Schlüssel im Auto ... OnCall kann dennoch verschließen

[bernhard.barth]

Jetzt ist es passiert....
ich bin im Urlaub und plötzlich suche ich den Schlüssel. Ganze Ferienwohnung durchsucht.... nix gefunden. Da kommt dann schon ein wenig Panik auf.... das Auto ist verschlossen....
Kann doch nicht sein... denke ich und dann habe ich tatsächlich per OnCall meinen XC aufgeschlossen. Siehe da, der Schlüssel lag im Wagen...

Hätte ich nie gedacht, dass ich per App den Wagen verschließen konnte, obwohl der Schlüssel noch im Fahrzeug ist...
Und Nein, ich habe nur einen Schlüssel dabei....

Aber grundsätzlich: Die App ist schon Klasse. Neben dem Reminder, das das Fahrzeug noch offen ist und mich dann gestern wohl veranlasst hat, es zuzuschliessen.... funktioniert ja nun erprobter Weise auch das öffnen. Dann noch Fahrtenbuch, Standheizung anwerfen,..... super.

[StefanLi]

Und in der analogen Welt gibt und gab es keinen Diebstahl, Betrug oder Unterschlagung? Alles Rosa???

[Bigfish111]

Zitat:

@StefanLi schrieb am 18. März 2018 um 22:32:46 Uhr:

Und in der analogen Welt gibt und gab es keinen Diebstahl, Betrug oder Unterschlagung? Alles Rosa???

Nein! Das hat auch keiner behauptet! Es ist aber ein Unterschied ob ich den Schlüssel vor dem Auto in die Hofeinfahrt lege, wo ihn jeder sehen kann und dann einfach benutzt wenn er über das Hoftor klettert - oder aber ob ich den Schlüssel mit ins Haus nehme, wo ich eine ordentliche verschließbare Haustür samt Sicherheitszylinder habe 😉

Klaut einer Analog betrifft das ein Fahrzeug und der Dieb ist exponiert, klaut einer Digital kann er beim derzeitigen voranschreiten der Digitaltechnik bald komplette Fahrzeugflotten von einem Liegestuhl am Strand von Waikiki aus entwenden - Ich finde das ist ein Unterschied.

[Bigfish111]

Und um das Klar zu stellen: Ich habe auch nichts gegen diese technischen Möglichkeiten als solche. Ich habe ein Problem damit, dass die dafür vorhandene IT-Sicherheit bescheiden bis nicht vorhanden ist. Dazu kommt, dass viele Hersteller IT-Sicherheit nicht ernst nehmen und das es kein Haftungsrecht gibt um Hersteller von IT-Systemen selbst bei grober Fahrlässigkeit zu belangen. Damit meine ich jetzt nicht Volvo, denn Volvo kauft die IT-Komponenten auch nur dazu - Volvo kann also so gut sein wie sie wollen - Volvo ist nur maximal so gut, wie es die eingekaufte Technik erlaubt - und die ist halt bescheiden.

Die Qualität in diesem Bereich sieht zum Beispiel so aus:

https://heise.de/-3118971

https://heise.de/-3786529

[StefanLi]

Zitat:

@Bigfish111 schrieb am 19. März 2018 um 00:05:17 Uhr:

Nein! Das hat auch keiner behauptet! Es ist aber ein Unterschied ob ich den Schlüssel vor dem Auto in die Hofeinfahrt lege, wo ihn jeder sehen kann und dann einfach benutzt wenn er über das Hoftor klettert - oder aber ob ich den Schlüssel mit ins Haus nehme, wo ich eine ordentliche verschließbare Haustür samt Sicherheitszylinder habe 😉

Klaut einer Analog betrifft das ein Fahrzeug und der Dieb ist exponiert, klaut einer Digital kann er beim derzeitigen voranschreiten der Digitaltechnik bald komplette Fahrzeugflotten von einem Liegestuhl am Strand von Waikiki aus entwenden - Ich finde das ist ein Unterschied.

