Käferlive Blog

No news are bad news! In diesem Sinne berichtet das Team von KaeferLive im Blog regelmäßig über Neuerungen, Interessantes und wichtige Nachrichten aus der IT-Szene. Stay tuned!
Empfohlen

Vorträge auf dem Techday in Wolfsburg und beim 24. Aachener Kolloquium Fahrzeug- und Motorentechnik im Aachener Eurogress

Vorträge auf dem Techday in Wolfsburg und beim 24. Aachener Kolloquium Fahrzeug- und Motorentechnik im Aachener Eurogress

Sowohl auf dem Techday im Phaeno in Wolfsburg am 06.10.2015 als auch auf dem 24. Aachener Kolloquium Fahrzeug- und Motorentechnik des ika/vka der RWTH Aachen im Aachener Eurogress am 07.10.2015 erfreuten sich die Vorträge von Thomas Käfer zum Thema Car-Forensics reger Aufmerksamkeit und großen Zuspruchs. Und auch in den anschließenden Gesprächen mit den Fachleuten aus dem Automotive-Sektor gelang der eine oder andere Beitrag dazu, Automobile und damit vernetzte Infrastrukturen auch unter IT-Sicherheitsaspekten kritisch zu betrachten und damit letztlich das Bewusstsein um die Wichtigkeit der IT-Security für die Road-Safety herauszuarbeiten.

Bewerte diesen Beitrag:
Weiterlesen
4621 Aufrufe
0 Kommentare

Enzo gehackt und geschrottet

Enzo gehackt und geschrottet

Schöner Abschluss der Woche: Ferrari Enzo per App gehackt...

Unsere Bemühungen zum Aufdecken von IT-Sicherheitslücken wurden zum Wochenende mit dem Erfolg gekrönt, dass wir einen Ferrari Enzo erfolgreich "übernehmen" konnten. Okay: es ist kein echter Enzo, sondern nur ein Modell im Maßstab 1:16, der sich mit einem iPhone steuern lässt, aber der Angriffsmechanismus und die Sicherheitslücken sind die gleichen wie bei einem echten Auto. Okay: auch hier gibt es derzeit noch keine Autos, die man per Smartphone rangieren und steuern kann und schon gar nicht einen Ferrari, aber das kommt noch. Ich habe es auf der IAA selbst gesehen...

Es hat letztlich gut zwei Stunden gedauert, bis ich über ein kompromittiertes Smartphone nicht nur Hupe. Licht, Blinker und Motor ein- und ausschalten, sondern das Auto mit Vollgas gegen die Wand steuern konnte. Dabei haben die App-Programmierer ihre Sache gar nicht schlecht gemacht. Ich fand auf Anhieb keine Möglichkeit, den Wagen zu beschleunigen, aber dann... Zuerst habe ich einen Parameter "SetMaxRotorValue" auf 100 gesetzt und dann eine Methode "pause" aufgerufen und die Karre knallte mit Vollgas gegen die Wand. Klingt unlogisch, ist es auch, aber gleichzeitig ist das ein typischer Software-Fehler. Dass ich es nicht geschafft habe, das Auto auch noch zu lenken - Nebensache. Der destruktive Hacker gibt sich damit schon zufrieden.

Und wer sich jetzt beruhigt zurücklegt, weil es ja nur ein ferngesteuertes Modellauto war, dem sei erklärt, dass mit den gleichen Mechanismen auch Apps angegriffen werden können, die bald richtige Autos steuern. Und dass es bei diesen Apps nicht automatisch bessere Sicherheitsstandards gibt, habe nicht nur ich zwischenzeitlich bewiesen. Liebe Automobilindustrie - wir müssen reden!

Und Montag übernehme ich die Flugdrohne von meinem Angestellten...

