dem Bildschirm, in der der Benutzer dazu aufgefordert wird, ein Lösegeld für die Entschlüsselung der Dateien zu zahlen. Hat er kein Backup der Daten, sind diese meist unwiederbringlich verloren, denn eine Garantie, dass man nach Zahlung des Betrages tatsächlich den richtigen Schlüssel zum Entschlüsseln der Daten bekommt, hat man nicht. Und der Täter, die meist im Ausland sitzen, wird man wieder einmal kaum habhaft werden...

Viele Sicherheitsexperten gehen davon aus, dass sich der schon 2015 zu beobachtende Trend in 2016 weiter verstärken wird.

Also Augen auf! Keine Anhänge in Emails öffnen, wenn man dem Absender nicht 100% vertrauen kann und eine entsprechende E-Mail mit Attachement erwartet. Lieber telefonisch nachfragen, ob der vermeintliche Absender die "Rechnung" tatsächlich verschickt hat. Helfen können Virenschutz und Firewall. Einen vollständigen Schutz können auch sie nicht bieten. Daher immer daran denken: Die Intelligenz sitzt (i.d.R.) vor dem Computer. Lieber einmal zuviel als zuwenig nachdenken, was man da anklickt...

Bewerte diesen Beitrag:
Weiterlesen
12655 Aufrufe
0 Kommentare
Empfohlen

US-Regierung und Autobauer: gemeinsam gegen Hacker

US-Regierung und Autobauer: gemeinsam gegen Hacker

Wie Heise am 17.01.2016 meldete, haben sich 18 Autobauer mit der US-Regierung zum Kampf gegen die Hacker verbündet. Die Idee ist ja grundsätzlich schon mal gut und zeigt, dass das Thema IT-Sicherheit im Automobil endlich oben angekommen ist. Das dumme nur: Da fehlt eine wichtige Gruppe: Die Hacker selbst. Wie will man etwas bekämpfen, dass man nicht kennt und von dem man keine Ahnung hat? Besser Idee: In solch einen Kreis gehören auch die Hacker selber - die guten (White-Hats) natürlich. Sonst ist das nur eine öffentlichkeitswirksame PR-Maßnahme...

Mehr Infos unter:

http://www.heise.de/security/meldung/US-Regierung-und-Autobauer-gemeinsam-gegen-Hacker-3072868.html?wt_mc=nl.heisec-summary.2016-01-18

Bewerte diesen Beitrag:
Weiterlesen
10260 Aufrufe
0 Kommentare

Out of Office - Das neue Jahr startet wie das alte endet

Out of Office - Das neue Jahr startet wie das alte endet

Das neue Jahr startet ähnlich, wie das alte Jahr endet - mit einem netten Artikel in der Rubrik "Out-of-Office" in den Wirtschaftlichen Nachrichten der IHK Aachen. Die Presseberichterstattung über unsere Aktivitäten war in 2015 top: Im Fernsehen von der WDR Lokalzeit Aachen mit insgesamt drei Beiträgen über die tagesthemen bis in die tagesschau und in den Printmedien über die Aachener Nachrichten, VDI-Nachrichten, Mobile Business, Technology Review, Welt, Südwest Presse u.a. bis hin zu den bereits oben zitierten Wirtschaftlichen Nachrichten. Ergänzt wurde das durch zahlreiche Vorträge und die Highlights CeBIT-Messebeteiligung und dem Käferlive-Oktoberfest anlässlich meines 25-jährigen Berufsjubiläums. Creme on top: Der erfolgreiche Masterabschluss meines berufsbegleitenden Zweitstudiums Digitale Forensik an der Hochschule Albstadt Sigmaringen.

Läuft.

Und offensichtlich treffen wir mit den Themen d!conomy und Digitaler (KFZ)- Forensik den Nerv der Zeit. Da machen wir weiter…

Bin gespannt, was 2016 bringt. Wie man der launigen Out-of-Office-Kolumne entnehmen kann, wird es wohl wieder nicht langweilig. Freu mich drauf. Anders wär nämlich schlecht.

In diesem Sinne: Guten Rutsch und ein gesundes, glückliches und erfolgreiches Jahr 2016!

Thomas Käfer

Bewerte diesen Beitrag:
Weiterlesen
4932 Aufrufe
0 Kommentare

Thomas Käfer referiert beim 15. Aachener Verkehrssymposium im Autohaus Jacobs Aachen

Thomas Käfer referiert beim 15. Aachener Verkehrssymposium im Autohaus Jacobs Aachen

Berichterstattung der Aachener Nachrichten vom 16.12.2015

Thomas Käfer referiert beim 15. Aachener Verkehrssymposium im Autohaus Jacobs Aachen.

Autonomes Fahren - Wie vielschichtig diese neue Form der Mobilität ist, machten die zahlreichen Vorträge des Symposiums deutlich. Denn wenn der Fahrer nicht mehr wirklich am Steuer sitzt, wer ist dann verantwortlich, sollte es dennoch zu einem Unfall kommen? Und wird es rechtens sein, wenn Gutachter die Steuerelemente des neuen Fahrzeugs auslesen, um Unfälle zu rekonstruieren? Das tun sie allerdings zum Teil bereits heute. Und wie sieht es mit Angriffen von Hackern aus?

Neben vielen anderen Vortragenden referrierte Thomas Käfer über das Thema Diagitale Kfz Forensik...

Bewerte diesen Beitrag:
Weiterlesen
9032 Aufrufe
0 Kommentare

Spezialisten im Kampf gegen Cyberkriminalität - Digitale Forensik feiert erste Absolventen

Spezialisten im Kampf gegen Cyberkriminalität - Digitale Forensik feiert erste Absolventen

Am 21.11.2015 feierten die ersten Absolventen des Master-Studiengangs Digitale Forensik ihren Studienabschluss. Ich wäre gerne bei der Feier dabei gewesen, war jedoch wegen privater Termin leider verhindert. Ich hoffe, die Kommolitonen hatten einen tollen Abend. Den bzw. die eine(n) oder andere(n) wird man sicherlich im beruflichen Alltag bei Projekten oder Incidents wiedertreffen, denn IT-Sicherheit ist ein kontinuierlicher Prozess.

Zu den Artikeln:

http://www.hs-albsig.de/aktuelles/Seiten/Digitale-Forensik-feiert-erste-Absolventen.aspx

http://www.schwarzwaelder-bote.de/inhalt.balingen-ausgebildet-zur-verbrecherjagd-im-weltweiten-netz.094a1f9c-91c5-439c-a055-2922c0056563.html

 

Bewerte diesen Beitrag:
Weiterlesen
9701 Aufrufe
0 Kommentare

NRW Sicherheitstag 02.12.2015

NRW Sicherheitstag 02.12.2015

... und hier kommt noch eine kleine Erinnerung für den NRW Sicherheitstag am 02.12.2015 in Mönchengladbach. Thomas Käfer referiert zum Thema IT-Sicherheit im Umfeld Industrie 4.0 und Automotive...

Weitere Infos: https://www.kaeferlive.de/index.php/events/it-sicherheitstag-nrw-2015

Bewerte diesen Beitrag:
Weiterlesen
9629 Aufrufe
0 Kommentare