Ich mag anschauliche Beispiele, plakativ und verständlich. 😁😁

Der Typ vom Waikikibeach braucht aber auch noch einen Helfer, der den Schlüssel sieht, ihn aufhebt und dann der mein Hoftor öffnet und den Wagen raus fährt.

[Bigfish111]

Wie geschrieben: Der Waikikibeach bezieht sich auf das voranschreiten der Technik. Da braucht es Niemanden mehr Vor-Ort. Ein an das Internet angebundene Fahrzeug, kann man dann bald komplett Online klauen. Stichwort Autonomes Fahren! Da programmiert man dem Auto einfach ein Ziel übers Online System und sagt ihm, dass es da jetzt hinfahren soll. Die Schlüssel sind heute alle elektronisch, lassen sich also spielend überbrücken, sprich ein Schlüssel ist da gar nicht mehr notwendig.

Das Hoftor Beispiel soll nur synonym dafür stehen, welches Niveau der derzeitige Schutz von an zentrale Server angebundene Systeme hat. Es sind fast alles Anwendungen über die üblichen Webprotokolle. Also vergleichsweise einfach zu knacken. Fast nirgends kommen VPNs zum Einsatz. Wäre aber die Voraussetzung um das Niveau erheblich nach oben zu schrauben. Kostet halt deutlich mehr Geld und ist viel komplizierter umzusetzen...

Alles schon vorgekommen: https://heise.de/-1840919 - und nein jeder Hersteller macht die gleichen Fehler, weil man eben nicht von der Konkurrenz lernt oder sich vorher informiert - das wäre zu einfach. Würde man es besser machen, wären sowohl das Auto, wie auch die HandyApp per individuellem VPN miteinander verbunden und würden den Server maximal als Vermittlungssystem benutzen um sich zu finden. In der Anleitung zu OnCall sieht das aber sehr danach aus, dass da kein VPN zur Anwendung kommt und die ganze Logik auf dem zentralen Server liegt. Schafft es Jemand den Server zu haken, hat er schlagartig die Kontrolle über alle mit dem Server verbundenen Autos. Und das Haken von Servern - besonders von Webservern - ist kein Hexenwerk sondern meist nur Fleissarbeit.

Dazu kommt dann die Fehler- und Ausfallwahrscheinlichkeit. Ich nehme mal an, dass halbwegs informierte Menschen täglich in irgendeiner Form Nachrichten "konsumieren"? Dann sollte jeder zumindest das: https://heise.de/-3713502 mitbekommen haben. Mit Autos ist das nicht viel anders. Glaubt Jemand, dass es für ein zehn oder zwanzig Jahre altes Auto immer noch regelmässig Updates geben wird? Das klappt bei Handys nicht mal bei 1 Jahr alten Geräten - und Handys verlieren dann nicht so einfach ihre Betriebserlaubnis wie ein Auto wenn sich die Software nötigenfalls massiv ändert.

Ich sag es einfach nochmal: Die aktuelle IT-Sicherheit vernetzter Systeme ist lausig bis nicht vorhanden. Solange sich das nicht ändert, ist die Nutzung entsprechender Systeme kritisch. Spätestens dann wenn über einen solchen Zugang nicht nur die Verriegelung gesteuert werden kann, sondern auch Lenkrad, Bremsen und Gaspedal wird es lustig. Wenn erst mal ein gehaktes Auto in eine Gruppe Grundschüler die an einer Bushaltestelle stehen gesteuert wird, bin ich mal gespannt auf den Aufschrei.

---> https://heise.de/-2756331
---> https://heise.de/-2807879

[StefanLi]

Jetzt mal ganz drastisch drei Dinge, dir mir gerade so ein- und auffallen:

Mit Links um sich werfen und Panik zu verbreiten mag ich nicht, da fehlt mir die Substanz. 😰😰

Z.B. im Jeep Artikel steht "Fiat Chrysler versichert, dass die Lücke aktuell noch nicht ausgenutzt wird. Darüber hinaus weisen sie darauf hin, dass Angreifer Zugang zum Auto haben müssen. Zudem sei der Hack sehr komplex."

