• Online: 1.228

Technik-und-OT-Blog

Technik, Wirtschaft, Weltherrschaft.

Thu Jun 17 19:56:15 CEST 2010    |    pibaer    |    Kommentare (38877)

gerger

Angesichts des doch ausgeprägten Diskussionsbedarfs über technische Hintergründe und insbesondere die Frage, welcher Hersteller in welchem Bereich wohl bald die Weltherrschaft an sich reißen wird, ist hier Platz für solche Diskussionen. Hier wird nicht zensiert, nur weil der Lieblingshersteller ein anderer ist oder die Meinung von der des Blog-Erstellers abweicht.


Mon Jul 13 13:25:41 CEST 2015    |    passat32

Als Unternehmer fasziniert mich die Kunst, mit Produkten Geld zu verdienen. Wenn man sich überlegt, das Wievielfache Android verkaufen muss um nicht ansatzweise den Gewinn zu fahren, dann ist das ein bitteres Trauerspiel.

Mon Jul 13 13:27:11 CEST 2015    |    Achsmanschette51801

Android verkauft selbst keine Geräte, oder?

 

Android ist übrigens Mist. Nicht so schlimm wie Apple, aber doch schon. Wenn man etwas Anständges kennt, ist beides Scheiße.

Mon Jul 13 13:30:17 CEST 2015    |    passat32

... wie ich Dich kenne ist bestimmt Windows Phone das Beste :D ...

 

wobei ich Dir dahingehend recht gebe, das ich WP deutlich besser finde als Android. Nur das WP immer mehr in der Versenke verschwindet ...

Mon Jul 13 13:55:31 CEST 2015    |    touranfaq

Zitat:

Als Unternehmer fasziniert mich die Kunst, mit Produkten Geld zu verdienen.

Ich finde es auch faszinierend dass sich genug Dumme finden die diese überteuerten Seniorenhandys kaufen. Aber deshalb muss ich sowas nicht selbst auch kaufen.

Mon Jul 13 14:14:19 CEST 2015    |    Achsmanschette51801

Sascha, sagen wir es hat seinen Grund, warum ich mich für Windows Phone entschieden habe.

Mon Jul 13 14:24:40 CEST 2015    |    touranfaq

Ich weiß echt nicht wie Sascha immer auf die Idee kommt dass die ganze Menschheit diesen Apple-Krempel kauft. Menschen sind nunmal unterschiedlich, ebenso deren Ansprüche. Und wenn ich ein Smartphone möchte, dann möchte ich eben ein Smartphone und nicht so ein eingeschränktes Seniorentelefon.

Mon Jul 13 14:26:45 CEST 2015    |    passat32

Zitat:

Sascha, sagen wir es hat seinen Grund, warum ich mich für Windows Phone entschieden habe.

ich weiß Michaela, DU bist was ganz Besonderes!! :D

Mon Jul 13 14:49:08 CEST 2015    |    Reachstacker

Hahahaha !!! :D :D :D

 

Dumb Bells!!! :p

Nit Wits !!! :P

 

Nich alle Tassen im Schrank !!! :P

 

 

 

 

Pete :D

Mon Jul 13 20:55:11 CEST 2015    |    pibaer

Sag mal Sascha, hast Du sonst keine Themen als Dein Mitteilungsbedürfnis dazu, dass Du viel zu viel Kohle bezahlt hast und Dich als Unternehmer noch darüber freust? :D

 

Berichte doch mal was Interessantes.

Mon Jul 13 21:25:29 CEST 2015    |    touranfaq

Wenn man sich diese überteuerten Seniorenhandys kauft muss man sich eben damit rechtfertigen ein Mitglied der Schafherde zu sein. Also lass ihn doch :p

Mon Jul 13 21:39:14 CEST 2015    |    pibaer

Na ja, von mir aus. Hätte ja nur sein können, dass Sascha ein interessantes Leben hat und wir hier nur den Apple-Trash abbekommen. :)

Tue Jul 14 09:38:09 CEST 2015    |    touranfaq

Zitat:

Hätte ja nur sein können, dass Sascha ein interessantes Leben hat und wir hier nur den Apple-Trash abbekommen.

*ROFL* der war gut! :D

Tue Jul 14 20:51:10 CEST 2015    |    Achsmanschette51801

:D

Aber echt.

