Connected Drive heute nicht erreichbar ?
Hi,
hab heute mein neues Auto übernommen und wollte eben das ganze Connected Drive Gedöns aktivieren. Auf der BMW Website erhalte ich beim Login aber nur "interner Fehler ist aufgetreten", und das nun schon seit Stunden. Das Auto selbst meldet bei der Anwahl von BMW Online ebenfalls "keine Verbindung".
Ist da was bekannt?
Beste Antwort im Thema
ich komme selbst aus der IT. Ich bin bei solchen Sachen meist etwas nachsichtiger. Wahrscheinlich sitzen gerade haufenweise Kollegen an der Lösung des Problems, machen Überstunden... IT ist nicht perfekt. Shit happens, und zwar überall.
24 Antworten
Zitat:
@Rambello schrieb am 25. April 2015 um 11:52:32 Uhr:
Ich warte jetzt seit ca. 11 Wochen vergeblich auf eine fundierte, schriftliche Antwort von BMW zu den 6 Sicherheitslücken, die die Zeitschrift c`t kürzlich bzgl. "Connected Drive" (Heft 5/2015 S. 86 untersucht/aufgedeckt/bemängelt hat ...
Die "Umschaltlösung" auf HTTPS-Funk-Protokoll alleine, beruhigt mich nämlich nicht besonders.
Da kannst lange warten, steht doch eh schon alles in der Zeitung. BMW wird dazu nichts mehr sagen.
Und hör bitte mit deiner grundlosen Panikmache auf. Autos wurden schon gestohlen als es noch keine Computer gab und werden gestohlen werden, solange es Autos gibt. Davor wurden eben Pferde gestohlen. Deswegen den Komfortzugang auslöten ist schon etwas paranoid.
Die Aktivierung von HTTPS reicht aus, dass der von c't gezeigte Angriff nicht mehr funktioniert. Das schlimmste was dir passieren kann ist dass wer eine SMS an dein Auto schickt und es damit aufweckt. Dank Alarmanlage und Mantrap ist so ein BMW sicherer als viele andere Autos die so rumstehen und damit kann ich gut schlafen. Wenn mal das Navi oder das ganze Auto weg ist, bekomm ich halt ein neues.
Deswegen mach ich mir keinen Hals und du solltest auch etwas ruhiger werden und deinen wohlverdienten Ruhestand genießen. 😉
Grundlose Panikmache.
Etwas paranoid.
HTTPS reicht aus.
SMS weckt Auto auf.
BMW sicherer als viele andere.
Auto weg, halt ein neues.
Keinen Hals machen.
Dann ist ja alles in Ordnung...
Hast recht, ich werde jetzt ruhiger, genieße Ruhestand, schreibe hier nix mehr.
Besonders gefällt mir das Wort "wohlverdient" !
Ich muss Rambello zustimmen. Man sollte diese Dinge nicht auf die leichte Schulter nehmen. Ich komme wie gesagt selbst aus der IT, und dort auch noch aus der Security, ich kann hier also durchaus auch mitreden 😉
Das alleinige Einschalten von SSL bringt per se keine Sicherheit. Da kommt es doch sehr drauf an, wie SSL implementiert ist, welche Art von Zertifikaten im Spiel sind und ob diese korrekt geprüft werden. Man-in-the-middle Attacken sind bei SSL ein Kinderspiel, wenn man sich auskennt.
Also ich würde das Thema auch weniger durch die rosarota BMW-Fan-Brille betrachten. Ob man diese Dinge nun Lücke oder Schwachstelle nennt, ist piepegal, beides lässt sich ausnutzen. Das Schweigen von BMW wirkt dabei noch unprofessioneller als die Tatsache, dass diese Missstände erst von Dritten aufgedeckt werden mussten. Solch eklatante Sicherheitsmängel hätten gar nicht erst auftreten dürfen - hier mangelte es BMW ganz offensichtlich am nötigen Bewusstsein.
Zitat:
@funkahdafi schrieb am 25. April 2015 um 14:54:36 Uhr:
Ich muss Rambello zustimmen. Man sollte diese Dinge nicht auf die leichte Schulter nehmen. Ich komme wie gesagt selbst aus der IT, und dort auch noch aus der Security, ich kann hier also durchaus auch mitreden 😉Das alleinige Einschalten von SSL bringt per se keine Sicherheit. Da kommt es doch sehr drauf an, wie SSL implementiert ist, welche Art von Zertifikaten im Spiel sind und ob diese korrekt geprüft werden. Man-in-the-middle Attacken sind bei SSL ein Kinderspiel, wenn man sich auskennt.
Also ich würde das Thema auch weniger durch die rosarota BMW-Fan-Brille betrachten. Ob man diese Dinge nun Lücke oder Schwachstelle nennt, ist piepegal, beides lässt sich ausnutzen. Das Schweigen von BMW wirkt dabei noch unprofessioneller als die Tatsache, dass diese Missstände erst von Dritten aufgedeckt werden mussten. Solch eklatante Sicherheitsmängel hätten gar nicht erst auftreten dürfen - hier mangelte es BMW ganz offensichtlich am nötigen Bewusstsein.