Bei der Frage nach dem Hoftor möchte ich den Hacker sehen, der mein Schmiedeeisernestor von Waikiki aus öffnet. 😎😎

In allem steckt die Unterstellung, dass die Hacker, die Kriminellen und das Böse an und für sich immer besser, schneller und kostengünstiger werden, die andere Seite dumm wie Lemming zuschaut. Lies Dir bitte Deine Beispiele durch und nenne dann die Fälle, in denen der Hersteller nicht nach dem Hinweis reagiert hat. Das Problem von Ransom war doch mehr die Frage, dass große schlaue zentrale IT-Technik sich zu sehr in Sicherheit verwaltet haben, statt sich um Installationen zu kümmern (Stichwort "Updates"😉.

Das es Fehler, Pannen und Sicherheitslücken gibt und gab ist eine Tatsache in der analogen, wie in der digitalen Welt. Der Wettlauf um Sicherheit ist ein unendlicher und wird sich idR. in der Spitze theoretisch zu Gunsten der kriminellen Energie, aber im Volumen zu Gunsten der Sicherheit bewegen.

Gegen ferngesteuerte Fahrzeuge wird es bei Zeiten Sicherheitsmechanismen geben, die sich mit der Erlaubnis des lokalen Fahrers auseinandersetzen. Gegen gehaktes Keyless werden bereits vorhandene Feature eingebaut, wenn die Versicherungsbranche ein Signal gibt, dass über dieses technisches Einfallstor zu viele Fahrzeuge abhanden kommen. Ich bekomme einen unangenehmen Reiz -Körperteil auswählbar- wenn wir uns nur noch ums Negative und kriminelle kümmern, weil die Angsthasen der Welt theoretischen Schaden sehen. Auf meiner Straße stehen bestimmt 5 Autos, die permanent unabgeschlossen sind, weil es auch keinen interessiert. Und meine Nachbarin hatte bis zu ihrem (natürlichen) Ableben die Kellertür nie abgeschlossen. Trotz Aktenzeichen XY und Ede Zimmermann. Sie wurde 89 Jahre und brauchte ihre Versicherung nicht. 😛😛

[Bigfish111]

Zitat:

da fehlt mir die Substanz

Na wenn die Links fehlende Substanz sind...

Zitat:

Schmiedeeisernestor von Waikiki aus öffnet

Wie viele Kilogramm hat das Tor? Der XC 60 ca 2000 😉

Zitat:

In allem steckt die Unterstellung, dass die Hacker, die Kriminellen und das Böse an und für sich immer besser, schneller und kostengünstiger werden, die andere Seite dumm wie Lemming zuschaut.

Ja diese Zusammenfassung trifft es sehr gut. Oder warum haben z.B. moderne Handys Sicherheitsprobleme, die man bei Desktoprechnern lange überwunden hat?

Zitat:

Lies Dir bitte Deine Beispiele durch und nenne dann die Fälle, in denen der Hersteller nicht nach dem Hinweis reagiert hat.

Für fehlende Updates gibt es auch genug Beispiele, aber Links willst du ja nicht mehr haben.

Zitat:

Das es Fehler, Pannen und Sicherheitslücken gibt und gab ist eine Tatsache

Ja nur warum bitte schön Sicherheitslücken, wo sich jedem Schimpansen die Nackenhaare aufstellen, wie zum Beispiel beim Leaf wo man einfach nur die Fahrgestellnummer benötigte und mit einer Nummer, auch noch auf andere schließen kann?

Zitat:

Ich bekomme einen unangenehmen Reiz -Körperteil auswählbar- wenn wir uns nur noch ums Negative und kriminelle kümmern, weil die Angsthasen der Welt theoretischen Schaden sehen.

