auto motor und sport erklärt

Transkript

Zurück zur Episode

00:00:00: Music.

00:00:05: Sport erklärt.

00:00:07: Wer bei der Elektromobilität an das Thema Sicherheit denkt dem kommen meistens Stromschläge oder explodierende Batterien sind dass sie sie gefahren aber nur

00:00:16: ne echt marginale Randerscheinung sind und quasi nie auftreten haben wir ja bereits in Folge 32 von

00:00:22: Auto Motor Sport erklärt ausgiebig besprochen eine andere viel dringender Gefahr stellt dagegen das Thema IT Sicherheit da welche Gefahren hier felekten Mobilisten lauern und wie sicher die Systeme sind hören wir bei auto-motor-und-sport erklärt

00:00:35: ich bin Luca leicht und freue mich dass ihr heute wieder mit dabei seid müssen Autofahrer Angst vor Viren haben wo liegen die Schwachstellen der Stromer

00:00:43: welche Art von Hacker-Attacke gibt es überhaupt auf Elektroautos und welche Einfallstor benutzen die Hacker dann aus.

00:00:49: Und vor allem worauf haben sie sich abgesehen das alles erklärt uns heute mein Kollege Sandro vitale der zu dem Thema schon recherchiert hat

00:00:57: wegen Hallo Sandro schön dass ihr Zeit genommen hast und da bist Hallo Sergej

00:01:00: Sandro an das Auto als mögliches Ziel von Hackern ist es ja eigentlich nichts Neues ich erinnere mich noch relativ gut daran ich glaub es war 2015 rum einmal diese zwei Forscher diesen Chip.

00:01:10: Haben damals immer WLAN Hansen gesteuert und dann sind sie mit den Dingen den Graben gefahren und die ganze Welt war irgendwie um mein Gott Schnittstellen

00:01:19: Funkdaten das ist super gefährlich da hat sie mittlerweile schon einiges getan du hast jetzt ja nicht zu diesem Hack reschaschiert sonst was anderen und bis da er mir auf auf das Thema gekommen aber wie kamst du denn genau drauf was war denn dieser Aufhänger für dich

00:01:31: ja

00:01:33: das ist natürlich immer so ein bisschen das klassische Horrorszenario das man irgendwie fremdgesteuerte armadas an Autos hat die durch die Straßen fahren und dann

00:01:42: das Lenkrad umgezogen wird zu Unfälle und Co ich kam unter dann ganz anderen Gesichtspunkt auf das Thema und zwar die ein oder andere mag sich wahrscheinlich noch dran erinnern das war

00:01:50: zu Beginn des ukraine Kriegs als sich die Experten des ukrainischen Teilelieferanten Auto enterprise in die Systeme von Ladesäulen eines russischen ladesäulenbetreiber

00:02:03: in Russland ein gehackt haben und den den Saft abgedreht haben zwar irgendwo entlang der Autobahn und nicht nur dass da kein Strom mehr geflossen ist

00:02:11: war ganz einfach so dass er dann auch noch auf der Anzeige war nette oder wie hat er weniger nette Grüße in Richtung der Russen bzw des russischen Präsidenten standen so kam ich auf das Thema aber paar diffamierende.

00:02:25: Worte werden glaub da noch das kleinste Übel wenn man bedenkt was ich da dann so rausgefunden hab während der Recherche

00:02:33: genauso das hast das Thema Ladesäulen es ist eigentlich und aber welche Gefahren lauern in Laiz für die Autofahrer weil das da ähnlich anzeigen kompromittiert werden oder die Wall Boxen selber die Ladestation abgeschaltet wert ist das eine

00:02:46: ja richtig sind zum großen Teil erstmal die ladesäule und das Hauptproblem ist ganz einfach

00:02:52: ganz simples im Prinzip und zwar dass du relativ einfach oder erschreckend einfach auf fremde Kosten Strom zapfen kannst das ist relativ problemlos möglich indem man die ladekarten.

00:03:04: Dies braucht um die Ladesäulen zu starten und nachher der Turm zu bezahlen die kann man ganz einfach Clown und das geht schon mit geringem

00:03:12: Know-how wenn du nur ein bisschen IP Kenntnis hast musst kein Vollprofi Hacker sein dann kriegst du das hin und das ist war schon relativ erschreckend dass das so locker geht

00:03:21: okay du sagst die ladekarten wie kopiere ich dann die wie mache ich das ist nicht dass ich wir ja.

00:03:26: Bitte vorher alle da draußen nicht nachmachen aber rein rein technisch was was passiert da beim Kopieren einer ladekarte zuerst mal es gibt ja du kannst im Prinzip einfach.

00:03:35: Dir eine blanko Karte nehmen und darauf lässt sich der Kartenchip einer ladekarte ganz einfach kopieren es geht beispielsweise mit dem Gerät namens proxmark3.

