Unsicherer Funkschlüssel

    In meiner Bettritze liegt die elektrische Fliegenklatsche und die Campingmachete. Falls meine Rem Phase etwas später beginnt oder früher endet, kann sich der Besucher dann freuen, wenn ich aus Versehen zuerst die Fliegenklatsche in der Hand habe. :D

    Hi Leute, es gibt wohl seit kurzem (Ende Juni 2018) ein Softwareupdate seitens Fiat welches das Problem beheben soll. Bei mir wurde es heute aufgespielt. Mehr Infos habe ich dazu aber leider (noch) nicht. Werde bei Abholung des Fahrzeugs versuchen mehr zu erfahren.


    Gruss
    Joerg

    Zitat von brainy

    es gibt wohl seit kurzem (Ende Juni 2018) ein Softwareupdate seitens Fiat


    Die Hoffnung auf eine derart einfache Lösung muss ich zerstören.
    Es gibt im Grunde auch unterschiedliche Probleme (die hier im Thread auch durcheinander geworfen wurden ..) .. anyway .. Ducato krampft am "Hitag2" .. da muss Hardware getauscht werden .. ein Softwareupdate ist nur Schlangenöl


    Dickere Kost gibts hier und hier und wer eine Sammlung mit teilweise Erklärung sucht wird hier fündig.

    Zitat von Frank 3

    Was ich aber trotzdem gesehen hab, beim 2. hier geht um VW und beim 1. hier ist zwar Fiat dabei, aber Ducato steht da nicht in der Tabelle


    Das wäre natürlich auch ein Weg sich sicher zu fühlen .. ;)


    P.S. beim 2ten steht in dem ganz vielen Englisch mehr als nur VW
    P.S2, Duc hat auch Hitag2 Transponder - zumindest hat es meiner .. ausgeliefert als Neufahrzeug 2018

    Nun, ganz konkret und u.a. lt. dem Paper von Kasper,Oswald und Co waren es 4-8 und nicht "mindestens 8" sowie 1 Minute Computing Time. Das war 2016 (was zumindest die Computing Time zu heute nochmal reduziert hat).
    Dabei geht es auch gar nicht unbedingt um die Bandbreite von "geht gar nicht" zu "geht" sondern die Menge der notwendigen Fehlversuche mit nicht funktionierenden Codes wird nur bei größerer Menge "korrekter Signale" kleiner.

    Und wie man potentiell an 4 Signale kommt steht dann auch im Paper .. frei übersetzt wird die Übertragung zwischen Sender und Empfänger gestört, nicht zwangsläufig durch Überlagerung sondern eine Art Seitenkanalattacke bei der einfach (rechtzeitig) eine (falsche) Prüfsumme gesendet wird womit das Fahrzeug den Code ignoriert, man diesen aber eben aufgezeichnet hat.


    Natürlich, im Gegensatz zu anderen Marken mit ebenfalls noch aktuellen Modellen bei der Signale < 4 ausreichen ist der Duc vergleichsweise sicher :) Aber der nicht sensibilisierte Fahrzeugführer wird bei 3-4 Fehlversuchen auf dem Parkplatz eben nicht unbedingt sofort misstrauisch. Von "einfacheren" Plätzen (SP,CP,Strand) mit erwartbar mehreren regulären Signalen ganz zu schweigen.


    Gemessen an den mechanischen "Schreibendreher im Blech" u.ä. Methoden vermeintlich kompliziert, praktisch aber mitnichten.


    Wir sind hier nicht im Kryptografieforum, dem falschen Eindruck dass es sich um einen gänzlich praxisfernen Angriffsvektor handelt sollte man jedoch nicht erliegen.

    Die Frage ist doch, warum verlangt man von einem Funkschlüssel mehr Sicherheit, als der Schließzylinder je hatte. Zu Zeiten ohne Wegfahrsperre und Fernbedienung hing in meiner Werkstatt so ein aus Schweißdraht gebogener Ring, und da wurden von allen Schrottautos die Schlüssel gesammelt, und wenn einer sich mal ausgesperrt hat oder Schlüssel verloren, dann hat er die 100 Schlüssel durchprobiert und zu 80% war ein passender dabei. Das Ganze hat auch keine 10min gedauert. Und sicherlich ist das heute bei den Schließzylindern nicht viel anders.