Nee, Sascha ist Passatfahrer, da ist der Apple-Trash der interessante Teil :D

Wed Jul 15 13:19:44 CEST 2015    |    Reachstacker

Gestern Nacht mitten im Dienstag Jam hat der Bass Spieler (53) einen massiven Herzinfarkt gehabt. Praktisch war er tot. Nach etwas Aufregung fand jeder der Musikantenfamilie ihren Platz und von 911 rufen, ueber CPR, bis auf der Strasse stehen um den Krankenwagen am vorbeifahren zu hindern, fand jede(r) was produktives zu tun. Die EMT mussten zur Schockmaschine greifen. Ab ins Krankenhaus und 2 Stents** spaeter lebt er wieder ;) Andere fuhren die Frau zum Krankenhaus und leisteten ihr Gesellschaft (die war ein nervoeses Wreck) und einer fuhr sie nach Hause. Die anderen halfen die Bude aufzuraeumen.

 

Beeindruckend das Ganze! Das nenn ich Familie! :cool:

 

** Keine Ahnung was es auf Deutsch ist. Es sind kleine Gitterroehrchen die in die Arterie eingestzt werden um Blockierungen zu oeffnen.

 

PS: Der einzige Nachteil der Sache war das es nicht viel Musik gab... ;)

 

 

 

Pete

Wed Jul 15 13:26:51 CEST 2015    |    touranfaq

Zitat:

Keine Ahnung was es auf Deutsch ist.

Stent heißt das auch bei uns ;)

Thu Jul 16 20:57:05 CEST 2015    |    pibaer

Jep, und damit laufen erstaunlich viele Leute herum. Seit kurzem auch mein Nachbar, der konnte sich aber den Notarzt noch selber rufen...

Fri Jul 17 00:43:40 CEST 2015    |    invisible_ghost

Ich habe auch zwei davon. Die Einsetzprozedur ist widerlich, glaubts mir.

Fri Jul 17 00:51:00 CEST 2015    |    Reachstacker

Zitat:

pibaer:

Jep, und damit laufen erstaunlich viele Leute herum. Seit kurzem auch mein Nachbar, der konnte sich aber den Notarzt noch selber rufen...

Die Bevoelkerung waechst halt langsam in des gefaehrliche Alter und der Lebensstil hilft auch nicht unbedingt...

 

Der Gute ist grade im Op Saal und kriegt 2 mehr Stents verpasst. Sein Anfall war so massiv der hat Glueck das er noch lebt. Da waren mehrere Leute die CPR koennen und die Sanitaeter kamen recht schnell.

 

 

Ich habe 3 Stents aber es ist ziemlich Ruhe seit ich meine Lebensart geaendert habe. Mein bester Klassenkamerad in Kuelsheim ist letztes Jahr an Herzinfarkt verstorben.

 

 

Man macht Musik und hofft aufs Beste. :)

 

 

@ I_G

 

Ich habe die Stent Prozedur nicht so schlimm gefunden aber vielleicht machen sie es bei euch anders?

 

 

 

Pete

Fri Jul 17 00:58:49 CEST 2015    |    invisible_ghost

@ Pete

 

Schlauch in die Oberschenkelarterie und durch den werden die Stents gesetzt.

 

 

Gruß

 

Ghost

Fri Jul 17 03:15:44 CEST 2015    |    Reachstacker

Gleiche Prozedere. In D rufen sie dann die Zahlen in metrisch aus. LOL

 

Mein erster Doktor war ein aelterer Deutscher der in den 50ern in die USA ist. Er war vom Saarland.

 

 

 

Pete

Sat Jul 18 00:38:14 CEST 2015    |    pibaer

Ja, durch den Oberschenkel war es auch beim Nachbar...

Mon Jul 20 19:59:50 CEST 2015    |    pibaer

Mal was Erfreuliches:

 

In diese Straßen fließen jetzt Milliarden

 

Erwartungsgemäß haben die links-grünen Schwätzer trotzdem noch was zu meckern:

 

Die Grünen-Politikerin Valerie Wilms wies darauf hin, dass es bei mehr als der Hälfte der Projekte um Ortsumgehungen gehe, die keinen Effekt für das überregionale Straßennetz hätten. „Dobrindt beglückt mit Ortsumgehungen einzelne Wahlkreise. Das geht zwangsläufig auf Kosten vieler anderer, die weiter im Stau stehen werden“, urteilte die Abgeordnete.

