Gibt es Autos ohne »Verbindung nach außen«?
Moin,
bei vielen modernen und vernetzten Autos besteht die Gefahr einer Fremdübernahme durch Hacker: Diese können sich Zugriff zum Fahrzeug verschaffen, indem sie bspw. aus der Entfernung integrierte Mobiltelefone anpeilen, durch die sie dann verschiedene Fahrzeugfunktionen steuern können. [1] Des Weiteren können Computerviren u.a. über das CD-Laufwerk, die USB-Eingänge [2], angeschlossene Smartphones/Laptops, das Bluetooth-Netzwerk, Anschlüsse zur Wartung oder mit Codes versehene MP3s über Wi-Fi in das Fahrzeug gelangen. Viele Geräte (wie Laptops) sind mit dem OBD-II-Eingang unter dem Armaturenbrett verbunden, was der direkteste Weg zum Controller Area Network (CAN) bus darstellt. [3] Hier laufen alle elektronischen Teile zusammen und ermöglichen somit eine umfassende Kontrolle über das Fahrzeug, von den Scheibenwischern bishin zu den Bremsen und der Beschleunigung. Wenn nur ein Teil angezapft wurde, kann bereits das ganze Auto gehackt werden.
Der Autounfall des Investigativjournalisten Michael Hastings gilt als ein verstörendes Beispiel von »Car Hacking«, obwohl eine direkte Verbindung zwi
schen amerikanischen Geheimdiensten und dem Unfall nicht nachgewiesen werden kann. [4]
Gibt es also überhaupt noch aktuelle Autos, bei denen man sich sicher sein kann, dass ein Hack nicht möglich ist? Das Auto von meinem Vater (Toyota Avensis) hat all diesen Multimedia-Schnickschnack nicht und mein Vater meinte deswegen auf meine Frage, dass das wohl bei seinem Auto nicht möglich wäre.
Würde mich über Antworten freuen!
___________
[1] »Because many of today’s cars contain cellular connections and Bluetooth wireless technology, it is possible for a hacker, working from a remote location, to take control of various features — like the car locks and brakes — as well as to track the vehicle’s location, eavesdrop on its cabin and steal vehicle data […]. In their remote experiment, the [CAESS] researchers were able to undermine the security protecting the cellular phone in the vehicle they bought and then insert malicious software. This allowed them to send commands to the car’s electronic control unit — the nerve center of a vehicle’s electronics system — which in turn made it possible to override various vehicle controls. ›These cellular channels offer many advantages for attackers,” the report said. “They can be accessed over arbitrary distance (due to the wide coverage of cellular data infrastructure) in a largely anonymous fashion, typically have relatively high bandwidth, are two-way channels (supporting interactive control and data exfiltration), and are individually addressable.‹ The researchers declined to speculate about the worse situations, such as interfering with a vehicle’s control system to make it crash. However, they noted that their research showed how a next-generation car thief might operate: instead of using today’s so-called smash and grab tactics, the thief might be able to simply dial up a parked car, unlock its doors and turn on the engine, then arrive on the scene and drive off. In addition to the cellular telephone vulnerability, the report details similar weaknesses in other systems that allow remote access, including short range wireless networks like Bluetooth, network ports used for car maintenance and even internal CD players.«
Researchers Show How a Car's Electronics Can Be Taken Over Remotely – The New York Times (09.03.2011)
[2] »Responding to the growing potential of unauthorised car ›hacks‹, the National Highway Traffic Safety Administration (NHTSA), an agency
under the US government’s Department of Transportation, recently convened the Electronics Systems Safety Research Division. […] NHTSA's concern is that hackers could wreak similar havoc over wireless connections. ›Whether the entry point into the vehicle is the internet, aftermarket devices, USB ports or mobile phones, these new portals bring new challenges,‹ Strickland said in his remarks.«
Car-hacking gets real – BBC (24.06.2013)
[3] »[In] 2010, [CAESS] researchers […] demonstrated how to take over all of a car’s vital systems by plugging a device into the OBD-II port under the dashboard. […] In [another] paper [they] remotely take control of an unnamed vehicle through its telematics system. They also demonstrate that it’s theoretically possible to hack a car with malware embedded in an MP3 and with code transmitted over a Wi-Fi connection. Such breaches are possible because the dozens of independently operating computers on modern vehicles are all connected through an in-car communications network known as a controller-area-network bus, or CAN bus. Even though vital systems such as the throttle, brakes, and steering are on a separate part of the network that’s not directly connected to less secure infotainment and diagnostic systems, the two networks are so entwined that an entire car can be hacked if any single component is breached.