Bewerte diesen Beitrag:
Weiterlesen
4476 Aufrufe
0 Kommentare

Car2X und die Angriffsmöglichkeiten

Car2X und die Angriffsmöglichkeiten

In diesem kurzen Video zeigen wird die Funktionsweise und Vernetzung im Bereich Car2X und sprechen die Verwundbarkeiten im Hinblick auf die IT Sicherheit an. Wer mehr über unsere Forschungsarbeit Car-Forensics, das Thema Digitale KFZ-Forensik und unsere Dienstleistungen im Bereich Pen-Testing erfahren möchte, dem sei unsere Website www.Car-Forensics.de empfohlen

Link zum Video: https://youtu.be/LHk3KIX4Q8E

 

Bewerte diesen Beitrag:
Weiterlesen
5201 Aufrufe
0 Kommentare
Empfohlen

Fersehberichterstattung über KaeferLive und Car-Forensics

Fersehberichterstattung über KaeferLive und Car-Forensics

Es ist schon ein toller Erfolg, wenn man sieht, wie wir mit unserem Thema Car-Forensics (Digitale KFZ-Forensik) in den letzten Monaten im Fernsehen angekommen sind. Alles hat im Mai 2015 mit einem Bericht in der WDR Lokalzeit Aachen von Bettina Staubitz angefangen. Dann kam Jens Eberl mit dem Bericht über den Jeep Cherokee und den BMW Hack in den tagesthemen am 23.07.2015. Mein O-Ton damals: Jetzt  fehlt nur noch die tagesschau um 20:15 Uhr. Nachdem dann Jens Eberl für ARD PlusMinus Extra am 21.09.2015 und Bettina Staubitz für die Aktuelle Stunde / Lokalzeit Aachen für Stellungnahmen zum VW Abgasskandal anklopften, landete der Beitrag dann final auch am 22.09.2015 in der tagesschau. Das nenne ich mal den finalen Ritterschlag. Like. Fast untergegangen ist dabei die Sendung "Fakt ist..." vom MDR Sachsen ebenfalls am 21.09.2015 22:15 Uhr, der zumindest ein paar Aspekte der IT-Sicherheit beim Autonomen Fahren aufgegriffen hat.

Wenn es interessiert: Unter https://youtu.be/dhK2LhIV3Uk haben wir eine Medienzusammenstellung hochgeladen. Vielen Dank an ARD, WDR und MDR für die tolle Berichterstattung.

Markiert in:
Bewerte diesen Beitrag:
Weiterlesen
7660 Aufrufe
0 Kommentare

Verschummelt und verschaukelt – oder: Wie Software richtig teuer wird.

Verschummelt und verschaukelt – oder: Wie Software richtig teuer wird.

VW hat gerade rd. 16 Milliarden Euro Kurswert verloren und es drohen durch die Strafzahlungen weitere Milliardenverluste, die nach Meinung von Finanzexperten existenzbedrohend sein könnten. Und das alles „nur“, weil ein Motorsteuerprogramm für die Einhaltung der strengen Emissionsgrenzwerte über einen Trick sorgte. Der Berichterstattung und dem Eingeständnis von VW-Chef Winterkorn ist zu entnehmen, dass die Software im Fahrzeug erkennt, wenn ein Prüflauf der Schadstoffe auf einem Rollenprüfstand stattfindet und dann die Abgasreinigung aktiviert bzw. den Motor in einem optimalen Bereich regelt. Für die normale Fahrt war die Motorkennlinie wohl nicht geeignet und das Auto zu träge.

Wie erkennt ein Automobil, ob es gerade geprüft wird?