 

Gerade Ortsumgehungen sind Dinge, die nicht "einzelne Wahlkreise" beglücken, sondern vielen Anwohnern erst ein erträgliches Umfeld verschaffen. Und das oft erst nach Jahrzehnten von Planungen und Verzögerungen. Aber wie immer, sobald es den Menschen zugute kommt, wird es für links-grüne Ideologen unerträglich.

Thu Jul 23 10:23:03 CEST 2015    |    touranfaq

Jeep remote über das Internet gehackt

 

Und zwar nicht nur das Infotainment, nein. Komplett lahmgelegt.

Thu Jul 23 10:23:43 CEST 2015    |    passat32

jaaaaa, hab es auch schon gelesen. Fiat halt ...

Thu Jul 23 10:26:42 CEST 2015    |    touranfaq

Zitat:

Fiat halt ...

Das hat nix mit einem bestimmten Hersteller zu tun. Die verbauten Systeme kommen ja von einem Zulieferer und können in allen möglichen Autos verbaut sein. Und ein VW wurde bisher nur deshalb noch nicht gehackt weil die in den USA quasi inexistent sind ;)

 

EDIT, ich sehe gerade... die wurden auch schon gehackt. Zwar nicht Remote, aber immerhin ;)

Thu Jul 23 17:13:53 CEST 2015    |    pibaer

Preisfrage: Wie deaktiviert man per CAN eine Bremse? Lässt die Software mal schnell die Bremsflüssigkeit ab? :D

 

Abgesehen von lokal ausnutzbaren Fehlern im Netzwerkstack solcher Geräte: Der größte Teil der Geschichte klingt nach Märchen, weil die meisten Steuergeräte, insbesondere bei Bremse und Lenkung, überhaupt nicht irgendwelche beliebigen Befehle ausführen, sondern intern relativ starke Absicherungsstrategien fahren, damit amoklaufende Steuergeräte oder falschen Nachrichten nichts Schlimmes bewirken. Bei Lenkung und Bremse bist Du damit typischerweise auf ASIL-D-Level und damit weit weg von irgendwelchen "Ich schicke mal was über CAN und steuere damit das Auto"-Märchen. Auch die Schnittstellen für Assistenzsysteme unterliegen solchen Regelwerken, die stets die Beherrschbarkeit durch den Fahrer garantieren müssen.

Abgesehen davon, dass Du die mechanischen Verbindungen bei Lenkung und Bremse gar nicht per Software deaktivieren kannst...

 

Und dann kommt noch hinzu, dass die meisten Botschaften Zähler enthalten. Damit ist es praktisch nicht möglich, sich einfach einzuklinken und als Dritter irgendwelche zusätzlichen Nachrichten zu schicken, ohne aufzufallen.

 

Also alles in Allem: Wenn nicht ganz brutal (praktsich schon vorsätzlich) und durchweg der stinknormale Stand der Technik verletzt wurde (in Zeiten von ISO26262 sehr unwahrscheinlich), ist das Befördern eines informierten Fahrers per "Fernsteuerung" ein Märchen für Leute, die automobile Kommunikationsarchitekturen mit üblichen Rechnernetzwerken verwechseln.

Thu Jul 23 18:16:22 CEST 2015    |    touranfaq

Zitat:

Preisfrage: Wie deaktiviert man per CAN eine Bremse? Lässt die Software mal schnell die Bremsflüssigkeit ab?

Von Bremse deaktivieren stand da gar nix. Nicht genau gelesen?

 

Immediately my accelerator stopped working. As I frantically pressed the pedal and watched the RPMs climb, the Jeep lost half its speed, then slowed to a crawl.

 

Alle modernen Fahrzeuge haben mittlerweile E-Gas, wieso soll das also nicht möglich sein?

 

Das Fahrzeug, wo sie die Bremsen deaktiviert haben war ein Prius und ein Ford Escape, beides Hybridfahrzeuge. Und dort waren sie auch direkt im Bordnetz:

 

In the summer of 2013, I drove a Ford Escape and a Toyota Prius around a South Bend, Indiana, parking lot while they sat in the backseat with their laptops, cackling as they disabled my brakes

 

Da ein Hybrid ja "elektronisch" bremst (erst durch Rekuperation, dann mechanisch) ist das durchaus denkbar, vor allem wenn man direkt mit dem Bordnetz verbunden ist.