00:03:45: Was ist ein Hardware Tool für die Sicherheitsanalyse für die Forschung und Entwicklung bei der Hochfrequenz Identifikation und das Teil ermöglicht sowohl das Lesen von solchen Karten als auch.

00:03:56: Emulieren simulieren heißt es ist das Verfahren zur Programm Nachbildung quasi und somit kann man eben das was auf dieser Karte gespeichert ist nachbilden.

00:04:05: Aber das hast ja sprechen aber um das

00:04:07: noch mal runter machen von diesem Arsch weil die Karten die man von den ladesäulenbetreiber nen Krieger beispielsweise oder von diesen MSP City mobility Service Providern die mir dann hinterher die Rechnung schicken diese ladekarten ihrem elwine addieren Erkennung oder irgendwas in der Art drauf.

00:04:21: Und die kann ich auslesen und woanders drauf spielen dass dies nicht irgendwie unique grau die ladekarte hat jeweils eine ID.

00:04:28: Und über die kommuniziert die Karte mit der ladesäule und da ist sonst

00:04:33: nichts drauf gespeichert also da geht's nur um diese ID da ist keine weitere Verschlüsselung zur Authentifizierung oder ähnliches drauf es geht nur um diese ID und das ist eben die Krux an der Sache dass die so dermaßen einfach auszulesen ist das geht wie gesagt z.b. mit diesem

00:04:49: proxmark3 in diesem Hardware Tool dass ich gerade angesprochen hatte oder noch viel einfacher du kannst das auch mit einem gängigen Android Handy

00:04:57: machen weil die haben ja mittlerweile meistens einen NFC-Chip hinzu Near Field Communication nennt sich das ausgesprochen das SST mit dem ich auch bei mit mir im Supermarkt hat der der kontaktlose Datenaustausch bei elektromagnetischer Induktion quasi

00:05:14: Und

00:05:15: das passiert eben auf derselben Technologie wie die AFR die Chips bei der ladekarten heißt im Prinzip ich brauche nur Zugang zu einer ladekarte haben kann diese ladekarte an mein Handy halten und dann mit einer gängigen Android-App

00:05:29: diese ID die darauf gespeichert ist

00:05:32: auslesen am Ende des Tages reicht dann also du kannst deinen deinem Handy dann mit ein bisschen programmieren Know-how quasi diktieren.

00:05:41: Liebes Handy wenn man so will bitte simuliere mir eine ladekarte mit der ID XY und brauchst dann nachher nur das Handy an den Kartenleser der ladesäule halten entsperrst sie damit

00:05:51: und der Betroffene merkt das dann nachher erst wenn heben die Rechnung ins Haus flattert

00:05:55: das heißt aber im Umkehrschluss dass meine ladekarte eigentlich nicht sicher ist und dieses ID Thema dass das dead das große Problem ist

00:06:02: und wir wissen ja auch aber die meisten Orten Leute die Elektropunk änderst für die anderen Sites kurz erklärt und wenn ich nen Elektrode laden will fahre ich zu ladesäule halte meinen Chip oder meine ID meine Karte dahin dann auf deine visiert mich dass es dem alles erkennt mich sagt alles da du bist der in der Mensch und dann wird er Ladevorgang gestartet und wenn ich mich wieder auswählen will also das radfahren stoppen halt ich die wieder ran drück auf Stopp und dann ist Ende was ist das Problem für mich als Kunde am Ende das heißt

00:06:26: jemand kann mit meiner ID losziehen und so tun als wäre ich ich und Tank dann auf meinen Deckel

00:06:32: Annett auf mein Decke liegt erschreckend einfach und ist es auch

00:06:37: bei der Recherche bist du ist ein hypothetisches Thema oder bist du da auch auf dass er dich Fälle gestoßen bei dem das so ist ich bin auf

00:06:44: tatsächlich keine Fälle gestoßen habe mir von Experten sagen lassen es gibt die Fälle es sehr aber noch.

00:06:51: Nicht so dass es in die also ob das jetzt vermehrt auftritt darf ich das zeitlich überfragt konnte mir so.

00:06:57: Niemand sagen aber Fakt ist dass das wahrscheinlich vermehrt auftreten wird je bekannter das wird und das wird es weil Hacker sind ja

00:07:05: an für sich keine zurückgebliebenen Köpfe im Gegenteil und deswegen ist das wirklich wichtiges Thema und die Frage ist halt warum

00:07:13: auf die Sicherheit da nicht mehr wert gelegt wird könnte man denn also einmal die Soldaten so gemacht.

00:07:18: Man könnte absolut also laut Experten liegt das Problem nicht bei der ladekarte an sich sondern beim Protokoll das Protokoll ist in der Kommunikationstechnik eine bestimmte definierte Vereinbarung über die Art und Weise.