Die Detektion, ob sich ein Fahrzeug auf einem Rollenprüfstand befindet, ist relativ einfach. Besitzt der Prüfstand nur zwei Rollen, dann drehen sich die Räder einen Achse und die der anderen nicht. So etwas kann man leicht durch Auswertung der ABS-Sensoren an jedem Rad ermitteln. Bei einem Allradprüfstand ist es etwas aufwendiger. Hier kann man z.B. feststellen, dass sich alle Räder einer Achse mit derselben Umdrehungsgeschwindigkeit drehen und das Fahrzeug also immer geradeaus fährt. Die Straße möchte ich sehen, auf der das von Fahrtbeginn bis Ende funktioniert. Und wenn das nicht reicht, gleicht man die angebliche Fahrbewegung mit GPS- und Bewegungssensordaten ab oder prüft Parameter wie z.B. die Geschwindigkeit der einströmenden Kühlerluft usw.. Aber auch das Fahrprofil ist auffällig. Da wird nach einem fest definierten Schema beschleunigt und abgebremst und bestimmte Geschwindigkeitsbereiche angefahren und für eine Zeit gehalten. Irgendwann hat man genug Indizien gesammelt und schaltet sicherheitshalber in den „Eco“-Modus.

Diese Entscheidungsweiche lässt sich leicht in das Motorensteuerprogramm einbauen. Sprechen genügend Indizien für einen Prüflauf, dann aktiviert man Motorenprogramm und Kennlinie A und ansonsten benutzt man Kennlinie B, die mehr Leistung und offenbar mehr Emissionen produziert. Das gleiche funktioniert auch mit dem Verbrauch.

Warum prüft man überhaupt auf dem Prüfstand und nicht im realen Fahrbetrieb?

Ein Prüfstand liefert reproduzierbare und vergleichbare Werte und ermöglicht einen objektiven Vergleich zwischen Fahrzeug A und Fahrzeug B auch über Herstellergrenzen hinweg. Umwelteinflüsse wie Temperatur, Wind und Luftfeuchtigkeit kann man ebenso eliminieren wie die Unterschiede durch den menschlichen Gasfuß und die ständig wechselnde Verkehrslage im Echtbetrieb. Und abgesehen davon benötigt man für genaue Tests auch Equipment, welches sich schwer in einem Kofferraum unterbringen lässt. Also sind Prüfstandtests gut.

Die Verbrauchs- und Emissionswerte dürfen nur in der Praxis nicht allzu sehr von den Prüfstandwerten und Werksangaben abweichen, sonst wird der Verbraucher sauer. Erstaunlicherweise klappt das bei Hersteller A manchmal besser als bei Hersteller B und wenn Realverbrauch (und die Emissionen) um 10-15 % über der Werksangabe liegen, dann ist das meist dem unsensiblen Gasfuß des Fahrers geschuldet und vollkommen in Ordnung.

Bei VW war das jetzt wohl etwas anders und nach jüngsten Berichten sind möglicherweise rd. 11 Mio. Fahrzeuge weltweit betroffen.

Besonders ärgerlich und letztlich weit schlimmer ist, dass nun auch andere Autobauer unter Verdacht geraten. Wer sagt denn, dass die nicht geschummelt haben? Ohne Zweifel sind die neuen Abgasnormen (hier Euro 6) eine enorme ingenieurmäßige Herausforderung. Hat nur VW das nicht hinbekommen oder sind auch Motoren anderer Hersteller prüfstandoptimiert?

Die Lösung: Flucht nach vorn!

Die Ehrlichen sind jetzt auch die Dummen, weil ihnen unterstellt wird, auch geschummelt zu haben. Jetzt hilft nur eins: Nachweisen, dass die Unterstellungen haltlos sind! Da hilft kein nemo tenetur-Grundsatz oder Beweislastgebot. Nur wenn die Autohersteller nachweisen, dass ihre Autos und die Software tatsächlich sauber sind, kehrt das Vertrauen in die deutsche Ingenieurkunst wieder zurück.

Wie gelingt der Nachweis?

Es gibt einen einfachen und einen beschwerlichen Weg.

Der einfache Weg: Die Autoindustrie lässt ihre Fahrzeuge von unabhängigen Sachverständigen untersuchen und unterstützt diese bei deren Arbeit durch Offenlegung der zu begutachtenden Systeme. Das funktioniert auch mit Geheimhaltung von markenspezifischen Knowhows.