 

Zitat:

Wenn nicht ganz brutal (praktsich schon vorsätzlich) und durchweg der stinknormale Stand der Technik verletzt wurde (in Zeiten von ISO26262 sehr unwahrscheinlich), ist das Befördern eines informierten Fahrers per "Fernsteuerung" ein Märchen für Leute, die automobile Kommunikationsarchitekturen mit üblichen Rechnernetzwerken verwechseln.

Ja, das ist immer die gleiche Leier:

 

"Eigentlich" sollten solche Systeme fehlerfrei und sicher gegen Einbrüche von außen sein. Bis dann einer kommt, einen Sicherheitslücke findet und diese ausnutzt ;)

 

Oder wie Fefe das schön umschrieben hat:

 

Das statistisch größere Problem ist natürlich, dass ich als Programmierer weiß, auf welchem Niveau Software entwickelt wird, und daher sehr zurückhaltend bin, anderer Leute Software mein Leben anzuvertrauen, wenn ich es vermeiden kann.

 

Im übrigen hat Jeep den Hack ja indirekt bestätigt und die ausgenutzte Schwachstelle beseitigt.

Thu Jul 23 19:36:04 CEST 2015    |    pibaer

Zitat:

Von Bremse deaktivieren stand da gar nix. Nicht genau gelesen?

Ach nein?

 

cackling as they disabled my brakes,[...]

[...]Miller and Valasek’s full arsenal includes functions that at lower speeds fully kill the engine, abruptly engage the brakes, or disable them altogether

 

Nicht genau gelesen? Auch wenn das "disabled" sich auf eine direkte Verbindung bezieht - es ist derselbe Bullshit, weil sie behaupten, das per CAN-Bus zu tun.

 

Zitat:

Alle modernen Fahrzeuge haben mittlerweile E-Gas, wieso soll das also nicht möglich sein?

Wie Du selber zitiert hast, ist doch die Drehzahl angestiegen. Was man unter Umständen erreichen kann, ist das Automatikgetriebe in den Fehlerzustand zu schicken und das schaltet dann auf N.

 

Zitat:

Da ein Hybrid ja "elektronisch" bremst (erst durch Rekuperation, dann mechanisch) ist das durchaus denkbar, vor allem wenn man direkt mit dem Bordnetz verbunden ist.

Mich würde noch immer interessieren, wie man eine hydraulische Bremse per Software deaktiviert.

Selbst bei "fly by wire"-Systemen ist zwischen Bedienelement und dem Bremsaktor kein CAN-Bus, zwischen den man sich hacken kann.

 

Zitat:

"Eigentlich" sollten solche Systeme fehlerfrei und sicher gegen Einbrüche von außen sein. Bis dann einer kommt, einen Sicherheitslücke findet und diese ausnutzt ;)

Solche Sätze sind reine Plattitüden.

 

Zitat:

Oder wie Fefe das schön umschrieben hat:

 

Das statistisch größere Problem ist natürlich, dass ich als Programmierer weiß, auf welchem Niveau Software entwickelt wird, und daher sehr zurückhaltend bin, anderer Leute Software mein Leben anzuvertrauen, wenn ich es vermeiden kann.

Das Problem ist, dass sich Programmierer und Informatiker für allwissend halten und die anderen für dumm. Dabei haben die meisten keinen Schimmer von Software-Architekturen, Entwicklungsprozessen und Absicherungsstrategien in der Luftfahrt, Automotive-Bereich oder beispielsweise der Medizintechnik. Das hat alles nichts mit dem Schund zu tun, den irgendwelche Software-Buden für teuer Geld auf den dummen Endkunden loslässt und der dort reift (wenn der Kunde Glück hat).

 

Zitat:

Im übrigen hat Jeep den Hack ja indirekt bestätigt und die ausgenutzte Schwachstelle beseitigt.

Da geht es aber nur um die lokal ausnutzbare Schwachstelle.

Thu Jul 23 19:44:11 CEST 2015    |    touranfaq

Zitat:

Nicht genau gelesen? Auch wenn das "disabled" sich auf eine direkte Verbindung bezieht - es ist derselbe Bullshit, weil sie behaupten, das per CAN-Bus zu tun.

"Disable the brakes" war beim Hybrid. Und dort geht das.

 

Zitat:

Was man unter Umständen erreichen kann, ist das Automatikgetriebe in den Fehlerzustand zu schicken und das schaltet dann auf N.

Und das ist kein schwerwiegender Eingriff? ;)

 

Zitat:

Mich würde noch immer interessieren, wie man eine hydraulische Bremse per Software deaktiviert.