[…] If accelerating can engage a car’s power locks, a skilled hacker could use the power locks to force that car to accelerate.«
Can Your Car Be Hacked? – Car and Driver (Juli 2011)
[4] »Clarke said, ›There is reason to believe that intelligence agencies for major powers" -- including the United States -- [›]know how to remotely seize control of a car.[‹] [...] ›So if there were a cyber attack on the car -- and I'm not saying there was,‹ Clarke added, ›I think whoever did it would probably get away with it.‹«
Was Michael Hastings' Car Hacked? Richard Clarke Says It's Possible – The Huffington Post (24.06.2013)
Beste Antwort im Thema
Zitat:
Gibt es Autos ohne »Verbindung nach außen«?
Ja, alle ohne Funkverbindung oder LAN-Buchse am Kotflügel.
182 Antworten
Zitat:
@Brunolp12 schrieb am 22. Mai 2015 um 23:06:20 Uhr:
2 der 4 Quellen kannst du eh knicken, da uralt...
So besser? Alles VOR der jeweiligen Meldung wie immer nach bestem Wissen und Gewissen geschützt
http://www.heise.de/security/news/http://www.heise.de/.../...hte-Security-Experten-belangen-2651680.html
Zitat:
@ObamacareNWO schrieb am 24. Mai 2015 um 00:45:38 Uhr:
Zu der Schwierigkeit beschrieb ich ja bereits die Trennung der Systeme, wie sie momentan noch vorherrscht, aber auch die Krankenhäuser werden bei der allumfassenden Vernetzung mitziehen und nicht im Hier und Jetzt verweilen.
Hast du eine Vorstellung, wie diese Anlagen konstruiert und gesteuert werden? Oder, spekulierst du nur?
Notstromanlagen sind oftmals schon heute vernetzt. Hier, werden aber physikalisch getrennte Netze verwendet, die keine Gateways haben um die Netze zu brücken. Datenaustausch läuft bei unseren Notstromanlagen über I/O's. Hierbei werden keine Signale übergeben, die den Betrieb der Anlage gefährden. Die Anlage gibt eine Laufmeldung raus und bekommt eine Netzmeldung.
Alle Sensordaten liegen doppelt vor. Einmal für das Prozeßsystem und ein weiteres Mal für die interne Steuerung des Aggregates. Eine Kopplung der Netze zur Datenübertragung liegt nicht vor.
2 von 3 Aggregaten sind bei uns so aufgebaut. Das 3. Aggregat hat gar keine Vernetzung, da es Bj. 80 oder älter ist.
Bevor du ein Notstromaggregat im Krankenhaus angreifen könntest, kannst du dich eher auf die BHKW im Privathaushalt konzentrieren. Die sind in der Regel voll vernetzt und werden fern gesteuert vom Energieversorger.
MfG
Zitat:
@Sachte schrieb am 24. Mai 2015 um 09:31:59 Uhr:
So besser? Alles VOR der jeweiligen Meldung wie immer nach bestem Wissen und Gewissen geschütztZitat:
@Brunolp12 schrieb am 22. Mai 2015 um 23:06:20 Uhr:
2 der 4 Quellen kannst du eh knicken, da uralt...
http://www.heise.de/security/news/
Unsinn. Heise security beschäftigt sich ja gerade mit Aufklärung von Sicherheitslecks. Das ist deren Inhalt und das sorgt für Sicherheit.
Bei dem reichlichen Halbwissen hier wäre das übrigens mal eine Leseempfehlung (da hätte man auch lernen können, dass der Angriff auf dem Bundestag nach derzeitigem Kenntnisstand ein Trojaner war, also wahrscheinlich Fahrlässigkeit eines Anwenders).