Der beschwerliche Weg: Forensiker und Sachverständige prüfen ohne Herstellerunterstützung die Fahrzeuge und die in den Motorsteuergeräten enthaltene Software. Das bedeutet für jedes Fahrzeug einen nicht unerheblichen Reverse-Engineering-Aufwand mit großem Zeit- und Kostenaufwand.

Und einer muss die Zeche zahlen: Umweltverbände und die Politik tuen sich leicht damit, jetzt eine Überprüfung aller Fahrzeuge in Deutschland, der EU oder weltweit zu fordern. Nur wer bezahlt den Aufwand? Darauf hoffen, dass es – wie bei den IT-Sicherheitsvorfällen rund um das Automobil – immer wieder Enthusiasten gibt, die das kostenlos machen, sollte man nicht.

Also: Wer macht mit und wer bezahlt?

Zwei einfache Fragen, mit deren Antwort man die Kuh zügig vom Eis bekommt. Und das ist wichtig für den Wirtschaftsstandort Deutschland.

Falls Forensik-Knowhow benötigt wird: Ich weiß, wer sich damit auskennt und noch ein paar andere kennt, die sich damit auskennen… Tel. 02405/47949-0. Ich bin mal gespannt, wer gleich anruft…

http://www.ardmediathek.de/tv/Tagesschau/tagesschau-20-00-Uhr/Das-Erste/Video?documentId=30717036&bcastId=4326

Berichterstattung in den Medien mit Beteiligung von Thomas Käfer

Übrigens, wenn es interessiert, wie das ganze in Bildern aussieht, der kann das hier in der ARD tagesschau, dem ARD PlusMinus-Extra und der Aktuellen Stunde des WDR anschauen:

http://www.ardmediathek.de/tv/Tagesschau/tagesschau-20-00-Uhr/Das-Erste/Video?documentId=30717036&bcastId=4326

http://www.ardmediathek.de/tv/Lokalzeit-aus-Aachen/Lokalzeit-aus-Aachen/WDR-Fernsehen/Video?documentId=30715644&bcastId=7293556
 

Bewerte diesen Beitrag:
Weiterlesen
5087 Aufrufe
0 Kommentare

Impressionen vom KaeferLive Oktoberfest

Impressionen vom KaeferLive Oktoberfest

Das war ein tolles Fest! Vielen Dank an alle, die dazu beigetragen haben, unser 25-jähriges Firmenjubiläum und die Party zu meinem Master-Titel zu einem unvergesslichen Abend zu machen!

Bewerte diesen Beitrag:
Weiterlesen
3571 Aufrufe
0 Kommentare
Empfohlen

Zwei auf einen Streich - Berichterstattung in ARD und MDR vom 21.09.2015

Zwei auf einen Streich - Berichterstattung in ARD und MDR vom 21.09.2015

Zwei auf einen Streich... Am 21.09.2015 fast zeitgleich in MDR und ARD Beträge bzw. Stellungnahmen zur Digitalen KFZ Forensik von mir. Das schaffen sonst nur wichtige Leute... ;-).

Jetzt bin ich gespannt, wie ernst es Herrn Dobrinth und Umweltschutzorganisationen (wie z.B. der Deutschen Umwelthilfe) mit der Aufklärung ist, ob auch andere Automobilkonzerne bei Emissionswerten geschummelt haben... Google kennt meine Telefonnummer. Ob VW, Daimler, BMW wohl nachher anrufen oder wieder den Kopf in den Sand stecken? Transparenz und ein offener Umgang mit den Vorwürfen könnte verlorenes Vertrauen in deutsche Ingenieurkunst wieder herstellen. Egal ob verschleierte Routinen zur Erkennung von Prüfstanduntersuchungen oder IT-Sicherheitslücken im Fahrzeugumfeld: Wir könnten das unabhängig und objektiv untersuchen und das ist offenbar dringend nötig, sonst sind alle die tollen Ideen unserer Ingenieure letztlich Makulatur. Und das wäre wirklich ein Desaster.