Nochmal: Es waren Hybridfahrzeuge. Und bei deren Bremse

 

(...) sieht das ganz anders aus. Als Hybridauto, in dem der Verbrennungsmotor nicht ununterbrochen arbeitet, kann es mit einem herkömmlichen Bremskraftverstärker nichts anfangen – ist der Motor aus, gibt es schließlich auch keinen Unterdruck. Deshalb stellt eine elektrohydraulische Pumpe den nötigen Bremsdruck bereit.

 

Man braucht also nur diese Pumpe lahmzulegen, schon ist nix mehr mit Bremsen.

 

Zitat:

Solche Sätze sind reine Plattitüden.

Nein, solche Sätze beschreiben einfach die Realität. Wie oft habe ich schon gehört "Eigentlich hätte das und das nicht passieren sollen, denn wir haben doch diese und jene Maßnahme bla bla". Und dann passiert es doch. Irgendjemand ist nämlich immer schlauer und denkt weiter als man selbst. Leider sind 99% aller Ingenieure/Techniker zu stolz (oder zu dumm) das zu erkennen ;)

 

Zitat:

Das Problem ist, dass sich Programmierer und Informatiker für allwissend halten und die anderen für dumm. Dabei haben die meisten keinen Schimmer von Software-Architekturen, Entwicklungsprozessen und Absicherungsstrategien in der Luftfahrt, Automotive-Bereich oder beispielsweise der Medizintechnik.

*LOL* weil Du gerade die Medizintechnik anführst: Ich habe im Jahr 2008 eine Schilddrüsenuntersuchung in der Nuklearmedizin an einer renomierten Uniklinik machen lassen. Der Rechner der das System steuerte hatte noch Windows 95 (sic!) drauf. Da ist der Support schon 2000 abgelaufen. Und das ist keine Ausnahme, egal ob Arztpraxis oder Krankenhaus, da stehen noch massig Rechner mit Windows XP oder Windows 2000 rum, mit irgendwelchen "Spezialanwendungen" die noch nie einen Patch gesehen haben. Und alle schön am Kliniknetz, die RJ45 Buchsen sogar in Warteräumen zugänglich. Wer da mal ne halbe Stunde Zeit hat... will ich mir gar nicht ausmalen.

 

Zitat:

Da geht es aber nur um die lokal ausnutzbare Schwachstelle.

Nope. Schwachstelle war das GSM-Modul.

 

Der Golem-Artikel ist übrigens wesentlich informativer, offenbar wurde vor dem Hack die Firmware eines Steuergeräts modifiziert. Das relativiert das "von außen gehackt" natürlich ein wenig, weil das Steuergerät (so verstehe ich das) offline präpariert wurde und man die Schwachstelle im GSM-Modul nur zum Senden der eigentlichen Befehle ausnutzte. Trotzdem ein beeindruckendes Ergebnis.

Thu Jul 23 20:03:41 CEST 2015    |    pibaer

Und um das nochmal klarzustellen:

 

PC-Software und PC-Netzwerke haben nichts mit dem zu tun, das für Steuerungen im Automobilbereich, der Flugzeugtechnik oder anderen sicherheitskritischen Bereichen entwickelt wird. Weder vom Entwicklungsprozess her noch von Tests und Absicherungsstrategien. Und auch die Bussysteme, -architekturen sehen ganz anders aus. Beim Entwickeln elektronischer Systeme mit sicherheitskritischem Hintergrund finden Normen wie die IEC61508 oder deren anwendungsnahen Normen wie beispielsweise die ISO26262 Anwendung. Und die fordern beispielsweise umfangreiche Analysen bezüglich Fehler- und Ausfallmöglichkeiten und deren Auswirkung. Hinzu kommen recht strenge Regeln, wie solche Systeme umzusetzen sind, bis hin zu Dingen wie MISRA, ausführlichen Review-Prozessen und Tests beispielsweise.

 

Bei vielen Kommentaren gerade von Informatikern oder Programmierern erkennt man leicht, dass sie von solchen Dingen nie gehört haben, aber mal pauschal die Erfinder und Entwickler solcher Systeme für genauso doof halten, wie sie selber sind.