    Ich will eigentlich nicht mehr ... aber gut .. einen noch .. "Warum verlangt man von einem Schließzylinder mehr Sicherheit als der Funkschlüssel seit Jahren bietet." ;)


    Sorry, aber diese "Akzeptanz" von einer seitens der Hersteller bewusst oder zumindest grob fahrlässigen Produktpolitik ist egal an welcher Stelle (mechanisches Schlossumfeld, Schließzylinder, Transponder) die vollkommen falsche Einstellung.


    Natürlich verlange ich zeitgemäße Produktsicherheit. In 10 Jahren, wenn die (autonomen) Frickellösungen der Hersteller dann reihenweise die Passanten umrauchen, verlangen wir von diesen dann auch nicht mehr (Fahr)Sicherheit als sturzbetrunkene menschliche Fahrzeugführer heute bieten ?

    Zitat von silv2k

    In 10 Jahren, wenn die (autonomen) Frickellösungen der Hersteller dann reihenweise die Passanten umrauchen, verlangen wir von diesen dann auch nicht mehr (Fahr)Sicherheit als sturzbetrunkene menschliche Fahrzeugführer heute bieten ?


    Verlange ich auch nicht, Ich verlange nur, das dann auch der Hersteller für die Folgen haftet und nicht ich. Dann regelt das der Markt selber.
    Und mal ehrlich, wer an sichere Funkschlüssel glaubt, der glaubt auch an sichere Computernetze. Und weil die so sicher sind, wird dann der Bundestag gehackt oder die NSA.

    Zitat von Frank 3

    Dann regelt das der Markt selber.


    Wie gut "der Markt" Dinge regelt kann man ja gut an der Bahn und ählichen Desastern beobachten. Also echt.


    Zitat von Frank 3


    Und mal ehrlich, wer an sichere Funkschlüssel glaubt, der glaubt auch an sichere Computernetze.


    Computer sind eine deterministische Angelegenheit und keine Glaubensfrage. Wir wissen - und glauben nicht - dass absolute Sicherheit nie erreichbar ist. Einerseits. Andererseits wissen wir aber zumindest wie man recht nahe dahin kommt. Es gibt einen wissenschaftlichen Forschungsstand sowohl zum Thema IT-Sicherheit, als auch zum Thema Crypto. Das Problem - und darauf wollte Silvio hinweisen - ist, dass sowohl grosse Teile der Industrie als auch Regierungen diesen Forschungsstand schlicht ignorieren.


    Nach meiner beruflichen Erfahrung handelt es sich bei dieser Ignoranz meist gar nicht um Boshaftiigkeit sondern schlicht um Unkenntnis und mangelhafte Bildung. Wenn die Beschreibung eines "Industriestandards" wie Hitag2 damit beginnt, dass proprietäre Crypto verwendet wird, dann weiss der Profi umgehend, dass es Bullshit ist und von Amateuren erstellt wurde, die Applied Cryptography noch nie gelesen geschweige denn davon Kenntnis haben.


    Man KANN solche Sachen halbwegs sicher machen, wie NXP bewiesen hat, dazu muss man aber über seinen Schatten springen, sich neue Kenntnisse aneignen, seine eigenen Fehler zugeben und gewillt sein, es besser machen zu wollen. Dazu sind leider nicht allzu viele Menschen fähig :(


    Zitat von Frank 3


    Und weil die so sicher sind, wird dann der Bundestag gehackt oder die NSA.


    Du kannst nicht das Sicherheitsniveau der Bundestags-IT mit der NSA vergleichen. Davon abgesehen gibt es genügend Netze/Systeme die nicht gehackt werden. Davon wird halt nirgends berichtet, es gibt sie aber. Man kann Netze durchaus weitgehend sicher aufbauen, dafür muss man auch keine Milliarden ausgeben.