ARD Plusminus-Beitrag vom 21.09.2015: http://www.ardmediathek.de/tv/ARD-Sondersendung/Plusminus-extra-Manipulationsskandal-be/Das-Erste/Video?documentId=30700856&bcastId=3304234&mpage=page.download

MDR-Beitrag „Fakt ist…“ vom 21.09.2015: http://www.ardmediathek.de/tv/Fakt-ist-/Fakt-ist-/MDR-Fernsehen/Video?documentId=30700978&bcastId=7545460

 

(ggf. begrenze Dauer der Verfügbarkeit)

Bewerte diesen Beitrag:
Weiterlesen
4746 Aufrufe
0 Kommentare

Impressionen von der Veranstaltung "Hallo Nachbar" bei KaeferLive am 17.09.2015

Impressionen von der Veranstaltung "Hallo Nachbar" bei KaeferLive am 17.09.2015

Am 17.09.2015 gastierte die "Road-Show" "Hallo Nachbar" bei Käfer IT. Zu Gast waren Unternehmer aus der Region Aachen sowie Vertreter der Städteregion Aachen, der Agit und der IHK Aachen. Der Hauptgeschäftsführer Michale F. Bayer richtete zu Beginn der Veranstaltung freundliche und wohlwollende Worte und Grüße an den Jubilar Thomas Käfer und sein Team. Mit einem nach Aussage der Gäste kurzweiligen Vortrag über die Geschäftsfelder der Käfer EDV Systeme GmbH übernahm Thomas Käfer das Wort, um dann zum Networking der Gäste untereinander beim Oktoberfestbuffet und Fassbier überzuleiten.

Die Party geht heute weiter und wir feiern mit Freunden, Kunden und Weggefährten 25 Jahre IT aus dem Haus Käfer und den Mastertitel Master of Science Digitale Forensik, den Thomas Käfer kürzlich erlangt hat.

Bewerte diesen Beitrag:
Weiterlesen
5766 Aufrufe
0 Kommentare

Forschungsbericht Car-Forensics veröffentlicht und beziehbar

Forschungsbericht Car-Forensics veröffentlicht und beziehbar

Der Forschungsbericht Car-Forensics (DIN A4 mit zahlreichen farbigen Visualisierungen) ist nun als eBook (PDF) im Buchhandel (u.a. BOD) zu beziehen. Eine Preview mit den ersten 30 Seiten ist kostenlos erhältlich. Das eBook kostet 235,00 Euro, das Hardcover 285,00 Euro. mit dem Kaufpreis unterstützen Sie die privat finanzierte Forschungsarbeit.

Eine Leseprobe erhalten Sie kostenlos, wenn Sie diese per E-Mail bei uns anfordern: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Bewerte diesen Beitrag:
Weiterlesen
3833 Aufrufe
0 Kommentare

Berichterstattung in den Aachener Nachrichten vom 15.09.2015

Berichterstattung in den Aachener Nachrichten vom 15.09.2015

Ups, schon wieder in der Zeitung... Schöne Serie... Mal sehen, ob es etwas bringt, denn heute habe ich ein Update der Ford Carsharing App installiert. Die Betreiber des Portals haben 5 Monate gebraucht, um die von mir gemeldete Sicherheitslücke zu schließen. Ich brauchte heute gerade mal 5 Minuten, um die nächste Schwachstelle zu finden. Soll das jetzt so weitergehen oder fragt man uns Forensiker jetzt mal vorher?

https://www.aachener-nachrichten.de/news/digital/die-gefahr-ist-real-auto-hacks-schrecken-branche-auf-1.1179425

 

 

 

Bewerte diesen Beitrag:
Weiterlesen
3660 Aufrufe
0 Kommentare