Im Übrigen ist das doch klar:
Jedes System ohne bekannte Schwächen, Lücken oder Hacks gilt als sicher. Wenn jemand Angriffspotential findet, dann muss man die Lücke schließen. Das ist ein stückweit ein laufender Prozess und ein stückweit Grundlagen/Erfahrung/"Handwerk".
Zitat:
@Sachte schrieb am 24. Mai 2015 um 09:31:59 Uhr:
http://www.heise.de/.../...hte-Security-Experten-belangen-2651680.html
Das "Sicherheitsleck" ging durch die Meldungen. Allerdings scheint es erstmal um schwachen Zugangsschutz im LAN des Fliegers zu gehen. Was wirklich geschah und was Fakt ist, das scheint noch nicht ganz klar zu sein. Aber wohl ein handwerkliches Problem. Wohl nicht genug Fachleute beschäftigt.
Zitat:
@Brunolp12 schrieb am 24. Mai 2015 um 14:28:33 Uhr:
Das "Sicherheitsleck" ging durch die Meldungen. Allerdings scheint es erstmal um schwachen Zugangsschutz im LAN des Fliegers zu gehen. Was wirklich geschah und was Fakt ist, das scheint noch nicht ganz klar zu sein. Aber wohl ein handwerkliches Problem. Wohl nicht genug Fachleute beschäftigt.Zitat:
@Sachte schrieb am 24. Mai 2015 um 09:31:59 Uhr:
http://www.heise.de/.../...hte-Security-Experten-belangen-2651680.html
Der Beitrag da gibt in der Tat keine echten Informationen her. Was mir insbesondere unklar ist, wo da von einem Einbruch in das Infotainmentsystem die angebliche Brücke zur Flugkontrolle sein soll.
Selbst ITler in der Aeronautik dürften nicht so bekloppt sein, den Daddelkram auf dem normalen Bordrechner mit laufen zu lassen. 😉
Da ist doch z.B. die Manipulation der Bodensignale des ILS viel plausibler.
Aber ich lese mal die 16 Seiten PDF des TE, in der Hoffnung da etwas Substanz zu finden.
Ähnliche Themen
Das Paper hat mit dem aktuellen Fall Chris Roberts nichts zu tun. Und ich mache hier z.T. auch Aussagen über die Zukunft. Und nochmal: Vorteile steigen, Risikosteigerung überdeckt hierbei Vorteile. Aber wie geschrieben, eine Formel, die viele Leute irgendwie nicht zu verstehen scheinen. Vielleicht augenöffnend für den stummen Mitleser…
Zitat:
@martins42 schrieb am 24. Mai 2015 um 16:49:50 Uhr:
Selbst ITler in der Aeronautik dürften nicht so bekloppt sein, den Daddelkram auf dem normalen Bordrechner mit laufen zu lassen. 😉
"dürften", "ich gehe davon aus" etc. ist leider Wunschdenken. Für die Sicherheit im Internet der Dinge (Fernseher, Infusionspumpen, Stromzähler, Baby-Webcams, Autos, Flugzeuge...) sind sehr oft Leute verantwortlich, die davon keine Ahnung haben und das noch nicht einmal merken - Amateure eben.
Zitat:
@0MGQoNDYjZ schrieb am 25. Mai 2015 um 07:54:36 Uhr:
"dürften", "ich gehe davon aus" etc. ist leider Wunschdenken. Für die Sicherheit im Internet der Dinge (Fernseher, Infusionspumpen, Stromzähler, Baby-Webcams, Autos, Flugzeuge...) sind sehr oft Leute verantwortlich, die davon keine Ahnung haben und das noch nicht einmal merken - Amateure eben.Zitat:
@martins42 schrieb am 24. Mai 2015 um 16:49:50 Uhr:
Selbst ITler in der Aeronautik dürften nicht so bekloppt sein, den Daddelkram auf dem normalen Bordrechner mit laufen zu lassen. 😉
Naja. Aber soetwas wie Kennwort "abc" als Zugriffsschutz fürs Netz im Passagierraum, das wäre
nichtdirekt eine konzeptionelle Schwäche. Anders eine schlechte Abtrennung der verschiedenen Bereiche von Netzen und Systemen im Flugzeug.