    Aber wir schweifen ab...




    Gruss,
    Tom

    Zitat von nordpilger

    Wie gut "der Markt" Dinge regelt kann man ja gut an der Bahn und ählichen Desastern beobachten. Also echt.


    Wenn es hier schon die Möglichkeit der Sammelklage gäbe, dann würde der Markt das Regeln, sieht man ja bei VW in den USA oder bei der Deutschen Bank oder bei fehlerhaften Apple Smartfons mit Schummelsoftware, die alte Geräte langsam macht.

    Zitat von nordpilger

    Davon abgesehen gibt es genügend Netze/Systeme die nicht gehackt werden. Davon wird halt nirgends berichtet


    Die haben es nur noch nicht gemerkt, oder es hat keiner ein Interesse sie zu hacken.

    Zitat von Frank 3

    Wenn es hier schon die Möglichkeit der Sammelklage gäbe, dann würde der Markt das Regeln


    Das wäre dann aber kein Regeln des Marktes, sondern eher ein Steuern durch die Judikative. Es gäbe auch noch ein Steuern durch die Legislative, das ist es worum es mir eigentlich ging. Ein schönes Beispiel wie gut das funktionieren kann, kam gestern abend in PlusMinus: durch die Zuckersteuer in Frankreich oder UK hat sich der Zuckergehalt bei Getränken merklich gesenkt, gegenüber Deutschland, wo es keine solche Regelung gibt, ist z.B. in UK 1/3 weniger Zucker in den Getränken. Das hat nicht der Markt geregelt, sondern der Gesetzgeber.


    Zitat von Frank 3


    Die haben es nur noch nicht gemerkt, oder es hat keiner ein Interesse sie zu hacken.


    Also ich schrieb ja vorhin nicht umsonst von "beruflicher Erfahrung". Ich bin in der Sicherheitsabteilung bei einem grossen Dienstleister der Finanzbranche tätig (und wir haben nicht allzuviel Konkurenz). Wir haben permant um die 10 Mbit/s Angriffstraffic. Und wenn wir gehackt werden würden, dann würde die Tagesschau berichten. Zumindest für uns kann ich Dir also versichern, doch das geht. Schon 30 Jahre am Stück sogar.



    Gruss,
    Tom

    Zitat von nordpilger

    durch die Zuckersteuer in Frankreich oder UK hat sich der Zuckergehalt bei Getränken merklich gesenkt, gegenüber Deutschland, wo es keine solche Regelung gibt, ist z.B. in UK 1/3 weniger Zucker in den Getränken. Das hat nicht der Markt geregelt, sondern der Gesetzgeber.


    Und sind die Getränke nun weniger Süß oder hat man den Zucker nur durch Süßstoff ersetzt, der dann andere Nebenwirkungen hat? Ich hab vor einem Jahr mal Appetit auf Rollmops gehabt und ein glas davon gekauft. Nach dem Essen, war ich auf dem Klo, weil da irgendein Süßstoff drin ist, der bei mir diese Wirkung hat.
    Ist genau wie bei Glutamat. Da hat man viel lärm gemacht wegen Geschmacksverstärker. Nun ist kein Glutamat mehr drin und drauf steht ohne Geschmacksverstärker und bei Zutaten steht dann Hefeextrakt. Und was ist Hefeextrakt fast reines Glutamat, nur anders hergestellt.

    Das war nur ein Beispiel und wir schweifen echt ab. Nur soviel: ja es war weniger Zucker und nicht statt dessen Süssstoff. Und, man kann das gar nicht schmecken ob es 30 oder "nur" 20 Zuckerwürfel sind, da brauchts keinen Süsstoff.

    Übrigens es gibt noch viele andere Möglichkeiten den Kasten zu öffnen. Wenn du mal die Schiebetür offen hast und ich dich Besuche und ein Bier mitbringe, und nebenbei ein bisschen Tesaband auf die Kontakte für die Türverriegelung klebe, dann bleibt die tür unverriegelt, ohne das du etwas davon mitbekommst.

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!

Benutzerkonto erstellen Anmelden