Es geht nicht um Angst sondern um Augenmaß. Warum muss immer erst ein Kind in den Brunnen hineinfallen, bevor man etwas macht? Zumal schon vorher alle das spielende Kind am offenen Brunnen gesehen haben?

ich kriege einen Reiz, wenn Menschen ihre Naivität so offen zur schau tragen und mit ihrer Ignoranz Unbeteiligte in Gefahr bringen, weil es ihnen egal ist oder das Vorstellungsvermögen fehlt 😉

Was deine Oma betrifft: In der analogen Welt muss man halt jede Klinke einzeln drücken um zu prüfen ob sie offen ist. Braucht Zeit. In der digitalen Welt, haue ich was ich suche bei Shodan rein und bekomme in kürzester Zeit im Zweifel Millionen nicht abgeschlossener Türen angezeigt. - Ich muss nicht alle suchen - ich bekomme diese Türen auf Knopfdruck bei Google Maps angezeigt. Ich sage es nochmal: Das ist ein Unterschied!

Daher doch noch ein Link: https://heise.de/-3507088 - Das war ein Kollateralschaden - es war nicht mal Absicht was da passiert ist. Digital ist anders - die möglichen Schäden in der digitalen Welt sind viel schwerwiegender und umfassender als in der analogen Welt. Also nochmal: Warum muss immer erst etwas passieren? Warum nicht mal etwas von vornherein Richtig machen, bevor man es verkauft? Und es sind keine theoretischen Schäden. Jeden Tag richten Sicherheitslücken reale Schäden an - und viele dieser Sicherheitslücken sind so banal, dass selbst Blinde das Problem "sehen".

Zitat:

Gegen ferngesteuerte Fahrzeuge wird es bei Zeiten Sicherheitsmechanismen

Nicht bei Zeiten - Jetzt! Jetzt ist das Problem bekannt - ich muss nicht warten bis es irgendjemand irgendwann ausnutzt, das Problem kann jetzt beseitigt werden, bevor etwas passiert.

[Bigfish111]

Anderes Beispiel: In seliger früherer Zeit, wurden Gebäude - große Kathedralen z.B. - nach dem Trial end Error Prinzip errichtet. Gebaut - Zusammengestürzt - Pfeiler zu dünn - noch mal bauen mit dickeren Pfeilern. Teilweise mehrfach, bis es endlich gehalten hat. Einen solchen Baustil würde bei Gebäuden heute Niemand mehr akzeptieren - Naja in Berlin vielleicht schon - aber sonst nirgends. Warum also soll ein solcher "Baustil" bei IT-Systemen akzeptabel sein? Auch in der IT ist das Wissen weit genug fortgeschritten um eben nicht per Trial und Error arbeiten zu müssen.

[StefanLi]

Zitat:

@Bigfish111 schrieb am 19. März 2018 um 21:32:42 Uhr:

Zitat:

Gegen ferngesteuerte Fahrzeuge wird es bei Zeiten Sicherheitsmechanismen

Nicht bei Zeiten - Jetzt! Jetzt ist das Problem bekannt - ich muss nicht warten bis es irgendjemand irgendwann ausnutzt, das Problem kann jetzt beseitigt werden, bevor etwas passiert.

Da es bei uns noch keine autonom funktionierende Autos gibt, die man aus der Ferne steuern kann, brauche ich die in meinem Auto nicht. Oder um es mit Deinen Worte zu sagen: "Augenmaß".

Und durch mein Tor kommt der dahinter geparkte XC90 nicht, ohne dass er selbst fahruntauglich wird. 😉

[Bigfish111]

Und so ein Tor hat JEDER - ja?

Zitat:

Da es bei uns noch keine autonom funktionierende Autos gibt, die man aus der Ferne steuern kann, brauche ich die in meinem Auto nicht.

Und das weißt du, was die Hersteller auch hierzulande alles auf den Straßen haben? In Deutschland ist also der Nissan Leaf extra mit einer anderen Online Technik auf den Markt gekommen und es ist auch Niemand aus dem Ausland mit solchen Fahrzeugen auf deutschen Straßen unterwegs? - Die werden am Schlagbaum gestoppt? Oder besser an der Grenze "Online" stillgelegt 😉

Edit:

Zitat:

Da es bei uns noch keine autonom funktionierende Autos gibt, die man aus der Ferne steuern kann, brauche ich die in meinem Auto nicht.