00:07:30: Wie zwei Systeme miteinander kommunizieren und da hat man für die Authentifizierung der ladekarten damals neue Protokolle festgelegt aber damals.

00:07:40: Fehler gemacht die absolut nicht zeitgemäß sind und das obwohl die nötige Technologie längst vorhanden

00:07:46: weil diese ladekarten die sind eigentlich vollkommen und absolut dazu imstande kompatibel dass man da ohne weiteres auch kryptographische Infos drauf spielen könnte die Frage ist.

00:07:56: Warum macht man es nicht und dann können wir Sie über die Kryptographie und über diese Chiffrierung dann am Ende sicherstellen dass meine Karte nicht zweite wendet werden kann und stattdessen läuft stand jetzt die Freischaltung der ladesäule

00:08:07: nur einzig und allein über über diese ID und sonst nichts wenn wir jetzt das ist das eine Thema zusätzlich muss jemand aber an meine ladekarte kommen.

00:08:15: Wenn ich die aber gut Verstecke dann kommt da nicht ran und dann bin ich eigentlich auch sicher wahrscheinlich ist auch ein Grund warum da aktuell nicht so viel los ist aber gibt auch andere Systeme oder andere Möglichkeiten das zu schaffen

00:08:25: die gibt's durchaus wär z.b. denkbar dass sich ein Hacker in Cyberkriminelle kommt und verschafft sich Zugang mechanischen Zugang zu einer ladesäule um mit roher Gewalt oder mit einem bestimmten Werkzeug Seite hingestellt

00:08:37: wenn er die öffnet gibt's im Inneren der meisten ladesäule nirgendwo.

00:08:42: Sind den USB-Port und an diesen USB-Port könnte ich einen sogenannten Raspberry Pi anschließen das ist das ist einfach

00:08:50: Madinat Minicomputer ist wie im Spionage action thriller den schließt du an und der kann automatisch das System attackieren der zieht dir die Log-Daten sieht dir die Log-Dateien aus der ladesäule aus der entsprechenden daraus sind dann natürlich die Lade Protokolle

00:09:04: gespeichert

00:09:04: und dann brennt ja auch die und was ist da drauf ne die Aldi ist natürlich und wenn wenn du wenn du da dann noch zusätzlich mobilfunkmodem anschließt dann sitzt du als Hacker zu Hause liegst gemütlich die Füße hoch und kannst dir ladekarten Alice schicken lassen

00:09:18: und es war nicht nur einer sondern alle von alle Dortmund was ist ein bisschen wie bei den Kreditkartenbetrug steeman wurden diese kreditkartenterminals irgendwie kompromittiert wurden und dann dort

00:09:30: Kreditkarten ausgelesen wurden und dann Leute auf fremde Rechnung einkaufen gehen Bushalt jetzt hier bei Melaten es geht sogar ginge sogar wenn du weder

00:09:38: Zugriff zu ladekarte noch Zugriff zu ladesäule hast ist dann mit gespannt ist ist dann bisschen kniffliger aber im Prinzip gibt's überall wo Verbindung zum Internet besteht eine Angriffsfläche

00:09:49: schönhacker auch aus der Ferne dann und wenn er genug Zeit aufbringt und genügend versiert ist sage ich mal dann wird der die Sicherheitslücke womöglich auch.

00:09:58: Binden und da gibt's z.b.

00:10:01: Also du musst im Prinzip kein Angriffsziel erstmal ausfindig machen ist nicht so schwer es gibt bald bis Weise eine Suchmaschine die heißt wie nennt sich die Schultern oder schonen ich weiß ganz genau wie man es ausspricht zu SHOT ein

00:10:13: die spürt dir sämtliche Geräte auf die irgendwie am Netzwerk hängen

00:10:19: und da ist natürlich alles mit drin dass es sind irgendwie Fernseher oder Überwachungskameras und ähnliches aber eben auch Ladesäulen die mit dem Internet verbunden sind und darüber wärst daneben denkbar dass er sich die Hecke auch so zügig verschafft und dann ansprechen der eydis kommt

00:10:34: beispielsweise uns kann ja auch noch ganz andere Folgen haben davor ist man glaube ich nicht gefeiert davor dass der Hacker irgendwie

00:10:40: DM bestehende Internetverbindung die diese Ladesäulen ja zwangsläufig brauchen für die Authentifikation das muss der Hersteller der Ladesäulen Anbieter in irgendeiner Form verhindern und da ist auch er geboten

00:10:50: aber wie würdest du denn jetzt dem normalen E-Auto Fahrrad dem normalen ladekarten Besitzer der damit unterwegs ist raten umzugehen wie kann der sich denn schützen ja ich glaube es ist ja schon deutlich geworden dass es erstmal schwierig ist am Ende des Tages will ich erstmal schauen dass ich meine ladekarte

00:11:04: möglichst nah bei mir behalten

00:11:05: nicht rumliegen lassen genau dann klingt zwar blöd und ist wahrscheinlich auch schwierig zu sehen aber falls mir dann irgendwie geh auffallen würde ich bin an der ladesäule wo vielleicht Anzeichen sind dass sich irgendjemand dran zu schaffen gemacht haben könnte dass ich die dann.