Zitat:
@mgor schrieb am 23. Mai 2015 um 09:24:16 Uhr:
Wenn du Probleme mit der digitalen Welt hast, offenbar nicht mehr ruhig schlafen kannst, weil man dein Telefon anpeilen kann oder weil Computerviren über das CD Laufwerk in ein Fahrzeug eindringen können, dann kauf dir ein Fahrrad und schließ dich in deinem Zimmer ein (und dein Fahrrad (um analogen Fremdzugriff zu verhindern)).Viele Leute kaufen sich Fahrzeuge und wollen elektronische Helferlein haben. Grundlage von der Elektronik sind nun mal Rechnersysteme, die man natürlich immer manipulieren kann, denn Rechner wurden ursprünglich gebaut, um Menschen Arbeit abzunehmen oder zu erleichtern.
So ist es!
Und selbst wenn ein Fahrzeug elektronisch nicht zu manipulieren ist, wäre das mechanisch immer noch möglich (Was die Geheimdienste und andere Verbrecher ja auch fleissig getan haben und es wahrscheinlich immer noch tun).
Ich würde mir viel mehr Gedanken darüber machen was mit Daten passiert die mein Auto und ich als mobiler Mensch produziere, als über die verschwindend geringe Möglichkeit, dass mein Fahrzeug manipuliert wird.
Wer mich um die Ecke bringen will, schafft das auch ohne mein Auto!
Zitat:
@Cooperle schrieb am 25. Mai 2015 um 09:37:39 Uhr:
[…] Ich würde mir viel mehr Gedanken darüber machen was mit Daten passiert die mein Auto und ich als mobiler Mensch produziere, als über die verschwindend geringe Möglichkeit, dass mein Fahrzeug manipuliert wird. […]
Was soll denn mit den Daten Schlimmes passieren können?
Zitat:
@ObamacareNWO schrieb am 25. Mai 2015 um 10:00:51 Uhr:
Was soll denn mit den Daten Schlimmes passieren können?Zitat:
@Cooperle schrieb am 25. Mai 2015 um 09:37:39 Uhr:
[…] Ich würde mir viel mehr Gedanken darüber machen was mit Daten passiert die mein Auto und ich als mobiler Mensch produziere, als über die verschwindend geringe Möglichkeit, dass mein Fahrzeug manipuliert wird. […]
Tu doch nicht so. Dazu wirst du doch sicher ein paar schöne Links zu aufklärerischen Youtube Videos bereit halten 🙄 😁
Zitat:
@Brunolp12 schrieb am 25. Mai 2015 um 10:06:32 Uhr:
Tu doch nicht so. Dazu wirst du doch sicher ein paar schöne Links zu aufklärerischen Youtube Videos bereit halten 🙄 😁Zitat:
@ObamacareNWO schrieb am 25. Mai 2015 um 10:00:51 Uhr:
Was soll denn mit den Daten Schlimmes passieren können?
Das ist genau mein Problem, weil die wenigsten »aufklärerischen« Videos wirklich Antwort auf diese 2 Fragen geben können:
- Was ist schlimm an Massenüberwachung?
- Lässt sich Massenüberwachung überhaupt verhindern, wenn ja, wie?
Meine Meinung, in a nutshell: Massenüberwachung wird sich in Staaten (!) nie gänzlich verhindern lassen, aber wenn jeder Einzelne ein Selbstbewusstsein entwickelt hat – z.B. indem er anfängt, dieses Buch zu lesen –, verschwindet auch die Selbstzensur.
Zitat:
@ObamacareNWO schrieb am 25. Mai 2015 um 10:00:51 Uhr:
Was soll denn mit den Daten Schlimmes passieren können?Zitat:
@Cooperle schrieb am 25. Mai 2015 um 09:37:39 Uhr:
[…] Ich würde mir viel mehr Gedanken darüber machen was mit Daten passiert die mein Auto und ich als mobiler Mensch produziere, als über die verschwindend geringe Möglichkeit, dass mein Fahrzeug manipuliert wird. […]
Ich würde mal mit offenen Augen und Ohren durch die Welt gehen.
Der Hintergrund solcher Fragen, was man alles manipulieren kann, ist gar nicht so verkehrt oder abgedreht. da brauchts keine TV-Sendung.
Nur muß man realistisch bleiben, für wen bzw. wessen Manipulation oder Überwachung sich lohnt.