 

Süß ist auch immer wieder, wenn solche Leute vom "Hacken" des CAN-Bus schreiben. Den kann man gar nicht hacken, der ist nicht gesichert und muss das auch gar nicht wirklich sein. Der muss robust gegenüber elektromagnetischen Einflüssen sein und möglichst fehlerfrei übertragen. Die Sicherung findet auf der Ebene der Steuergeräte selber statt und der Art, wie Daten übertragen werden. Daten müssen beispielsweise innerhalb eines festen Zeitrasters kommen, einen fortlaufenden Counter haben und sind oft auch per CRC hinsichtlich ihrer Robustheit gegenüber Bitfehlern gesichert. Damit erfolgt bereits ein Teil der Absicherung (das Einschleusen zusätzlicher Nachrichten bei Verwendung von Message-Countern dürfte sehr schwierig werden). Der Rest ist in den Steuergeräten drin, die eben irgendwelche Befehle von außen nur so weit umsetzen, wie das im Rahmen der Beherrschbarkeit durch den Fahrer vorgesehen ist.

Damit kann man auch Geschichten vergessen, bei denen die Fahrer praktisch ohne Eingriffsmöglichkeit ferngesteuert werden. Das, was nicht jedes handelsübliche Assistenzsystem in dem jeweiligen Fahrzeug sowieso schon darf, darf auch keiner der tollen Hacker (und die werden kaum so weit kommen, siehe Message-Counter). Inklusive Übersteuerungsmöglichkeit durch den Fahrer.

Thu Jul 23 20:16:08 CEST 2015    |    touranfaq

Zitat:

Und auch die Bussysteme, -architekturen sehen ganz anders aus.

Und nur weil etwas "anders" aussieht, ist es sicherer?

 

Zitat:

Beim Entwickeln elektronischer Systeme mit sicherheitskritischem Hintergrund finden Normen wie die IEC61508 oder deren anwendungsnahen Normen wie beispielsweise die ISO26262 Anwendung.

Joh geh fodd mit Normen! Jeder Automobilhersteller inkl. seiner Zulieferer ist nach ISO90xx zertifiziert, was keinen davon abhält Murks zu bauen. Und ein Entwickler für Embedded Systeme arbeitet genau so unter Zeitdruck wie jeder andere SW-Entwickler, Fehler also inklusive.

 

Zitat:

Die Sicherung findet auf der Ebene der Steuergeräte selber statt und der Art, wie Daten übertragen werden. (...) Der Rest ist in den Steuergeräten drin, die eben irgendwelche Befehle von außen nur so weit umsetzen, wie das im Rahmen der Beherrschbarkeit durch den Fahrer vorgesehen ist.

Und genau da haben die Jungs angesetzt, siehe Golem-Artikel. Es wurde (so verstehe ich das) offline (also vor dem "Hack") die Firmware eines Steuergeräts modifiziert, so dass es eben Befehle von außen umsetzte. Das relativiert den "Erfolg" natürlich etwas, aber eben nur etwas ;)

 

Bin übrigens etwas enttäuscht dass Du zu meinen Beobachtungen in der ach so sicheren Medizintechnik keine Stellung genommen hast, ich werte dein Schweigen an dieser Stelle mal als Zustimmung :cool:

Thu Jul 23 20:21:36 CEST 2015    |    pibaer

Zitat:

"Disable the brakes" war beim Hybrid. Und dort geht das.

Na dann berichte mal, wie das gehen soll.

 

Zitat:

Und das ist kein schwerwiegender Eingriff? ;)

Das fragst Du als Ex-VW-Fahrer? :p

 

Zitat:

Man braucht also nur diese Pumpe lahmzulegen, schon ist nix mehr mit Bremsen.

Und die legst Du per CAN lahm? Glaubst Du doch selber nicht. Selbst "by wire" heißt nicht per CAN!

 

Zitat:

Nein, solche Sätze beschreiben einfach die Realität.

Jetzt mal ehrlich, Holger - die Realität kennst Du doch gar nicht. Weder arbeitest Du bei einem Zulieferer noch bei einem OEM und von der Entwicklung eines Steuergeräts hast Du auch noch nie berichtet.

 

Zitat:

Eigentlich hätte das und das nicht passieren sollen, denn wir haben doch diese und jene Maßnahme bla bla". Und dann passiert es doch. Irgendjemand ist nämlich immer schlauer und denkt weiter als man selbst. Leider sind 99% aller Ingenieure/Techniker zu stolz (oder zu dumm) das zu erkennen ;)

Eigentlich sind nur 99% der Laien zu stolz (oder zu dumm) zu erkennen, dass sie von Dingen reden, von denen sie nichts verstehen. Und so wie der Designer eines Bobby Cars der Meinung ist, alles von Autos zu verstehen, glauben viele Programmierer eben auch solche Meldungen ohne den Hauch eines Zweifels.

