Quelle: www.golem.de

Mit einem Arduino [eine aus Soft- und Hardware  bestehende Physical-Computing-Plattform] und Hardware im Wert von 40 US-Dollar lassen sich fast alle Modelle der VW-Gruppe aus den vergangenen 15 Jahren öffnen – sagen Sicherheitsforscher. Das Unternehmen hat die Lücke eingeräumt. 14 weitere Autohersteller sind betroffen.

VW hatte über mehrere Jahre hinweg versucht, die Veröffentlichung der Ergebnisse zu untersagen, scheiterte aber im vergangenen Jahr endgültig.

Die Forscher werden mehrere Angriffsszenarien vorstellen; besonders schwerwiegend ist dabei eine Schwäche in den Autoschlüsseln von VW. Per Reverse Engineering fanden die Forscher laut Bericht kryptographische Schlüssel, die jeweils bei mehreren Millionen Volkswagen gleich sein sollen.

Es existieren mehrere solcher Schlüssel, die je nach Baujahr oder Modell variieren. Um das Schloss zu öffnen, mussten die Forscher nur noch einen bei jedem Wagen einmaligen Wert mitsniffen, um einen Schlüssel nachzubauen, mit dem sich das Auto öffnen lässt.

Nach Angaben der Forscher ist das von VW verwendete System vor allem durch das Prinzip „Security by Obscurity“ [Schutz durch Geheimhaltung; ungeeignet als Sicherungsprinzip] abgesichert. Es gibt weder eine autospezifische Form der Schlüsselerstellung noch andere Formen der Schlüssel-Diversifikation. Die Forscher gehen davon aus, dass die übergroße Mehrzahl der von VW in den vergangenen 15 Jahren verkauften Autos die gleiche Schwachstelle aufweise.

Zwar habe das Unternehmen über die Jahre neue Verfahren eingeführt, die eine längere Schlüssellänge und eine bessere Sicherheit hätten. Doch die im Paper VW 2 und VW 3 genannten Verfahren verwendeten beide einen „Globalen Masterschlüssel“, der die mathematisch Sicherheit der eingesetzten Verfahren unterlaufe.

„Du musst nur einmal den Datenverkehr mitschneiden“, sagte David Oswald, einer der beteiligten Hacker zu Wired. Dazu dürfe der Angreifer maximal 90 Meter entfernt sein.

Neben der Schwäche bei Autos der Volkswagen-Gruppe fanden die Forscher auch Probleme mit der Hitag-2-Technologie. Dieser wird von zahlreichen Herstellern eingesetzt. Der Zulieferer NXP sagte Wired, dass das verwendete Hitag-2-Kryptosystem einen alten Algorithmus verwende und das Unternehmen Kunden empfohlen habe, ein Upgrade durchzuführen.

Kommentar

Ein weiteres Beispiel dafür, dass das was heute als sicher gelten mag, längst nicht mehr in wenigen Jahren auch so sein muss. Ganz abgesehen davon, dass hier wohl etwas zu einfach gedacht wurde und man sich zu sehr auf das Prinzip „Security by Obscurity“ verlassen hat, was leider auch kein Einzelfall sondern eher die Regel darstellt. So ist das etwa auch bei aktuellen Infrastrukturkomponenten, etwa bei Smart Meter zu beobachten.

Trotz allem ist es bei diesem Beispiel nicht so einfach, einen Massenangriff durchzuführen, da man in die Nähe des Zielopjektes kommen muss (90m), um einen erfolgreichen Angriff durchzuführen. Jetzt aber davon auszugehen, dass damit keine Gefahr bestünde, wäre dennoch naiv. Zum anderen sollten wir gerade bei den aktuellen Vernetzungsbestrebungen (Internet of Things, Industrie 4.0, Smart …) gewarnt sein, wie auch bereits aktuelle Beispiele zeigen. Wir haben scheinbar aus der Vergangenheit nicht viel dazugelernt, wie auch weitere Sicherheitsberichte zeigen: Hacker knacken 12 von 16 Smartlocks!

Denn in Zukunft werden Angriffe durch die rasche Verbreitbarkeit (der Informationen) über das Internet und durch verbesserte, billigere und leicht verfügbare Technologien (siehe Arduino) sich wesentlich rascher verbreiten und erheblichen Schaden anrichten. Insbesondere, wenn wir nicht bereits jetzt entsprechende Vorkehrungen treffen. Das betrifft einerseits die Prävention (Verhinderung, IT-Sicherheit), aber umso mehr auch den Umgang mit mit möglichen und wahrscheinlichen Systemausfällen. Es ist nicht so schlimm, wenn mal etwas in die Hose geht, schlimm ist aber, wenn man das ausschließt und ignoriert und wartet, bis es eingetreten ist.

Ergänzung: Auch die Sicherheitsbranche, die ja eigentlich von den Schwachstellen lebt, warnt immer häufiger vor der zunehmenden Gefahr:

„Unsere Spezies hat noch nie zuvor eine Bedrohung von solchen Ausmaßen erlebt“, sagte McAfee. „Vielleicht denken Sie, dass ich übertreibe, dass ich alarmistisch bin.“ Er sei aber „befreundet“ mit vielen Hackern, die riesigen Schaden anrichten könnten, wenn sie es wollten.

Auch das sollte zu denken geben.