Nachfolgend drei Szenarien, von denen ich die beiden ersten selbst erlebt habe:
1. Kopieren einer Kreditkarte über "Freiluftverbindung". Ich bezahle nie mit Kreditkarten, habe sie nur, um mir von der EC-Karte unabhängig gesicherten Zugang zu EC-Bankautomaten zu verschaffen. D.h. ich öffne die Tür mit der Kreditkarte und nutze die EC-Karte zum Geldabheben. Laut meiner Hausbank, die die mit der Kreditkartenkopie in Italien umgesetzten 1200 Euro erstattet hat, ist die wahrscheinlichste Variante, daß jemand in meiner Nähe die Karte angepeilt und mit den ausgelesenen Daten anschließend eine reale (oder elektronische) Kopie erstellt hat. "Reale" deshalb wahrscheinlich, weil der Umsatz mit einer realen Karte bis zur wöchentlichen Höchstbelastung vonstatten ging. Das hat man zu meiner Entlastung alles überrüft. seitdem trage ich meine Karten in einer Metallbox, wie sie für Visitenkarten gebräuchlich ist.
2. Vor einigen Jahren arbeitete ich für ein türkisches Bauunternehmen mit kleinem bis mittleren kriminellen Hintergrund. Alle Mobilfunknummern wurden überwacht - von Mitarbeitern, Auftraggebern und Kontaktpersonen der Bauüberwachung. Gespräche konnten mitgehört werden und Standorte ermittelt und sogar ganze Routen dargestellt und abgespeichert werden. War Bauüberwachung im Anmarsch, kam ein Anruf der Bosse, daß jetzt ordnungsgemäßes Material eingebaut werden muß. Mitarbeiter, meist aus dem zweiten Arbeitsmarkt zu günstigsten Preisen oder mit Drittfinanzierung geholt, wurden je nach Verfügbarkeit der Nachfolger mit durchaus hanebüchen konstruierten Vorwürfen wie Kraftstoffdiebstahl oder örtliche Abwesenheit konfrontiert. Dergestalt gut konstruiert, daß die Betroffenen keine Chance hatten, dagegen innerhalb ihrer Möglichkeiten vorzugehen. Vor allem in Unwissenheit ihrer Überwachung.
Ich habe die Anwendung sowohl auf einem Bildschirm des Firmenrechners gesehen als auch eine Mitarbeiterlokalisierung mittels Smartphone selbst erlebt. Angst macht mir vor allem das, was ich damals NICHT gesehen und erfahren habe.
3. In Rheinlandpfalz gab es 2007 oder 2008 einen Vorfall, bei dem durch eine vom Beifahrer gewünschte CD ein Motorsteuergerät manipuliert wurde bzw. die Vermutung hierüber angestellt wurde. Ich habe das nicht mehr weiter verfolgt aber vllt gibt es den ein oder anderen Leser mit einem breiter aufgestellten Informationsstand.
Jetzt mal Gedanken zu der Frage, wem denn Infos über tägliche Aktivitäten nutzen:
- Parke ich regelmäßig in der Nähe einer Moschee, kann ein beispielhaft genanntes US-Visum ggf etwas problematisch werden oder gar ein beruflicher Auftrag nicht vergeben werden.
- Harz4Menschen, die aufenthaltsmäßig an ihren Standort gebunden sind (siehe hierzu die Wiedereingliederungsvereinbarung, die jeder H4Mensch unterschreiben muß) können durch Überwachung der EC-Kartenzahlungen oder der Aufenthaltsorte Sperrfristen erhalten, sobald sie ihren Aufenthaltsradius verlassen. Ähnliches gibt es seit einigen Jahren bei der Überwachung der zur Verfügung gestellten Mobilfunktelefone für Asylanwärter. Entfernt sich ein Anwärter ohne Kenntnis des LRA aus seinem Bundesland, wird der Aufenthalt bestimmt und der Anwärter kontrolliert. Verfügbare Ortsabwesenheitstage sind reglementiert. Die Strafe für ein solches Vergehen lag bei Ortsabwesenheit von RT Ba-Wü und zielgerichtete Kontrolle in Ankunft Augsburg HBf bei 50 Euro. So von mir bezahlt 2014 für einen Bekannten. Deshalb besitzt man üblicherweise zwei Telefone, wobei die Überwachung nur bei eingelegtem Akku möglich ist.