Und zum Thema Fehler: Gerade Systeme in Luft-, Raumfahrt und Automobiltechnik gehen immer von der Anwesenheit von Fehlern aus. Das ist ja das, was viele einfach nicht kapieren, wenn sie glauben, dort sei alles ganz einfach mit dem Laptop zu hacken.

 

Zitat:

*LOL* weil Du gerade die Medizintechnik anführst: Ich habe im Jahr 2008 eine Schilddrüsenuntersuchung in der Nuklearmedizin an einer renomierten Uniklinik machen lassen. Der Rechner der das System steuerte hatte noch Windows 95 (sic!) drauf.

Du meinst den Rechner, der ein paar Parameter und Befehle zur eigentlichen Steuerung geschickt hat. Der ist nicht die eigentliche Steuerung, denn die ist im Gerät selber und die hat - da kannst Du sicher sein - Absicherungsregelwerke drin, die Du nicht einfach hacken kannst.

 

Zitat:

Nope. Schwachstelle war das GSM-Modul.

Lokal ausnutzbar = lokal im betroffenen Steuergerät.

 

Zitat:

Der Golem-Artikel ist übrigens wesentlich informativer, offenbar wurde vor dem Hack die Firmware eines Steuergeräts modifiziert. Das relativiert das "von außen gehackt" natürlich ein wenig, weil das Steuergerät (so verstehe ich das) offline präpariert wurde und man die Schwachstelle im GSM-Modul nur zum Senden der eigentlichen Befehle ausnutzte. Trotzdem ein beeindruckendes Ergebnis.

Ob die das vorher gemacht haben oder per Internet, wird aus den Formulierungen nicht ganz klar. Falls sie das tatsächlich vorher gemacht haben, ist die ganze Geschichte restlos nur noch ein lauer Furz, der zu einem Sturm medial aufgeblasen wurde.

Thu Jul 23 20:25:16 CEST 2015    |    pibaer

Zitat:

Joh geh fodd mit Normen! Jeder Automobilhersteller inkl. seiner Zulieferer ist nach ISO90xx zertifiziert, was keinen davon abhält Murks zu bauen. Und ein Entwickler für Embedded Systeme arbeitet genau so unter Zeitdruck wie jeder andere SW-Entwickler, Fehler also inklusive.

Lies Dich erst Mal ein bevor Du dazu irgendwelche Kommentare abgibst. ;)

 

Zitat:

Und genau da haben die Jungs angesetzt, siehe Golem-Artikel. Es wurde (so verstehe ich das) offline (also vor dem "Hack") die Firmware eines Steuergeräts modifiziert, so dass es eben Befehle von außen umsetzte. Das relativiert den "Erfolg" natürlich etwas, aber eben nur etwas ;)

Nein, genau da haben sie nicht angesetzt, denn dann hätten sie Bremssteuergerät, Motorsteuergerät und Lenksteuergerät umflashen müssen. Sie haben nichts anderes gemacht als sich per Steuergerät an den Bus zu hängen und ein paar Nachrichten zu senden. Kein Unterschied dazu, das direkt per Rechner und CAN-Bus-Karte zu machen.

Thu Jul 23 23:36:29 CEST 2015    |    illusion2001

Ich entwickle beruflich Medizintechnik SW nach IEC62304, einem Derivat der IEC61508 und werde morgen mal was zu euren Thesen schreiben... ;)

Fri Jul 24 01:42:02 CEST 2015    |    Reachstacker

Nicht das erste mal das ein paar Geeks beruehnmt werden wollen und auf den Anschlussauftrag hoffen...

 

Also "firm ware" vorher umbasteln geht schonmal garnicht! Wie genau wollen die das an 200 Millionen Fahrzeugen machen?

 

Nebenbei, die widersprechen sich: der Motor heult auf (hohere Drehzahlen), also funzt das E-Pedal! aber die Karre wird langsamer, naja, Gang rausnehmen kann ich auch. :p

 

 

Pete

Fri Jul 24 08:33:10 CEST 2015    |    passat32

Michael, ich würde Dir hier gern einige grüne Daumen verdient verpassen!!