VOC ist also in Deutschland noch gar nicht vorhanden? Fahren kann man damit noch nicht, aber ein Fahrzeug öffnen, in dem dann der Schlüssel innen drinnen liegt - das reicht ja schon. Die Versicherung freut es auch 😉

[Dreierand]

... das Thema wird mir hier von Bigfish111 inzwischen zu ideologisch diskutiert.

[StefanLi]

Zitat:

@Bigfish111 schrieb am 19. März 2018 um 21:58:22 Uhr:

VOC ist also in Deutschland noch gar nicht vorhanden? Fahren kann man damit noch nicht, aber ein Fahrzeug öffnen, in dem dann der Schlüssel innen drinnen liegt - das reicht ja schon. Die Versicherung freut es auch 😉

Um es mal langsam aufzubröseln:
1. Kennst Du die Verbindungstechnologie und die Sicherheitsstufen zwischen App-Server-Auto?
2. Welche Volvos sind bei uns mit autonomen Fahrmöglichkeiten vorhanden?
3. Wenn es Fahrzeuge aus dem Ausland sind, wie viele Wagen kommen da in Frage, die im Ausland freigeschaltete/installierte Technik haben, die es in Deutschland nicht gibt oder die nicht installiert wurde oder die durch besondere Sicherheitseinrichtungen geschützt nicht aktiv sind?
4. Wenn es um Fahrzeuge aus Deutschland geht, wie viele Fahrzeuge haben diese Technik und wie ist das Fahrzeug davor geschützt, dass diese Funktion hier nicht genutzt wird?
5. Wie sieht dieser Schutz aus?

Wir können das bis Punkt 2135 weiter machen, bringt uns aber nichts. Wir haben keine Details, wir wissen nicht welche Installationen vorhanden und wie sie geschützt sind. Wir wissen vieles nicht und wir sollten positiv und nicht angsterfüllt in diese Zukunft gehen.

Ich erinnere mich an verschiedene Projekte in der Finanzwirtschaft, an denen ich mit arbeiten durfte. Die Kreditkarte war das Ende der Banken, das Ende der Ehrlichkeit, da einfach zu fälschen und das Ende unserer Austauschwirtschaft. Die Schäden, die es tatsächlich und auch noch heute gibt, sind ein Bruchteil der Wertschöpfung und werden sehr still abgewickelt, da durch die Institute gedeckt.

[Eifel-Elch]

Ich muss schon sagen...
Eure Einschätzungen globaler Natur sind schon massiv.
Ich gehe insofern lockerer ran: Wertsachen (und hier meine ich hauptsächlich mit ideellem Wert) gehören in eine geschützte Umgebung. Gegen den materiellen Wert hab ich mich versichert. Folglich erfülle ich die Bedingungen der Versicherung, dann kann mir das gestohlene Auto nahezu egal sein. Die Versicherung kann mir nichts vorwerfen und muss zahlen. Klar hab ich dadurch gewisse Ausfälle wie die Neubeschaffung, Rennerei und Wartezeiten. Diese werden aber auch entschädigt.

Was mich jedoch massiv stören würde: wenn ich im selbstfahrenden Fahrzeug auf dem Fahrerplatz sitzen würde und nicht eingreifen könnte. Dann sind nämlich Menschenleben in Gefahr! Und DAS Szenario wird momentan in Filmen ausgeschlachtet, wo es doch ziemlich unrealistisch (hoffentlich auch in Zukunft) ist.
Da hilft nämlich keine Versicherung.

[LesHunaudieres]

Beim "schlüssellosen Zugang" muss man ja einen Transponder o.Ä. mit sich führen, kann mir wohl mal jemand bitte ein Bild posten, wie soetwas aussieht?
DANKE!

[StefanLi]

Vorne der "Badehosenschlüssel" =nur Transponder, hinten der Schlüssel.