00:11:19: Vielleicht meide und ansonsten gibt's natürlich vielleicht auch noch die Möglichkeit eine lade App

00:11:24: zu benutzen die dann wenigstens noch Hublot passwortgeschützt ist gerne klingt logisch darf ich ja den Vorteil dass ich über die lade App von meinem Handy aus bei dem Server anmelde von damit der ladesäule verbunden ist und dann immer über Bande mit dem Internet direkt verbindet gar nicht hin.

00:11:38: In die Lage versetzt werdet direkt an der ladesäule dort eine Kommunikation aufzubauen sollen immer über den

00:11:44: vermeintlich gesicherten weg dass das Unternehmen Server gehe genau und dann wenn wir jetzt mal auf beispielsweise auf von oder von Betreibers Seite her.

00:11:53: Aus draufschauen

00:11:55: gibt's natürlich schon Hacker auch die Möglichkeit also man kann sich mal z.b. vorstellen dass der Hacker beginnt beginnt bei der ladesäule hack sich da rein ins System hangelt sich Schritt für Schritt weiter und wenn er gut genug ist landet der vielleicht letzten Endes irgendwo im System des ladesäulenbetreiber mögliche Machenschaft.

00:12:13: Dann möwis nicht verschreien aber

00:12:15: ladenetzwerk flächendeckend lahmlegen beispielsweise Erpressung oder und es ist noch mal ganz anderes Thema vielleicht auch Ladeleistung derart zu manipulieren das nachher Batteriesystem an E-Autos gefährdet werden

00:12:27: Warum beschädigt werden womit wir dann ja wieder beim E-Auto Fahrer während der letzten Endes sehr große Leidtragende wer bestimmt also einfach

00:12:34: fuzzy Vandalismus dann in dem Moment weil auf gut deutsch gesagt genau okay wir halten fest das Thema IT Sicherheit ist ist ein großes

00:12:42: in der ganzen Autoindustrie gerade das sehen wir an vielen vielen Stellen insbesondere auch bei Ladesäulen

00:12:46: womit ich persönlich nicht immer gerechnet hatte aber man kann sich jetzt mindesten bisschen schützen und zumindest ein paar Kleinigkeiten für sich in Erwägung ziehen um das hier rauszukommen.

00:12:55: Anruf vielen Dank für all die Information die du mit uns geteilt hast aber heute Diamant.

00:13:00: Und ich glaube im alle sehr sehr viel gelernt bräuchte draußen das war automotorundsport erklärt wird wieder von uns in zwei Wochen an falls euch ein Thema besonders am Herzen liegt dann lass uns gern wissen schreibt uns eine E-Mail an Podcast - ams.at motorpresse.de

00:13:14: oder schreib mir doch einfach den solvemedia kann ein Instagram Facebook und wie sie alle heissen und außerdem freuen uns natürlich wenn ihr unser Podcast abonniert deswegen kriegt gern auf Abo und werden auch gerne mit

00:13:23: 3D 5 Sternen je nachdem wir wollten übrigens an wenn euch das Thema Sicherheit und Nachhaltigkeit interessiert wo wir heute beim Thema Sicherheit ja auch schon waren im Podcast am 22.9 findet wieder einmal

00:13:32: der auto motor und sport, Stadt dort erwarten euch unter anderem Vorträge von Mercedes Entwicklungschef Markus Schäfer dem Porsche CEO Oliver Blume canosio Luca De Meo ist vor Ort und auch die CTO Daniela werde ich

00:13:45: die beim deutschen Batterietechnik Startup Custom cells unter anderem an den Hochleistungsbatterie für Porsche Arbeit

00:13:51: und auch schon bei uns zu Gast war beim auf dem new mobility Podcast von auto-motor-und-sport.

00:13:55: Apropos Podcast wenn ihr auf der Suche nach einem munteren autotalks seid möchte ich euch wirklich sehr herzlich den auto-motor-und-sport Podcast Kiesplatz kündigen Herz legen entsprechen meine Kollegen Sebastian renzen Jens dralle über mal mehr und

00:14:08: mal weniger ernst nehmen der Automobile schätze die auf ihre mobile.de Parkplatz sich geschlichen haben

00:14:15: und garantiert für jeden Einsatzzweck an G2 das richtige Auto bevor ich berate ich sage Danke dass du hören und Tschüss bis nächste.

00:14:21: Music.