Fri Jul 24 09:27:06 CEST 2015    |    illusion2001

Ok,

 

um es kurz zu machen: Es gibt in den Normen 62304 (Medical) und 26262 (Automotive) bislang keine Referenz auf Security, sie beziehen sich nur auf Safety. Die Basisnorm 61508 sieht seit ed.2 eine Betrachtung von Security-Risiken in der Risikoanalyse vor, dies ist jedoch noch nicht in die spezifischen Normen übernommen worden. Die Betrachtung dieser Risiken liegt also bislang voll in der Verantwortung des jeweiligen Herstellers / Inverkehrbringers.

 

Zumindest in der Medizintechnik wird darauf auch in der Praxis kaum Rücksicht genommen. Es wird aus Kostengründen quasi immer davon ausgegangen, dass die Geräte nur in einem sicheren Netzwerkumfeld benutzt werden und auch keiner auf die Idee kommt lokal zu manipulieren oder z.B. kritische Patientendaten abzugreifen.

 

In den hohen Safety-Klassen (Medizintechnik Class C - Tod oder schwerste Verletzungen bei Ausfall) entsteht ein hoher Dokumentations- und Testaufwand. Die Software muss mit den unterschiedlichsten Bedingungen umgehen können, der letzte Anker ist aber immer ein sicherer Zustand, der durch elektronische und mechanische Maßnahmen ohne Software-Beteiligung bzw. durch Redundanz hergestellt wird. In den anderen Klassen kann man quasi treiben was man will.

 

Im Großen und Ganzen bedeutet das, dass es sehr wohl möglich ist, diese Systeme zu hacken. Es werden zwar Plausibilitätsprüfungen usw. gemacht, aber mit Insiderwissen ist es je nach Komplexität des Systems durchaus möglich, gültige Bedingungen zu simulieren und die Kontrolle über ein System zu übernehmen.

Fri Jul 24 10:45:45 CEST 2015    |    touranfaq

Zitat:

Zumindest in der Medizintechnik wird darauf auch in der Praxis kaum Rücksicht genommen. Es wird aus Kostengründen quasi immer davon ausgegangen, dass die Geräte nur in einem sicheren Netzwerkumfeld benutzt werden und auch keiner auf die Idee kommt lokal zu manipulieren oder z.B. kritische Patientendaten abzugreifen.

Danke, das deckt sich nämlich 1:1 mit meinen Beobachtungen.

 

Zitat:

Im Großen und Ganzen bedeutet das, dass es sehr wohl möglich ist, diese Systeme zu hacken. Es werden zwar Plausibilitätsprüfungen usw. gemacht, aber mit Insiderwissen ist es je nach Komplexität des Systems durchaus möglich, gültige Bedingungen zu simulieren und die Kontrolle über ein System zu übernehmen.

Eben, ich sehe keinen Grund warum man im Automotive-Bereich ein Steuergerät nicht mit modifizierter Firmware flashen und dann solche "Experimente" wie mit dem Jeep machen können soll. Die Embedded Systeme, die da zum Einsatz kommen, sind größtenteils Standdardkomponenten, weshalb man sich das Know-How zur Modifikation sehr einfach aneignen kann.

 

Ob man das jetzt als "Hack" bezeichnet oder nicht ist zweitrangig, Sinn und Zweck dieser Aktion ist doch letztendlich aufzuzeigen, dass das Thema IT-Sicherheit im Fahrzeug zu stiefmütterlich behandelt wurde. Und das hat man eindrucksvoll bewiesen.

Fri Jul 24 12:33:34 CEST 2015    |    pibaer

Safety bedeutet in dem speziellen Zusammenhang aber automatisch Security, denn die Einwirkungen von außen in Form von falschen Steuerbefehlen per CAN sind dieselben. Es ist egal, wer der Sender ist, Verluste von Daten, Wiederholungen oder zusätzliche Sender sind bei der Entwicklung von Steuergeräten Standard-Fehlerfälle. Der Hacker ist nur ein Fehlerfall.

 

Security im Sinne von Datenschutz ist bei solchen Steuerdaten meist nicht relevant. Security wäre auch ein Thema beim Flashen über OBD, um die Integrität der Software abzusichern und ist dort auch teilweise umgesetzt. Aber hier brauchst Du schon physikalischen Zugriff und Passwörter etc.

 

Und nein, in KfZ-Steuergeräten ist keine Standard-Hardware drin. Bestenfalls sind gleiche OS drin, aber auch nicht überall.

Deine Antwort auf "Technik, Wirtschaft und andere OT-Themen"

Blogautor(en)

pibaer pibaer