- Überwachung von steuerpflichtigen Arbeitnehmern, die sich über doppelte Haushaltsführung zwei Jahre lang eine goldene Schubkarre erwirtschaften. Hat der Arbeitnehmer tatsächlich jedes WE seine angegebene Heimfahrt getätigt? Bei Pendlern: Wurde die angesetzte Fahrtstrecke tatsächlich in Umfang und Häufigkeit getätigt? Und mit welchem Fahrzeug? (Firmen- oder Privatwagen)
Ob man von außen ohne physischen Zugang im Fahrzeug manipulieren kann weiß ich nicht. Aber ich weiß, daß es immer zuerst die kriminelle Anwendung (die ja bei weitem lukrativer ist als die legale) gibt, bevor der Rechtsstaat/SD/Polizei darauf reagiert.
Weit wichtiger als die Hackersicherheit eines Autos finde ich, nicht jedes Mittagessen oder jeden blöden Gesichtsausdruck bei Facebook zu posten. Oder Rechner mitsamt Festplatte, egal ob 10mal formatiert oder nicht, über ebucht oder sonstwie/wo zu verkaufen
Zitat:
@ladafahrer schrieb am 25. Mai 2015 um 10:57:09 Uhr:
Der Hintergrund solcher Fragen, was man alles manipulieren kann, ist gar nicht so verkehrt oder abgedreht. da brauchts keine TV-Sendung.
Ich denke, dass ein professioneller Umgang mit IT auch bedeutet, dass man Chancen und Risiken kennt und Datenschutz und Datensicherheit als wichtige, ständige Aufgabe begreift.
Zitat:
@ladafahrer schrieb am 25. Mai 2015 um 10:57:09 Uhr:
1. Kopieren einer Kreditkarte über "Freiluftverbindung". Ich bezahle nie mit Kreditkarte, habe sie nur, um mir von der EC-Karte unabhängig gesicherten Zugang zu EC-Bankautomaten zu verschaffen. D.h. ich öffne die Tür mit der Kreditkarte und nutze die EC-Karte zum Geldabheben. Laut meiner Hausbank, die die mit der Kreditkartenkopie in Italien umgesetzten 1200 Euro erstattet hat, ist die wahrscheinlichste Variante, daß jemand in meiner Nähe die Karte angepeilt und mit den ausgelesenen Daten anschließend eine reale (oder elektronische) Kopie erstellt hat.
Das Kopieren ("skimming"😉 bzw Nutzen einer kopierten Karte dürfte seit 2011 in Europa eigtl nicht mehr möglich sein (ausserhalb u.U. schon) - wie dies "über die Luft" gehen soll, das wüsste ich gern mal und halte das bis dahin für ein Gerücht (eher hast du die irgendwo durchgezogen und weisst es nicht mehr).
Der Vorfall ereignete sich 2007, bzw die Umsätze erfolgten seinerzeit. Mit der besagten Kreditkarte wurden von mir niemals Umsätze getätigt (ich bin in der Kontrolle meiner Finanzen sehr oldschool. Nur der Lump lebt auf Pump 🙂 ) und diente neben einer weiteren, die für Geldautomatenräume verwendet wurde, ausschließlich zur Vorlage bei Autovermietungen.
Nachdem ich aber etliche Leute kenne, die sogar ihre Ausweispapiere (aufgrund der Befürchtung z.B. von Visa/AE-Mißbrauchs) in Alufolie einpacken, halte ich so ein skimming, vor allem nach den Gesprächen mit meiner damaligen Hausbank, für durchaus möglich.
Aber wie das geht und ob, weiß ich nicht.
Manchmal wünsche ich mir, daß solche Sachen echt nur Hollywood-Schmarrn ist und das Gute in der Welt doch siegt, aber je älter ich werde, desto mehr sehe ich, was ich nicht sehen will.
Wenn die Wertschöpfung krimineller oder unlauterer Tätigkeiten das 30 bis 300fache einer legalen Tätigkeit beträgt, kann man es einem denkenden Individuum eigentlich nicht verübeln, daß es sich auf die erfolgreiche Seite der Macht schlägt.