Hier der Threat von Anfang Februar
http://www.motor-talk.de/.../...ke-in-bmw-connecteddrive-t5193109.htmlADAC/c't wird hoffentlich nachtesten, bzw. c't hat vor ein paar Wochen bei den grossen deutschen Herstellern nachgefragt ... hanebüchen was die da von sich geben ... "(IT-) Sicherheit durch Information-Hidding"
Leider gibt es keine öffentliche/kostenfreie Artikel im Netz
http://www.heise.de/.../...-Sicherheit-bei-modernen-Autos-2587623.html
Das man aktuell die BMW Steuergeräte nicht mehr codieren kann (habe ein grösseres Softwareupdate 02.2015 bekommen) ist sicherlich eine Konsequenz aus den hack.
Ähnliche Themen
Da hab ich viel mehr Angst, dass eine beliebte iOS Netzwerk-Lib die Zertifikate nicht prüfte und so Dinge wie OneDrive man-in-middle-bar waren. Das kann nämlich jedes Scriptkiddie leicht im Internet ausnutzen und um mein Auto aufzusperren muss zumindest wer mit dem IMSI Catcher neben dem Auto stehn.
Und den Skandal, dass die Lücken von Dritten gefunden wurde, kann ich auch nicht sehen. Fast alle Lücken wurden durch Dritte gefunden. Viele Hersteller wie Google und Microsoft zahlen sogar Prämien, wenn man Lücken findet.
Mind. 90% der Programmierer haben keine Ahnung von Security und daher tauchen überall immer wieder Lücken auf. Das soll keine Entschuldigung sein, denn es ist unentschuldbar. Es ist aber eine Tatsache, die man akzeptieren muss, wenn man moderne Technik nutzt. Wenn man das nicht will, bleibt nur der rambello Weg den Stecker rauszuziehen. 😉
Zitat:
@Kali69 schrieb am 25. April 2015 um 15:12:42 Uhr:
"(IT-) Sicherheit durch Information-Hidding"
Wir nennen das "Security by Obscurity" 😁
Zitat:
@MartinBru schrieb am 25. April 2015 um 15:31:21 Uhr:
Und den Skandal, dass die Lücken von Dritten gefunden wurde, kann ich auch nicht sehen. Fast alle Lücken wurden durch Dritte gefunden. Viele Hersteller wie Google und Microsoft zahlen sogar Prämien, wenn man Lücken findet.
Der Skandal ist nicht, dass durch Dritte aufgedeckt wurde (da geb ich Dir recht), der Skandal ist, WAS durch Dritte aufgedeckt wurde. Da stehen einem wirklich die Haare zu Berge. Da wurde massiv geschlampt. Es scheint, als hätte sich BMW vorher nicht die geringsten Gedanken zum Thema Security gemacht. Alleine die Tatsache, dass für die Verbindung kein SSL verwendet wurde, spricht Bände. Dass so etwas dilettantisches durch Dritte aufgedeckt werden muss und sich BMW zu dem Thema keine eigenen Gedanken gemacht zu haben scheint, ist der eigentliche Skandal.
Wäre es um Bugs in der Software gegangen, die man durch entsprechende Expoits hätte ausnutzen können, um das System zu übernehmen, dann wäre das ein anderes Thema. Das passiert jedem und den allerbesten. Aber hier scheiterte es ja schon am Basis-Einmaleins der IT Security. Absolut unhaltbar. In dem Sinne auch verständlich, dass BMW schweigt. Denen steht wahrscheinlich die Schamesröte im Gesicht.
Zitat:
@funkahdafi schrieb am 25. April 2015 um 15:44:44 Uhr:
Wir nennen das "Security by Obscurity" 😁Zitat:
@Kali69 schrieb am 25. April 2015 um 15:12:42 Uhr:
"(IT-) Sicherheit durch Information-Hidding"
Verdammt, steht sogar so im Artikel 😉
Aber hat ja alles nicht mit Deinem Problem zu tun.
Läuft dein CD wieder?
Zitat:
@funkahdafi schrieb am 25. April 2015 um 15:50:37 Uhr:
Aber hier scheiterte es ja schon am Basis-Einmaleins der IT Security. Absolut unhaltbar. In dem Sinne auch verständlich, dass BMW schweigt. Denen steht wahrscheinlich die Schamesröte im Gesicht.
Das passt wunderbar zu meinem Weltbild, dass 90% der Programmierer keine Ahnung von IT Sicherheit haben. 😉
Zitat:
@MartinBru schrieb am 25. April 2015 um 17:33:56 Uhr:
Das passt wunderbar zu meinem Weltbild, dass 90% der Programmierer keine Ahnung von IT Sicherheit haben. 😉
Absolut. Ich schüttel in meinem Job täglich nur noch den Kopf 😁 Man muss aber auch fairer weise sagen, dass das ein sehr komplexes Thema ist. Damit muss sich ein Programmierer in so einem großen Konzern im Normalfall nicht auseinandersetzen, dazu gibts andere Spezialisten (die machen dann Code Reviews und passen auf, dass die Architektur bzw. das Design grundsätzlich sicher ist - nur scheinbar bei BMW nicht).
Ja, also CD scheint jetzt wieder zu funktionieren. Konnte alles aktivieren. Danke!